:fill(white):strip_exif()/i/1258031228.jpeg?f=thumbmini)
In een testomgeving heb ik het volgende serverpark gebouwd:
Machine 1: Windows 2008 CORE Standard x64 (DC, DNS en DHCP)
Machine 2: Windows 2008 CORE Standard x64 (DC, DNS en DHCP)
Machine 3: Windows 2008 Standard x64 (NPS, WDS, IIS, Exchange)
Machine 4: Windows 2008 CORE Standard x64 (Fileserver)
Machine 5: Werkstation met Windows XP
Alle servers zijn Dell PowerEdge 2900 machines met Xeon processortechnologie.
Vooralsnog hebben we gekozen om Windows 2008 Core te gebruiken inzake de gereduceerde oppervlakte van aanval en gereduceerde omlaagtijd in verband met softwarevernieuwingen. Omdat Exchange 2007 niet op een Core installatie functioneert is besloten om een van de machines wel te uitrusten met de default installatie.
Nu is het probleem dat sommige groepspolitieken niet worden doorgevoerd. De Administratieve Instellingen worden tot op zekere hoogte wel uitgerold op de werkstations, maar bijvoorbeeld de softwareinstallatiepolitieken helemaal niet.
Nergens op het internet wordt gerept over beperkingen met betrekking tot groepspolitieken in een Core-only domein. Toch rees het vermoeden dat er wellicht een beperking bestond met betrekking tot groepspolitieken. Windows 2008 Core beschikt naar mijn weten niet over een Windows-Installer motor en het ontbreken daarvan zou het uitblijven van een softwareuitrol kunnen verklaren.
Er is dus een zesde machine geplaatst. Windows 2008 Standard x64. De volledige versie dus, niet de core versie. Deze is uitgerust als DC. Wat schept nu mijn verbazing? De clientPC's krijgen wel een softwareuitrol toegeworpen vanuit het domein.
Blijkbaar is er dus een beperking met betrekking tot enkele groepspolitieken in een domein waar alleen Core-installaties zijn toegepast. Over deze beperking en over een mogelijke oplossing kan ik op het internet niets vinden. Wellicht kan iemand bevestigen dat Core inderdaad een beperking heeft met betrekking tot de uitrol van groepspolitieken?
De meest voor de hand liggende oplossing is om een extra server te plaatsen. Een server kost echter geld. Licenties ook. Een van de DC's herinstalleren met een default installatie is wellicht een oplossing, echter gezien het grotere oppervlak van aanval zoeken we liever een andere oplossing.
-edit-
Toevoeging:
Voordat de extra DC werd geplaatst werden er op zowel server- als clientniveau geen gerelateerde eventlogingangen uitgespuwd. Alsof er nooit in de betreffende groepspolitieken werd gezocht door de software.
Machine 1: Windows 2008 CORE Standard x64 (DC, DNS en DHCP)
Machine 2: Windows 2008 CORE Standard x64 (DC, DNS en DHCP)
Machine 3: Windows 2008 Standard x64 (NPS, WDS, IIS, Exchange)
Machine 4: Windows 2008 CORE Standard x64 (Fileserver)
Machine 5: Werkstation met Windows XP
Alle servers zijn Dell PowerEdge 2900 machines met Xeon processortechnologie.
Vooralsnog hebben we gekozen om Windows 2008 Core te gebruiken inzake de gereduceerde oppervlakte van aanval en gereduceerde omlaagtijd in verband met softwarevernieuwingen. Omdat Exchange 2007 niet op een Core installatie functioneert is besloten om een van de machines wel te uitrusten met de default installatie.
Nu is het probleem dat sommige groepspolitieken niet worden doorgevoerd. De Administratieve Instellingen worden tot op zekere hoogte wel uitgerold op de werkstations, maar bijvoorbeeld de softwareinstallatiepolitieken helemaal niet.
Nergens op het internet wordt gerept over beperkingen met betrekking tot groepspolitieken in een Core-only domein. Toch rees het vermoeden dat er wellicht een beperking bestond met betrekking tot groepspolitieken. Windows 2008 Core beschikt naar mijn weten niet over een Windows-Installer motor en het ontbreken daarvan zou het uitblijven van een softwareuitrol kunnen verklaren.
Er is dus een zesde machine geplaatst. Windows 2008 Standard x64. De volledige versie dus, niet de core versie. Deze is uitgerust als DC. Wat schept nu mijn verbazing? De clientPC's krijgen wel een softwareuitrol toegeworpen vanuit het domein.
Blijkbaar is er dus een beperking met betrekking tot enkele groepspolitieken in een domein waar alleen Core-installaties zijn toegepast. Over deze beperking en over een mogelijke oplossing kan ik op het internet niets vinden. Wellicht kan iemand bevestigen dat Core inderdaad een beperking heeft met betrekking tot de uitrol van groepspolitieken?
De meest voor de hand liggende oplossing is om een extra server te plaatsen. Een server kost echter geld. Licenties ook. Een van de DC's herinstalleren met een default installatie is wellicht een oplossing, echter gezien het grotere oppervlak van aanval zoeken we liever een andere oplossing.
-edit-
Toevoeging:
Voordat de extra DC werd geplaatst werden er op zowel server- als clientniveau geen gerelateerde eventlogingangen uitgespuwd. Alsof er nooit in de betreffende groepspolitieken werd gezocht door de software.
[ Voor 4% gewijzigd door Verwijderd op 25-09-2008 15:22 . Reden: Toevoeging ]
:strip_icc():strip_exif()/u/8430/logo.jpg?f=community){kind=logo}