Toon posts:

[W2003] Policy's in niet domain*

Pagina: 1
Acties:

maandag 4 oktober 2004 11:10

Acties:
  • Baarsjes
  • Registratie: April 2002
  • Niet online

Baarsjes

Unagi

Topicstarter
Ik heb een Windows 2003 machine, hier loggen meerdere gebruikers op in via Citrix op een Samba domein. Nu wil ik bepaalde rechten op de machine beperken voor alle gebruikers. Nu is dit goed te doen via de group Policy (gpedit.msc). Maar de meeste beperkingen die ik wil opleggen zijn te vinden onder "User configuration". Aangezien ik geen zin heb om voor iedere gebruiker apart dit in te gaan stellen vraag ik me af of het mogelijk is dit voor alle gebruikers van het domein te doen.

Bijna alles wat hierover te vinden is gaat over Active Directory, hier maak ik dus geen gebruik van. Ik ben dus opzoek naar een linkje of een uitleg hoe je de rechten kan beperken in deze opstelling. Het maakt mij in principe niet uit of ik de beperkingen in Citrix, Windows of op de Samba server opleg.

http://www.bonuszoeken.nl

maandag 4 oktober 2004 11:22

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Je zal vermoedelijk de policies op de PC (Citrix server dus) zelf moeten doen via gpedit.msc - en vervolgens via rechten de policies excluden :)

maandag 4 oktober 2004 13:41

Acties:
  • Baarsjes
  • Registratie: April 2002
  • Niet online

Baarsjes

Unagi

Topicstarter
Ik snap dat ik via gpedit.msc die rechten moet aanpassen, maar dit doe je als ik het goed heb per user. Ik wil dit graag eenmalig doen en dan dit voor alle gebruikers inschakelen. En dat dit dan ook geld voor alle nieuwe users. Users kunnen nu al niet de policy aanpassen, dit kan alleen de administrator of een Domain Admin. Dus als het eenmaal goed staat dan kunnen zij het niet meer veranderen.

Wellicht kan er iets met policy's exporteren en dan in een login script zetten, maar ik kan hier bar weinig over vinden.

http://www.bonuszoeken.nl

maandag 4 oktober 2004 14:53

Acties:
  • Thrillseeka
  • Registratie: Maart 2001
  • Laatst online: 12-08-2024

Thrillseeka

Let love rule

in theorie zijn alle policies gewoon regkeys en register sleutels die user difened zijn zitten zover ik weet in de user.dat file dus die zou je in theorie volgens mij gewoon in default user kunnen zetten en dan word ie bij iedere nieuwe gebruiker ingestelt.
Wat je anders zou kunnen doen is de adm files openen met notepad kijken welke regkeys worden gezet die allemaal exporten en daarna in het inlog script zetten(een batch file die dat doet dan).

Lekker zijn is een gave :)

maandag 4 oktober 2004 21:20

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

mischien dat dit: http://support.microsoft....aspx?scid=kb;en-us;325351 je verder kan helpen.

het artikel gaat over een 2003 server in workgroup setting (not a domain) maar domain slaat op het feit dat het geen AD domain betreft, je 2003 server maakt immers geen gebruik van AD.

moeite waard om eens naar te kijken en om mee te spelen (pas wel op he!)

A wise man's life is based around fuck you

dinsdag 5 oktober 2004 14:26

Acties:
  • Baarsjes
  • Registratie: April 2002
  • Niet online

Baarsjes

Unagi

Topicstarter
zwelgje schreef op 04 oktober 2004 @ 21:20:
mischien dat dit: http://support.microsoft....aspx?scid=kb;en-us;325351 je verder kan helpen.

het artikel gaat over een 2003 server in workgroup setting (not a domain) maar domain slaat op het feit dat het geen AD domain betreft, je 2003 server maakt immers geen gebruik van AD.

moeite waard om eens naar te kijken en om mee te spelen (pas wel op he!)
Dank je voor de link, ik ben hiermee bezig geweest. Toch gaan ze er in die opzet vanuit dat er in zijn geheel geen domein is. Wat er in mijn geval dus wel is. Er wordt een onderscheidt gemaakt tussen lokale gebruikers en domein gebruikers.

Wat ik wel krijg is als ik een policy instel onder een lokale administrator en vervolgens inlog onder een domein gebruiker die lid is van de groep administrators de policy wordt overgenomen. Maar als ik vervolgens inlog onder een normale gebruiker dan is de policy weer verdwenen.

Wel wordt er in dat document verwezen naar een Registry.pol bestand, wat volgens mij toch iets te maken moet hebben met wat ik wil. Tot op heden alleen nog geen resultaat daarmee. Ik hoop dus op nog een tip.

http://www.bonuszoeken.nl

dinsdag 5 oktober 2004 15:20

Acties:

Verwijderd

je kan prima een "user policy" op een computer definieren.
Je zit steeds vaker dat er alleen pc / server policies zijn, en echte user policies niet gebruikt worden...

dinsdag 5 oktober 2004 15:37

Acties:
  • Baarsjes
  • Registratie: April 2002
  • Niet online

Baarsjes

Unagi

Topicstarter
Verwijderd schreef op 05 oktober 2004 @ 15:20:
je kan prima een "user policy" op een computer definieren.
Je zit steeds vaker dat er alleen pc / server policies zijn, en echte user policies niet gebruikt worden...
Dat is dus ook wat ik zou willen, hoe doe ik dat in deze opstelling? Heb je een linkje voor me?

http://www.bonuszoeken.nl

dinsdag 5 oktober 2004 20:26

Acties:
  • BitProcessor
  • Registratie: Februari 2001
  • Laatst online: 24-04 08:38

BitProcessor

Als je via gpedit.msc de local computer policy gaat editeren ben je ZOWIESO voor de computer bezig !

Zie ook structuur van het venster dat je krijgt :

Local Computer Policy
|
----------- Computer
|
----------- User

Het enige verschil zit hem in hetvolgende :

WANNEER worden de policies toegepast :

Computer : bij boot pc
User : bij logon user

Geloof me vrij, als je op de goede manier een user policy aanmaakt, dan heeft zelfs de admin het zitten ;) Workaround is dan het aanpassen van de security op NTFS niveau zodat de admin GEEN rechten heeft om de policy te lezen. Op die manier kan je dan omzeilen dat het User-gedeelte van de local computer policy uitgevoerd wordt voor de admin.

Alle details kan je hier vinden :

http://www.windowsnetwork...thoutActiveDirectory.html

Aanvullingetje : zolang je de local computer policy niet uitschakeld door een AD policy, blijft die gewoon actief imho, zelfs al zit je in een samba domain.

[ Voor 24% gewijzigd door BitProcessor op 05-10-2004 21:12 . Reden: aanvulling... ]

"I think there is a world market for maybe five computers" - Thomas Watson, chairman of IBM, 1943

dinsdag 5 oktober 2004 23:27

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Baarsjes schreef op 05 oktober 2004 @ 14:26:
Dank je voor de link, ik ben hiermee bezig geweest. Toch gaan ze er in die opzet vanuit dat er in zijn geheel geen domein is. Wat er in mijn geval dus wel is. Er wordt een onderscheidt gemaakt tussen lokale gebruikers en domein gebruikers.
Wat je in dit geval goed onder ogen moet houden dat in Microsoftese een Domain gelijk staat aan een Active Directory domain.

Een Samba Domain is niks meer dan een NT4 domain , en komt meer overeen met een Workgroup (oftewel: local policies).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 6 oktober 2004 07:58

Acties:
  • Baarsjes
  • Registratie: April 2002
  • Niet online

Baarsjes

Unagi

Topicstarter
Ik heb de link uitvoerig uitgeprobeerd maar kom er toch niet uit, het lijkt wel een rechten kwestie. Voor een Domain Admin kan ik de rechten wel instellen. Ik zet onder lokale Administrator wat policy's aan, ik disable read acces tot de map %systemroot%\system32\GoupPolicy voor deze Domain Admin en vervolgens gelden de rechten wel voor de lokale administrator en niet voor de Domain Admin. Als ik vervolgens wel weer read rechten toeken aan de Domain Admin dan gelden de policy's ook voor hem.

Maar als ik nu precies hetzzelfde trucje uithaal met een normale Domain User werkt het niet, op geen enkele manier wordt de gewenste policy doorgevoerd. Is er iemand die dit wel al in de praktijk heeft gebruikt?

http://www.bonuszoeken.nl

woensdag 6 oktober 2004 08:05

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 23-04 19:36

mutsje

Certified Prutser

omdat het een member server betreft is het erg logisch als jij domain admins geen read rechten geeft de local administrator wel read rechten heeft...... Kun je je hele lijst eens laten zien bij de policy wie wel en wie niet read rechten heeft.. ik bedoel dan bv everyone > Read Domain admins > niet.. etc.

woensdag 6 oktober 2004 08:40

Acties:
  • Baarsjes
  • Registratie: April 2002
  • Niet online

Baarsjes

Unagi

Topicstarter
Dat is inderdaad logisch en dat begrijp ik ook. Maar waarom heeft een gebruiker die ik expliciet rechten toeken op die directory dat dan blijkbaar niet? Lijstje bestaat nu uit:
- Administrator (lokaal) Full Controll
- Authenticated users (Lokaal) Read & Execute, List Folder Content, Read
- user1 (domain user) Full Controll
- System (lokaal) Full Controll

Voor User1, zou de policy ook moeten gelden, dat het met deze instelling dus niet doet.

http://www.bonuszoeken.nl

woensdag 6 oktober 2004 21:57

Acties:
  • BitProcessor
  • Registratie: Februari 2001
  • Laatst online: 24-04 08:38

BitProcessor

Als je nu hetvolgende doet :

SYSTEM : full control
Administrator : full control
Domain admins : full control
authenticated users : read & execute

werkt het dan (voor iedereen) :?

"I think there is a world market for maybe five computers" - Thomas Watson, chairman of IBM, 1943

donderdag 7 oktober 2004 09:54

Acties:
  • Baarsjes
  • Registratie: April 2002
  • Niet online

Baarsjes

Unagi

Topicstarter
Dan werkt het voor de lokale administrator, de domain admins maar niet voor de domain users, en dat is nou net de groep waar het voor moet gelden. En dus ook als ik deze erbij zet met full control dan werkt het niet. Het lijkt dus dat er nog ergens rechten moeten worden toegekend, ik kan alleen met geen mogelijkheid vinden waar.

http://www.bonuszoeken.nl

donderdag 7 oktober 2004 12:37

Acties:
  • BitProcessor
  • Registratie: Februari 2001
  • Laatst online: 24-04 08:38

BitProcessor

Geef eens even een output van volgend commando :

cacls c:\windows\system32\GroupPolicy /t

Bijkomend : authenticated users omvat normaal gezien ook de domain users.

[ Voor 60% gewijzigd door BitProcessor op 07-10-2004 12:43 ]

"I think there is a world market for maybe five computers" - Thomas Watson, chairman of IBM, 1943

donderdag 7 oktober 2004 21:13

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Baarsjes schreef op 06 oktober 2004 @ 08:40:
Voor User1, zou de policy ook moeten gelden, dat het met deze instelling dus niet doet.
Is User1 een lokale user of staat die niet op het systeem?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 8 oktober 2004 09:45

Acties:
  • Baarsjes
  • Registratie: April 2002
  • Niet online

Baarsjes

Unagi

Topicstarter
BackSlash32 schreef op 07 oktober 2004 @ 21:13:
[...]

Is User1 een lokale user of staat die niet op het systeem?
Dit is een domein user, en geef ik dus rechten als in DOMAIN\user1.
G8KeePeR schreef op 07 oktober 2004 @ 12:37:
Geef eens even een output van volgend commando :

cacls c:\windows\system32\GroupPolicy /t.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143

O:\WINDOWS\system32\GroupPolicy BUILTIN\Administrators:(OI)(CI)F 
                                NT AUTHORITY\Authenticated Users:(OI)(CI)R 
                                DOMAIN\User1:(OI)(CI)F 
                                DOMAIN\Domain Admins:(OI)(CI)F 
                                NT AUTHORITY\SYSTEM:(OI)(CI)F 

O:\WINDOWS\system32\GroupPolicy\Adm BUILTIN\Administrators:(OI)(CI)F 
                                    NT AUTHORITY\Authenticated Users:(OI)(CI)R 
                                    DOMAIN\User1:(OI)(CI)F 
                                    DOMAIN\Domain Admins:(OI)(CI)F 
                                    NT AUTHORITY\SYSTEM:(OI)(CI)F 

O:\WINDOWS\system32\GroupPolicy\gpt.ini BUILTIN\Administrators:F 
                                        NT AUTHORITY\Authenticated Users:R 
                                        DOMAIN\User1:F 
                                        DOMAIN\Domain Admins:F 
                                        NT AUTHORITY\SYSTEM:F 

O:\WINDOWS\system32\GroupPolicy\Machine BUILTIN\Administrators:(OI)(CI)F 
                                        NT AUTHORITY\Authenticated Users:(OI)(CI)R 
                                        DOMAIN\User1:(OI)(CI)F 
                                        DOMAIN\Domain Admins:(OI)(CI)F 
                                        NT AUTHORITY\SYSTEM:(OI)(CI)F 

O:\WINDOWS\system32\GroupPolicy\User BUILTIN\Administrators:(OI)(CI)F 
                                     NT AUTHORITY\Authenticated Users:(OI)(CI)R 
                                     DOMAIN\User1:(OI)(CI)F 
                                     DOMAIN\Domain Admins:(OI)(CI)F 
                                     NT AUTHORITY\SYSTEM:(OI)(CI)F 

O:\WINDOWS\system32\GroupPolicy\Adm\admfiles.ini BUILTIN\Administrators:F 
                                                 NT AUTHORITY\Authenticated Users:R 
                                                 DOMAIN\User1:F 
                                                 DOMAIN\Domain Admins:F 
                                                 NT AUTHORITY\SYSTEM:F 

O:\WINDOWS\system32\GroupPolicy\Adm\conf.adm BUILTIN\Administrators:F 
                                             NT AUTHORITY\Authenticated Users:R 
                                             DOMAIN\User1:F 
                                             DOMAIN\Domain Admins:F 
                                             NT AUTHORITY\SYSTEM:F 

O:\WINDOWS\system32\GroupPolicy\Adm\inetres.adm BUILTIN\Administrators:F 
                                                NT AUTHORITY\Authenticated Users:R 
                                                DOMAIN\User1:F 
                                                DOMAIN\Domain Admins:F 
                                                NT AUTHORITY\SYSTEM:F 

O:\WINDOWS\system32\GroupPolicy\Adm\system.adm BUILTIN\Administrators:F 
                                               NT AUTHORITY\Authenticated Users:R 
                                               DOMAIN\User1:F 
                                               DOMAIN\Domain Admins:F 
                                               NT AUTHORITY\SYSTEM:F 

O:\WINDOWS\system32\GroupPolicy\Adm\wmplayer.adm BUILTIN\Administrators:F 
                                                 NT AUTHORITY\Authenticated Users:R 
                                                 DOMAIN\User1:F 
                                                 DOMAIN\Domain Admins:F 
                                                 NT AUTHORITY\SYSTEM:F 

O:\WINDOWS\system32\GroupPolicy\Adm\wuau.adm BUILTIN\Administrators:F 
                                             NT AUTHORITY\Authenticated Users:R 
                                             DOMAIN\User1:F 
                                             DOMAIN\Domain Admins:F 
                                             NT AUTHORITY\SYSTEM:F 

O:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol BUILTIN\Administrators:F 
                                                     NT AUTHORITY\Authenticated Users:R 
                                                     DOMAIN\User1:F 
                                                     DOMAIN\Domain Admins:F 
                                                     NT AUTHORITY\SYSTEM:F 

O:\WINDOWS\system32\GroupPolicy\Machine\Scripts BUILTIN\Administrators:(OI)(CI)F 
                                                NT AUTHORITY\Authenticated Users:(OI)(CI)R 
                                                DOMAIN\User1:(OI)(CI)F 
                                                DOMAIN\Domain Admins:(OI)(CI)F 
                                                NT AUTHORITY\SYSTEM:(OI)(CI)F 

O:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Shutdown BUILTIN\Administrators:(OI)(CI)F 
                                                         NT AUTHORITY\Authenticated Users:(OI)(CI)R 
                                                         DOMAIN\User1:(OI)(CI)F 
                                                         DOMAIN\Domain Admins:(OI)(CI)F 
                                                         NT AUTHORITY\SYSTEM:(OI)(CI)F 

O:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Startup BUILTIN\Administrators:(OI)(CI)F 
                                                        NT AUTHORITY\Authenticated Users:(OI)(CI)R 
                                                        DOMAIN\User1:(OI)(CI)F 
                                                        DOMAIN\Domain Admins:(OI)(CI)F 
                                                        NT AUTHORITY\SYSTEM:(OI)(CI)F 

O:\WINDOWS\system32\GroupPolicy\User\MICROSOFT BUILTIN\Administrators:(OI)(CI)F 
                                               NT AUTHORITY\Authenticated Users:(OI)(CI)R 
                                               DOMAIN\User1:(OI)(CI)F 
                                               DOMAIN\Domain Admins:(OI)(CI)F 
                                               NT AUTHORITY\SYSTEM:(OI)(CI)F 

O:\WINDOWS\system32\GroupPolicy\User\Registry.pol BUILTIN\Administrators:F 
                                                  NT AUTHORITY\Authenticated Users:R 
                                                  DOMAIN\User1:F 
                                                  DOMAIN\Domain Admins:F 
                                                  NT AUTHORITY\SYSTEM:F 

O:\WINDOWS\system32\GroupPolicy\User\Scripts BUILTIN\Administrators:(OI)(CI)F 
                                             NT AUTHORITY\Authenticated Users:(OI)(CI)R 
                                             DOMAIN\User1:(OI)(CI)F 
                                             DOMAIN\Domain Admins:(OI)(CI)F 
                                             NT AUTHORITY\SYSTEM:(OI)(CI)F 

O:\WINDOWS\system32\GroupPolicy\User\MICROSOFT\IEAK BUILTIN\Administrators:(OI)(CI)F 
                                                    NT AUTHORITY\Authenticated Users:(OI)(CI)R 
                                                    DOMAIN\User1:(OI)(CI)F 
                                                    DOMAIN\Domain Admins:(OI)(CI)F 
                                                    NT AUTHORITY\SYSTEM:(OI)(CI)F 

O:\WINDOWS\system32\GroupPolicy\User\MICROSOFT\IEAK\install.ins BUILTIN\Administrators:F 
                                                                NT AUTHORITY\Authenticated Users:R 
                                                                DOMAIN\User1:F 
                                                                DOMAIN\Domain Admins:F 
                                                                NT AUTHORITY\SYSTEM:F 

O:\WINDOWS\system32\GroupPolicy\User\MICROSOFT\IEAK\LOCK BUILTIN\Administrators:(OI)(CI)F 
                                                         NT AUTHORITY\Authenticated Users:(OI)(CI)R 
                                                         DOMAIN\User1:(OI)(CI)F 
                                                         DOMAIN\Domain Admins:(OI)(CI)F 
                                                         NT AUTHORITY\SYSTEM:(OI)(CI)F 

O:\WINDOWS\system32\GroupPolicy\User\Scripts\Logoff BUILTIN\Administrators:(OI)(CI)F 
                                                    NT AUTHORITY\Authenticated Users:(OI)(CI)R 
                                                    DOMAIN\User1:(OI)(CI)F 
                                                    DOMAIN\Domain Admins:(OI)(CI)F 
                                                    NT AUTHORITY\SYSTEM:(OI)(CI)F 

O:\WINDOWS\system32\GroupPolicy\User\Scripts\Logon BUILTIN\Administrators:(OI)(CI)F 
                                                   NT AUTHORITY\Authenticated Users:(OI)(CI)R 
                                                   DOMAIN\User1:(OI)(CI)F 
                                                   DOMAIN\Domain Admins:(OI)(CI)F 
                                                   NT AUTHORITY\SYSTEM:(OI)(CI)F 

O:\WINDOWS\system32\GroupPolicy\User\Scripts\scripts.ini BUILTIN\Administrators:F 
                                                         NT AUTHORITY\Authenticated Users:R 
                                                         DOMAIN\User1:F 
                                                         DOMAIN\Domain Admins:F 
                                                         NT AUTHORITY\SYSTEM:F

http://www.bonuszoeken.nl

vrijdag 8 oktober 2004 20:46

Acties:
  • BitProcessor
  • Registratie: Februari 2001
  • Laatst online: 24-04 08:38

BitProcessor

Hmmm, bij mij ziet dat er op een win2k3 machine wel iets anders uit. Dat er een aantal filetjes anders zijn is geen probleem, maar bij de toegangen is er wel degelijk altijd een execute-toegang aanwezig. Zou dat het kunnen zijn :?

Verder, krijg je foutmeldingen in je eventlog ?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40

\\whale\c$\windows\system32\GroupPolicy NT AUTHORITY\SYSTEM:F 
                                        BUILTIN\Administrators:F 
                                        NT AUTHORITY\Authenticated Users:R 
                                        NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F 
                                        BUILTIN\Administrators:(OI)(CI)(IO)F 
                                        NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(special access:)

                                                                                     GENERIC_READ
                                                                                     GENERIC_EXECUTE
 

\\whale\c$\windows\system32\GroupPolicy\gpt.ini NT AUTHORITY\SYSTEM:F 
                                                BUILTIN\Administrators:F 
                                                NT AUTHORITY\Authenticated Users:R 

\\whale\c$\windows\system32\GroupPolicy\Machine NT AUTHORITY\SYSTEM:F 
                                                NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F 
                                                BUILTIN\Administrators:F 
                                                BUILTIN\Administrators:(OI)(CI)(IO)F 
                                                NT AUTHORITY\Authenticated Users:R 
                                                NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(special access:)

                                                                                             GENERIC_READ
                                                                                             GENERIC_EXECUTE
 

\\whale\c$\windows\system32\GroupPolicy\User NT AUTHORITY\SYSTEM:F 
                                             NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F 
                                             BUILTIN\Administrators:F 
                                             BUILTIN\Administrators:(OI)(CI)(IO)F 
                                             NT AUTHORITY\Authenticated Users:R 
                                             NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(special access:)

                                                                                          GENERIC_READ
                                                                                          GENERIC_EXECUTE
 

\\whale\c$\windows\system32\GroupPolicy\Machine\Registry.pol NT AUTHORITY\SYSTEM:F 
                                                             BUILTIN\Administrators:F 
                                                             NT AUTHORITY\Authenticated Users:R

"I think there is a world market for maybe five computers" - Thomas Watson, chairman of IBM, 1943

vrijdag 8 oktober 2004 21:05

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Baarsjes schreef op 08 oktober 2004 @ 09:45:

Dit is een domein user, en geef ik dus rechten als in DOMAIN\user1.
Een Samba domain user ja.
Geen AD user.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 9 oktober 2004 09:44

Acties:
  • Baarsjes
  • Registratie: April 2002
  • Niet online

Baarsjes

Unagi

Topicstarter
BackSlash32 schreef op 08 oktober 2004 @ 21:05:
[...]
Een Samba domain user ja.
Geen AD user.
Ja dat klopt, mijn gehele probleem is ook dat ik geen AD heb. Vandaar mijn topic of er toch een mogelijkheid is om in deze setup policy's in te voeren.

Ik zal proberen execute rechten toe te kennen, en nee ik krijg geen foutmeldingen in mijn event log.

[ Voor 16% gewijzigd door Baarsjes op 09-10-2004 09:45 ]

http://www.bonuszoeken.nl

zaterdag 9 oktober 2004 10:10

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Je hebt dus een 2003 Server als member server in een Samba domain (NT4 style).
Dus zul je ook de NT4 style policy editor moeten gebruiken (ja, dat kan nog steeds op een XP/2003 bak gebruikt worden) met alle beperkingen die dat mechanisme heeft (tattooing).

Immers: Group Policies werken alleen voor local SAM users (standalone/workgroup) of voor AD domain users.
Nu zet je wel een domain user erbij maar das geen lokale gebruiker (als in user account in local SAM) dus werken die gpo 's ook niet.


http://sambaxp.org/sambaXP_2003/terpstra-XP2003.pdf

[ Voor 7% gewijzigd door alt-92 op 09-10-2004 10:11 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 9 oktober 2004 22:57

Acties:
  • Baarsjes
  • Registratie: April 2002
  • Niet online

Baarsjes

Unagi

Topicstarter
BackSlash32 schreef op 09 oktober 2004 @ 10:10:
Immers: Group Policies werken alleen voor local SAM users (standalone/workgroup) of voor AD domain users.
Nu zet je wel een domain user erbij maar das geen lokale gebruiker (als in user account in local SAM) dus werken die gpo 's ook niet.
Oke, het gaat dus niet werken zoals ik het nu wil? Het gehele group policy gbeuren hoef ik dus niet meer naar te kijken?

Met de "NT4 style policy editor" bedoel je gewoon poledit? Ik heb btw het pdf'je doorgekeken maar ik kan hier geen nuttige info uithalen mbt een oplossing. Er staan wel een flink aantal adviesen in maar kan er nog niet uithalen wat ik zou moeten doen in dit geval.

[ Voor 19% gewijzigd door Baarsjes op 09-10-2004 22:59 ]

http://www.bonuszoeken.nl

zondag 10 oktober 2004 19:40

Acties:
  • BitProcessor
  • Registratie: Februari 2001
  • Laatst online: 24-04 08:38

BitProcessor

Local Computer Policy moet gewoon werken hoor !

Er is gewoon wat mis met je config...

"I think there is a world market for maybe five computers" - Thomas Watson, chairman of IBM, 1943

maandag 11 oktober 2004 07:27

Acties:
  • Baarsjes
  • Registratie: April 2002
  • Niet online

Baarsjes

Unagi

Topicstarter
G8KeePeR schreef op 10 oktober 2004 @ 19:40:
Local Computer Policy moet gewoon werken hoor !

Er is gewoon wat mis met je config...
Ik hoopte al dat dit gewoon zou gaan werken. Maar jij geeft aan dat er iets mis is met mijn configuratie, heb jij het in deze setup wel al eens werkend gehad? En zo ja, kan jij uit mijn gegevens opmaken wat er dan mis is met mijn configuratie?

http://www.bonuszoeken.nl

maandag 11 oktober 2004 12:51

Acties:
  • BitProcessor
  • Registratie: Februari 2001
  • Laatst online: 24-04 08:38

BitProcessor

Ik heb het in deze setup nog niet werkend gehad nee.

Maar ik kan je wel vertellen dat je met 'echte' Active Directory ook nog steeds een Local Computer Policy kan gebruiken. Met en AD policy kan je die dan eventueel uitschakelen.

Wat er precies bij jouw fout gaat kan ik niet precies zeggen, is een beetje moeilijk zonder toegang tot het systeem hé ;)

Je zegt trouwens zelf ook dat het bij een domain admin wel werkt ?

Vermits je geen AD gebruikt, en dus ook geen OU's waar je verschillende policies kan aanhangen voor verschillende users/computers per OU, zou het in principe voor iedereen moeten werken.

[ Voor 28% gewijzigd door BitProcessor op 11-10-2004 12:53 ]

"I think there is a world market for maybe five computers" - Thomas Watson, chairman of IBM, 1943

woensdag 20 oktober 2004 14:34

Acties:
  • Baarsjes
  • Registratie: April 2002
  • Niet online

Baarsjes

Unagi

Topicstarter
Toch nog maar een kick aangezien ik er nog steeds niets uit krijg.
BackSlash32 schreef op 09 oktober 2004 @ 10:10:
Immers: Group Policies werken alleen voor local SAM users (standalone/workgroup) of voor AD domain users.
Nu zet je wel een domain user erbij maar das geen lokale gebruiker (als in user account in local SAM) dus werken die gpo 's ook niet.
BackSlash32, je geeft in deze quote een aantal tips, helaas kom ik er nog steeds niet uit, ook niet met dat pdf'je. Zou je iets specifieker kunnen zijn?

http://www.bonuszoeken.nl

woensdag 20 oktober 2004 19:19

Acties:
  • BitProcessor
  • Registratie: Februari 2001
  • Laatst online: 24-04 08:38

BitProcessor

@Backslash : ik kan me eventueel verzoenen met je verhaal, maar dan moet je me wel eens uitleggen waarom het dan bij de domain admin wel werkt, want dat zegt de topicstarter toch ? (is ook niet-AD-domain user)...

"I think there is a world market for maybe five computers" - Thomas Watson, chairman of IBM, 1943

woensdag 20 oktober 2004 23:58

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Baarsjes schreef op 20 oktober 2004 @ 14:34:
BackSlash32, je geeft in deze quote een aantal tips, helaas kom ik er nog steeds niet uit, ook niet met dat pdf'je. Zou je iets specifieker kunnen zijn?
Dat pdfje bevat de slides voor een presentatie t.b.v. Samba3 door John Terpstra, een van de oprichters van het Samba-team.
Daarin wordt in ieder geval aangegeven waar de "knelpunten" zitten en wat de toekomst voor samba (4) moet gaan worden.

Ik heb persoonlijk wel met 2000/XP workstations in een NT4 domain gewerkt, maar niet met Samba3 (wel 2.2.7+ ).
Het idee blijft echter hetzelfde; vandaar ook de verwijzing naar de old-style NT poledit (zit nog steeds in win2k trouwens, en bevat bovendien meer opties dan NT4 poledit).

Als je het begrip "domain" wat losser gaat zien kun je een standalone machine ook als een domain beschouwen; een 1 PC domain.
In sommige registry keys zie je op een standalone machine dan ook je lokale machinenaam als domain genoemd staan.
Vandaar mijn verwijzing ook naar localdomain/NT4 domain <> Active Directory domain.

Het is een beetje gut-feeling waarom je Domain Admins (die onder je Local Administrator groep komen te hangen in een domain) wel policies pakken maar je users niet....

Ik zou het zelf ook moeten testen maar daar heb ik helaas te weinig gelegenheid voor (werk gaat voor ;) ).

Ik ben wel een mogelijk alternatieve oplossing tegengekomen:

http://www.nitrobit.com/GroupPolicy.html
http://www.nitrobit.com/GroupPolicyScreenshots.html

Hierbij geldt wel dat je door een LDAP Server te draaien opeens weer een deel van de Active Directory methodiek gaat toepassen, en ik heb eerlijk gezegd ook geen idee of dit compatible gaat zijn met samba4 waar men ook via LDAP ADS wil gaan bieden.

[ Voor 12% gewijzigd door alt-92 op 21-10-2004 00:06 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1
Reageer