[W2K3] 1 enkele policy op verschillende computers verspreid - Serversoftware en clouddiensten

donderdag 27 januari 2011 15:28

Acties:

Verwijderd

Topicstarter

Het volgende..
Ik ben nu al een week aan het zoeken, proberen en nog eens googelen hoe ik dit opgelost krijg.
Ik heb een wsus policy ingesteld op een ou genaamd testX, dat computer x naar de wsus server moet en vervolgens zichzelf in een bepaalde groep zet.
Dit werkt prima voor de computers die zich in deze ou bevinden.

Nu heb ik nog (voor het voorbeeld) 20 computers die verspreid staan over verschillende ou's.
Op deze 20 computers wil ik dezelfde policy actief hebben.
Nu zijn er volgens mij 3 opties..

1/ Gooi die 20 computers ook in die ou (dit wil ik niet i.v.m andere policy's op deze ou's.)

2/ Maak in die testX ou waar die policy al actief op staat een security group aan, en gooi hier de 20 computers in uit die andere ou's. (check.. gedaan alleen dit werkt schijnbaar niet, via gpresult zie ik nergens staan dat de pc lid is van de SG, en ook de policy komt niet mee.

3/ Maak gebruik van security filtering
Volgens mij is dit mijn oplossing, alleen ook dit krijg ik niet voor elkaar.
Ik heb op de betreffende wsus policy de link verwijderd van de OU, en vervolgens bij security filtering de 20 computers toegevoegd. (en erna toen het ook niet werkte, ook de authenticated users weggehaald, maakte ook geen verschil).

Wat zie ik over het hoofd?
Bedankt vast.
Gr

donderdag 27 januari 2011 15:31

Acties:

MAX3400

XBL: OctagonQontrol

Kan je niet gewoon de policy "extra" linken aan de andere OU's waar die PC's in staan?

Of ik lees je uitleg niet goed??

[ Voor 17% gewijzigd door MAX3400 op 27-01-2011 15:31 ]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

donderdag 27 januari 2011 15:35

Acties:

brid

Onze excuses voor het ongemak

wat hier boven wordt gezegt of de policy op een hoger niveau linken en dan filteren op een group

DIY NAS, Hoofd PC
Unchain your pc/laptop, buy a SSD!!!!!

donderdag 27 januari 2011 15:53

Acties:

Verwijderd

Topicstarter

MAX3400 schreef op donderdag 27 januari 2011 @ 15:31:
Kan je niet gewoon de policy "extra" linken aan de andere OU's waar die PC's in staan?

Of ik lees je uitleg niet goed??

Zou kunnen,
alleen dan krijg ik op al die verschillende ou's die wsus policys door,
inclusief pc's waar ik de policy juist NIET op wil hebben.

Er is toch een oplossing (dacht ik dan?) om selectief computers verspreid over meerder ou's dezelfde policy toegewezen te krijgen.

donderdag 27 januari 2011 16:01

Acties:

SirDarkAngel

Dit kan dus door de policy toe te wijzen aan een security group en de computers waar je de policy voor wilt laten gelden in deze groep zetten. Eventueel kan je nog aan de gang met WMI filters als de situatie dit toe laat. Veel meer mogelijkheden heb je niet.

Wilde altijd al iets over computers weten

donderdag 27 januari 2011 18:04

Acties:

Verwijderd

SirDarkAngel schreef op donderdag 27 januari 2011 @ 16:01:
Dit kan dus door de policy toe te wijzen aan een security group en de computers waar je de policy voor wilt laten gelden in deze groep zetten. Eventueel kan je nog aan de gang met WMI filters als de situatie dit toe laat. Veel meer mogelijkheden heb je niet.

"Dit kan dus door de policy toe te wijzen aan een security group en de computers waar je de policy voor wilt laten gelden in deze groep zetten"

Dat is een hele goede, ik zal voor die kiezen. Want op die manier werk ik ook, en dat werkt prima

vrijdag 28 januari 2011 08:48

Acties:

Verwijderd

Topicstarter

SirDarkAngel schreef op donderdag 27 januari 2011 @ 16:01:
Dit kan dus door de policy toe te wijzen aan een security group en de computers waar je de policy voor wilt laten gelden in deze groep zetten. Eventueel kan je nog aan de gang met WMI filters als de situatie dit toe laat. Veel meer mogelijkheden heb je niet.

Dat is dus optie 2 wat ik dus al gedaan heb.
Welke handelingen uit optie 2 doe ik verkeerd dan?

Maak een nieuwe lege OU aan, hou hem leeg en maak hierin een SG aan.
gooi in die SG een x aantal computers, zet op die ou de policy actie waar de SG inzit.

Meer als dit is het toch niet?

[ Voor 6% gewijzigd door Verwijderd op 28-01-2011 08:53 ]

maandag 31 januari 2011 08:12

Acties:

Verwijderd

Topicstarter

bump...?
iemand een idee, zo moeilijk zal het toch niet zijn?

Ben me rot aan het testen

maandag 31 januari 2011 08:24

Acties:

_H_G_

Je hebt toch geen lege OU nodig? Gewoon de OUs toevoegen waar deze policy voor moet gaan gelden, en dan m.b.v. de security filtering er voor zorgen dat enkel een gedeelte van die OUs wordt geraakt.

Of met WMI filters (ligt er aan waarom je scheiding wil in die wsus policy).

maandag 31 januari 2011 10:32

Acties:

Appel

_H_G_ schreef op maandag 31 januari 2011 @ 08:24:
Je hebt toch geen lege OU nodig? Gewoon de OUs toevoegen waar deze policy voor moet gaan gelden, en dan m.b.v. de security filtering er voor zorgen dat enkel een gedeelte van die OUs wordt geraakt.

Of met WMI filters (ligt er aan waarom je scheiding wil in die wsus policy).

Dit kan ook anders.

Nest de Computers elk in een OU. Dus als je bijvoorbeeld een OU hebt "Vestiging x" maak je daar onder een OU aan met de naam "Vestiging x computers"

Zodra ze allemaal goed staan heb je een aantal OU's waar die machines in staan.

"Vestiging x computers"
"Vestiging y computers"
"Vestiging z computers"

Maak je WSUS GPO en link deze aan de verschillende OU's.

maandag 31 januari 2011 10:51

Acties:

_H_G_

Voor de duidelijkheid: Ik bedoelde niet extra OUs "toevoegen", maar gewoon de betreffende OUs (of bovenliggende OU) linken in je policy.

Extra OUs binnen de OU lijkt me niet verstandig (voor dingen zoals wsus). Dan kom je op een gegeven moment toch in de knoop. Daar zijn die security/WMI filters voor.

maandag 31 januari 2011 10:52

Acties:

Verwijderd

Volgens mij gaat het mis omdat je de GPO nu nog aan de Test OU hebt hangen en daar staan de pc's niet in. Je geeft aan dat je pc's in verschillende OU's staan en dat je pc's niet wilt verplaatsen. Plaats dan de GPO op een niveau dat toch alle pc's er onder hangen en plaats de pc's in een security group en filter de GPO op deze sg.

Dat is volgens mij alles.

maandag 31 januari 2011 23:05

Acties:

downtime

Everybody lies

Verwijderd schreef op donderdag 27 januari 2011 @ 15:28:
1/ Gooi die 20 computers ook in die ou (dit wil ik niet i.v.m andere policy's op deze ou's.)

Dat zou wel werken maar dat wil je niet.

2/ Maak in die testX ou waar die policy al actief op staat een security group aan, en gooi hier de 20 computers in uit die andere ou's. (check.. gedaan alleen dit werkt schijnbaar niet, via gpresult zie ik nergens staan dat de pc lid is van de SG, en ook de policy komt niet mee.

Dat werkt niet. Je kunt geen GPO op leden van een groep toepassen. Je moet de GPO aan een OU linken en kunt de groep alleen gebruiken om te voorkomen dat de GPO op alle computers in een OU toegepast wordt.

3/ Maak gebruik van security filtering
Volgens mij is dit mijn oplossing, alleen ook dit krijg ik niet voor elkaar.
Ik heb op de betreffende wsus policy de link verwijderd van de OU, en vervolgens bij security filtering de 20 computers toegevoegd. (en erna toen het ook niet werkte, ook de authenticated users weggehaald, maakte ook geen verschil).

Je moet de twee methodes combineren:

- Maak een groep X aan en maak de computers lid van die groep.
- Maak een GPO aan met de juiste configuratie.
- Voeg groep X toe aan die GPO met dezelfde rechten als die Authenticated Users. Haal daarna de Authenticated Users eraf zodat alleen computers die lid zijn van groep X de GPO kunnen lezen.
- Link de GPO aan een OU waar die computers in staan. Desnoods (maar liever niet) op het hoogste niveau.

De GPO zal nu toegepast worden op de computers die zowel in de juiste OU staan en die lid zijn van groep X.