[2003] Loopback policy icm terminal servers*

Beste tweakers,

Na heel veel geprutst te hebben met policy's en wmi filters moet ik het morgen goed doen, daarom vraag ik even om jullie hulp en hoop dat jullie het een en ander kunnen ophelderen.

Ik zit in de volgende situatie:
We willen op mijn stage geleidelijk alle gebruikers over zetten naar thin-clients, alleen ze moeten ook nog kunnen inloggen op werkstations (met dezelfde account). Maar diezelfde gebruiker moet wel verschillende policy's krijgen afhankelijk van de machine waarop diegene inlogt.

Na een korte zoek opdracht kwam ik loopback processing tegen, echter werkt het niet bij mij.
Ik heb de volgende inrichting:
- Een OU met daarin de terminal servers. Op die OU zit een policy (Terminal users) met de instellingen van User Configuration en Computer Configuration voor de loopback.
- Dan hebben we nog een OU waarin alle gebruikers staan, op die OU zit ook een policy (All users) welke voor alle gebruikers (op werkstations) geldt.

Wanneer een gebruiker nu inlogt op de terminal server krijgt hij nog steeds de policy (All users) en niet de Terminal users policy. Op de Terminal users policy heb ik bij security de remote desktop groep en de terminal servers toegevoegd.

Hoe krijg ik dit nu voor elkaar? Hoe specificeer ik waarop de loopback precies werkt?
Het is mij allemaal nog niet echt duidelijk, hoop dat jullie het me kunnen vertellen!

mutsje schreef op maandag 08 juni 2009 @ 09:40:
let wel op als je de Replace mode gebruikt bij de loopback policy dat je alle relevante zaken die je op de users wilt hebben ook in de loopback policy moet instellen. Anders mis je opeens een hoop policies

Daar kwam ik ook al achter
Afgelopen weekend is het nog niet helemaal gelukt met de loopback policy, hij pakt op 1 of andere manier de User Configuration niet. Maar laat het voorlopig nog even met een WMI filter aangezien dat nu ook werkt. Het is ook vrij lastig om te testen met loopback aangezien het een productie server is die 5 dagen per week 24 uur per dag gebruikt word.

Het is op m'n stage, maar het is me uit eindelijk gelukt om weer een test servertje te krijgen (virtueel)
Ook werkt loopback nu, het was een kwestie van rechten op de betreffende policy. Nu heb ik Authenticated Users toegevoegd en werkt het wel. Máár nu heb ik mezelf als Administrator ook buitenspel gezet
Zodra ik nu de security group Terminal Users (waar de admin niet in zit) toevoeg en Authenticated Users verwijder werkt het niet meer. Wat te doen??

Uiteraard, maar ik kwam erachter na een restart dat mijn admin account ook werd meegenomen.
Heb het inmiddels ook al opgelost door de rechten op de Administrator bij Apply Group Policy op Deny te zetten. Ben nu bijna zover om het op de productie server(s) in te stellen, maar moet helaas wachten tot het weekend.

Bedoel je bij Security Filtering of bij Delegation?
Maar ik denk dat ik het eerst zo laat staan, if it ain't broke don't fix it

Ik heb nu bij security filtering de server en de groep terminal gebruikers toegevoegd, nu werkt het naar behoren. Alleen nu zit ik in de volgende situaties (even snel een voorbeeldje gemaakt):


Policy 1 is voor mensen die inloggen op de terminal server, doormiddel van loopback wordt dit niet toegepast als ze op een vaste PC inloggen.
Policy 2 is voor de gebruikers op normale werkstations.
Policy 3 is een speciale portal welke alleen Internet Explorer in kiosk mode draait.
Policy 4 en 5 zijn de Allowed programs per groep.

Nu is het de bedoeling dat wanneer de gebruikers inloggen op de terminal server ze Policy 1 krijgen, dit gaat zonder problemen. Echter moeten ze ook policy 4 óf 5 krijgen, voor de toegestane applicaties. Maar nu moeten ze juist niet Policy 2 krijgen.

Daarnaast hebben we ook nog een portal welke ook inlogt op de terminal server, deze moet echter weer alleen Policy 3 krijgen en NIET policy 1.

Zit hier nu al een hele tijd mee te stoeien, maar weet niet hoe ik het netjes voor elkaar kan krijgen..
Momenteel werk ik met een WMI filter maar deze werkt ook niet altijd helemaal zoals het zou moeten.

Iemand een idee hoe ik dit het beste kan oplossen? Liefst zo simpel mogelijk!

Kickje..
Ik heb het opgelost!

Wat heb ik nu gedaan?
Gewoon de policies 1,3,4 en 5 allemaal onder de OU Terminal Servers gehangen, en op policy 1 heb ik bij security filtering de groep remote desktop users en de terminal server toegevoegd. Bij policy 3,4 en 5 heb ik alleen de groep toegevoegd welke de betreffende policy moet krijgen.

Verder heb ik op de "hoofd" policy (nummer 1) de loopback op replace gezet, en de overige policies staan op merge.