Block policy inheritance

[feint]

Hallo allemaal,

Ik heb op mijn server een OU automatisering, hierin staat block policy inheritance aangevinkt.

Nu heb ik op de OU domaincomputers (hierin staan alle computers van het domain) instellingen gedaan dat er geen update mogelijkheden zijn voor gebruikers. zodat zij niet zelf kunnen gaan updaten.

Maar als nu een gebruiker van automatisering inlogt dan krijgt ook hij geen toegang tot de update mogelijkheden.

iemand een idee waarom dit niet werkt?

alvast bedankt! :thumb:

 

[Ellasar]

Policy staat op alle computers, en vermoedelijk alle users dus ook de automatiserings users. het toepassen van de policy moet je vermoedelijk nog deny-en op de automatiserings users. (ervanuitgaande dat je een rechtengroep hebt waar de automatiserings users in hebt zitten)

andere mogelijkheid is een order probleempje. mogelijk dat de policy voor automatiserings gebruikers overschreven word door deze policy.

 

[dnties]

Block inheritance is duidelijk: Uitsluitend de policy die op de OU Automatisering is van toepassing op de objecten in die OU.

Nu vertel je verder ******* weinig over de policy/policies die op de OU Automatisering is ingesteld. Let ook op dat als je alleen gebruikersobjecten in die OU hebt staan dat alleen Gebruikerspolicies van toepassing zijn, geen Computerpolicies.

Succes,

Tijs.

 

[feint]

Op de OU automatisering staat de standaard policy waar alles staat ingesteld dat ze alles kunnen wat je kan als je geen policy hebt ingesteld.

Op de OU domaincomputers staat in de policy -> user configuration -> administrative templates -> windows components -> windows updates -> Remove access to use all windows update features.

Nu had ik al geprobeerd om op de policy van domaincomputers in te stellen dat apply policies op automatisering op deny stond maar dat geeft geen verschil.

Ook als ik op de policy van automatisering diezelfde policy op disable zet werkt het niet.

ga er dus vanuit dat ik ergens iets niet goed heb ingesteld.

 

[dnties]

Je aanpak is op zijn minst 'fout':
a. Als je op de OU Automatisering een policy zet die wél die update-mogelijkheden beschikbaar stelt, dan 'overschrijft' dat de policies die geërfd zijn vanuit de andere OU's. Dus block inheritance is niet zinvol/nodig in dat geval.
b. Als ik ervan uit mag gaan dat de OU Domain Computers alleen computer-objecten bevat, dan heeft het filteren van policies daar geen enkele zin m.b.t. de gebruikers die in de OU Automatisering staan. Per slot gaat het om een gebruikerspolicy-instelling waar jij het over hebt, geen computerpolicy-instelling(!)

Graag verder even duidelijk maken hoe jij merkt dat de policy m.b.t. Windows updates wordt genegeerd voor gebruikers in de OU Automatisering.

Evt. ben ik (voor dit speciale geval) bereid even met je mee te kijken via TeamViewer op je server. Als je dat op prijs stelt, klik dan op mijn schuilnaam links van dit bericht, en kies voor Stuur e-mail. Geef daar dan je MSN-naam in (als je die hebt), een telefoonnummer en je e-mail adres. Wel eerst even de vraag in de vorige paragraaf beantwoorden op het forum, zodat ik weet waar jij naar kijkt m.b.t. die uitvoering van de Windows update policy.

Tijs.

 

[feint]

in eerste instantie staat op de OU automatisering block policy inheritance aan omdat op de default domain policy instellingen staan met betrekking tot gebruikersinstellinge als geen screensaver tab, geen toegang tot C: map voor gebruikers etc. deze staan ingesteld voor het hele domein, deze worden door block policy netjes afgeblokt.

Ook als ik de policy op de OU instel dat zei Wel toegang zouden mogen tot update instellingen worden deze niet opgepakt. (gpupdate.exe /force voer ik elke keer wel uit)

Het is correct dat in de OU domaincomputers alleen maar computer objecten bevat. op deze OU staat op het moment de policy voor het uitrollen van Office naar alle werkstations. Maar ook de policy dat gebruikers die op een werkstation zitten geen rechten hebben tot de update mogelijkheden.

als nu iemand van de automatisering inlogt op het domein zou hij bij properties van "Deze Computer" automatische update mogelijkheden moeten zien, daarnaast zie ik wel het programma icoon "Windows Update" maar deze website word geblokt door de policy die ingesteld staat op de domaincomputer OU.

Verder zou ik je graag laten meekijken, maar op het moment draait deze virtueel lokaal totdat deze volledig is ingesteld.

Als het goed is zou dit je vraag kunnen beantwoorden en hoop dat je mij kunt verder helpen.

 

[dnties]

Het is correct dat in de OU domaincomputers alleen maar computer objecten bevat. [...]Maar ook de policy dat gebruikers die op een werkstation zitten geen rechten hebben tot de update mogelijkheden.
Is dat een computer-policy of een gebruikers-policy? [Zoals gezegd zijn alleen computerpolicies van toepassing op computer-objecten, geen gebruikers-policies.]

als nu iemand van de automatisering inlogt op het domein zou hij bij properties van "Deze Computer" automatische update mogelijkheden moeten zien, daarnaast zie ik wel het programma icoon "Windows Update" maar deze website word geblokt door de policy die ingesteld staat op de domaincomputer OU.

Verder zou ik je graag laten meekijken, maar op het moment draait deze virtueel lokaal totdat deze volledig is ingesteld.
Ik kan gewoon meekijken op je host-computer, en van daaruit op je virtuele machines.

Als het goed is zou dit je vraag kunnen beantwoorden en hoop dat je mij kunt verder helpen.

Het is (voor mij althans) onmogelijk de omstandigheden rond je probleem helemaal te kunnen interpreteren. Mijn aanbod voor meekijken staat nog steeds.

Tijs.

 

[feint]

[Zoals gezegd zijn alleen computerpolicies van toepassing op computer-objecten, geen gebruikers-policies.]

dit had ik verkeerd begrepen in eerste instantie. Heb de policy verplaatst naar de default domain policy en hier werkt die wel naar behoren.

beetje voor de hand liggend probleem maar toch niet bij stilgestaan dat dit niet werkt .

bedankt voor je replies, ze hebben dus geholpen:thumb:

 

[dnties]

Ik had beter direct aan je kunnen vragen een klein diagram te sturen van je OU-structuur, dan hadden mijn tips wat minder algemeen hoeven te zijn.

Fijn dat het gelukt is.

Tijs.