Probleem met Powerfuse

Heb je een RSOP gedaan in de GPMC? Grote kans dat inheritance geblokkeert wordt of iets dergelijks voor de OU waar de terminal server in staat.

Je kan dit soort policies ook prima binnen PowerFuse regelen, door de bijbehorende *.adm file in te lezen. Als alternatief kan je ook nog even uitvogelen welke registry er door deze policy gewijzigd wordt en deze dan via PowerFuse inschieten. Zo doe ik het ook altijd en dat werkt prima. Hierdoor kan je alle configuratie instellingen voor de gebruikeromgeving in een Citrix sessie geheel via PowerFuse regelen en kan je de AD erbuiten laten.

En ik zou hem nooit, maar dan ook nooit in de default domain policy instellen, zelfs niet als testje.

Kans is groot dat Powerfuse idd dwars zit, deze is namelijk in staat policys te negeren.
Wat ik even zou doen om het probleem gebeid helder te krijgen, is 4 inlog sessie's doen met een user waarvoor het moet werken:

- Console
- RDP
- Citrix
- Citrix met Powerfuse

Ik ben overigens dan weer geen voorstander van het regelen van policy gerelateerde zaken via een script/powerfuse, een incidentele registry tweak daargelaten.

Koffie schreef op donderdag 08 november 2007 @ 21:59:
Kans is groot dat Powerfuse idd dwars zit, deze is namelijk in staat policys te negeren.
Wat ik even zou doen om het probleem gebeid helder te krijgen, is 4 inlog sessie's doen met een user waarvoor het moet werken:

- Console
- RDP
- Citrix
- Citrix met Powerfuse

Ik ben overigens dan weer geen voorstander van het regelen van policy gerelateerde zaken via een script/powerfuse, een incidentele registry tweak daargelaten.

PowerFuse koop je juist voor dit soort dingen. En policy's nergeren die powerfuse niet hoor. Als dat gebeurd zit er iets niet goed in je AD.

Aangezien de TS het al met een omweg heeft opgelost kan de oorzaak liggen aan het feit dat op de OU van de terminal server een computer policy staat met LoopBack processing mode op REPLACE.

[ Voor 12% gewijzigd door Tylen op 20-11-2007 12:00 ]

Stel jij dan maar eens in een GPO in dat de C: en D: niet zichtbaar mogen zijn, en in Powerfuse dat dat wel mag.
Resultaat : de gebruiker ziet de C: en D: terwijl de GPO dit keihard verbied.

Koffie schreef op vrijdag 16 november 2007 @ 16:54:
Stel jij dan maar eens in een GPO in dat de C: en D: niet zichtbaar mogen zijn, en in Powerfuse dat dat wel mag.
Resultaat : de gebruiker ziet de C: en D: terwijl de GPO dit keihard verbied.

Dat komt omdat PowerFuse instellingen pas na de GPO worden ingesteld. PowerFuse kan dus een GPO overrulen en da's best wel handig

Dan verschillen wij van mening
Een GPO moet als god behandeld worden, geen enkel stuk software mag een setting van een GPO overrulen, IMO.

Net als 7Zip (of was het nou ZipGenius ?) die een GPO aan zijn laars lapt en een eigen dialog voor disk browsing toont en dus ook toegang tot C: verleent op die manier.

Maar goed, da's allemaal wel erg OT.

Tylen schreef op vrijdag 16 november 2007 @ 21:20:

Tylen schreef op vrijdag 16 november 2007 @ 21:22:

Tylen schreef op vrijdag 16 november 2007 @ 21:23:

Zucht...

NOOB.

Gelukkig dat er zulke users als jij bestaan. Blijft er tenminste werk voor mij over.

Als je wat te melden hebt, doe je dat in 1 post, en niet door op elke post opnieuw te replyen.

Gelukkig ook dat we een edit- en quote functies hebben waarmee je meerdere replies in één post kan doen

Tylen schreef op vrijdag 16 november 2007 @ 21:22:
En waarom zou je in godsnaam je gpo in AD zetten en vervolgens ook 1 in PowerFuse? Je moet natuurlijk niet 2 verschillende policy systemen gebruiken.

Meer kans op fouten inderdaad.

Koffie schreef op vrijdag 16 november 2007 @ 19:03:
Net als 7Zip (of was het nou ZipGenius ?) die een GPO aan zijn laars lapt en een eigen dialog voor disk browsing toont en dus ook toegang tot C: verleent op die manier.

Een applicatie die zijn eigen dialogue maakt (ieuw! daar heb je standaarden voor..) kan ook geen rekening houden met GPO's omdat het geen regulier door een GPO beinvloedbaar ontworpen shell gebruikt.

Tylen schreef op vrijdag 16 november 2007 @ 21:23:
Zucht...


NOOBS.

Gelukkig dat er zulke mensen als jullie bestaan. Blijft er tenminste werk voor mij over.

* alt-92 heeft hier een brandblusser staan voor flames en dergelijke.

Kunnen we het gewoon normaal houden zonder te gaan schelden?
Scheelt weer knopjes drukken enzo.

Koffie schreef op vrijdag 16 november 2007 @ 21:45:
[...]


[...]


[...]

Zucht...

NOOB.

Gelukkig dat er zulke users als jij bestaan. Blijft er tenminste werk voor mij over.

Als je wat te melden hebt, doe je dat in 1 post, en niet door op elke post opnieuw te replyen.

* Tylen checked de FAQ.

Nee staat niets in over het verplicht truckerqouten...

Dat valt onder netiquette, en dat staat in de algemene huisregeltjes; iets wat je best wel weet.

Modbreak:

Dus nogmaals: ophouden a.u.b. met offtopic gedoe, daar is verder helemaal niemand gebaat bij.

kbloem schreef op dinsdag 20 november 2007 @ 11:52:
[...]


Jammer dat er mensen zijn die zo op zichzelf geilen Volgens mij ben ik niet de enige dien problemen heeft met Powerfuse. Als we dit topic nu gewoon houden om elkaar te helpen ipv stoer doen over hoe goed je wel niet bent.

Ik zal niet door gaan over het wel of niet snappen hoe PowerFuse werkt.

Op de OU waar de terminal servers onder vallen, staat daar een policy op?
Staat in de policy de volgende setting?

Computer Configuration --> Admin Templates --> System --> Group Policy --> User Group Policy Loopback processinf mode: ENABLE / REPLACE?

Nou ik ben het niet met je eens.

Zullen we een proberen de OORZAAK te zoeken waarom het niet werkt?
Want zoals al eerder gezegd is dit gewoon NORMAAL gedrag.

[ Voor 22% gewijzigd door Tylen op 20-11-2007 12:25 ]

kbloem schreef op dinsdag 20 november 2007 @ 13:48:
[...]


Ok,

de Terminal Servers stonden in een aparte OU. Daar heb ik een policy op los gelaten. Het ging om een site die trusted moest zijn met de automatic prompt voor download op enable. Op het hele domein werkte die policy dus behalve op de Terminal Server. Er stond geen block policy inheretance aan dus dat was het probleem niet. Ik heb zelfs de policy bovenaan de lijst gezet op de betreffende OU. Wat anders dan Powerfuse kan dit geblokt hebben dan?

Oke ik lees dat het een user policy is. En deze heb je op de OU gezet van de terminal servers.

Zoals ik al eerder gevraagd had. Heb je LOOPBACK processing mode aan staan? En op welke setting?

PowerFuse kan deze geblokt overruled hebben. Maar dan alleen als je in PowerFuse zelf ook nog een keer deze policy hebt gezet. Dit kan je controlleren door in de Real Enterprise Manager te gaan naar: Workspace Analysis -> Rechts klikken op jou test user --> Details --> PowerLaunch --> Registry/Policies --> END RESULT. Hier kan je zien wat PowerFuse zelf van het register maakt. Dit is uiteraard zonder eventuele policys vanuit de active directory.

Dag

Ga maar via MSN blaten ofzo