Toon posts:

[2003 server] GPO

Pagina: 1
Acties:

donderdag 12 februari 2004 15:48

Acties:
  • En1
  • Registratie: Oktober 2000
  • Laatst online: 28-03 03:58

En1

Topicstarter
ik heb een GPO ingesteld voor users zie:

Afbeeldingslocatie: http://62.177.163.203/gpo.jpg

maar deze rechten worden niet uitgevoerd op het systeem waar ik met die user inlog :( hoe kan dat/dit en hoe maak ik het wel werkend?

[ Voor 2% gewijzigd door elevator op 12-02-2004 15:50 ]

Maximum effort - Deadpool

donderdag 12 februari 2004 15:49

Acties:
  • Nobby
  • Registratie: April 2002
  • Laatst online: 13-05 10:21

Nobby

Nuts!

Is die user niet nog lid van een andere groep die wel die rechten heeft?

From all the things I have lost, I miss my mind the most - Ozzy
Uitvindingen zijn niets anders dan betere middelen naar een slechter doel - Berry van Aerle
Het uitzetten van je pc is als het dooddrukken van een muis, dat doe je niet zo makkelijk.

donderdag 12 februari 2004 15:51

Acties:
  • En1
  • Registratie: Oktober 2000
  • Laatst online: 28-03 03:58

En1

Topicstarter
niet dat ik weet
moet ik op de users pc iets verandere dan dat deze rechten wel enabled worde op die pc's ?

Afbeeldingslocatie: http://62.177.163.203/group.jpg

[ Voor 56% gewijzigd door En1 op 12-02-2004 15:57 ]

Maximum effort - Deadpool

donderdag 12 februari 2004 16:51

Acties:
  • Tags NL
  • Registratie: December 1999
  • Laatst online: 24-04 13:38

Tags NL

Harmful or Harmless?

- Bevindt het account waar je mee inlogd zich wel in die Sales OU?
- Rsop.msc gerund en gekeken waar je settings vandaan komen?
- Is er een andere policy aanwezig met een No override optie?

https://powershellisfun.com

donderdag 12 februari 2004 16:56

Acties:
  • En1
  • Registratie: Oktober 2000
  • Laatst online: 28-03 03:58

En1

Topicstarter
k ben ingelogd als admin op de server zelf
dus als ik Rsop.msc doe zie ik admin rechten niet die van de user

ik moet dus op een ander systeem die rechten gaan instellen??

Maximum effort - Deadpool

donderdag 12 februari 2004 17:00

Acties:
  • Tags NL
  • Registratie: December 1999
  • Laatst online: 24-04 13:38

Tags NL

Harmful or Harmless?

ScoRPiuZ schreef op 12 februari 2004 @ 16:56:
k ben ingelogd als admin op de server zelf
dus als ik Rsop.msc doe zie ik admin rechten niet die van de user

ik moet dus op een ander systeem die rechten gaan instellen??
Nee, als je bent ingelogd als die gebruiker op de desbetreffende pc daar rsop.msc runnen of vanaf je eigen pc een mmc console maken met de Resultant Set of Policy snap-in. Vanuit die mmc console in planning mode dat account en pc opgeven...

https://powershellisfun.com

donderdag 12 februari 2004 19:24

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 07-05 09:20

mutsje

Certified Prutser

ScoRPiuZ schreef op 12 februari 2004 @ 16:56:
k ben ingelogd als admin op de server zelf
dus als ik Rsop.msc doe zie ik admin rechten niet die van de user

ik moet dus op een ander systeem die rechten gaan instellen??
[rml][ windows 2003]Howto: policies en tools[/rml] lees deze even rustig door. Hier staat precies hoe je policies kunt troubleshooten met tools als RSOP en GPresult. Ook kun je vanuit GPMC in planning mode kijken welke effecten het heeft op de user waar de policy in komt te hangen.

Als je een apparte user policy maakt op een OU moet de user in die OU zitten het zelfde geld voor een computerpolicy. Ook moet de user Read and Apply policy rights hebben anders kan de user de policy niet lezen en zal deze worden overgeslagen. (dit is allemaal basic windows 2003 beheer).

donderdag 12 februari 2004 19:39

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Als je in de tweede screenie kijkt zie je dat de policy niet 'Enforced' is. Verander dat even met rechtermuisklik ;)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 12 februari 2004 22:38

Acties:
  • En1
  • Registratie: Oktober 2000
  • Laatst online: 28-03 03:58

En1

Topicstarter
sanfranjake schreef op 12 februari 2004 @ 19:39:
Als je in de tweede screenie kijkt zie je dat de policy niet 'Enforced' is. Verander dat even met rechtermuisklik ;)
ja dat had ik ook al geprobeerd maar dat werkte toen nog niet ;)
maar ik ga morge ff de andere bovenstaande dingen ff probere misschien werkt dat :D

Maximum effort - Deadpool

donderdag 12 februari 2004 23:16

Acties:
  • itsRay
  • Registratie: November 2003
  • Laatst online: 10-02 20:04

itsRay

Enforced is alleen handig wanneer je koste wat het kost GPO settings van hoger gelegen GPO's wilt uitsluiten. Denk hierbij aan Site GPO's, Domain Toplevel GPO's of hoger gelegen OU's.

Check even de Delegation Tab. Hier zouden 'authenticated users' minimaal 'read+apply policy' rechten moeten hebben anders pas je (zonder dat je dat wist) filtering toe want de betreffende user kan namelijk dan de rechten helemaal niet lezen en applyen, begrijp je?

Check ook eens wanneer je die GPO 'Edit' helemaal bovenaan in de tree bij de properties. Daar kun je namelijk aangeven of specifiek alle 'computer' of 'user' settings moeten worden disabled.

Suc6

donderdag 12 februari 2004 23:24

Acties:
  • En1
  • Registratie: Oktober 2000
  • Laatst online: 28-03 03:58

En1

Topicstarter
wat moet ik nou op de server instellen en wat moet ik doen op een pc waar ik met die user inlog?

Maximum effort - Deadpool

donderdag 12 februari 2004 23:29

Acties:
  • itsRay
  • Registratie: November 2003
  • Laatst online: 10-02 20:04

itsRay

ScoRPiuZ schreef op 12 februari 2004 @ 23:24:
wat moet ik nou op de server instellen en wat moet ik doen op een pc waar ik met die user inlog?
Dat wat ik gemeld heb is allemaal alleen maar van toepassing op de GPO zelf. Niet op client pc tenzij je natuurlijk Group Policy editor erop gebruikt.
Je kunt het meteen testen of het werkt met Start-Run-Gpupdate.exe

donderdag 12 februari 2004 23:35

Acties:

Verwijderd

vallen de computer ook onder OU waar gpo "op" zit?
Draai inderdaad even een gpupdate /force (geforceerd)
en pak inderdaad even de gpmc en draai de result set uit en kijk wat ie krijgt...

donderdag 12 februari 2004 23:50

Acties:
  • itsRay
  • Registratie: November 2003
  • Laatst online: 10-02 20:04

itsRay

Is inderdaad een goeie. Je zegt dat je een PO voor users hebt gemaakt, echter geldt in het geval van een GPO alleen het user specifieke deel als in de OU alleen maar USERS zitten. Zit het computer account in dezelfde OU dan pakt ie ook de computer gpo instellingen mee, maar zitten ze in een andere OU dan kijkt de pc alleen maar naar zijn eigen OU (en bovenliggende tree).

vrijdag 13 februari 2004 09:35

Acties:
  • En1
  • Registratie: Oktober 2000
  • Laatst online: 28-03 03:58

En1

Topicstarter
itsRay schreef op 12 februari 2004 @ 23:16:
Enforced is alleen handig wanneer je koste wat het kost GPO settings van hoger gelegen GPO's wilt uitsluiten. Denk hierbij aan Site GPO's, Domain Toplevel GPO's of hoger gelegen OU's.

Check even de Delegation Tab. Hier zouden 'authenticated users' minimaal 'read+apply policy' rechten moeten hebben anders pas je (zonder dat je dat wist) filtering toe want de betreffende user kan namelijk dan de rechten helemaal niet lezen en applyen, begrijp je?

Check ook eens wanneer je die GPO 'Edit' helemaal bovenaan in de tree bij de properties. Daar kun je namelijk aangeven of specifiek alle 'computer' of 'user' settings moeten worden disabled.

Suc6
er staat alleen read (from security filtering) geen apply can ook nie editen
bij advanced staat wel apply from group policy dus neem aan dat dit wel goed staat

[ Voor 11% gewijzigd door En1 op 13-02-2004 09:39 ]

Maximum effort - Deadpool

vrijdag 13 februari 2004 09:42

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 07-05 09:20

mutsje

Certified Prutser

misschien moet TS maar de howto's door gaan lezen. daarin staat precies beschreven hoe je policies aanmaakt etc. Verder staat op de website van Microsoft ook enorm veel documenten hoe je policies aanmaakt en applied en dergelijke.

vrijdag 13 februari 2004 09:53

Acties:
  • En1
  • Registratie: Oktober 2000
  • Laatst online: 28-03 03:58

En1

Topicstarter
ja maar dat heb ik al doorgelezen en het aanmaken is het probleem niet ze worde niet applied op de desbetreffende users en pc's :(

Maximum effort - Deadpool

vrijdag 13 februari 2004 09:57

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 07-05 09:20

mutsje

Certified Prutser

ScoRPiuZ schreef op 13 februari 2004 @ 09:53:
ja maar dat heb ik al doorgelezen en het aanmaken is het probleem niet ze worde niet applied op de desbetreffende users en pc's :(
Ze moeten Read en Apply Policy rechten hebben. De users en Computers moeten in de betreffende OU staan. Maak anders een nieuwe OU aan en schop ze daar in en ga dan testen.

Vergeet niet op je server gpupdate /force te doen.. en op de client ook!

daarna kun je met gpresult op de client kijken of ze uberhaupt wel policies krijgen. Als je geen friendly names ziet is je sysvol folder corrupt en moet je deze terug rollen van backup tape etc...

vrijdag 13 februari 2004 10:03

Acties:
  • En1
  • Registratie: Oktober 2000
  • Laatst online: 28-03 03:58

En1

Topicstarter
ja ik was al bezig met een nieuwe te maken maar hoe krijg ik die computers in die OU?? de computer blijft bij computers staan kan ze niet move'n oid alleen een nieuwe maken

Maximum effort - Deadpool

vrijdag 13 februari 2004 10:12

Acties:
  • Tags NL
  • Registratie: December 1999
  • Laatst online: 24-04 13:38

Tags NL

Harmful or Harmless?

ScoRPiuZ schreef op 13 februari 2004 @ 10:03:
ja ik was al bezig met een nieuwe te maken maar hoe krijg ik die computers in die OU?? de computer blijft bij computers staan kan ze niet move'n oid alleen een nieuwe maken
Uh, rechtermuisknop op het computer account en move, selecteer de juiste OU en druk op Ok?

https://powershellisfun.com

vrijdag 13 februari 2004 10:14

Acties:
  • itsRay
  • Registratie: November 2003
  • Laatst online: 10-02 20:04

itsRay

Tuurlijk kun je zo wel moven! Rechtsklik op computer in Users & COmputers Snap-In en dan aangeven welke OU ze heen moeten. Als je dat niet kunt moet je je af gaan vragen of je eigenlijk wel admin rechten hebt?!

vrijdag 13 februari 2004 10:23

Acties:
  • En1
  • Registratie: Oktober 2000
  • Laatst online: 28-03 03:58

En1

Topicstarter
err ja nu doet ie het wel, had alles weggehaalt en nieuwe gemaakt
nou ff verder testen of hij de rest wel pakt..

Maximum effort - Deadpool

vrijdag 13 februari 2004 10:28

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 07-05 09:20

mutsje

Certified Prutser

In Windows 2003 kun je computer en user accounts gewoon slepen van de ene naar de andere OU. Ben je voor studie bezig of beheer je echt een Windows Server 2003 ?

vrijdag 13 februari 2004 10:32

Acties:
  • En1
  • Registratie: Oktober 2000
  • Laatst online: 28-03 03:58

En1

Topicstarter
mutsje schreef op 13 februari 2004 @ 10:28:
In Windows 2003 kun je computer en user accounts gewoon slepen van de ene naar de andere OU. Ben je voor studie bezig of beheer je echt een Windows Server 2003 ?
beheer dr echt 1 :) overgestapt van nt4 naar 2003 heb al documentatie gelezen enzo maar ik had je al een mail gestuurt btw ;)

Maximum effort - Deadpool

vrijdag 13 februari 2004 10:33

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 07-05 09:20

mutsje

Certified Prutser

naar me datacrash account want ik zit nu op het werk :+ en daar lees ik het niet.... ik log wel ff in op me server en kijk het met owa wel.

vrijdag 13 februari 2004 10:35

Acties:
  • En1
  • Registratie: Oktober 2000
  • Laatst online: 28-03 03:58

En1

Topicstarter
okay anders geef je ff je werk email :p :+

Maximum effort - Deadpool

vrijdag 13 februari 2004 10:41

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 07-05 09:20

mutsje

Certified Prutser

ScoRPiuZ schreef op 13 februari 2004 @ 10:35:
okay anders geef je ff je werk email :p :+
uhh nee...

maar kunnen we weer ontopic gaan anders wordt dit slowchat.

[ Voor 17% gewijzigd door mutsje op 13-02-2004 10:41 ]

vrijdag 13 februari 2004 10:44

Acties:
  • En1
  • Registratie: Oktober 2000
  • Laatst online: 28-03 03:58

En1

Topicstarter
ja was eigenlijk al via de email bezig want dat is beter als hier denk ik

Maximum effort - Deadpool

vrijdag 13 februari 2004 11:21

Acties:
  • Tags NL
  • Registratie: December 1999
  • Laatst online: 24-04 13:38

Tags NL

Harmful or Harmless?

ScoRPiuZ schreef op 12 februari 2004 @ 16:56:
k ben ingelogd als admin op de server zelf
dus als ik Rsop.msc doe zie ik admin rechten niet die van de user

ik moet dus op een ander systeem die rechten gaan instellen??
Nogmaals maar dan meer uitlegd (Dit ook naar je gemaild trouwens...)

Het gaat er niet om wat je op de server of client instelt... Je maakt een Group Policy in Active Directory, deze geldt over het gehele domain voor clients en servers. Afhankelijk van de plaats waar je de GPO linked op een OU treedt deze in werking...

Als je iets in voor een User wilt instellen, dan doe je dat in de User Configuration van een policy. Deze geldt, als je hem op een OU linked, voor alle accounts die zich in de OU bevinden. Maak je echter een GPO aan met settings in het Computer Configration gedeelte van een GPO, dan geldt dat voor alle computers in de OU waarop je hem linked. Als je computer account zich ergens anders bevindt, dus niet in de OU waar je de GPO op hebt gelinked, dan trekt deze zich niets aan van die settings die je daarin maakt...

Dus, als je iets voor een aantal gebruikers wilt instellen dan maak je een nieuwe GPO op de OU aan waar deze zich in bevinden. Als je als gebruiker opnieuw inlogd dan moet hij deze nieuwe settings krijgen... Wil je een computer setting aanpassen en doorvoeren op je clients, dan zul je een GPO moeten aanmaken op de OU waarin deze clients (computer accounts) zich bevinden... Na herstart van de client, of in een commandbox gpupdate.exe runnen, moeten deze settings doorwerken op de client...

https://powershellisfun.com

vrijdag 13 februari 2004 11:35

Acties:
  • En1
  • Registratie: Oktober 2000
  • Laatst online: 28-03 03:58

En1

Topicstarter
ja oke

ik heb net alles weer ff weg gehaalt, ik heb 1 ding veranderd bij de default policy kijke of dat wel werkt, ik doe een user maken in users dus niet in een OU. dan werkt dat nog niet :(

Maximum effort - Deadpool

vrijdag 13 februari 2004 11:39

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 07-05 09:20

mutsje

Certified Prutser

ScoRPiuZ schreef op 13 februari 2004 @ 11:35:
ja oke

ik heb net alles weer ff weg gehaalt, ik heb 1 ding veranderd bij de default policy kijke of dat wel werkt, ik doe een user maken in users dus niet in een OU. dan werkt dat nog niet :(
de user moet in dezelfde OU staan als waar de Policy actief op is....................

vrijdag 13 februari 2004 11:46

Acties:
  • En1
  • Registratie: Oktober 2000
  • Laatst online: 28-03 03:58

En1

Topicstarter
ja maar alle users of builtin dan? die staan ook niet in een OU die krijgen toch die default policy???

volgens mij werkt het nu , terwijl ik hetzelfde heb gedaan als alle andere keren???

[ Voor 31% gewijzigd door En1 op 13-02-2004 12:03 ]

Maximum effort - Deadpool

vrijdag 13 februari 2004 15:25

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 07-05 09:20

mutsje

Certified Prutser

ik raad je echt aan om een Windows 2003 Server boek aan te schaffen. Dit is niet alleen leerzaam maar ook erg handig voor naslagwerk. Ik heb ze zelf ook allemaal op mijn bureau @work staan.
Pagina: 1
Reageer