[Win2003] Aparte GPO op OU

Het is voor mij wat nieuw, maar goed. Ik heb de Howto gelezen hier op Tweakers en nu probeer ik het volgende:

Ik wil een nieuwe Group Policy Object aanmaken en deze alleen laten toepassen op een OU.

De gebruikers die in de OU zitten wil ik rechten geven op "Allow log on through Terminal Services". De nieuwe GPO heb ik aangepast en Remote Desktop Users heb ik rechten gegeven tot het item "Allow log on through Terminal Services". De gebruikers die in de OU zitten heb ik lid gemaakt van de group Remote Desktop Users.

Als ik nu probeer in te loggen werkt het niet. Ik heb geprobeerd mijn nieuwe GPO te enforcen maar dit lukt niet.

Een tweede poging: Een kopie gemaakt van de Default Domain Controller Policy en hier de waarde "Allow log on through Terminal Services" aangepast. Deze toepassen. Enforcen. Wederom gaat het mis.

Nog een poging is het aanzetten van Block inheritance na het toevoegen van een kopie.

Niets werkt. Het vreemde is als ik het aanpas in de Default Domain Controller Policy het wel meteen werkt.

Iemand een manier op dit probleem op te lossen? Alvast bedankt voor jullie hulp.

remy007 schreef op vrijdag 21 maart 2008 @ 13:36:
Heb je geprobeerd bij de GPO "Do not overwrite" aan te vinken? Onderliggende OU's nemen altijd de bovenliggende GPO's over, tenzij je "Do not overwrite" aanvinkt.

Ik doe het via de Group Policy Management Console maar ik zie nergens de optie "Do not overwrite"... Waar zit dat ergens?

Verder probeer ik met gpupdate /force de settings door te voeren, maar zonder succes

[ Voor 9% gewijzigd door Erhnam op 21-03-2008 14:06 ]

alt-92 schreef op vrijdag 21 maart 2008 @ 14:10:
Haal even al die blocks en allow overwrite dingen eruit alsjeblieft totdat je een beetje in de vingers hebt hoe het werkt.

Blijf ook van je Default domain en Default DC policies af.

Pak GPMC erbij en rechtsklik op de OU naar keuze en kies daar voor 'create and link GPO here'

Doe je instellingen (opletten of het een Computer of User setting is).
Gebruik vervolgens de RSoP wizard in GPMC om te kijken wat de beoogde effecten worden.

Van alle defaults blijf ik uiteraard af want ik wil niet dat de ene server die ik in gebruik heb besmet raakt met allemaal vreemde instellingen...

Als ik mij probeer aan te melden met de gebruiker dan krijg ik de melding dat ik in de groep met Remote Desktop Users zou moeten staan op dit mogelijk te maken. Hier zit de gebruiker echter wel in, alleen heb ik niet de default GPO aangepast maar een nieuwe gemaakt en wat je inderdaad zei "create and link GPO here".

Het vreemde is.... Ik heb de nieuwe GPO nu even gelinked aan het domein en nu werkt het wel.... Ik ga de GPO zo weer even terug hangen aan alleen de OU kijken of het dan wel werkt....

Update: Het is te erg voor woorden. Ik heb de nieuwe GPO nu verplaatst naar de OU en het gevolg is dat ik helemaal niet meer remote kan inloggen.. Ook niet meer met Administrator. Zelfs niet nadat ik alle custom GPO's heb weggehaald!! Ben nu mijn test VHD weer aan het restoren

[ Voor 9% gewijzigd door Erhnam op 21-03-2008 14:50 ]

alt-92 schreef op vrijdag 21 maart 2008 @ 14:48:
Als je enkel die groep via een policy toegang verleent, dan overschrijft je domain GPO de local GPO waar de Administrators in zitten.
Die zul je er dan wel bij moeten laten zitten.

Na de restore van de vhd ben ik weer helemaal opnieuw begonnen:

- Nieuwe OU aangemaakt
- Gebruiker onder OU aangemaakt
- Gebruiker lid gemaakt van de group Remote Desktop Users
- Via de Group Policy Management console klik ik rechts op de nieuwe OU, Create and link GPO here; deze geef ik de naam "Terminal Access"
- Ik klik rechts op de zojuist aangemaakte GPO "Terminal Access" -> Edit, vervolgens pas ik de Allow log on through Terminal Services aan onder Computer Configuration, Define these policy settings; hier voeg ik toe Remote Desktop Users.
- Voer de wijzigingen door mbv: gpupdate /force

Als ik het dan nu met de gebruiker test gaat het mis; To log on to this remote computer, you must have Terminal Server User Access permissions on this computer

Dit zou wel kunnen kloppen, want als ik onder mijn OU kijk staat er ook nog de default domain policy overeen waar dit niet in staat. Dus ik Enforce de nieuwe GPO: Terminal Access

- Voer de wijzigingen wederom door mbv: gpupdate /force

Wederom de melding To log on to this remote computer, you must have Terminal Server User Access permissions on this computer

En ga zo maar door.. Wat doe ik verkeerd?

alt-92 schreef op vrijdag 21 maart 2008 @ 15:09:
Wat geeft een gpresult /scope computer dan aan - wordt de policy wel opgepakt?

Ik denk dat ik het probleem al weet. Het gaat hier om algemene Computer Settings. Pas ik dingen aan bij de User Settings dan worden ze wel netjes overgenomen. Blijkbaar kan het dus niet anders wat ik wil. De oplossing is dus een tweede, hoger gelegen GPO aan te maken en deze over de OU te leggen. Ik moet er dan wel op letten dat voor dat ik dit doe ook Administrator lid maak van de Remote Desktop Users. Dan gaat het goed!

In ieder geval bedankt voor alle hulp!!

[ Voor 10% gewijzigd door Erhnam op 21-03-2008 15:16 ]