[2000] Nieuw aangemaakte GPO werken niet bij mij* - Windows clients

donderdag 11 november 2004 09:42

Acties:

Verwijderd

Topicstarter

Hallo tweakers

Ik ben een OU aan het maken met daarin een group policy en dat wil maar niet werken. Nou was mijn vraag aan jullie wat ik fout doe.

Het gaat om windows 2000 server

- in de active directory RMT new > Organization Unit
- naam geven klaar
- RMT properties > Group policy
- New > naam geven klaar
- Edit
- In de tree User Configuration > Administrative templates
- bv controle panel en disable die.
- sluiten
- Dan RMT in de OU > new > user
- user aanmaken
- user RMT properties > Login script > standaard login script > User klaar
- Dan naar de properties van de Group policy
- securitie > add die user
- read en apply group policy allow
- Oke

Ik weet dat jullie hier een mooie how to over hebben maar op die manier lukt het ook niet. Het zal wel een geniepig dingetje zijn die ik weer vergeet

Alvast bedankt
Albert

[ Voor 5% gewijzigd door Verwijderd op 11-11-2004 09:57 ]

donderdag 11 november 2004 09:48

Acties:

mutsje

Certified Prutser

handig om te weten welk operating system we over praten. Kun je je starterspost editten en het OS erin vermelden.

donderdag 11 november 2004 10:11

Acties:

SysRq

Verwijderd schreef op 11 november 2004 @ 09:42:
Ik ben een OU aan het maken met daarin een group policy en dat wil maar niet werken. Nou was mijn vraag aan jullie wat ik fout doe.

Wat wil niet werken? Control Panel zie je nog steeds? Gaat het opslaan van de GP niet goed? Oftewel: meer info zou wel handig zijn. Bijvoorbeeld de dingen die je al geprobeerd hebt, eventuele foutmeldingen, met welke client je het probeerd e.d.

donderdag 11 november 2004 10:18

Acties:

Verwijderd

Topicstarter

als ik dus inlog @ xp client dan gebeurt er dus nix van wat ik in de policy disable. In dit geval blijft het controle panel gewoon toegankelijk.

/edit : ik krijg geen foutmeldingen.

[ Voor 14% gewijzigd door Verwijderd op 11-11-2004 10:19 ]

donderdag 11 november 2004 11:03

Acties:

Verwijderd

Al gekeken met GPresult welke policies wel applied worden?

donderdag 11 november 2004 11:05

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Je hebt ook de juiste pc's/users onder die OU hangen?

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

donderdag 11 november 2004 11:08

Acties:

stfn345

gpupdate?

donderdag 11 november 2004 11:11

Acties:

Twynn

RobIII schreef op 11 november 2004 @ 11:05:
Je hebt ook de juiste pc's/users onder die OU hangen?

PC maakt niet zoveel uit. Die krijgt enkel de machine-policies die in dit voorbeeld dus niet gedefinieerd worden

Maar misschien dat bovengenoemde gpupdate /force een uitkomst kan bieden

donderdag 11 november 2004 11:11

Acties:

Verwijderd

gpupdate /force

donderdag 11 november 2004 11:14

Acties:

Verwijderd

Topicstarter

De aangemaakt GP staat niet in de lijst van GP's

Wat is hier aan te doen. En explain de gp update even pls.

donderdag 11 november 2004 11:15

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Verwijderd schreef op 11 november 2004 @ 11:14:
De aangemaakt GP staat niet in de lijst van GP's Wat is hier aan te doen. En explain de gp update even pls.

C:\>gpupdate /?
...
...
/Force                     Past alle beleidsinstellingen opnieuw toe.
                            Standaard worden alleen gewijzigde
                            beleidsinstellingen toegepast.
...

...het is niet de bedoeling dat we je aan je handje houden, dit kun je zelf ook makkelijk achterhalen...

Twynn schreef op 11 november 2004 @ 11:11:
[...]

PC maakt niet zoveel uit. Die krijgt enkel de machine-policies die in dit voorbeeld dus niet gedefinieerd worden

Maar misschien dat bovengenoemde gpupdate /force een uitkomst kan bieden

I know

Ik dacht alleen "laat ik het er maar bij vermelden, weet 'ie dat ook meteen"

[ Voor 55% gewijzigd door RobIII op 11-11-2004 11:18 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

donderdag 11 november 2004 11:19

Acties:

Verwijderd

Topicstarter

Jah sorry dat ik een n00b ben in dit. Pas de eerste X dat ik er mee werk ( stage ). Dus miss iemand die er wat duidelijker in kan zijn.

donderdag 11 november 2004 11:24

Acties:

Verwijderd

Download gpmc.msc (http://www.microsoft.com/...3cbfc81887&displaylang=en)

Heel makkelijk proggie om GPO's te managen

donderdag 11 november 2004 11:33

Acties:

Verwijderd

Topicstarter

Ik denk niet dat ze dat hier zo leuk vinden als ik hier allemaal proggies ga installeren. Ik wil het graag gewoon op deze manier voor elkaar krijgen.

donderdag 11 november 2004 11:36

Acties:

SysRq

Verwijderd schreef op 11 november 2004 @ 11:19:
Jah sorry dat ik een n00b ben in dit. Pas de eerste X dat ik er mee werk ( stage ). Dus miss iemand die er wat duidelijker in kan zijn.

Heb je de bovenstaande mogelijke oplossingen nu al geprobeerd? Volgens mij nog niet namelijk? Of snap je nog iets niet?

donderdag 11 november 2004 11:39

Acties:

Verwijderd

Topicstarter

Ik snap die gpupdate niet. Als ik het command bij run uitvoer geeft ie foutmelding.

donderdag 11 november 2004 11:39

Acties:

Verwijderd

gpmc.msc is een microsoft product om makkelijker en overzichtelijker je GPO's te kunnen managen. Gewoon onderdeel van M$ dus.
Zie het als een vervanger van GPedit.msc ....

Kan me niet voorstellen dat daar moeilijk over gedaan kan worden ...

Maar zoals SysRq al schreef:

SysRq schreef op 11 november 2004 @ 11:36:
[...]

Heb je de bovenstaande mogelijke oplossingen nu al geprobeerd? Volgens mij nog niet namelijk? Of snap je nog iets niet?

Suc6 verder

donderdag 11 november 2004 11:44

Acties:

mutsje

Certified Prutser

Verwijderd schreef op 11 november 2004 @ 11:33:
Ik denk niet dat ze dat hier zo leuk vinden als ik hier allemaal proggies ga installeren. Ik wil het graag gewoon op deze manier voor elkaar krijgen.

Group Policy Manager Console is een product van Microsoft dat alleen te installeren is op WindowsXP SP1 of Windows Server 2003 machine. Licentie technisch gezien weet ik niet of deze vrijgegeven is voor gebruik op een 2000 domain.

Je maakt dus een OU aan en maakt een nieuw Group Policy Object aan. In properties geef je de groep waar de testuser lid van is READ en Apply Group Policy rechten. Geef je deze niet dan krijgt de gebruiker de GPO niet.

Met GPResult bekijk je de resultant set of policyes (RSOP) dus welke policies jou user/machine allemaal krijgt.

GPUpdate /force forceert het opnieuw ophalen van policies van de domain controller en als een gebruiker uit moet loggen krijg je deze melding ook in jouw command prompt met optie Y/N

donderdag 11 november 2004 11:45

Acties:

Verwijderd

Topicstarter

Even een vraag tussen door , is het verplicht om een group aan te maken in je OU om daar je user member van te laten zijn ??? Is bij de andere GP's hier namelijk wel.

donderdag 11 november 2004 11:47

Acties:

mutsje

Certified Prutser

Verwijderd schreef op 11 november 2004 @ 11:45:
Even een vraag tussen door , is het verplicht om een group aan te maken in je OU om daar je user member van te laten zijn ??? Is bij de andere GP's hier namelijk wel.

Neen je kunt ook losse gebruikers Read and Apply Group Policy rechten geven , bedenk echter als je iets uit gaat breiden en je moet 100 users erop zetten dat je dat sneller kunt doen door die gebruikers lid te maken van een Group welke je weer rechten geeft op de GPO.

Begin nou eerst maar eens met het basis boek Windows Server 2000 te lezen en dan zul je ook zien hoe Microsoft de Access Controll List etc opbouwt.

donderdag 11 november 2004 11:48

Acties:

SysRq

mutsje schreef op 11 november 2004 @ 11:44:
Group Policy Manager Console is een product van Microsoft dat alleen te installeren is op WindowsXP SP1 of Windows Server 2003 machine. Licentie technisch gezien weet ik niet of deze vrijgegeven is voor gebruik op een 2000 domain.

GPMC can be used to manage Windows Server 2003 as well as Windows 2000-based Group Policy implementations. Customers who have at least one valid license of Windows Server 2003 or Windows 2000 Server can obtain and use an unlimited number of copies of GPMC.

donderdag 11 november 2004 11:59

Acties:

Verwijderd

Topicstarter

Ik zou graag dat boek lezen , maar ik moet toch iets fout doen in de bovenstaande dingen die ik gedaan heb. Anders kan het toch niet mogelijk zijn dat de user nix van de aanpassingen in de policy merkt.

edit : de gpresult uitgevoerd , en de gpupdate is niet te vinden @ server

[ Voor 17% gewijzigd door Verwijderd op 11-11-2004 12:01 ]

donderdag 11 november 2004 12:05

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Verwijderd schreef op 11 november 2004 @ 11:59:
Ik zou graag dat boek lezen , maar ik moet toch iets fout doen in de bovenstaande dingen die ik gedaan heb. Anders kan het toch niet mogelijk zijn dat de user nix van de aanpassingen in de policy merkt.

edit : de gpresult uitgevoerd , en de gpupdate is niet te vinden @ server

Ik zou het eens op de clients proberen, daar hoor je gpupdate/gpresult uit te voeren...

[ Voor 6% gewijzigd door RobIII op 11-11-2004 12:06 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

donderdag 11 november 2004 12:06

Acties:

Verwijderd

Topicstarter

Kijk dat bedoel ik nou met n00b zijn

hahaha Hoelang duurt dat vernieuwingsbeleid ??? Hij is nou al 5 min bezig

[ Voor 42% gewijzigd door Verwijderd op 11-11-2004 12:11 ]

donderdag 11 november 2004 12:32

Acties:

Verwijderd

Topicstarter

gpupdate.exe en gpresult.exe uitgevoerd en nog geen verschil.

donderdag 11 november 2004 12:36

Acties:

Tomba

Quis custodiet ipsos custodes?

- Zie je meldingen in je eventlog ? (op de client)
- Staat je DNS-server ingesteld op een DC ?

tomba.tweakblogs.net || Mijn V&A

donderdag 11 november 2004 12:36

Acties:

Verwijderd

Kan je de resultaten van gpresult posten?

donderdag 11 november 2004 12:44

Acties:

Verwijderd

Topicstarter

Tomba schreef op 11 november 2004 @ 12:36:
- Zie je meldingen in je eventlog ? (op de client)
- Staat je DNS-server ingesteld op een DC ?

Staan heel foutmeldingen in mijn eventlog. Bron usernv

donderdag 11 november 2004 12:45

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 11 november 2004 @ 12:36:
Kan je de resultaten van gpresult posten?

Welke gegevens wil je hebben ?

[ Voor 18% gewijzigd door Verwijderd op 11-11-2004 12:52 ]

donderdag 11 november 2004 13:00

Acties:

Verwijderd

Verwijderd schreef op 11 november 2004 @ 12:32:
gpupdate.exe en gpresult.exe uitgevoerd en nog geen verschil.

Wat krijg je dan te zien als je dat uitvoerd?

Verwijderd schreef op 11 november 2004 @ 12:44:
[...]
Staan heel foutmeldingen in mijn eventlog. Bron usernv

Staat tijdsynchonisatie aan? Bij het toepassen van GPO's mag het tijdsverschil tussen de client en de server niet groter zijn dan (volgens mij) 5 sec. Als het tijdsverschil groter is kan dat hele vreemde gevolgen hebben. De userenv error kan daar op wijzen. Heb je het eventID al nagekeken op www.eventid.net?

donderdag 11 november 2004 13:10

Acties:

Verwijderd

Topicstarter

Hulpprogramma voor resultaat van groepsbeleid van het Microsoft (R) Windows
(R) XP-besturingssysteem, versie 2.0
Copyright (C) Microsoft Corp. 1981-2001

Gemaakt op 11-11-2004 om 13:06:56

RVB-resultaten voor MYTYLSCHOOL\ts.test op NG0017 : logboekmodus
-----------------------------------------------------------------

Type besturingssysteem: Microsoft Windows XP Professional
Configuratie van het besturingssysteem: Werkstation
Versie van het besturingssysteem: 5.1.2600
Domeinnaam: XXXXXXXX
Type domein:Windows 2000
Naam van de site:Default-First-Site-Name
Zwervend profiel:
Lokaal prodiel: C:\Documents and Settings\ts.test.XXXXXXX
Verbonden via een langzame verbinding?: Nee

COMPUTERINSTELLINGEN
---------------------
CN=NG0017,CN=Computers,DC=XXXXXXXXXX,DC=nl
Laatste maal dat het groepsbeleid is toegepast: 11-11-2004 at 12:12:10
Het groepsbeleid is toegepast vanuit:XXXXXX
Drempelwaarde van groepsbeleid voor langzame verbindingen: 500 kbps

Toegepaste groepsbeleidsobjecten
---------------------------------
Default Domain Policy

De volgende groepsbeleidsobejecten worden niet toegepast omdat ze zijn
gefilterd.
--------------------------------------------------------------------------------------
Lokaal groepsbeleid
Filteren: Niet toegepast (leeg)

De computer is deel van de volgende beveiligingsgroepen:
--------------------------------------------------------
BUILTIN\Administrators
Iedereen
Debugger Users
Gebruikers foutopsporing
Gebruikers
NG0017$
Domain Computers
NETWERK
Geverifieerde gebruikers

GEBRUIKERSINSTELLINGEN
-----------------------
CN=ts.test,OU=TS test,DC=XXXXXXXXXXXX,DC=nl
Laatste maal dat het groepsbeleid is toegepast: 11-11-2004 at 13:02:12
Het groepsbeleid is toegepast vanuit:XXXXXXXXXXXXXX
Drempelwaarde van groepsbeleid voor langzame verbindingen: 500 kbps

Toegepaste groepsbeleidsobjecten
---------------------------------
1
Default Domain Policy

De volgende groepsbeleidsobejecten worden niet toegepast omdat ze zijn
gefilterd.
--------------------------------------------------------------------------------------
Lokaal groepsbeleid
Filteren: Niet toegepast (leeg)

De gebruiker is deel van de volgende beveiligingsgroepen:
---------------------------------------------------------
Domain Users
Iedereen
Gebruikers
LOKAAL
INTERACTIEF
Geverifieerde gebruikers

[ Voor 4% gewijzigd door Verwijderd op 11-11-2004 13:22 ]

donderdag 11 november 2004 13:12

Acties:

elevator

Officieel moto fan :)

a.verwater,

Op GoT is het de bedoeling dat je toch zelf even wat probeert voordat je meteen hier je (vervolg) vraag stelt hoor

Als je - bijvoorbeeld - niet weet wat 'gpupdate' doet dan start je 'gupdate /?' eens, je zoekt eens op Google naar GpUpdate of je kijkt eens in de help

Zomaar hier meteen de vraag 'wat is dat?' stellen komt wat lui over

Verder - probeer altijd een topic titel te kiezen die je probleem kort en bondig omschrijft - en zet in Windows Operating Systems de Windows versie er bij.. Ik pas nu even je topic titel aan maar kies voortaan zelf gewoon een goede

Dan als laatste - als je zelf de laatste bent die gereageerd heeft, bewerk dan aub je laatste bericht in plaats van een nieuwe reactie te plaatsen

donderdag 11 november 2004 13:15

Acties:

Verwijderd

Topicstarter

Ik vergeet steeds het os erbij te zetten beetje stom , verder ben ik al 3 dagen voordat ik deze vraag stelde opzoek geweest naar mogelijkheden. Dus niet dat ik een lui persoon ben en zomaar hier mijn vraag stel en dan hopelijk wel antwoord krijg.

donderdag 11 november 2004 13:18

Acties:

mutsje

Certified Prutser

allereerst gpupdate werkt alleen op WindowsXP en Windows Server 2003.
Secedit /refrsesh_machinepolicy(of userpolicy) /enforce blabla is voor 2000.

Laat aub zo'n user envirnoment melding uit je eventviewer zien. En volgende keer als je weer resultaten post uit gpresult vergeet dan niet blablaroosendaal etc eruit te verwijderen of te overschrijven met XXXXXXXXXXXX.

donderdag 11 november 2004 13:20

Acties:

Verwijderd

Verwijderd schreef op 11 november 2004 @ 13:10:
Toegepaste groepsbeleidsobjecten
---------------------------------
1
Default Domain Policy

Alleen de Default Domain Policy wordt dus toegepast.

Je nieuwe GPO is die wel gelinkt aan je OU?
Wordt de nieuwe GPO enforced?

Indien de link er wel is en de gpo enforced wordt zou ik je toch nogmaals gpmc willen aanraden. Troubleshooting wordt een stuk gemakkelijker met het juiste gereedschap

donderdag 11 november 2004 13:28

Acties:

Verwijderd

Topicstarter

Bij de uitvoering gpupdate /force komt er te staan de vernieuweing van het beleid User Computer is voltooid.

De link van de OU en GP is goed.

donderdag 11 november 2004 13:45

Acties:

Verwijderd

Topicstarter

Oke he tis gelukt

Na een hoop gekloot maar toch. Ik wil jullie allemaal van harte bedanken.

Tot slot nog 1 vraag kan je mappen op een harde schijf verbergen door aanpassingen te maken in de GP ? Ik heb er 3 er zijn er al 2 weg door de Login.bat aan te passen. Maar van de laatste moet er nog 1 map overblijven.

donderdag 11 november 2004 13:49

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Post effe wat nou de oplossing was, dan hebben toekomstige bezoekers er ook nog wat aan...
Je vraag snap ik niet helemaal, kun je daar wat duidelijker in zijn? Je hebt een driveletter gemapped naar een share, en die wil je niet? of wat?

En gebruik nou alsjeblieft die edit knop ( Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/got/images/icons/edit.gif

Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/got/images/icons/edit.gif

)_{waar je al op gewezen bent} als de laatste post van jezelf is...

[ Voor 88% gewijzigd door RobIII op 11-11-2004 13:52 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

donderdag 11 november 2004 14:01

Acties:

Verwijderd

Topicstarter

Het bestuur moet landelijk in kunnen loggen op de server. Maar omdat dit bestuur nix te maken heeft met ons bedrijf mogen ze alleen in de map van de organisatie komen. Bv I:\ 0900 bestuur Daarom zijn de andere schijven weg gehaald in de login.bat.

In login.bat staat bij ons , net use I:\ enz Zo staan alle schijven er 3 in totaal. Dus heb er de J en H weg gehaald.

Maar in de map I:\0900 bestuur moeten ze kunnen werken. De andere mappen op I mogen ze niet zien. ( zien maakt niet uit maar iig geen access hebben )

Zou dit mogelijk zijn in het GPO ?

donderdag 11 november 2004 14:03

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Verwijderd schreef op 11 november 2004 @ 14:01:
Het bestuur moet landelijk in kunnen loggen op de server. Maar omdat dit bestuur nix te maken heeft met ons bedrijf mogen ze alleen in de map van de organisatie komen. Bv I:\ 0900 bestuur Daarom zijn de andere schijven weg gehaald in de login.bat.

In login.bat staat bij ons , net use I:\ enz Zo staan alle schijven er 3 in totaal. Dus heb er de J en H weg gehaald.

Maar in de map I:\0900 bestuur moeten ze kunnen werken. De andere mappen op I mogen ze niet zien. ( zien maakt niet uit maar iig geen access hebben )

Zou dit mogelijk zijn in het GPO ?

Dat doe je niet in een GPO nee, dat doe je met permissions oftewel je security op je shares, mappen en bestanden. Rechtsklikken op een map, tabblad security ofzo en veel plezier. Dit is écht basic windows server beheer. Hebben jullie geen systeembeheerder die dat voor je kan doen?

Lees anders dit effe: [rml][ Windows 2000/XP] File-sharing en NTFS-permissies[/rml]

...en je hebt je oplossing voor je probleem nog niet gepost, dat is wél zo mooi voor mensen die dit topic later nog eens tegen komen. We zijn er namelijk niet alleen om jou te helpen, je mag zelf ook best een steentje bijdragen...

[ Voor 22% gewijzigd door RobIII op 11-11-2004 14:07 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

donderdag 11 november 2004 14:17

Acties:

Verwijderd

Topicstarter

Er waren 2 groups met ongeveer dezelfde naam. En had een group geadd waar die ene testuser niet in zit. Dus dan kun je proberen wat je wil maar zal het nooit lukken

.

Verder was het maar een vraag of dat in een GPO kon over die mappen , dan ga ik het met de beveiliging wel zo aanpassen dat ik het eindresultaat haal.

We hebben wel een systeembeheerder maar die komt 1 X per maand. Verder heb ik deze opdracht gekreden van mijn stage begeleider ( maar die houd zich niet bezig met zulke dingen ) Dus ik vond het wel een uitdaging om het zelf uit te vogelen. Dus eigenlijk was het me al gelukt als ik beter opgelet had

toch bedankt voor al die truckjes. Heb ik weer wat geleerd vandaag

donderdag 11 november 2004 14:58

Acties:

mutsje

Certified Prutser

Ja dat kan wel met een GPO maar is niet aan te raden. Je moet dan sowieso de system.adm aanpassen en de drives hidden maken en access is denied geven. Daarna geef je met NTFS permissions alleen op die share die mensen rechten en share je deze met 009$ bijvoorbeeld. Deze map je als H:\009$ en dan zien ze alleen deze schijf.

Je probeerd dus een Terminal Server te configureren.... wens je veel succes

[ Voor 12% gewijzigd door mutsje op 11-11-2004 14:59 ]

Pagina: 1

Reageer