[GPO] Proxy uitschakelen

We gebruiken momenteel een proxy server om op internet te kunnen, deze is d.m.v. een GPO ingesteld op alle machines. Nu willen we echter een aantal computers rechtstreeks het internet op laten en hier dus de proxy uitschakelen.
Dus ik dacht simpel een nieuwe GPO op de OU te zetten deze toewijzen aan de groep die rechtstreeks op internet moet en vervolgens deze GPO boven de Proxy GPO linken, zodat deze Non-proxy GPO zou winnen.

Opzich gaat dat ook goed maar als ik in de nieuwe GPO "Enable proxy settings" uitschakel wordt er dus niets aan settings overschreven en blijft de proxy settings van de onderliggende GPO van kracht.

Wie weet raad? ik heb het idee dat het iets heel simpels is, maar ik heb al geruime tijd rond gezocht maar kan niet echt vinden hoe ik dit op kan lossen.

alt-92 schreef op donderdag 02 april 2009 @ 13:29:
Filter die GPO dan lekker uit?
Ik bedoel: je hebt de set machines, gooi die in een security rol en filter op basis van die groupmembership de GPO toepassing uit.

DukeBox schreef op donderdag 02 april 2009 @ 13:36:
[...]
@TS, anders haal je de huidige settings toch uit de GPO en maak je een losse met alleen de proxy settings die je toewijst aa nde systemen die via de proxy moeten ?

Dank heren, bovengenoemde is inderdaad veel simpeler. Ik was een manier aan het bedenken om een deel van de policies uit de GPO te overschrijven voor een aantal pc's. Maar gewoon de proxy settings exporteren naar een losse GPO en die toepassen op alleen een groep computers is nog overzichtelijker ook.
Ik had namelijk ook het idee, dat als je de GPO uitschakelt, de laatste toegewezen policies van kracht bleven, totdat deze overschreven worden, maar dat blijkt dus ook niet zo te zijn.

Darn..., ik krijg het toch niet voor elkaar

Dit heb ik gedaan:

• Ik heb een GPO gemaakt, hierin onder User Configuration de proxy settings ingesteld.
• Vervolgens de GPO gelinkt op het bovenste niveau.
• Vervolgens een Security Group aangemaakt en hierin alle computers gestopt die via de proxy het internet op moeten.
• De groep voeg ik vervolgens toe aan Security Filtering (komt dan automatisch bij Delegation/Security) en bij Delegation verwijder ik Authenticated Users.

Als ik vervolgens test of het werkt komt wordt de GPO denied voorzowel users op een proxy-pc als een non-proxy pc, met als reden Inaccessible Access Denied (Security Filtering).


[edit]
Hmm. heeft het soms te maken dat ik User Configuration GPO aan een Security Group, welke alleen computers bevat, probeer toe te wijzen?
En zoja hoe doe ik dit dan?

[ Voor 57% gewijzigd door DyStiC op 02-04-2009 17:28 ]

Aikon schreef op donderdag 02 april 2009 @ 18:28:
[...]

Toewijzen aan de groep die de gebruikers bevat, dit zou goed het probleem kunnen zijn

Ja maar ik wil de policy juist op computers toewijzen en niet op gebruikers.

Maar ik ga eens me eens even verdiepen in wat alt-92 voorstelt. Ik snap namelijk niet echt hoe ik de GPO machine-based doe, hier ben ik niet mee bekend.

DukeBox schreef op donderdag 02 april 2009 @ 19:20:
Volgens mij kan proxy niet op computer niveau.. maar het is dan ook alweer een tijdje geleden dat ik me er mee bezig heb gehouden. Maar wat Aikon voorstelt is een optie.

Ja op een groep users toepassen is geen probleem, maar dat is in mijn geval geen optie. Ik wil bepaalde pc's (niet gerelateerd aan een user) via een proxy op internet laten.

Ikzelf heb liever systeem en user GPO's gescheiden, dan zou ik er eerder voor kiezen een user proxy GPO te maken met een security group wie hem toegewezen krijgt.

Maar dan bedoel je dus een security group met enkel users?

Maar ik begrijp dus dat een policy met User settings niet kan worden toegewezen aan een computer en dan worden toegepast op iedere user die op deze computer inlogt.

Ook als ik loopback inschakel dan werkt de GPO ook niet, hij wordt denied met reden: Inaccessible.

Zit er dan niets anders op dan toch maar op user niveau de proxy instellen en hopen dat ieder achter zijn eigen pc blijft?

alt-92 schreef op donderdag 02 april 2009 @ 21:39:
Group Policy Preferences ook al eens bekeken?

Nee, ken ik niet. Dat zal ik morgen eens bekijken, maar van wat ik zie is het een Windows Server 2008 feature. Wat m'n server helaas niet is.

Bovendien zie ik nog steeds niet in waarom je de toepassing van de GPO niet zou kunnen afvangen door een security groep met de bewuste PC's in te zetten.

Zou je dit dan eens wat nader toe kunnen lichten, want volgens mij heb ik dit geprobeerd (zie eerdere bericht) en werkt het niet. Dus ik zie vast iets over het hoofd. Ik heb de GPO toegewezen aan een Security Group met computers (Security Filtering en Delegation: Read/Apply) alleen toch blijft hij het toepassen weigeren o.b.v. Security Filtering.

Uiteraard kun je dan door de specifieke deny ervoor zorgen dat de Authenticated Users nog steeds de GPO krijgen, alleen niet op de groep PC's waar de deny voor is toegepast.

(je had de AU niet weg moeten halen).

Dus als ik het goed begrijp; GPO met Security Filtering op AU, en dan bij Delegation de Security Group met computers (welke geen proxy moeten gebruiken) en deze op Read/Deny zetten?

alt-92 schreef op donderdag 02 april 2009 @ 22:56:
GPO's hangen uiteraard aan OUs, niet aan groepen

Ja dat bedoelde ik ook, de GPO had ik op het bovenste niveau gehangen, waaronder de OU's met users en computers hangen. De groepen heb ik alleen gebruikt bij filtering.
Maar de overige dingen die ik scheef kloppen wel?

DukeBox schreef op donderdag 02 april 2009 @ 23:24:
Je kan ook een GPO met user settings hangen aan een computer group. (dus geen OU) misschien is dat een optie.

Jouw comment spreekt dat van alt-92 nogal tegen...

Man, ik begrijp er steeds minder van. Zoals jullie inmiddels al door hebben ik ben een aardige noob op het gebied van GPO's. En alhoewel ik van alles probeer op te zoeken op internet, kan ik er niet echt uitkomen.

Allereerst pas ik de GPO telkens toe op top-level;
De GPO bevat de proxy instellingen (dit is een User Configuration);
Vervolgens heb ik het volgende geprobeerd:

• Filteren o.b.v. de groep met Computer objects, en alleen deze dus read/apply rechten geven. (hier komt AU niet in voor). Met het idee de GPO wordt alleen op de computers uit de groep toegepast.
• Filteren o.b.v. Authenticated Users (zodat het op alle objects wordt toegepast) en bij Delegation de computers die geen proxy mogen gebruiken toegevoegd (ook in groep) en deze specifieke deny rechten gegeven op de GPO. Met het idee, de GPO wordt op alles en iedereen toegepast máár niet op de computers die deny hebben op de GPO.

Helaas werken beide opties niet

b u m p

Heb dit probleem inmiddels via een workaround verholpen, maar ben nog steeds benieuwd hoe ik bovenstaande werkend krijg. Zou hier namelijk graag wat over bij willen leren.