Toon posts:

[AD] Security Group - Deny logon op computer

Pagina: 1
Acties:

maandag 14 juni 2004 11:08

Acties:

Verwijderd

Topicstarter
Ik wil voorkomen dat bepaalde gebruikersgroepen (security groups) niet kunnen inloggen op pc's. Op deze manier wil ik voorkomen dat leerlingen niet kunnen aanmelden op leerkracht pc's.

Ik dacht zelf dat ik vanuit AD de "%computername% properties" onder het tabblad "Security" wel een gebruikersgroep kon toevoegen en dan op Deny zetten. Echter kan ik dan nogsteeds inloggen met een gebruiker van die groep.

Ook heb ik gekeken onder de Group Policy, ook daar kan ik niets speciaals instellen (of ik moet er overheen kijken, wat natuurlijk het geval zou kunnen zijn). Ik heb gezocht op GoT, maar ook hier kon ik niets (zinnigs) vinden.

Ik kwam een message tegen, dat was dan het gene wat het meest in de buurt kwam, echter was ik hier al van op de hoogte en vind ik dat geen oplossing voor mijn probleem. Ik wil het op securitygroup basis doen en NIET op userbasis.
Verwijderd schreef op 10 oktober 2003 @ 10:30:
In de active directory kun je onder de user properties wel instellen bij welke pc's een gebruiker zich wel mag aanmelden. Maar je zou het eigenlijk vanaf de computer kant willen benaderen. (x gebruiker/groep mag zich op deze pc aanmelden). Maar volgens mij kan dit niet met de standaard tools die in win2k zitten.
Ik heb ook de volgende post gevonden op GoT, echter werkt het niet wat er staat (of ik denk / doe het fout).
Verwijderd schreef op 28 april 2003 @ 23:17:
OU aanmaken, computers die je wilt beperken erin knallen, group policy op deze OU zetten, en in de computer configuration | windows settings | local policies | user right assignments de logon locally of deny logon locally definieren op basis van group membership.
Let wel op dat Group policies in de volgende volgorde uitgevoerd worden:
Local, Site , Domein, OU, en dat er dus nergens een No Override of een deny staat.
Ik ga er dan van uit dat ik gebruik moet maken van de "deny logon locally"? Ik heb daar iig een groep aan toegevoegd en ik kan nogsteeds aanmelden. Computer geherstart en opnieuw geprobeerd. Zelfde effect.
Ook heb ik aan "Log on localy" de zelfde gebruikersgroep toegevoegd, restart (voor de zekerheid) maar dat maakt geen verschil. Ook als ik het toevoeg aan bijde groepen dan doet hij het niet.

[google=windows +"active directory" +"deny logon"]
[search=ad+"deny logon"]

Ik heb een image gemaakt, zoals ik het ingedeeld heb. Ik hoop niet dat het nodig is om de gebruiker in de zelfde OU te plaatsen als de OU waar de computer in staat.
http://baracuda.homeip.net/pics/got/werk-ad-config-tree.jpg

maandag 14 juni 2004 21:23

Acties:

Verwijderd

-> PNS

maandag 14 juni 2004 21:26

Acties:
  • leon1e
  • Registratie: December 2000
  • Nu online

leon1e

Heb je als eens gekeken wat gpresult als output geeft, met andere woorden wordt de juiste gpo wel uitgevoerd?

dinsdag 15 juni 2004 17:21

Acties:

Verwijderd

aangezien je een machine policy definieert moet je de machine in die ou hebben staan. (machine policy overrides user policy op hetzelfde niveau).

dinsdag 15 juni 2004 20:30

Acties:

Verwijderd

Topicstarter
leon1 schreef op 14 juni 2004 @ 21:26:
Heb je als eens gekeken wat gpresult als output geeft, met andere woorden wordt de juiste gpo wel uitgevoerd?
Ik zal dat morgen eens bekijken, ik ben morgen pas op dat gebouw.
Verwijderd schreef op 15 juni 2004 @ 17:21:
aangezien je een machine policy definieert moet je de machine in die ou hebben staan. (machine policy overrides user policy op hetzelfde niveau).
In mijn startpost staat een image, daar zie je RoelJ - Netwerkconfigtest als OU, daarin staat de machine waarop ik het test. Dan zou hij hem toch moeten laden?

woensdag 16 juni 2004 11:03

Acties:

Verwijderd

als je niet ergens no override hebt aangevinkt wel ja

woensdag 16 juni 2004 12:40

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 16 juni 2004 @ 11:03:
als je niet ergens no override hebt aangevinkt wel ja
Ik heb het voor de zekerheid even na gekeken maar geen van de gebruikte GP's is "no override". Ook de Security options van de GP's staan goed, ze zouden allemaal geladen moetten worden (everyone kan "read" en "apply group policy").

Ik heb even met gpresult achter de pc gezeten, ik heb wel wat dingen weg gegumt (security redenen). Ik krijg het volgende result.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

User Group Policy results for:
CN=Administrator,CN=Users,DC=bedrijfsnaam,DC=local
aantal groepen, maakt niet zo veel uit denk ik.

-----------------

Computer Group Policy results for:

CN=1-45-LK,OU=RoelJ - NetwerkConfigTest,OU=bedrijfsnaam,DC=bedrijfsnaam,DC=local

The computer is a member of the following security groups:
        BEDRIJFSNAAM\1-45-LK$
        BEDRIJFSNAAM\VSO-Leerlingen
        En nog een aantal, niet relevant denk ik.

----------------
The computer received "Registry" settings from these GPOs:

        Lokaal groepbeleid
        Default Domain Policy

-------------

The computer received "Security" settings from these GPOs:

        Default Domain Policy


------------
The computer received "EFS recovery" settings from these GPOs:

        Lokaal groepbeleid
        Default Domain Policy


Hieruit maak ik op dat hij de GP NIET laad, maar de vraag is waarom?
Hier een volledige beschijving van mn AD tree:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

bedrijfsnaam.local
  |- Computers
  |         A
  |         B
  |         C
  |
  |- Bedrijfsnaam
         |- Leerlingen
         |       |- Groep "Leerlingen"
         |       |- Testleerling (lid van Groep "Leerlingen")
         |
         |- RoelJ - NetwerkconfigTest
                  |- 1-45-LK

Er is een "Default Domain GP" (op bedrijfsnaam.local), ook is er onder de OU bedrijfsnaam een GP die hij niet geladen heeft (dat doet hij wel op alle andere computers, behalve de 1-45-LK (sinds dat hij in de RoelJ OU staat)).

Waarom laad hij mijn GP niet?

[ Voor 4% gewijzigd door Verwijderd op 16-06-2004 12:41 ]

woensdag 16 juni 2004 12:41

Acties:
  • paulhekje
  • Registratie: Maart 2001
  • Laatst online: 25-01 15:50

paulhekje

staat Apply wel aangevinkt bij de GPO?

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

woensdag 16 juni 2004 12:43

Acties:

Verwijderd

Topicstarter
paulhekje schreef op 16 juni 2004 @ 12:41:
staat Apply wel aangevinkt bij de GPO?
Ik ga er van uit dat je het onderstaande bedoeld, in dat geval: Ja. :)
Verwijderd schreef op 16 juni 2004 @ 12:40:
Ook de Security options van de GP's staan goed, ze zouden allemaal geladen moetten worden (everyone kan "read" en "apply group policy").

woensdag 16 juni 2004 17:54

Acties:

Verwijderd

Er is een GPO setting met de instelling : disable GPO upon creation of iets dergelijks.
Als dat aanstaat dan wordt zoals gezegd de nieuwe GPO disabled aangemaakt. Via edit of via de properties van de GPO kun je deze enabelen.

woensdag 16 juni 2004 20:01

Acties:
  • SED
  • Registratie: Januari 2000
  • Laatst online: 23-12-2025

SED

Ik wil voorkomen dat bepaalde gebruikersgroepen (security groups) niet kunnen inloggen op pc's. Op deze manier wil ik voorkomen dat leerlingen niet kunnen aanmelden op leerkracht pc's.
Met zo'n omschrijving zou ik als policy ook afhaken.
Dit is een dubbele ontkenning, geen idee wat die arme policy daarmee aanmoet.

Copyright and left by SED...

donderdag 17 juni 2004 09:08

Acties:

Verwijderd

Topicstarter
rsa: Onder "$gpname Options" kan ik no override en disabled aanzetten, deze staan bijde NIET aangevinkt. Onder "$gpname Properties" in het tabblad General kan je "Disable Computer Configuration settings" en "Disable User Configura....", deze staan ook niet aangevinkt.

SED: Uhh met zon omschrijving als jij geeft kom ik ook geen zak verder :/ ;)
Wat bedoel je met een dubbele ontkenning? Ik ontken toch de rechten niet dubbel? Ik gebruik alleen de "Deny logon locally" op een gebruikersgroep gezet, het lijkt me niet dat dat dubbelop is.
SED: ;)

[ Voor 8% gewijzigd door Verwijderd op 17-06-2004 09:44 ]

donderdag 17 juni 2004 09:39

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 12:55

Equator

Crew Council

#whisky #barista

Ik wil voorkomen dat bepaalde gebruikersgroepen (security groups) niet kunnen inloggen op pc's. Op deze manier wil ik voorkomen dat leerlingen niet kunnen aanmelden op leerkracht pc's.
^^^ Dat is jouw stukje tekst.. Lees het nu eens goed door.

Je wilt voorkomen dat bepaalde mensen niet in kunnen loggen..

Dat is was SED bedoelde.. Hij was alleen deze vergeten: ;)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq