Toon posts:

[Win2k] Groep - ou - GPO

Pagina: 1
Acties:

donderdag 2 oktober 2003 11:27

Acties:

Verwijderd

Topicstarter
In AD heb ik een ou aangemaakt met een GPO (beperkte desktop en geen configuratie scherm toegang.)

Als ik een user uit de default folder users in deze ou zet dan wordt de GPO correct uitgevoerd.
Als ik echter een groep aanmaak met de naam "beperkte desktop" en alleen deze groep onder de ou zet, dan wordt de GPO niet doorgevoerd aan de users die lid zijn van deze groep. ( de betreffende user(s) heb ik dan weer teruggezet in de users folder)

de groep heb ik read en apply policy rechten gegeven.

Wat vergeet ik, of doe ik verkeerd?

donderdag 2 oktober 2003 11:32

Acties:
  • DynaMikeY
  • Registratie: Juli 2000
  • Laatst online: 20:39

DynaMikeY

1976 Kever 1300

Het klinkt mij als een 'Inherit' achtig probleem... ik weet het zo niet uit mijn hoofd, maar kun je nergens instellen op de GPO of OU dat de instellingen en/of rechten op onderliggende objecten overgenomen moeten worden?

Banaan (W11): Ryzen7 5800x / Asrock B550M Pro4 / Radeon RX7800 XT / 32GB DDR4 / 1TB M2 980Pro + 2TB WDBlue M2 + 1TB SSD 970Pro | AnaNAS (UnraidOS): - Core I5-10500T (2.3GHz) / Asrock H510-M / 32GB DDR4 / 1x 1TB SSD + 250GB M2 + 1x 6TB HDD + 7x 4TB HDD

donderdag 2 oktober 2003 11:34

Acties:

Verwijderd

bij nmijn weten kun je alleen maar personen in de ou gooien en geen groepen. dan moet je gaan werken met nested ou's.

donderdag 2 oktober 2003 11:40

Acties:

Verwijderd

Topicstarter
Ik denk dat nested ou's inderdaad de oplossing is tony_montana666.
Ik heb namelijk de volgende info gevonden:

Group Policy is not being applied to users and computers in a security group that contains those users and computers, even though a Group Policy object is linked to an organizational unit containing that security group.

Cause: This is correct behavior. Group Policy affects only users and computers contained in sites, domains, and organizational units. Group Policy objects are not applied to security groups.

Solution: Link Group Policy objects to sites, domains, and organizational units only. Keep in mind that the location of a security group in Active Directory is unrelated to whether Group Policy applies to the users and computers in that security group.

donderdag 2 oktober 2003 11:44

Acties:
  • Twynn
  • Registratie: Maart 2001
  • Laatst online: 19-05 16:54

Twynn

Waar bovenstaande text over gaat is het linken van GPO's..

Je hebt je GPO wel gelinked op een ou, maar die ou bevat geen users :)

Waarom link je de GPO niet gewoon op de standaard OU waar al die users inzitten, en laat je hem alleen toepassen op de groep "beperkte desktop" ?
Dat is precies wat je wilt namelijk :)

donderdag 2 oktober 2003 11:57

Acties:

Verwijderd

Verwijderd schreef op 02 October 2003 @ 11:27:
In AD heb ik een ou aangemaakt met een GPO (beperkte desktop en geen configuratie scherm toegang.)

Als ik een user uit de default folder users in deze ou zet dan wordt de GPO correct uitgevoerd.
Als ik echter een groep aanmaak met de naam "beperkte desktop" en alleen deze groep onder de ou zet, dan wordt de GPO niet doorgevoerd aan de users die lid zijn van deze groep. ( de betreffende user(s) heb ik dan weer teruggezet in de users folder)

de groep heb ik read en apply policy rechten gegeven.

Wat vergeet ik, of doe ik verkeerd?
Dat werkt inderdaad niet. je kan geen policies aan groepen toekennen, alleen aan users. misleidende naam: "group policy"

donderdag 2 oktober 2003 12:04

Acties:

Verwijderd

Topicstarter
Mijn idee was om alle users in de users folder te laten zitten.
Users kan je dan lid maken van een of meerdere groepen die dan weer lid kunnen zijn van een of meerdere OU's.
Maar volgens mij gaat het concept ervanuit dat een user eigenlijk maar in 1 OU thuis hoort.
Ik probeer eigenlijk ou's de functie van groepen te laten krijgen, en dat werkt niet. :)

donderdag 2 oktober 2003 12:05

Acties:
  • Twynn
  • Registratie: Maart 2001
  • Laatst online: 19-05 16:54

Twynn

Klopt..

Wat je overigens wel kunt doen is subcontainers aanmaken, en daar de users in plaatsen.. En dan kun je gpo's laten uitvoeren op zowel de hoofdcontainer als de subcontainers. Maar lid van meerdere ou's gaat inderdaad niet.

donderdag 2 oktober 2003 12:08

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
Titel afgemaakt per WOS Policy. Ik neem even aan dat het om W2k gaat ipv 2k3, anders hoor ik het graag en pas ik het aan :)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 2 oktober 2003 12:09

Acties:
  • richard_kraal
  • Registratie: September 2001
  • Laatst online: 24-03-2025

richard_kraal

Verwijderd schreef op 02 oktober 2003 @ 11:27:
In AD heb ik een ou aangemaakt met een GPO (beperkte desktop en geen configuratie scherm toegang.)

Als ik een user uit de default folder users in deze ou zet dan wordt de GPO correct uitgevoerd.
Als ik echter een groep aanmaak met de naam "beperkte desktop" en alleen deze groep onder de ou zet, dan wordt de GPO niet doorgevoerd aan de users die lid zijn van deze groep. ( de betreffende user(s) heb ik dan weer teruggezet in de users folder)

de groep heb ik read en apply policy rechten gegeven.

Wat vergeet ik, of doe ik verkeerd?
wat je wilt kan niet, users moeten in de ou (+gpo) zitten, dan heeft het alleen effect

donderdag 2 oktober 2003 12:38

Acties:

Verwijderd

Topicstarter
Na nog even puzzelen en zoeken ben ik erachter.
De oplossing is Filteren.
De GPO dient aan de site of het domain gelinkt te worden.
De groep dient Read en Apply Group Policy permissies te hebben.
Aangezien de gpo nu voor het gehele domain of site geldt dient de Authenticated Users group geen read en apply rechten te hebben. ( groep verwijderen uit de GPO) .

Op deze manier is het dus toch gelukt om onder de OU alleen een groep te hangen en bij al deze users wordt de GPO nu correct doorgevoerd.

donderdag 2 oktober 2003 13:30

Acties:
  • Twynn
  • Registratie: Maart 2001
  • Laatst online: 19-05 16:54

Twynn

Bedenk wel dat machines ook bij de authenticated users horen :)
Dus als je ook machinesettings wilt doen in policies kun je ook bepaalde computers in een security-group hangen en deze laten applyen :)

En normaal gesproken hang je gpo's echt op ou's.. Sitepolicies gebruik je om verschil te maken tussen verschillende sites (bijv. vestigingen, of landen ofzo.. Denk bijvoorbeeld aan IE-proxy-settings). en domain-policies gebruik je meestal voor security instellingen (password instellingen bijvoorbeeld).

Overigens is jouw bovengenoemde oplossing nou precies wat ik in m'n eerste post bedoelde ;)

donderdag 2 oktober 2003 14:38

Acties:

Verwijderd

Verwijderd schreef op 02 October 2003 @ 12:38:
Na nog even puzzelen en zoeken ben ik erachter.
De oplossing is Filteren.
De GPO dient aan de site of het domain gelinkt te worden.
De groep dient Read en Apply Group Policy permissies te hebben.
Aangezien de gpo nu voor het gehele domain of site geldt dient de Authenticated Users group geen read en apply rechten te hebben. ( groep verwijderen uit de GPO) .

Op deze manier is het dus toch gelukt om onder de OU alleen een groep te hangen en bij al deze users wordt de GPO nu correct doorgevoerd.
zo kan het inderdaad, maar dat vertelde ik niet om dat dan de toch al onoverzichtelijke gp structuur nog onduidelijker wordt!!!
Pagina: 1
Reageer