[Win2k/2k3] Int. Conn. Wizard blijft staan na policy* - Windows clients

donderdag 8 januari 2004 09:30

Acties:

Verwijderd

Topicstarter

Hallo Tweakers,

Ik heb een probleem met een netwerk. Het is een netwerk met 2000 werkstations en een 2003 Enterprise server. Aangezien ik zo'n 1000 accounts actief heb werk ik met zwervende profielen. Nu komt het probleem:

Soms als een gebruiker aanlogd (werkt altijd goed, hoewel soms behoorlijk langzaam, 2minuten w88) kan hij/zij niet het internet op. Hij geeft dan aan dat er niet voldoende rechten zijn om de wizard internet verbinding instellen op te starten. Dat klopt opzich ook want daar zijn geen rechten voor ingesteld. Maar hij zou dat helemaal niet moeten weergeven natuurlijk, aangezien de internet connectie via de policys geregeld wordt.

Het gekke is dat als ik een re-boot doe het ineens wel werkt. Met dezelfde account.....

Ik heb geen idee meer wat het zou kunnen zijn, misschien een van jullie?

Groeten,

Bert ter Beest
bert@terbeest.nl

donderdag 8 januari 2004 12:06

Acties:

Verwijderd

Welkom op GoT

Ik verplaats je bericht naar Windows Operated Systems omdat het een probleem met (de policies van) Windows 2000/2003 is, netwerktechnisch is er waarschijnlijk niet echt een probleem. Ik heb ook je topictitel even wat duidelijker gemaakt

donderdag 8 januari 2004 14:09

Acties:

mutsje

Certified Prutser

Als een werkstation dit probleem heeft moet je even gpresult runnen. Deze laad zien welke policies geladen worden. Hou er rekening mee dat users op werkstations waar ze al eens ingelogt zijn ook met cached credentials in kunnen loggen dus in principe zonder netwerk=zonder policies.

In 2003 kun je gebruik maken van de GPMC om policies te bekijken.
Lees onderstaande howto om te zien wat je aan troubleshooting kunt doen.

[rml][ windows 2003]Howto: policies en tools[/rml]

vrijdag 9 januari 2004 10:03

Acties:

Verwijderd

Topicstarter

Oke tnx guys... Ik ga eens met die how-to aan de slag, jullie horen het resultaat nog wel....

Greetz,

Bert ter Beest

vrijdag 9 januari 2004 11:00

Acties:

Verwijderd

Topicstarter

Hoe zet ik die cached residentials dan uit? Ik wil helemaal niet dat users uberhaupt zonder netwerk kunnen inloggen... Kan ik ook met de GPMC alle policies van een 2000 adv server naar de nieuwe 2003 server kopieren?

Groeten,

vrijdag 9 januari 2004 11:06

Acties:

Luppie

www.msxinfo.net

Cached Credentials kan je ook met een policy regelen (Ik geloof dat ie ergens bij security staat)

Maar vraag je wel af of je dat graag wilt. Als je DC door wat voor reden 'down' is kan het bedrijf niet doorwerken en zitten er 1000 man op hun gat.

Laten we aannemen dat het up brengen van je DC 5 minuten duurt dat x 1000 man is 5000 minuten = 83 manuren = 3,5 dag verlies.

Ga dus goed na bij het management of dat wel de bedoeling is en of je op die manier nog je SLA kan halen.

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

vrijdag 9 januari 2004 11:27

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Heb je een policy refresh geforceerd?

secedit /refreshpolicy machine_POLICY /enforce

zelfde voor user_POLICY.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 9 januari 2004 11:35

Acties:

Verwijderd

Topicstarter

Ik wil dat alles geblocked is als er geen netwerk connectie is. Ik ben namelijk systeembeheerder op een school en die 1000 accounts zijn leerlingen. Als die in kunnen loggen zonder netwerk dan gaan ze lopen hobbyen en dat kan niet de bedoeling zijn.....

Ik ga nog even die laatste optie proberen... Misschien dat dat werkt. Het inloggen is soms ook erg traag (zo'n 5 minuten) waarna alles wel werkt overgens. Ik snap dat niet omdat de verbindingen rete-snel is....

Groeten,

vrijdag 9 januari 2004 11:50

Acties:

Luppie

www.msxinfo.net

Verwijderd schreef op 09 januari 2004 @ 11:35:
Ik wil dat alles geblocked is als er geen netwerk connectie is. Ik ben namelijk systeembeheerder op een school en die 1000 accounts zijn leerlingen. Als die in kunnen loggen zonder netwerk dan gaan ze lopen hobbyen en dat kan niet de bedoeling zijn.....

Dat is juist het mooie van Cached Credentials een gebruiker kan wel inloggen maar houdt wel zijn beperkingen op z'n werkplek. Als je dus aangemeld bent op het netwerk en je hebt netwerktechnisch het hobbyen onmogelijk gemaakt, dan is het ook niet mogelijk als je aangemeld bent met Cached Credentials.

Maar in jouw situatie is mijn inziens er niet echt een bedrijfsbelang of proces wat gevaar loopt.

Wat je evt. ook nog aan kan zetten in je policy is slow link detection hiermee kan je er voor zorgen dat als het netwerk traag is toch de policies geproccessed worden.

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

vrijdag 9 januari 2004 12:04

Acties:

Verwijderd

Topicstarter

Oke point taken. Ik vraag met wel af wat ik opschiet met het refreshen van policys... Het vreemde is namelijk dat ik bijvoorbeeld de desktop retricties wel heb. Zoals het startmenu (uitvoeren uitgeschakeld) en het niet kunnen opstarten van de command-prompt. Maar dan zal ik het wel moeten zoeken in die cached credentials omdat jij zegt dat dat dus kan blijven staan.

Ik ga nog even zoeken.....

vrijdag 9 januari 2004 12:20

Acties:

Verwijderd

Topicstarter

Waar kan ik caching van credentials eigenlijk vinden? en is dat hetzelfde als een roaming profile?

vrijdag 9 januari 2004 12:35

Acties:

mutsje

Certified Prutser

Verwijderd schreef op 09 januari 2004 @ 12:20:
Waar kan ik caching van credentials eigenlijk vinden? en is dat hetzelfde als een roaming profile?

Dat is een Domain policy en dus moet je in je domain security policy gaan kijken.

Cached Criedentials uitzetten heeft als voordeel dat users niet met oude wachtwoorden enzo in kunnen loggen echter als er geen netwerk is kan niemand meer inloggen.... dus krijg je het rete druk op dat moment.

Het is trouwens aan te raden niet met de default domain policies te gaan spelen maar nieuwe policies er aan toe te voegen.

vrijdag 9 januari 2004 12:51

Acties:

Verwijderd

Topicstarter

Ik kan cached credentials niet vinden (NOOB detected

) is het neit hetzelfde als roaming profiles?

vrijdag 9 januari 2004 12:52

Acties:

elevator

Officieel moto fan :)

_{Lord_Carnage, als je zelf de laatste bent die in een topic gereageerd heeft, zou je dan je bericht willen bewerken ipv een nieuwe reply te posten?}

Je stelt dat in op: (policy editor) -> Computer Config -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Number of Previous of Logons to Cache

vrijdag 9 januari 2004 13:07

Acties:

Verwijderd

Topicstarter

oke tnx...

Ik zit alleen op een public PC... Moet ik eerst inloggen /me = lui

dinsdag 13 januari 2004 10:20

Acties:

Verwijderd

Topicstarter

Hallo jongens,

Het aanpassen van de diverse policies mocht niet baten... Het probleem blijft bestaan. Ik zit te denken aan het nieuw inrichten van het netwerk, maar ik denk eigenlijk dat het niet ligt aan de werkstations, aangezien de laptops er ook last van hebben... Ik ga alleen nog even de connectie doormeten, maar ook daar verwacht ik geen problemen.

Is er niemand anders die dit probleem kent?

Groeten,

dinsdag 13 januari 2004 17:33

Acties:

sanfranjake

Computers can do that?

Verwijderd schreef op 13 januari 2004 @ 10:20:
Hallo jongens,

Het aanpassen van de diverse policies mocht niet baten... Het probleem blijft bestaan. Ik zit te denken aan het nieuw inrichten van het netwerk, maar ik denk eigenlijk dat het niet ligt aan de werkstations, aangezien de laptops er ook last van hebben... Ik ga alleen nog even de connectie doormeten, maar ook daar verwacht ik geen problemen.

Is er niemand anders die dit probleem kent?

Groeten,

Beste Lord Carnage. Boven je zijn heel veel oplossingen aangedragen. welke heb je al geprobeerd ? De Administrative Templates van zowel Computer als Userpolicies zou ik nog maar ees heel goed door gaan spitten

Bij mij zit 't (2k3 Ent) Bij USER Configuration > Administrative templates > Windows Components > Internet Explorer.

Let op dat policies elkaar kunnen overlappen (bijvoorbeeld dezelfde setting in 2 verschillende policies aan de user geven). Heb je al eens de hele policy gedisabled ? Lukt het dan wel ?

Post anders je gpresult op die pc eens. Misschien kan een van ons daar nog iets in zien

[ Voor 6% gewijzigd door sanfranjake op 13-01-2004 17:34 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

woensdag 14 januari 2004 07:38

Acties:

mutsje

Certified Prutser

Verwijderd schreef op 13 januari 2004 @ 10:20:
Hallo jongens,

Het aanpassen van de diverse policies mocht niet baten... Het probleem blijft bestaan. Ik zit te denken aan het nieuw inrichten van het netwerk, maar ik denk eigenlijk dat het niet ligt aan de werkstations, aangezien de laptops er ook last van hebben... Ik ga alleen nog even de connectie doormeten, maar ook daar verwacht ik geen problemen.

Is er niemand anders die dit probleem kent?

Groeten,

Let wel op dat als je een policy aanpast op een windows 2000 domain je met Secedit nog een refresh moet doorvoeren... omdat het anders pas effectief wordt na 90 minuten.. Computer policies worden pas herladen na reboot computer User policies na een logoff en logon.

Staan er gekke dingen aan als loopback en dergelijke. Als je zoals Sanfranjake al post GPresult draait wat is dat het resultaat.. etc.

Pagina: 1

Reageer