[2000] Group policy uitsluiten op werkstations? - Windows clients

maandag 6 december 2004 23:42

Acties:

Topicstarter

Ik zit met een probleem waar ik nog geen goede oplossing voor heb kunnen vinden.

Situatie is een terminal server, win2k, dichtgetimmerd met policies. De users gebruiken zowel de terminal server als hun lokale win2k werkstation.

Als ze nu met het werkstation op het domain inloggen, dan wordt de group policy ook actief op het werkstation, echter dit wil ik niet. De group policy moet alleen actief worden als er op de terminal server wordt aangemeld.

Hoe kan ik dit instellen zonder voor elke user 2 logins te maken?

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

maandag 6 december 2004 23:43

Acties:

Victor

Je kunt policies die op de computer worden toegepast in ieder geval scheiden door een aparte OU te maken waarin je je terminal servers zet en daar vervolgens een aparte policy op toe te passen. Voor userpolicies zal je naar mijn weten toch echt een aparte useraccount aan moeten maken.

maandag 6 december 2004 23:45

Acties:

Flyduck

Topicstarter

Het gaat idd om user policies... Maar er moet toch een manier zijn om dit in te stellen? Ik neem aan dat dit wel vaker voorkomt...

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

maandag 6 december 2004 23:47

Acties:

Archie_T

Volgens mij kan je een groep maken en daar alle computers ingooien en dan een deny geven op de userpolicy. Ik weet niet zeker meer of dit gaat lukken, maar je kan het proberen (niet meteen gillen dat een user policy niet op een computer kan, probeer het eens....)

edit:

Ome bill is natuurlijk de baas... ik dacht dat ik het mijn collega had zien doen en ik was ook hoogst verbaasd, maar nog nooit zelf gedaan

[ Voor 23% gewijzigd door Archie_T op 06-12-2004 23:50 ]

maandag 6 december 2004 23:48

Acties:

Victor

Volgens Ome Bill zelf zal je toch ook echt aparte users aan moeten maken:

Create Terminal-Server-only user accounts and place them in the locked down OU.

maandag 6 december 2004 23:51

Acties:

Flyduck

Topicstarter

King_Louie schreef op maandag 06 december 2004 @ 23:48:
Volgens Ome Bill zelf zal je toch ook echt aparte users aan moeten maken:

[...]

Niet helemaal waar,... er staat "recommendations for implementation of group policies"
Dus het wordt aangeraden om het zo te doen, maar er staat niet dat het de enigste manier is

*EDIT* het lijkt te kunnen met loopback processing van group policy.. maar snap niet helemaal hoe dat zou moeten werken.
http://support.microsoft.com/kb/231287/EN-US/

Wie heeft er ervaring mee?

[ Voor 19% gewijzigd door Flyduck op 07-12-2004 00:02 ]

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

zondag 12 december 2004 06:38

Acties:

StevenK

Flyduck schreef op maandag 06 december 2004 @ 23:51:
[...]

Niet helemaal waar,... er staat "recommendations for implementation of group policies"
Dus het wordt aangeraden om het zo te doen, maar er staat niet dat het de enigste manier is

*EDIT* het lijkt te kunnen met loopback processing van group policy.. maar snap niet helemaal hoe dat zou moeten werken.
http://support.microsoft.com/kb/231287/EN-US/

Wie heeft er ervaring mee?

Yep, werkt als een zonnetje. Wanneer je loopback-processing aanzet op de OU waarin je Terminal Server zit, wordt voor de user de GPO toegepast van OU waar de Terminal Server in zit, ipv. die waar de user in zit.

En eventueel kun je dit nog verder sturen door groepen van users al dan niet rechten te geven op de GPO 's van de ou waar de Terminal Server in zit.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

zondag 12 december 2004 16:36

Acties:

Verwijderd

Move NT > WOS