Gebruikersrechten kloppen niet (AD2003) - Serversoftware en clouddiensten

woensdag 31 oktober 2007 09:28

Acties:

Moderator Internet & Netwerken

Topicstarter

Hoi,
Ik heb een vaag probleempje 1 gebruiker in de AD heeft dus verkeerde rechten.
Ik zal de situatie proberen een beetje uit te leggen, wij hebben hier een terminal server staan waarop mensen kunnen werken (uiteraard onder een strakke policy), op de normale workstations is de policy wat soepeler.
Nu is het probleem waar 1 account last van heeft dat nadat deze ingelogd heeft op de terminal server dezelfde rechten blijft houden op elk workstation waar wordt ingelogged.
Ik zie verder geen open connecties/sessies staan in de terminal service manager oid en heb gpupdate geforceerd gedraaid. Mocht allemaal niet baten.

Heeft iemand nog een idee wat ik kan proberen?

woensdag 31 oktober 2007 09:31

Acties:

Grolsch

Je Topicstart is naar mijn idee te sumier.

Wat levert gpresult op, welk soort policy gaat het om

User / computer

Welke OS hebben we het over

2003 TS's

XP clients

PVOUPUT - 13.400WP - Twente

woensdag 31 oktober 2007 09:37

Acties:

MasterL

Moderator Internet & Netwerken

Topicstarter

ja sorry.
Windows 2003 (standard) server als domain controller.
Windows 2003 (standard) als terminal server.

Het rare is dat op de terminal server een machine policy staat, maar als de gebruiker nu inlogged op een (windows xp pro) client krijgt hij dezelfde rechten als dat hij inlogged op de terminal server terwijl de gebruiker en de machine helemaal niet onder die policy vallen.

woensdag 31 oktober 2007 09:44

Acties:

Xiliath

Wat voor rechten heb je het over?
NTFS rechten? Of misschien toegang via policies?

Kan je misschien specifiek aangeven wat er wel/niet mogelijk is?
Het blijft erg vaag nu.

woensdag 31 oktober 2007 09:48

Acties:

MasterL

Moderator Internet & Netwerken

Topicstarter

uiteraard.
Op de terminal server zitten dus (machine) policy's die aangeven wat een user wel niet mag doen.
Denk hierbij aan computer uitzetten, bureaublad benaderen, tijd wijzigen, menu uitvoeren, internet explorer opstarten etc etc.
De workstation (machine) policy's zijn anders, veel soepeler, echter als de gebruiker nu inlogged op een workstation krijgt hij de policy van de terminal server (dus geen menu uitvoeren geen bureaublad etc) na mijn weten hoort dit helemaal niet te kunnen omdat de policy's computer gebonden zijn en niet user gebonden.
is het nu duidelijker?

woensdag 31 oktober 2007 09:53

Acties:

Xiliath

Loopback processing staat uit hoop ik?

Ik stel voor dat je met Resultant set of policy(log modus) even de client polst.
Je kan dan precies zien welke policies er wel/niet zijn toegepast en waarom.

[ Voor 6% gewijzigd door Xiliath op 31-10-2007 09:55 ]

woensdag 31 oktober 2007 11:04

Acties:

MasterL

Moderator Internet & Netwerken

Topicstarter

Loopback processing mode staat op not configured, Resultant set of policy van de betreffende computer daar zie ik niks raars aan.

woensdag 31 oktober 2007 12:02

Acties:

MasterL

Moderator Internet & Netwerken

Topicstarter

het lijkt wel alsof er ergens een sessie actief is maar ik kan het alleen niet zien.
Is het uberhaupt mogenlijk dat een machine policy "blijft" hangen aan een user account?

woensdag 31 oktober 2007 12:04

Acties:

Xiliath

Er is dus geen verschil tussen een RsoPlog van een normale gebruiker en iemand met die rare/verhoogde rechten?

Als dat het geval is dan is er echt iets heel bizars aan de hand en raak ik een beetje door m'n mogelijkheden heen.

Is het uberhaupt mogenlijk dat een machine policy "blijft" hangen aan een user account?

Met loopback processing kan je dat doen.
Is een machine policy waarmee je de user policy kunt overrulen/mergen.
Erg handig voor met name kiosk pc's e.d. waar verhoogde beveiliging nodig is.

[ Voor 39% gewijzigd door Xiliath op 31-10-2007 12:07 ]

woensdag 31 oktober 2007 12:13

Acties:

MasterL

Moderator Internet & Netwerken

Topicstarter

naja als ik 2 workstations vergelijk in RsoP (wizard log) zie ik geen verschil tussen de 2.
Echter als ik op het account inlog met beperkte mogenlijkheden (op 4 workstations geprobeerd) merk ik wel degelijk verschil met degene die wel goed functioneerd.
loopback processing is not configured dus ik snap er ook al helemaal niks meer van.

woensdag 31 oktober 2007 12:15

Acties:

Xiliath

MasterL schreef op woensdag 31 oktober 2007 @ 12:13:
naja als ik 2 workstations vergelijk in RsoP (wizard log) zie ik geen verschil tussen de 2.
Echter als ik op het account inlog met beperkte mogenlijkheden (op 4 workstations geprobeerd) merk ik wel degelijk verschil met degene die wel goed functioneerd.
loopback processing is not configured dus ik snap er ook al helemaal niks meer van.

Het antwoord zit m dus in de verschillen die je ziet.
Blijkbaar gelden er verschillende GPO's voor verschillende gebruikers.

woensdag 31 oktober 2007 14:16

Acties:

MasterL

Moderator Internet & Netwerken

Topicstarter

Nou jongens het is schijnbaar opgelost.
Heb de gebruiker uitgelogd, heb ingelogd op de terminal server en weer goed uitgelogd daarna was alles weer normaal.
Schijnbaar iets niet helemaal goed gedaan bij het uitloggen op de terminal server, bedankt voor de hulp in ieder geval $_/-\o_$

woensdag 31 oktober 2007 16:31

Acties:

sanfranjake

Computers can do that?

Zorg dat die gebruiker een apart roaming profile heeft op de ts?

Dat kan je met een gpo regelen, en voorkomt dit soort gekkigheden vast wel.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

Pagina: 1

Reageer