Beveiligen burobladen

Ik heb als vrijwillig ouder op de basisschool van mijn kinderen geholpen het netwerk te verbeteren. We hebben nu windows server 2016 en op werkstations windows 10 education.

Per groep hebben we een inlog met zwervend profiel op de server. In server 2012 kon je als administrator de rechten van de gebruikers aanpassen zodat leerlingen niet alle snelkoppelingen konden aanpassen. Het was zo ook heel makkelijk om als admin nieuwe snelkoppelingen te plaatsen en door de map met burobladen te delen ook voor leraren was een nieuwe snelkoppeling ook door hen achter hun eigen werkstation toe te voegen.

Ik ben in server 2016 ook bezig geweest om een dergelijke situatie te creeren, maar ik krijg zelfs als admin geen toegang tot de burobladen van de groepen. Gevolg veel creatieve icoontje door de leerlingen......

Heeft iemand tips om ook in server 2016 de zwervende burobladen van de leerlinggroepen zo te beveiligen dat ze alleen leesrechten hebben en dat ik als admin, met eventueel de leerkrachten wel toegang hebben tot de burobladmappen om aanpassingen te maken?

Alle werkstations zitten in het domein. De server is gewoon standaard geinstalleerd, werkstations gekoppeld en gebruikers aangemaakt. Gebruikers zijn dan ingedeeld in groepen om rechten voor mappen en printers te beheren.

Als ik naar de map met burobladen ga en ik pas rechten van de map aan en geef beheerder alle rechten en de groep(gebruiker) alleen leesrechten werkt het profiel niet meer. Als je in winserver 2012 een dergelijke aanpassing maakte werkte profiel nog wel....

VHware, ik heb groepsbeleid aangemaakt Desktop redirection. Bij de beveiligingsfiltering heb ik aangegeven dat het van toepassing moet zijn op de leerlingen. Daarna de instellingen gemaakt zoals aangegeven. Bij het tabblad instellingen is nu volgende te lezen:

Bureaublad
Instelling: Standaard (Alle mappen naar dezelfde locatie omleiden)
Pad: \\winserver2016\Desktop\%USERNAME%\Desktop
Opties
Exclusieve rechten aan gebruiker toekennen voor Bureaublad Uitgeschakeld
Inhoud van Bureaublad naar de nieuwe locatie verplaatsen Ingeschakeld
Omleidingsbeleid ook toepassen op de besturingssystemen Windows 2000, Windows 2000 Server, Windows XP en Windows Server 2003. Uitgeschakeld

Werking van beleidsverwijdering Inhoud laten staan
Configuratiebeheer Groepsbeleid
Evaluatie van primaire computer Niet geëvalueerd omdat beleid van primaire computer niet is ingeschakeld

IK heb gebruikerscomputer opnieuw gestart en ingelogt als een van de leerlingen, maar er wordt geen user\ buroblad aangemaakt in de \\winserver2016\desktop map

Ik heb ook nog gekeken of het uitmaakt dat er bij de gebruikers een pad naar gebruikersprofiel op de server staat, maar het maakt niet uit of dat pad er staat of niet.

Alles lijkt goed te staan, maar het werk niet.

[ Voor 91% gewijzigd door Verwijderd op 28-03-2018 11:52 ]

Max3400,

Heb je wel de correcte ADMX-files voor jullie build-nr. van Windows 10 op je DC's staan en/of het goed functional level inAD?

ik heb een Group Policy Central Store aangemaakt met daarin de nieuwste 1709admx files, ik begrijp niet goed wat je bedoeld met en/of het goed functional level in AD? Server is DC en computers staat in computers in de AD.

Met behulp van de gegeven tips is het gelukt! Dank voor de hulp!

De oplossing was;

Controleren of ik de juiste ADMX files op de server had staan. Ik vond om dit te controleren een duidelijke uitleg hier; YouTube: How to Create a Group Policy Central Store

Ik bleek geen Group Policy Central Store te hebben, maar er werd gebruik gemaakt van de Server ADMX files. Ik heb toen gegoogled op ADMX files en vond de 1709 (meeste recente) versie van ADMX files. Met behulp van de duidelijke uitleg in het eerder genoemde filmpje op youtube heb ik een Central Store gemaakt en gecontroleerd (ook dat is in filmpje te zien) of het werkte.

Daarna een gedeelde map aangemaakt in het netwerk wat voor iedereen toegankelijk is. ( Ik maakte daarbij nog wel even de fout om rechten al aan te passen voor gebruikers waardoor ze alleen leesrechten hadden voordat eerste burobladen waren aangemaakt, oeps...)

Hierna heb ik een nieuw groepsbeleid aangemaakt op de server. Bij de beveiligingsfiltering heb ik aangegeven dat het van toepassing moet zijn op de leerlingen. Daarna de instellingen gemaakt zoals aangegeven. Bij het tabblad instellingen is nu volgende te lezen:

Bureaublad
Instelling: Standaard (Alle mappen naar dezelfde locatie omleiden)
Pad: \\winserver2016\Desktop\%USERNAME%\Desktop
Opties
Exclusieve rechten aan gebruiker toekennen voor Bureaublad Uitgeschakeld
Inhoud van Bureaublad naar de nieuwe locatie verplaatsen Ingeschakeld
Omleidingsbeleid ook toepassen op de besturingssystemen Windows 2000, Windows 2000 Server, Windows XP en Windows Server 2003. Uitgeschakeld

Werking van beleidsverwijdering Inhoud laten staan
Configuratiebeheer Groepsbeleid
Evaluatie van primaire computer Niet geëvalueerd omdat beleid van primaire computer niet is ingeschakeld

Hierna ingelogd met alle leerlinggroepen(gebruikers) waardoor in de map \\winserver2016\desktop de namen en burobladen van de verschillende leerlinggroepen kwamen te staan.

Als laatste stap heb ik daarna de rechten aangepast van de mappen. We hebben op school een gebruiker per groep, dus leerlingen van groep 8 loggen in met Groep8 en hun wachtwoord. Op het buroblad staat snelkoppeling naar map groep 8 waar voor iedere leerling een eigen map staat voor opslag documenten.

In plaats van voor de hele map met burobladen rechten aan te passen heb ik dat per groep gedaan zodat de groep alleen leesrechten heeft in de burobladmap en daardoor geen icoontjes meer aan kunnen passen op de burobladen, de administratorgroep kan in alle mappen nu wel snelkoppelingen plaatsen en leerlingen krijgen melding dat ze geen rechten meer hebben. Wellicht maak ik de map nog toegankelijk voor de leerkrachten zodat zij in staat zijn voor hun groep snelkoppelingen te plaatsen.

Als laatste heb ik nog vorige versie's ingeschakeld voor de mappen om indien iemand alles zou wissen, eenvoudig alles terug gezet kan worden.