Windows policies, ADMX en ADM - Serversoftware en clouddiensten

woensdag 29 januari 2014 09:23

Acties:

0 Henk 'm!

woekele

Topicstarter

Een veel besproken onderwerp waar al veel over te vinden is op internet. Maar vaak wordt er heel breed informatie gegeven en ik ben juist op zoek naar wat specifieke dingen, met bepaalde voorwaarden en situaties, wat het moeilijker te vinden maakt.

De domain controller is Server 2008R2.

Als je een nieuwe policy aanmaakt op de server vanaf een Windows 7-machine, welke setttings komen dan in die policy? Alle settings die in de admx'en in sysvol op de server staan? Of ook settings die in admx'en op je W7-machine staan?

Wat gebeurt er als je deze policy opent vanaf een Windows XP-machine? Voegt die dan automatisch de oude standaard adm-bestanden toe aan de policy? Of ziet deze een policy zonder settings (admx pakt hij immers niet?) en moet je eventueel handmatig de adm's toevoegen?

Wat gebeurt er als je een policy hebt die gebruik maakt van zowel admx en admen je opent deze vanaf een W7-machine? Ik weet dat hij dan een apart mapje maakt voor de oude adm-settings. Maar wat als deze conflicteren met de admx-settings? Welke setting 'wint' dan?

woensdag 29 januari 2014 09:41

Acties:

0 Henk 'm!

hans_lenze

Maak je gebruik van een Group Policy Central Store en gebruik je deze ook op alle machines waarop je Group Policies aanpast?

while (! ( succeed = try ()));

woensdag 29 januari 2014 10:42

Acties:

0 Henk 'm!

Killah_Priest

- Met een central store worden op alle machines waarmee je de GPO's edit alle policies uit de central store weergegeven
- Zonder central store worden alleen de policies welke lokaal op de machine waarvan je de GPO wilt aanmaken / aanpassen weergegeven.

(als je bijvoorbeeld op een Server 2003 bak de settings van een GPO wilt bekijken waarvan de ADM/ADMX bestanden ontbreken dan zie je dat ook staan, de exacte melding weet ik niet meer uit mijn hoofd maar bij de betreffende setting staat in ieder geval dan weergegeven dat hij deze niet uit kan lezen)

woensdag 29 januari 2014 11:34

Acties:

0 Henk 'm!

woekele

Topicstarter

Ja, GPCS wordt gebruikt. Maar ik neem aan dat dat op Win XP niet werkt. Net als je voorbeeld van Server 2003 I guess.

woensdag 29 januari 2014 12:41

Acties:

0 Henk 'm!

hans_lenze

De RSAT is niet beschikbaar voor Windows XP. Alleen maar voor Windows 7 of nieuwer.

Of het werkt weet ik niet, maar bij de download (http://www.microsoft.com/...oad/details.aspx?id=21895) van GPMC wordt een 2008 of 2008R2 domein niet genoemd. YMMV

while (! ( succeed = try ()));

woensdag 29 januari 2014 12:48

Acties:

0 Henk 'm!

woekele

Topicstarter

RSAT is niet beschikbaar voor XP, maar je hebt wel de GPMC voor XP. Ik ben benieuwd wat er gebeurt als je daarmee een nieuwerwetse GPO opent. Ik las ergens dat hij dan de adm-bestanden toevoegt aan betreffende GPO. Maar zie je dan de admx-settings gewoon niet? En ik vraag me nog steeds af wat er gebeurt als er overlappende instellingen zitten in de admx/adm-settings.

woensdag 29 januari 2014 20:35

Acties:

0 Henk 'm!

Razwer

woekele schreef op woensdag 29 januari 2014 @ 12:48:
Maar zie je dan de admx-settings gewoon niet?

klopt

En ik vraag me nog steeds af wat er gebeurt als er overlappende instellingen zitten in de admx/adm-settings.

zoals wat? hangt er vanaf wat je edit en waar het op applied.
er zijn ook settings die andersom niet werken. Internet Explorer Maintenance settings (proxy settings bijvoorbeeld) kun je weer niet editen vanaf een 2012 machine. werken ook niet als ze op een 2012 "client" applied worden.

Waarom wil je overigens in godesnaam nog "beheer" taken doen vanaf een XP bak? weg met die rotzooi! Extended support eindigd over 2 maanden, April 8, 2014
http://windows.microsoft.com/en-us/windows/lifecycle

Newton's 3rd law of motion. Amateur moraalridder.

donderdag 30 januari 2014 08:53

Acties:

0 Henk 'm!

woekele

Topicstarter

Ik wou gewoon snappen hoe het werkt

We hebben momenteel nog XP-bakken en 'oude' GPO's en ik was heel benieuwd wat er bijvoorbeeld gebeurde als ik vanaf Win7 in zo'n GPO via een admx-instelling zeg dat ctrl+alt+del verplicht is voor inloggen, terwijl in de adm-instelling staat van niet.

donderdag 30 januari 2014 10:08

Acties:

0 Henk 'm!

sanfranjake

Computers can do that?

Dat ligt er aan waar je die policy dan precies toepast qua volgorde. De standaard toepassingslogica van group policy is dan nog steeds van toepassing. Aangezien die nauwelijks veranderd is sinds Windows 2000 nodig ik je uit om eens wat Technet-documentatie te lezen waarin dit volledig wordt uitgelegd, begin bijvoorbeeld eens hier: http://technet.microsoft....ry/cc739343(v=ws.10).aspx

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 30 januari 2014 13:56

Acties:

0 Henk 'm!

woekele

Topicstarter

Maar het is dezelfde GPO. Ik zal eens kijken of in je link uitgelegd staat in welke volgorde er binnen een GPO gewerkt wordt.

Edit: zo te zien niet.

[ Voor 9% gewijzigd door woekele op 30-01-2014 13:56 ]

donderdag 30 januari 2014 22:37

Acties:

0 Henk 'm!

Killah_Priest

woekele schreef op donderdag 30 januari 2014 @ 08:53:
Ik wou gewoon snappen hoe het werkt We hebben momenteel nog XP-bakken en 'oude' GPO's en ik was heel benieuwd wat er bijvoorbeeld gebeurde als ik vanaf Win7 in zo'n GPO via een admx-instelling zeg dat ctrl+alt+del verplicht is voor inloggen, terwijl in de adm-instelling staat van niet.

ADM en ADMX bestanden zijn templates (daarom ook de naam "Administrative Templates"). Als je een Vista/7/8/8.1 (of 2008 2008R2, 2012, 2012R2) machine gebruikt om de GPMC te openen dan zullen de ADMX bestanden ingeladen worden (er staan standaard geen ADM bestanden op 2008/Vista en hoger), bij voorkeur uit de central store als deze er is. ADM templates welke je zelf in de policydefinitions folder hebt neergezet verschijnen dan als "classic administrative templates"
Gebruik je 2003 of XP dan kan je natuurlijk alleen ADM templates laden.

De ADM en ADMX templates bevatten ook alleen maar registry keys welke dmv een policy gewijzigd kunnen worden en de waardes (en een beschrijving etc - open maar eens een ADMX bestand met notepad. Je kan zelf ook ADMX templates in elkaar zetten). Als je een GPO aanmaakt dan zullen deze settings dmv een aantal files doorgevoerd worden (kijk maar eens in de sysvol folder van je domein) naar de clients welke getarget zijn (de clients lezen deze files in en voeren de settings door).

Kort samengevat : ADM en ADMX files zijn alleen templates, je edit deze files dus ook niet direct bij het aanmaken van een GPO, er worden simpelweg aan de hand van jouw gekozen settings een aantal bestanden in een folder (met een bepaalde folderstructuur) weggeschreven zodat de clients deze in kunnen lezen.
De XP en 2003 client van de GPMC werkt met ADMX templates, 2008/Vista en hoger met ADMX (je kan overigens wel ADM bestanden inladen in 2008/Vista en hoger).

zie ook http://technet.microsoft....c709647%28v=ws.10%29.aspx

vrijdag 31 januari 2014 08:52

Acties:

0 Henk 'm!

woekele

Topicstarter

Dank Killah,

En als ik op een XP-machine een GPO open, met instellingen erin die op een Win7-machine met een admx-template gedaan zijn (instellingen die nog niet bestonden in XP), zie je die dan terug onder 'overige registry settings', of zie je ze gewoon helemaal niet in XP?

En dan nog de vraag: als ik een GPO open in Win7, de GPO gebruikt een admx-template uit de Central Store, én een adm-template. In beide templates staat een instelling die naar dezelfde registrysetting verwijzen. Verschijnt die setting in de GPMC dan zowel onder classic admin templates als onder de normale settings? En welke van de 2 wordt dan toegepast? Of verschijnt hij dan maar op 1 plek (automatisch gefilterd)

vrijdag 31 januari 2014 15:23

Acties:

0 Henk 'm!

akimosan

woekele schreef op vrijdag 31 januari 2014 @ 08:52:
Dank Killah,

En als ik op een XP-machine een GPO open, met instellingen erin die op een Win7-machine met een admx-template gedaan zijn (instellingen die nog niet bestonden in XP), zie je die dan terug onder 'overige registry settings', of zie je ze gewoon helemaal niet in XP?

Helemaal niet

En dan nog de vraag: als ik een GPO open in Win7, de GPO gebruikt een admx-template uit de Central Store, én een adm-template. In beide templates staat een instelling die naar dezelfde registrysetting verwijzen. Verschijnt die setting in de GPMC dan zowel onder classic admin templates als onder de normale settings? En welke van de 2 wordt dan toegepast? Of verschijnt hij dan maar op 1 plek (automatisch gefilterd)

Allebei de keren wordt de setting toegepast. Uiteindelijk is het dezelfde registersetting.
Of ik nu in het chinees zeg dat het eten lekker is of in het italiaans; ik zeg beide keren hetzelfde.

Laatste tip:

Stop met het gebruiken van de policy editor of GP management console op verschillende machines met verschillende OS versies.
Gebruik in de meeste gevallen de hoogste versie. Heb je in je landschap Windows XP, Windows 7/2008R2 en Windows 8.1/server 2012 R2, gebruik dan de templates die bij de hoogste versie horen (admx templates)

Maak een management machine aan met waarop je je tools installeert.
Maak een Central Policy Store aan en kopieer daar de ADMX en ADML templates in die je wilt gebruiken op je mgt machine. (Google it)
Gebruik bij voorkeur enkel de EN-US ADML files en geen language templates in het nederlands. 9 van de 10 keer als je een policy setting zoekt op Google, vind je deze in het engels en zoek je je stijf in je policy editor hoe die setting nu precies in het Nederlands heet.
Verwijder de oude ADM templates uit de policies welke met de oude editor zijn gemaakt. Maak desnoods nieuwe GPO's
Vermijd en verwijder zoveel mogelijk het gebruik van custom ADM templates en gebruik in plaats daarvan Group Policy preferences (installeer de benodigde extensions op je Windows XP SP3 machines om ook daar GPP te kunnen gebruiken)

[ Voor 8% gewijzigd door akimosan op 31-01-2014 15:27 ]

vrijdag 31 januari 2014 20:03

Acties:

0 Henk 'm!

woekele

Topicstarter

Tnx voor alle tips.

akimosan schreef op vrijdag 31 januari 2014 @ 15:23:
[...]

Allebei de keren wordt de setting toegepast. Uiteindelijk is het dezelfde registersetting.
Of ik nu in het chinees zeg dat het eten lekker is of in het italiaans; ik zeg beide keren hetzelfde.

Maar wat als je in het Chinees zegt dat het lekker is en in het Italiaans zegt dat het NIET lekker is?

donderdag 6 februari 2014 20:54

Acties:

0 Henk 'm!

alt-92

ye olde farte

Daarom beheer je dus je GPO's voor legacy platforms - in andere woorden XP - sepraat van je Windows 7 GPOs.
Trek die zooi eens lekker uit elkaar, desnoods met OU separation of dmv WMI Operating system filters.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 7 februari 2014 09:28

Acties:

0 Henk 'm!

woekele

Topicstarter

haha, duidelijk, tnx. Toch ben ik benieuwd naar het antwoord. Ik zal het zelf moeten testen dan denk ik

vrijdag 7 februari 2014 09:44

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

woekele schreef op vrijdag 31 januari 2014 @ 20:03:
Tnx voor alle tips.

[...]

Maar wat als je in het Chinees zegt dat het lekker is en in het Italiaans zegt dat het NIET lekker is?

woekele schreef op vrijdag 07 februari 2014 @ 09:28:
haha, duidelijk, tnx. Toch ben ik benieuwd naar het antwoord. Ik zal het zelf moeten testen dan denk ik

Degene die het laatst "roept" wint.... Dat antwoord was ook al gegeven...

sanfranjake schreef op donderdag 30 januari 2014 @ 10:08:
Dat ligt er aan waar je die policy dan precies toepast qua volgorde. De standaard toepassingslogica van group policy is dan nog steeds van toepassing. Aangezien die nauwelijks veranderd is sinds Windows 2000 nodig ik je uit om eens wat Technet-documentatie te lezen waarin dit volledig wordt uitgelegd, begin bijvoorbeeld eens hier: http://technet.microsoft....ry/cc739343(v=ws.10).aspx

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 7 februari 2014 14:15

Acties:

0 Henk 'm!

woekele

Topicstarter

leuk dat je zo bijdehand probeert te doen, maar ik had al geantwoord dat ik het antwoord in die link niet kan vinden, omdat het dezelfde GPO betreft.

vrijdag 7 februari 2014 14:35

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Ik doe niet bijdehand hoor, maar de standaard toepassingslogica is simpelweg niet veranderd.

Een Group Policy Preference wordt eenmalig toegepast, terwijl een Policy setting default om de 90 minuten weer ingesteld wordt.

Daarom ook de verschillen in naamgeving:

Een preference is een voorkeur, die door een gebruiker aan te passen is
Een policy is een afgedwongen stukje beleid

The key difference between Group Policy settings and Group Policy preferences is enforcement. Group Policy strictly enforces policy settings. Group Policy writes settings to the Policy branches of the registry, and the access control lists (ACLs) on those branches prevent standard users from changing them. When an application or operating system feature that is compatible with Group Policy looks for a potentially managed setting, it first looks for the policy setting. If the policy setting does not exist, it looks for the setting elsewhere in the registry.

Applications and operating system features that are compatible with Group Policy typically disable the user interface for settings that Group Policy is managing, which prevents users from changing them. Group Policy refreshes policy settings every 90 minutes, by default, but this time can be configured by a Group Policy administrator.

In contrast to Group Policy settings, Group Policy preferences are not strictly enforced. Group Policy does not store preferences in the Policy branches of the registry. Instead, it writes preferences to the same locations in the registry that the application or operating system feature uses to store the settings. The implications of this include:

Group Policy preferences support applications and operating system features that are not compatible with Group Policy.

Group Policy preferences do not cause the application or operating system feature to disable the user interface for the settings they configure.

The result is that when you deploy Group Policy preferences, users can change the settings.
toon volledige bericht

Een policy overruled uiteindelijk de instelling in een preference, simpelweg omdat deze periodiek weer ingesteld wordt en daardoor automatisch een eenmalig ingestelde preference overschrijft.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 7 februari 2014 16:50

Acties:

0 Henk 'm!

woekele

Topicstarter

Het gaat (volgens mij) helemaal niet om het verschil tussen een preference en een setting? Hoe kom je daarbij? Het gaat om een en dezelfde setting die door 2 verschillende templates (de adm en de admx) beschikbaar wordt gemaakt in je editor voor 1 GPO. De ene via de normale settings en de andere via de legacy settings.

vrijdag 7 februari 2014 23:13

Acties:

0 Henk 'm!

akimosan

Het gaat (volgens mij) helemaal niet om het verschil tussen een preference en een setting? Hoe kom je daarbij? Het gaat om een en dezelfde setting die door 2 verschillende templates (de adm en de admx) beschikbaar wordt gemaakt in je editor voor 1 GPO. De ene via de normale settings en de andere via de legacy settings.

En die vraag heb ik al beantwoord maar blijkbaar begrijp je het nog niet.

ADM templates en ADMX templates doen precies hetzelfde. Een ADMX template die instellingen aanpast voor Windows XP of een ADM template wat dezelfde instelling aanpast, past dezelfde register sleutels aan.

Er is binnen dezelfde GPO dus geen verschil tussen de settings die toegepast worden door de ADM template en die door de ADMX (behalve dat de ADMX ook opties biedt om instellingen aan te passen die niet in het ADM template zitten.)

Dus als ik in een GPO op een Windows XP/2003 policy editor, via het ADM template instel dat voor offline files submappen ook meegenomen moeten worden (Computer configuration\Administrative templates\network\offline files)

wordt de volgende registerwaarde gezet:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetCache
Value: AlwaysPinSubFolders=1
ValueType: DWORD

Als ik dat zou doen op Server 2008R2 middels de GPMC console en ik open dezelfde GPO en verwijder de ADM templates uit de GPO (enkel de ADMX templates blijven geladen), en ik blader naar dezelfde optie dan zie je dat deze nog steeds is ingeschakeld.

Geen verschil dus omdat het om dezelfde registerwaarde gaat. Er is geen volgorde in settings of toepassingsbeleid binnen dezelfde GPO. (behalve dat sommige settings binnen dezelfde GPO elkaar kunnen "overrulen" of elkaar in bepaalde combinaties uitsluiten, of dat een bepaalde instelling geen effect heeft op Windows 7 maar enkel op XP of vice versa. Dit staat dan ook uitgelegd in het commentaar bij de instelling. )

Snap je het nu?

zaterdag 8 februari 2014 09:58

Acties:

0 Henk 'm!

Killah_Priest

Question Mark schreef op vrijdag 07 februari 2014 @ 14:35:
Ik doe niet bijdehand hoor, maar de standaard toepassingslogica is simpelweg niet veranderd.

Een Group Policy Preference wordt eenmalig toegepast, terwijl een Policy setting default om de 90 minuten weer ingesteld wordt.

Er zijn uitzonderingen op deze regel : een GPP om printers te mappen wordt wel degelijk bij iedere GPupdate (handmatig over iedere 90min bij default instellingen) ook geupdate, zo zijn er meerdere GPPs (registry settings en oa ook de "file" en "folder" GPPs).

Helaas staat er nergens op de MS KB duidelijk gedocumenteerd voor welke GPPs dit wel en niet opgaat.

zaterdag 8 februari 2014 11:12

Acties:

0 Henk 'm!

woekele

Topicstarter

akimosan schreef op vrijdag 07 februari 2014 @ 23:13:
[...]
Dus als ik in een GPO op een Windows XP/2003 policy editor, via het ADM template instel dat voor offline files submappen ook meegenomen moeten worden (Computer configuration\Administrative templates\network\offline files)

wordt de volgende registerwaarde gezet:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetCache
Value: AlwaysPinSubFolders=1
ValueType: DWORD

Als ik dat zou doen op Server 2008R2 middels de GPMC console en ik open dezelfde GPO en verwijder de ADM templates uit de GPO (enkel de ADMX templates blijven geladen), en ik blader naar dezelfde optie dan zie je dat deze nog steeds is ingeschakeld.

Geen verschil dus omdat het om dezelfde registerwaarde gaat.

Snap je het nu?
toon volledige bericht

Ja maar, ja maar!

Mijn vraag is juist wat er gebeurt als je met Server 2008R2 de GPO gaat bewerken en NIET de ADM verwijdert uit de GPO, dus zowel de ADM als de ADMX gebruikt. Dan kun je dus op 2 plekken binnen dezelfde GPO bij dezelfde setting komen. Wat als je de ene op UIT zet en de andere op AAN? Of kan dat dan dus niet, verspringen ze automatisch met elkaar mee?

En ja, ik weet dat je het gewoon niet zover moet laten komen. Dus het zal een irrelevante vraag zijn voor velen.

[ Voor 7% gewijzigd door woekele op 08-02-2014 11:14 ]

zaterdag 8 februari 2014 12:50

Acties:

0 Henk 'm!

hans_lenze

woekele schreef op zaterdag 08 februari 2014 @ 11:12:
Wat als je de ene op UIT zet en de andere op AAN? Of kan dat dan dus niet, verspringen ze automatisch met elkaar mee?

Ja, dat dus. Het is dezelfde register sleutel.

while (! ( succeed = try ()));

zaterdag 8 februari 2014 13:30

Acties:

0 Henk 'm!

akimosan

hans_lenze schreef op zaterdag 08 februari 2014 @ 12:50:
[...]
Ja, dat dus. Het is dezelfde register sleutel.

Geef deze man een sigaar! $_/-\o_$

zondag 9 februari 2014 13:23

Acties:

0 Henk 'm!

woekele

Topicstarter

Tnx

Afbeeldingslocatie: http://bin.snmmd.nl/m/m1fywtewjbhj.jpg

[ Voor 83% gewijzigd door woekele op 09-02-2014 13:24 ]

dinsdag 11 februari 2014 13:50

Acties:

0 Henk 'm!

Mental

Question Mark schreef op vrijdag 07 februari 2014 @ 14:35:
Een Group Policy Preference wordt eenmalig toegepast, terwijl een Policy setting default om de 90 minuten weer ingesteld wordt.

Dit is onjuiste informatie, een GPP refreshed namelijk net zoals een normale GP.

Bron: Ervaring (wat hier nogal eens blijkt te missen) en Microsoft zelf.

By default, Group Policy refreshes preferences at the same interval as Group Policy settings.

Bron: http://technet.microsoft....ry/gg241190(v=ws.10).aspx

ps. mocht je het verschil tussen Create, Update en Replace bedoelen benoem dat dan aub ook ipv het zo kort door de bocht neer te zetten.

[ Voor 10% gewijzigd door Mental op 11-02-2014 13:51 ]