It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku
:strip_exif()/u/235378/crop5eb2795aa6fc3_cropped.gif?f=community)
hhmm zijn wel heel veel GPO's zeg op 1 OU 
Even rechtermuis klik op de OU (in GPM) en dan block inheritance (tijdelijk even om te kijken of daar het probleem zit).. dan je eigen gefabriceerde GPO dr in zetten
Even rechtermuis klik op de OU (in GPM) en dan block inheritance (tijdelijk even om te kijken of daar het probleem zit).. dan je eigen gefabriceerde GPO dr in zetten
[ Voor 19% gewijzigd door pennenlikker op 06-05-2008 14:14 ]
Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip
ik maak voor elk ding een aparte policy.. vind ik overzichtelijk Ik zal dat es testen.. tenks
gpresult:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
| Applied Group Policy Objects
-----------------------------
Internet Explorer Cache Settings
Folder Redirection
Offline Files
Internet Explorer General Settings
Small Business Server Client Computer
Default Domain Policy
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
Small Business Server Remote Assistance Policy
Filtering: Disabled (GPO)
Small Business Server Lockout Policy
Filtering: Disabled (GPO)
Terminal Server Policy
Filtering: Denied (Security)
Small Business Server - Windows Vista policy
Filtering: Denied (WMI Filter)
WMI Filter: Vista
Small Business Server Windows Firewall
Filtering: Denied (WMI Filter)
WMI Filter: PostSP2
Small Business Server Internet Connection Firewall
Filtering: Denied (WMI Filter)
WMI Filter: PreSP2
Small Business Server Domain Password Policy
Filtering: Not Applied (Empty)
The user is a part of the following security groups
--------------------------------------------------- |
Hij past em niet eens toe en denied em ook niet
[ Voor 87% gewijzigd door RoRoo op 06-05-2008 14:22 ]
It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku
:strip_icc():strip_exif()/u/83667/DDZ_Maliebaan_70px.jpg?f=community)
ppff...
Bij security Filtering alles goed staan?
Bij security Filtering alles goed staan?
Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip
Ik ga even testen met de merge.. hoop niet dat de desktops hier last van gaan ondervinden, maar merk dat snel genoeg
It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku
Ik heb het niet eens op merge hoeven zetten.
Beide policies in de OU waar ook de TS serverobject staat. beide op replace.
De primaire denied de mokveld user toegang om de policy toe te passen, dus dat is mooi gescheiden..
Het lijkt nu goed te werken. Tenzij jullie nog een "word of warning" hebben voor mij?? Anders:
dank oe!!
Beide policies in de OU waar ook de TS serverobject staat. beide op replace.
De primaire denied de mokveld user toegang om de policy toe te passen, dus dat is mooi gescheiden..
Het lijkt nu goed te werken. Tenzij jullie nog een "word of warning" hebben voor mij?? Anders:
dank oe!!
It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku
Neh je gaat hooguit op de terminal server problemen krijgen, omdat desktop-userpolicies ook toegepast worden. En desktop-pctjes zijn vaak een stuk minder strak dichtgetimmerd als pc's vandaar dat ik je even waarschuw:
[...]
Ik ga even testen met de merge.. hoop niet dat de desktops hier last van gaan ondervinden, maar merk dat snel genoeg
Gebruik nooit deny, in ongeveer 200% van de gevallen waarin ik dat ergens tegen kwam was het helemaal niet nodig:
Ik heb het niet eens op merge hoeven zetten.
Beide policies in de OU waar ook de TS serverobject staat. beide op replace.
De primaire denied de mokveld user toegang om de policy toe te passen, dus dat is mooi gescheiden..
Het lijkt nu goed te werken. Tenzij jullie nog een "word of warning" hebben voor mij?? Anders:
Maar als die user sowieso alleen maar in mag loggen op de ts, dan is het zo mooi opgelost lijkt me. Overigens hoef je die loopbackreplace/merge maar 1 keer te doen op een OU, het mooist in een losse policy. En dan je settings in een andere gpo. Anders heb je nog kans dat die policy niet goed opgepakt wordt ook
[ Voor 49% gewijzigd door sanfranjake op 06-05-2008 15:43 ]
de Desktop policies worden nu niet meer toegepast omdat ik die naar de workstation OU's verplaatst heb. Dus dat scheelt weer.:
Neh je gaat hooguit op de terminal server problemen krijgen, omdat desktop-userpolicies ook toegepast worden. En desktop-pctjes zijn vaak een stuk minder strak dichtgetimmerd als pc's vandaar dat ik je even waarschuw
De deny heb ik zowieso al op de administrator gezet op die policy, want ik wil de normale desktop houden voor de administrator. Tenzij dat netter op te lossen is natuurlijk:
Gebruik nooit deny, in ongeveer 200% van de gevallen waarin ik dat ergens tegen kwam was het helemaal niet nodig
Maar als die user sowieso alleen maar in mag loggen op de ts, dan is het zo mooi opgelost lijkt me. Overigens hoef je die loopbackreplace/merge maar 1 keer te doen op een OU, het mooist in een losse policy. En dan je settings in een andere gpo. Anders heb je nog kans dat die policy niet goed opgepakt wordt ook
als ik jouw verhaal zo lees mis ik een hoop
ik ga toch eens die MCSE cursus erdoorheen pushen hier.. want beloven kunnen ze wel... maar uitvoeren ho maar..
It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku
Aparte loopback op die manier is natuurlijk ook mogelijk. Pas echter wel op dat je niet Loopback gaat gebruiken om een slecht ingerichte AD op te lappen. Er worden twee policy-processing-runs gedaan, en inloggen/opstarten van pc's kan daar trager van worden, er gaat meer netwerkverkeer doorheen....
Nette manier zou zijn "Authenticated users" van die policy af te halen, en je eigen groep "Terminal Server Gebruiker" aan te maken en daarin alle reguliere TSusers mikken. Daar de gpo op toepassen. Dan sluit je Administrators ook uit, maar zonder Deny te gebruiken. Deny overruled altijd Allow waar dan ook en als je dat te veel inzet loop je daar geheid later ook weer tegenaan.De deny heb ik zowieso al op de administrator gezet op die policy, want ik wil de normale desktop houden voor de administrator. Tenzij dat netter op te lossen is natuurlijk
als ik jouw verhaal zo lees mis ik een hoop
Met diezelfde groep kan je dan ook regelen wie er op de TS mogen inloggen, en wie niet (lidmaatschap Remote Desktop Users er aan koppelen bijvoorbeeld).
Maar een cursus is een goed plan! Je kan een hoop leren denk ik
Zat ik ineens ook aan te denken, gewoon op groeps niveau..:
Nette manier zou zijn "Authenticated users" van die policy af te halen, en je eigen groep "Terminal Server Gebruiker" aan te maken en daarin alle reguliere TSusers mikken. Daar de gpo op toepassen. Dan sluit je Administrators ook uit, maar zonder Deny te gebruiken. Deny overruled altijd Allow waar dan ook en als je dat te veel inzet loop je daar geheid later ook weer tegenaan.
Met diezelfde groep kan je dan ook regelen wie er op de TS mogen inloggen, en wie niet (lidmaatschap Remote Desktop Users er aan koppelen bijvoorbeeld).
Maar een cursus is een goed plan! Je kan een hoop leren denk ik
Ik had al een groep "Terminal Server Access" waar iedereen lid van moet zijn willen ze kunnen inloggen op de terminal server.
Ik maak nu een groep: Algemeen Terminal en Limited Terminal. Authenticated users weghalen, en dan moet dat goed komen..
Ik ga zo in gesprek met de baas
Thanks
It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku
I'm evil...nee er zat niemand ingelogged. Ze gebruiken het primair buiten kantoortijden..
Nogmaalsssss
[ Voor 26% gewijzigd door RoRoo op 06-05-2008 17:06 ]
It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku
Pagina: 1