[2003] Locatie afhankelijk GPO beleid* - Serversoftware en clouddiensten

donderdag 21 juni 2007 20:09

Acties:

Topicstarter

Ik ben bezig met het inrichten van Windows omgeving bij een opdrachtgever in Rotterdam. Deze opdrachtgever heeft op het hoofdkantoor in Gouda al een domein, hieraan worden alle remote lokaties gekoppeld, zo ook deze.

De reden hiervoor is dat ze overal willen kunnen inloggen met 1 userid en password, goede reden.. daar zijn we het over eens

Maaaar, op het hoofdkantoor wil ik niet dat de users alle policies e.d. krijgen die ze op de locatie Rotterdam krijgen, ze krijgen in Rotterdam bijvoorbeeld hele andere applicaties en shares, die vanaf het hoofdkantoor niet beschikbaar zijn.

Wat is nu het best practice ontwerp om een user te voorzien van verschillende policies afhankelijk van zijn fysieke lokatie?

Zelf heb ik zitten stoeien met loopback policies, wat in theorie een oplossing is, maar dat wordt dan wel een administratieve taak van heb ik jou daar, lijkt me dus niet handig.

Verder, kan je site policies gebruiken, maar die hebben dan weer effect op werkelijk alles binnen een bepaalde site, ik wil het eigenlijk op OU niveau kunnen bepalen.

De vraag is dus eigenlijk: Hoe kan ik zorgen dat Pietje in Gouda een andere GPO krijg dan in Rotterdam?

donderdag 21 juni 2007 20:11

Acties:

sanfranjake

Computers can do that?

Je zou een wmi-filter kunnen gebruiken, waarbij je bijvoorbeeld hostname of clientip uit zou kunnen lezen

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 21 juni 2007 20:13

Acties:

DDX

enveekaa schreef op donderdag 21 juni 2007 @ 20:09:
ik wil het eigenlijk op OU niveau kunnen bepalen.

eh dan kan je toch gewoon GPO's aan je OU's hangen ?

https://www.strava.com/athletes/2323035

donderdag 21 juni 2007 20:16

Acties:

sanfranjake

Computers can do that?

DDX schreef op donderdag 21 juni 2007 @ 20:13:
[...]

eh dan kan je toch gewoon GPO's aan je OU's hangen ?

Jup zoals topicstarter al noemt met loopback.
Dit is wel de makkelijkste optie denk ik. Tenzij er werkelijk zo ontzettend veel verschillende settings zijn ....

Je zou ook een desktopmanagementpakket zoals RES Powerfuse (www.res.eu) kunnen overwegen, wat door middel van Powerzones kan bereiken wat je wil, en ook nog vele andere zaken op het gebied van desktop management.

Gebruik je trouwens Windows 2000 of Server 2003? Dat vinden we hier in Windows Servers en Server-software ook prettig om te weten

[ Voor 9% gewijzigd door sanfranjake op 21-06-2007 20:19 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 21 juni 2007 20:22

Acties:

enveekaa

Topicstarter

2003 R2 SP2

Nieuwe servers, dus gelijk maar een goed begin.

@DDX: Ja, ik ben redelijk op de hoogte van AD

Dat is het punt ook niet. Maar als Pietje eenmaal in OU Gouda zit, en inlogt in Rotterdam, dan krijgt hij toch echt de settings van OU Gouda voor zijn kiezen.

Die opzet met WMI? kan je daar iets dieper op in gaan?
Ik stel me voor dat je met WMI wat info ontrekt aan de client, aan het ip zou je inderdaad kunnen zien welke lokatie het is, maar hoe ga je vervolgens de GPOs filteren?

Ik had eigenlijk gehoopt op een AD model wat dit mogelijk moet maken.
Opzich zijn er niet heel veel settings, maar ik werd niet helemaal vrolijk van opzet met loopback, dit wordt volgens mij vooral gebruikt in omgevingen met een terminal server.

RES lijkt me heel intressant, wat ik zo snel even heb kunnen lezen. Maar daar zit waarschijnlijk een prijskaartje aan

[ Voor 19% gewijzigd door enveekaa op 21-06-2007 20:25 ]

donderdag 21 juni 2007 20:35

Acties:

sanfranjake

Computers can do that?

Het is een extra feature in je active directory. Je kan een wmiquery toevoegen aan de filtercriteria van een gpo. Ik neem aan dat je gpmc kent.
Als je niet zo goed weet hoe je een wmi-query bouwt, kan je bijvoorbeeld eens naar WMI filtering using GPMC kunnen kijken

RES Powerfuse is inderdaad niet gratis, maar het kan zeker in complexe scenarios veel werk uit handen nemen

Het is waar dat loopback wordt gebruikt voor Terminal Servers, maar je kan het in dit scenario ook prima toepassen lijkt me. Ik zou zo geen andere manier weten

Site policies kan je natuurlijk ook op groepen enz. filteren.

[ Voor 26% gewijzigd door sanfranjake op 21-06-2007 20:39 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 21 juni 2007 20:59

Acties:

alt-92

ye olde farte

enveekaa schreef op donderdag 21 juni 2007 @ 20:22:
Die opzet met WMI? kan je daar iets dieper op in gaan?
Ik stel me voor dat je met WMI wat info ontrekt aan de client, aan het ip zou je inderdaad kunnen zien welke lokatie het is, maar hoe ga je vervolgens de GPOs filteren?

Je laat de GPO alleen toepassen als de client met het IP uit de juiste range z'n werk doet?

Wel even op letten dat een Windows 2000 client geen WMI filtering doet, die krijgt dus altijd de policy toegekend (tenzij je juist daarop je filter laat reageren

)

Ik had eigenlijk gehoopt op een AD model wat dit mogelijk moet maken.

Dat noemen ze dan ook wel een design

Wat is er op tegen om voor je lokaties een subOU te maken als je geen sites (daar zijn die eigenlijk wel voor bedoeld) wilt gebruiken?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 21 juni 2007 21:00

Acties:

enveekaa

Topicstarter

Ja ken GPMC, die gebruik ik eigenlijk standaard.
Ik ga eens kijken hoe ver ik kom met die wmi filters, thanks.

Hmmm site policies filteren op goepen (OUs?) lijkt me ook geen gekke optie.
Toch vreemd dat dit niet echt 'makkelijk' kan, wellicht dat server 2008 iets volwasseren is wb het filteren van GPOs.

Ik wil best sites gebruiken hoor, maar daar heb ik nog niet mee gewerkt

Een sub ou is ook geen probleem, dat gaat ook gebeuren, maar daarmee ben ik niet geholpen toch? Als Pietje in sub ou Gouda zit, dan zal die die settings ook krijgen in Rotterdam..of begrijp ik je verkeerd.

[ Voor 32% gewijzigd door enveekaa op 21-06-2007 21:04 ]

donderdag 21 juni 2007 21:17

Acties:

sanfranjake

Computers can do that?

Wat is er niet makkelijk aan het via gpmc een groep toevoegen of verwijderen? Ik volg je niet helemaal. Je gaat toch niet elke dag of week in je policies en toewijzingen van datsoort groepen zitten rommelen? en ik neem aan dat er ook niet dagelijks sites bijkomen

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 21 juni 2007 21:40

Acties:

enveekaa

Topicstarter

Nee dat is ook niet wat ik bedoel te zeggen

Maar het gaat wel vaak voorkomen dat er mensen op verschillende locaties werken, en om te voorkomen dat er in Rotterdam allerlei shares e.d. naar Gouda verwijzen wil ik daar een onderverdeling in kunnen maken.

Er is niets moeilijk aan een groep toevoegen/toewijzen, dat beweer ik ook niet geloof, lees je mijn laatste wel goed?

Met het niet makkelijk doel ik meer op het feit dat je wmi filters moet gaan gebruiken e.d.
Het zou bijvoorbeeld makkelijker zijn als je aan ou een dependeny zou kunnen hangen als bijvoorbeed: Alleen toepassen als logonsite == Gouda ofzo.

Maar ik denk dat ik met jullie tips en inzichten een heel eind kom

[ Voor 29% gewijzigd door enveekaa op 21-06-2007 21:42 ]

donderdag 21 juni 2007 21:45

Acties:

alt-92

ye olde farte

Ehm.. lijkt het je niet makkelijker om mappings naar shares met een loginscript te doen waar ook nog de site wordt uitgelezen waar iemand op dat moment zit?

'T is maar een idee, maar dat lijkt me flexibeler dan alles via GPO op proberen te lossen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 21 juni 2007 21:49

Acties:

DDX

enveekaa schreef op donderdag 21 juni 2007 @ 20:22:
Maar als Pietje eenmaal in OU Gouda zit, en inlogt in Rotterdam, dan krijgt hij toch echt de settings van OU Gouda voor zijn kiezen.

hangt er natuurlijk vanaf wat je in de gpo's wilt instellen, je noemt bijvoorbeeld :

ze krijgen in Rotterdam bijvoorbeeld hele andere applicaties en shares, die vanaf het hoofdkantoor niet beschikbaar zijn.

hoe zie je dit met iemand die op meerdere locaties werkt, steeds andere gpo settings en dus wachten tijdens het inloggen als er andere applicatie installed worden ?

maargoed als het de bedoeling is om gpo's te krijgen afhankelijk van de locatie waar je op dat moment bent moet je kijken of je een gpo op basis van site kan doen (die je instelt op ip-ranges) zou alleen niet weten of dit werkt...

wmi filter is ook erg handig (gebruik ik zelf om te bepalen of client 32bits of 64bits os heeft (voor installeren apps) + hardware type voor installeren managment tools)

https://www.strava.com/athletes/2323035

donderdag 21 juni 2007 21:51

Acties:

enveekaa

Topicstarter

Dat is ook zeker een optie die ik overweeg.

Maar ik zit bijvoorbeeld te denken om een startmenu toe te wijzen via GPO, waar ik dus netjes alle applicaties die in Gouda gebruikt kunnen worden inzet. Die wil ik dan niet toegpast hebben in Rotterdam.

Begrijp me niet verkeerd, ik heb me huiswerk gedaan

Ben alleen er nieuwsgierig of er misschien via AD creatieve oplossingen zijn, en die zijn er dus..

@DDX: Het gaat niet echt om het installeren van applicaties. Alle applicaties die worden gebruikt worden via een automagische installatie procedure (tijdens de uitrol van een werkstation) uitgerold . De gebruikers die op het hoofdkantoor inloggen doen dit alleen om even een documentje te bewerken en mail te checken bijvoorbeeld, die wil ik dus eigenlijk een desktop voorschotelen met alleen de standaard policie van de organisatie, zonder die van hun 'thuislocatie'.

[ Voor 36% gewijzigd door enveekaa op 21-06-2007 21:56 ]

donderdag 21 juni 2007 21:52

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Voor dit soort dingen kun je misschien beter Desktop Authority gebruiken van www.scriptlogic.com. Die is heel sterk in het bepalen op basis van allerlei details, zoals subnet/IP-adres, gebruiker, OS, tijdstip, groepslidmaatschap, OU, noem maar op.

Edit: dan bedoel ik eigenlijk als alternatief voor het prijzige RES Powerfuse.

[ Voor 14% gewijzigd door Jazzy op 21-06-2007 21:53 ]

Exchange en Office 365 specialist. Mijn blog.

maandag 25 juni 2007 19:18

Acties:

Verwijderd

Al gedacht aan zgn site specific GPO's....?

Aannemende dat R'dam & Gouda aparte AD sites zijn kun je dit gebruiken om site specific GPO's aan te linken.

maandag 25 juni 2007 20:28

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Verwijderd schreef op maandag 25 juni 2007 @ 19:18:
Al gedacht aan zgn site specific GPO's....?

Aannemende dat R'dam & Gouda aparte AD sites zijn kun je dit gebruiken om site specific GPO's aan te linken.

Uit de startpost:

Verder, kan je site policies gebruiken, maar die hebben dan weer effect op werkelijk alles binnen een bepaalde site, ik wil het eigenlijk op OU niveau kunnen bepalen.

Exchange en Office 365 specialist. Mijn blog.

maandag 25 juni 2007 20:39

Acties:

djluc

Als de software toch al op de PC staat dan snap ik niet waarom je de gebruiker zou willen beperken. Hoe meer de omgeving voor de gebruiker hetzelfde blijft hoe beter. Dat scheelt je een hoop helpdesk calls e.d. Stel: Je staat alleen office toe op de hoofdvestiging en de gebruiker heeft een bestandje in zijn map staan van een ander software pakket. Hoe ga je daar dan mee om? Kan die dan het bestandje niet openen?

Kortom: Ik snap het nut van je actie niet.

Voor shares trouwens hetzelfde: Ik wil alleen wellicht een extra share hebben als ik op de hoofdvestiging ben. Tenzij je een reden als bandbreedte tekort o.i.d. hebt wil je de toegang tot de eigen shares niet beperken.

[ Voor 19% gewijzigd door djluc op 25-06-2007 20:40 ]