[2000] Group Policy*

Klinkt als iemand die niet bij de gpo's kan komen (misschien aan het proberen om de beveiliging van het netwerk te omzeilen?)

Als dit niet het geval is, is je enige mogelijkheid om de local computer policy aan te passen.
Hiervoor moet je wel administratorrechten op het lokale station hebben

Kun je niet de PC deny rechten geven op de group policy?

Dan zie ik geen andere mogelijkheid.

Ook van mij n kant de bevestiging:

Als je in een domain zit, is de Default Domain policy - waarin o.a. password aangelegenheden geregeld worden - leidend (het eerste wat je leert op je MCSE cursus ADS ). Wil je een afwijkende password policy, dan zul je een extra AD domain aan moeten maken en daar je werkstation in moeten hangen. Dit soort aangelegenheden moet je altijd via het management van je bedrijf afdwingen.

Wat je ook kunt doen is zorgen dat je password nooit expired ofzo, dan moet je dat zelf om de zoveel tijd wijzigen.

[ Voor 42% gewijzigd door Verwijderd op 02-08-2004 12:06 ]

Policy's worden in de volgende volgorde geapplyed

Local
Site
Domain
OU

Makkelijk is LSDOU.

Zit je pc in een domain dan gelden de domain policies en ou policies.

Wil je andere policies voor je pc zet deze dan in een andere OU, daar zijn OU's voor gemaakt.

Suc6

Verwijderd schreef op 02 augustus 2004 @ 12:59:
Wil je andere policies voor je pc zet deze dan in een andere OU, daar zijn OU's voor gemaakt.

Dit klopt helemaal voorzover het gaat om reguliere GPO's. maar dit gaat dus niet op voor Domain Policies zoals password restrictions... Sorry, ik had wat specifieker moeten zijn in mijn eerdere antwoord.

[ Voor 56% gewijzigd door Verwijderd op 02-08-2004 13:34 ]

password policies zet je op domain level.

Als de OU policy die van het domein overschrijft, dan maak je de aparte policy aan op de OU waar de computer in zit, en je zorgt dat hij alleen op die computer toegepast wordt (door bij de permissies Apply Policy alleen aan te zetten voor die computer).

Natuurlijk moeten de eerder toegepaste policies (domain dus), dan wel niet No Override aan hebben staan.

(Zijn wachtwoord-instellingen trouwens wel een aspect van Machine policies? Hoor dat niet bij User policy?)

[ Voor 14% gewijzigd door Verwijderd op 02-08-2004 16:00 ]

Verwijderd schreef op 02 augustus 2004 @ 15:59:
(Zijn wachtwoord-instellingen trouwens wel een aspect van Machine policies? Hoor dat niet bij User policy?)

User policies worden pas actief als er een user ingelogd is. Daar heb je dus niet veel aan voor je wachtwoord instellingen aangezien die actief moeten zijn voordat de user ingelogd is.

Zie voor de werking van password policies in een AD domain de volgende link:

http://support.microsoft....aspx?scid=kb;en-us;255550

Hier de verklaring waarom er maar één account policy (o.a. password rules) per domain is:

When you configure account policies (such as password policy and account lockout policy) in Active Directory, Microsoft Windows 2000 permits only one domain account policy per domain. Group Policy settings that are associated with one domain do not automatically propagate to the other domains in the forest. To associate Group Policy settings from one domain to another domain, the domains must be explicitly linked.

Je kunt wel voor je local accounts een uitzondering maken (zoals theRob al schreef). Je hebt hier alleen in de praktijk weinig aan mijns inziens:

There is an exception to the Windows 2000 rule that permits only one account policy per domain. You can configure another account policy for an organizational unit. The account policy settings for an organizational unit affect the local policies on computers that are contained in that organizational unit. For example, if a Windows 2000-based workstation is in an organizational unit that is named OU1, an administrator can create a Group Policy object for OU1 and specify account policy settings that are different from those of the default domain policy. In this case, when a user logs on to the domain, the account policy settings from the default domain policy are in place. When a user logs on locally to the Windows 2000-based workstation, the local account policies, as defined by the Group Policy object for OU1, are used.

Note Because domain controllers do not have local accounts as servers and workstations do, account policies that are defined in the default domain controller's organizational unit have no effect.

[ Voor 11% gewijzigd door Verwijderd op 02-08-2004 23:08 ]