Folder redirections lijkt niet te werken.

Status
Niet open voor verdere reacties.

nickkiej

Gebruiker
Lid geworden
1 aug 2009
Berichten
134
Beste Helpmij'ers!

Ik werk op een 2012 server en krijg via de Group Policies de folder redirections niet aan de gang. Via Group policies heb ik een aparte securitygroup aangemaakt en een testaccount hier lid van gemaakt. Via deze testaccount wil ik de mappen om laten leiden naar een speciale share op de server (hidden share). Echter als ik dit allemaal ingesteld heb staat de mapopleiding op de Windows 7 PCs nog steeds op C:\[gebruiker]\[map], ook na een gpupdate of herstart/opnieuw inloggen.

Ik heb het idee dat het een klein iets is en dat ik iets over het hoofd zie, weten jullie misschien wat?

Bedankt!
 
Iets belangrijks om mee te beginnen: Group policies werken niet op groepen maar op Afdelingen (ook wel OU's geheten). Enige rol die groepen spelen is dat je via filtering nog wat kunt doen aan wie het wel en niet krijgt in zo'n Afdeling/OU, maar de basis is en blijft Afdelingen/OU's.
Dus maak een OU, zet het test-account er in, link de gewenste group policies aan de OU waar die test-gebruiker in zit. Doe gupdates op zowel de W2012 server en het werkstation waar je de test-account op laat inloggen.

Verder (als je het niet goed werkend krijgt m.b.v. bovenstaande tip):
a. Wat zeggen de Windows Logboeken op het werkstation? Rondom de tijd van het inloggen van de gebruiker?
Kan Windows logboek Toepassing zijn en/of Systeem zijn, dus check beiden op de foutmeldingen die je ziet.
b. Je kunt in Group Policy Management ook de hele group policies van de gebruiker bekijken, via de Group Policy Result Wizard. Op dat moment moet wel de gebruiker waarvan je de group policies wilt 'naspelen' zijn ingelogd op de W7 computer die je gebruikt voor je test.

Tijs.
 
Laatst bewerkt:
Beste Tijs,

Ik heb dit gedaan en dat lijkt inderdaad te werken! Wel twee vraagjes.

Is het mogelijk om ervoor te zorgen dat als ik gebruikers lid maak van een securitygroep zij ook de juiste policies krijgen die ik dus aan een securitygroep koppel? Anders wordt het naar mijn idee een wirwar van afdelingen met policies, want sommige policies wil ik scheiden van elkaar omdat sommige mensen deze nodig hebben en niet iedereen.

Verder heb ik als test de testaccount overal uitgehaald zodat er geen policies meer actief zijn maar de mapomleidingen blijven nog steeds ingesteld zoals ze met de desbetreffende policy waren ingesteld? Kan Windows zelf dit niet veranderen naar de standaard instellingen, moet ik daarvoor het profiel verwijderen bijvoorbeeld?

Voor nu ben ik in ieder geval een stap verder!
 
Als je via securitygroepen en filtering het voor elkaar brengt is (minstens) even onoverzichtelijk als een hiërarchie van Afdelingen met sub- (sub-, ...) Afdelingen erin waar de gebruikers in zitten (en de relevante group policies gelinkt).
Ik vermijd jouw aanpak altijd, naast overzichtelijkheid ook omdat
i. Je op (sub-)Afdelings-niveau beheer kunt delegeren. Als je alles in 1 OU zet dan geef je rechten op (te-)veel objecten weg.
ii. Via overerving van (bovenliggende) Afdeling naar een sub-Afdeling kun je mooi afstemmen welke group policies voor 'iedereen' moeten gelden (gelinkt aan "hoofd"-afdeling) en welke specifiek gelden (gelinkt aan een sub-afdeling). Dit kan vele lagen diep.

M.b.t. dat de mapomleiding nog in werking is:
i. Je moet (natuurlijk) opnieuw inloggen nadat de gebruiker is verplaatst van de test Afdeling naar (bijv.) Users in Active Directory. Dat duurt natuurlijk ook nog even voordat dat dat doorsijpeld is.
ii. In de mapomleiding policies zijn er opties (zie, bijvoorbeeld, hier):
Map omleiden naar de locatie van het lokale gebruikersprofiel als beleid wordt verwijderd
en
Map op de nieuwe locatie houden als beleid wordt verwijderd
Kijk wat je m.b.t. die opties in de policy hebt staan.

Tijs.
 
Laatst bewerkt:
Dankjewel, die tip over dat de mapomleidingen weer terug kunnen naar de lokale PC met een optie, die heb in gevonden, eenvoudig!

Verder. Zo'n securitygroep koppelen daar doe ik iets fout (wil even voor mezelf kijken wat het handigste werkt.). Wanneer ik aan een testpolicy bijvoorbeeld securitygroep TestPolicy koppel en bij de beveiligingsfiltering alleen TestPolicy toevoeg en bij Delegering TestPolicy instel op Lezen en Groepsbeleid toepassen wordt deze policy toch niet overgenomen. Zou dit wel moeten of vergeet ik nog een tussenstap?
 
Dan is mogelijk het groepsbeleid gelinkt aan een Site -> Domein -> Afdeling waar de gebruiker NIET in zit...
Verder kan het zijn dat overerving uit staat ("Block inheritance") of een groepsbeleid overruled het groepsbeleid dat je eigenlijk wilt laten toekennen ("Enforced")
Ook kan het zijn dat op het laagste niveau van Afdeling de instellingen van groepsbeleid van een bovenliggende afdeling worden overruled (wat standaard is, overigens).

Dit is de laatste posting waarin ik ga speculeren wat er aan de hand is. Kom je er (nu) nog niet uit, dan wil ik schermafdrukken zien van de instellingen, AD etc. (voorzover relevant voor je (vervolg-)vragen).

Tijs.
 
Laatst bewerkt:
Hierbij de schermafdrukken. Hoop dat je iets vinden kan. Ik zie wel dat het beleid niet afgedwongen is, zit daar een fout?


Knipsel.PNGKnipsel2.PNGKnipsel3.PNGKnipsel4.PNG
 
a. Je hoeft in het tabblad Delegering niets te doen als je in de filtering opties al, ipv. Geauthenticeerde gebruikers, een groep hebt aangegeven (zoals jij gedaan hebt).
b. De policy is gekoppeld aan een Afdeling die Test heet. Ook al vroeg ik daar om(!!!) heb je geen schermafdruk van het AD erbij gegeven waarin te zien is dat je test-gebruiker in de juiste Afdeling zit.
c. [Theoretisch] kan het ook nog zo zijn dat je vergeten bent je test-gebruiker in de juiste security-groep te zetten.

Afgedwongen is niet nodig, ZOLANG er niet een andere policy VOOR gaat die de instellingen van het groepsbeleid overschrijft (zie mijn vorige posting).

Ik verwijs nog eens terug naar mijn EERSTE posting waar ik het heb over het 'naspelen' van groepsbeleid via de Group Policy Result Wizard. Die maakt meteen, in diverse tabbladen, duidelijk:
a. Welke policies wel en niet zijn uitgevoerd.
b. Welke resultaten alle toepasbare groepsbeleiden uiteindelijk opleveren.

Tijs.
 
Hoi Tijs,

Het lijkt te zijn gelukt. Ik heb de testaccount gewoon in de afdeling test gezet en nu worden de policies meegenomen, dat gaat goed! Is het verder mogelijk meerdere policies in één afdeling te zetten?

Stel ik maak een testpolicy die aan het einde naar wens is, is het dan mogelijk die in de juiste afdeling te zetten zodat ik niet weer alles opnieuw moet doen?

Bedankt vast!
 
Je kunt onbeperkt veel policies linken aan een Afdeling en je kunt een policy linken aan onbeperkt veel Afdelingen.
Zijn er meerdere policies gekoppeld aan een Afdeling, en je klikt in Group Policy Management op de Afdeling, dan kun je zien welke prioriteit de policies in die Afdeling hebben ("Link order"). Je kunt die Link order ook aanpassen door policies omhoog of omlaag te verplaatsen in die Link order. Zie hier, waarin duidelijk wordt aangegeven dat policy met het hoogste cijfer (dus in de volgorde "onderaan") als eerste wordt gedaan en dan omhoog totdat policy aan de beurt komt die link order 1 heeft. Omdat een policy dezelfde instellingen van een andere policy kan "overschrijven"/overrulen is het dus zo dat als instellingen in meerdere gelinkte policies worden ingesteld, de policy die "het hoogst" staat in de lijst (=dus het laagste Link order nummer heeft van die policies) de "winnaar" wordt in dergelijke gevallen.

Tijs.
 
Laatst bewerkt:
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan