GPO'S configureren

donderdag 15 juli 2021 20:19

Acties:

0 Henk 'm!

Topicstarter

Hallo!

Mijn naam is Jenny.
Ik ben nieuw op dit forum, en heb gelijk een brandende vraag! Misschien zie ik iets over het hoofd, maar ik heb al van alles geprobeerd.

Het maken van een GPO's lukt niet. Het volgende heb ik gedaan:
1. Domain controler aangemaakt (windows server 2019) en een windows 10 voor de users in te loggen.
2. Ik maak een groep aan die staat op global en sercurity (weet even niet zo goed of dit er toe doet), en hierin
maak ik een gebruiker.
3. Ik ga naar group policy's en daarin zie ik de groep staan die ik heb aangemaakt. Ik maar een policy aan (in die geval dat gebruiker na 3x een verkeerd wachtwoord invoeren, niet meer kunnen inloggen, en link deze naar de map van de groep.
4. Ik open CMD als administrator en typ gpupdate/force

Vervolgens log ik in met de gebruiker die de policy's zou moeten hebben en doe ik hetzelfde in cmd.

Vervolgens als ik het wachtwoord 3x verkeerd invoer, zou je denken dat die werkt, toch? Nou niet dus.

donderdag 15 juli 2021 20:21

Acties:

0 Henk 'm!

Powergrim

Word je GPO well applied op de OU? Als je user of device niet in de OU staat waar de GPO aan gelinked is, dan werkt het niet (afhankelijk van of het een User of Device GPO is)

donderdag 15 juli 2021 20:25

Acties:

0 Henk 'm!

Enforcer

rsop.msc en/of gpresult gebruiken om te kijken of je gpo wel applied wordt

donderdag 15 juli 2021 22:15

Acties:

0 Henk 'm!

Rolfie

User Account locks worden uitgevoerd door de domain controller. Je moet dus zorgen dat de policy uitgevoerd wordt op de domain controllers en niet je W10 machine.

Eventueel een GPUpdate moet je dus ook uitvoeren op je domain controller en niet op je computers.
Standaard is dit een domain wide policy die voor iedereen gebruikt wordt. Een specifiek user group heeft dus ook geen nut. Wat dit is een domain policy en niet een specifieke user policy.

Wil je het echt specifiek op basis van een user group uitvoeren, dan moet je fine-grained password policy gaan gebruiken.

donderdag 15 juli 2021 22:46

Acties:

0 Henk 'm!

MisteRMeesteR

Moderator Internet & Netwerken

Is Gek op... :)

Schopje PNS -> WSS

www.google.nl

vrijdag 16 juli 2021 10:33

Acties:

+1 Henk 'm!

Killah_Priest

Voorzover ik weet zijn password policies altijd alleen te configureren dmv de default domain policy, tenzij het om fine-grained policies gaat.

(het is voor mij al een tijd geleden dat ik echt iets deed met local AD op dit niveau dus als ik het mis heb dan hoor ik het graag)

dinsdag 20 juli 2021 14:03

Acties:

+1 Henk 'm!

To_Tall

In welke OU staat de computer
In welke OU staat de User
In welke OU heb je de policy geplaatst?

LockOut policy staat al voor geconfigureerd in de default Domain Policy. Deze wordt uitgevoerd op alle onderliggende OU's tenzij je op de betreffende OU Block Inherentence hebt aangezet. Dan moet je de GPO ook op die map toepassen of de GPO enforcen.

Account Lockout is een User Policy.

Je moet ook even de juiste benamingen gebruiken.

Users en Computers printers e.d. zijn Object's
Dan heb je nog Security Groups en Shared Folders e.d.
Mappen in AD zijn Organizational Unit's

Dat maakt het allemaal wat begrijpelijker te lezen.

Anyway's
Je hebt ook nog te maken met stukje Security.
Welke rechten hebben gebruikers op de GPO.. User LockOut policy zou ik op All Authenticates users zetten. en hiervoor geen apparte security group voor gebruiken die je rechten moet geven binnen de GPO..

A Soldiers manual and a pair of boots.

Vraag

Alle reacties