[XP/2003] GPO refresh bij inloggen met cached crededentials - Serversoftware en clouddiensten

donderdag 23 juli 2009 14:42

Acties:

Topicstarter

Ik wil de mogelijkheid hebben om voor mijn mobiele gebruikers (350 tablet PC's - UMTS netwerkverbinding) om group policy refresh aan te kunnen zetten.

De gebruikers loggen in middels cached credentials op de tablet (dus geen vaste netwerkverbinding). Hierna maken ze een verbinding met het bedrijf door een SSL tunnel op te zetten (Juniper). Hierna staan de gebruikers alszijnde een vaste werkplek in verbinding met het bedrijfsnetwerk.

Nu zou ik willen dat hierna automatsch de grouppolicies geupdate worden, mocht ik deze wijzigen..
Middels GPO's kan ik niets achterhalen.

Wat ik zou kunnen doen is de tablet geregeld een gpupdate te laten uitvoeren. Ik heb ook al een vraag bij onze Juniper-beheerders uitstaan of het mogelijk is na het maken van verbinding de client een commando mee te geven (gpupdate).

Ik weet in ieder geval wel dat een handmatige gpupdate werkt op de policies te refreshen, automatisch doet die echter niet.

donderdag 23 juli 2009 18:11

Acties:

alt-92

ye olde farte

Berimbau schreef op donderdag 23 juli 2009 @ 14:42:

Ik weet in ieder geval wel dat een handmatige gpupdate werkt op de policies te refreshen, automatisch doet die echter niet.

Beter neuzen in je GPO instellingen en de online documentatie op Technet dan

Je kan namelijk wel degelijk de refresh periode beinvloeden zodat bijvoorbeeld elke 2 uur je GPO's toegepast worden.
Alleen wel even rekening houden dat GPO's op de ingestelde tijd +/- 30 minuten worden toegepast @ random.

[ Voor 3% gewijzigd door alt-92 op 23-07-2009 18:11 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 24 juli 2009 13:17

Acties:

Berimbau

Topicstarter

ALT-92... Helaas.

Ik ben echt wel bekend met de huidige policyinstellingen in GPO's. Standaard op 90 minuten refresh met een 30 minuten random. Tevens ben ik redelijk expert op technisch vlak wat mobility aangaat.

GPO refresh wordt in de praktijk alleen uitgevoerd als je LIVE op het domein aanmeldt, en dat gebeurt niet zoals ik in het begin vertelde. Gebruikers loggen namelijk in middels gecachte gegevens, daarna maken ze verbinding met het netwerk middels een SSL-VPN. Als je met cached domain credentials inlogt worden er géén policies geladen in tegenstelstelling tot lokaal op de tabletPC aanmelden, dan gelden namelijk lokale policies.

Dit geeft overigens meteen antwoord op mijn eigen vraag..... policywijzigingen worden niet doorgevoerd als de tablet alleen maar draadloos gebruikt wordt.

Er zijn immers geen policies geladen.

vrijdag 24 juli 2009 15:05

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Berimbau schreef op vrijdag 24 juli 2009 @ 13:17:
GPO refresh wordt in de praktijk alleen uitgevoerd als je LIVE op het domein aanmeldt, en dat gebeurt niet zoals ik in het begin vertelde. Gebruikers loggen namelijk in middels gecachte gegevens, daarna maken ze verbinding met het netwerk middels een SSL-VPN. Als je met cached domain credentials inlogt worden er géén policies geladen in tegenstelstelling tot lokaal op de tabletPC aanmelden, dan gelden namelijk lokale policies.

Volgens mij niet. De (user) group policy's worden dan niet geladen @logon, maar wel tijdens een refresh. Je hebt dan alleen problemen met bepaalde policy settings die allen @logon gezet kunnen worden (zoals bv Folder Redirection).

Group Policy is not applied due to cached credentials

Cause
When a user successfully logs on to the network, the credentials for that user can be cached on the local computer. If network connectivity problems prevent the user from being authenticated the next time the user logs on to the same computer, these cached credentials can be used to give the user access to resources on that computer. If the computer successfully connects to the network later, the cached credentials can be used to provide access to network resources, including GPOs that are received at the next Group Policy refresh.

If a domain controller is not available when the user logs on Group Policy cannot be refreshed at logon. In this case, new Group Policy settings will not be applied until a Group Policy refresh occurs while a domain controller is available.

When the logon is done with cached credentials and then a remote access connection is established, Group Policy is not applied during logon. For example, if users connecting through a VPN connection are logging on using cached credentials, folder redirection settings will not be processed because folder redirection policy can only be processed at user logon, not in the background refresh.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 24 juli 2009 18:41

Acties:

Berimbau

Topicstarter

Het klopt uiteindelijk toch. De refresh vind plaats. Het duurde alleen een stuk langer dan de ingestelde 90 + max 30 minuten vandaar de vraag.

Ik heb getest met een wijziging van de screensaver + de tijdsduur. Deze werd na een kleine 4 uur doorgevoerd.

zaterdag 25 juli 2009 18:51

Acties:

Duinkonijn

Huh?

Onder windows 7 heb je onder (user-beheersjablonen - system - gpo) . Detectie van langzame verbinding voor groepsbeleid.

weet vrij zeker dat deze ook in 2003/xp zit..

Als je die op disabled zet, werkt het dan wel??

_{zal het zo ff nakijken,zodra ik toegang heb tot een xp client}

mm onder 2003 hangt hij ergens anders uit

http://technet.microsoft....rary/cc786341(WS.10).aspx

Several other Group Policy settings that are related to slow links appear in this folder as well. Also, check the Group Policy setting Group Policy slow link detection, which is located under Computer Configuration\Administrative Templates\System\Group Policy.

[ Voor 59% gewijzigd door Duinkonijn op 25-07-2009 20:34 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?