Group policy activeren?

[JeroenI]

Goedenavond,

Ik heb een ou gemaakt met hierin een group policy die een bepaald softwarepakket zou moeten installeren. Deze heb ik zowel computer assigned als user assigned geprobeerd, en ook op beide tegelijk, maar hij wil maar geen policy's draaien zodra ik de client pc opstart of inlog. Moet ik nog ergens iets activeren zodat er wel policy's gedraait worden tijdens het inloggen?

Alvast bedankt!

 

[JeroenI]

En nog even ter info, dit is de gpresult:


Hulpprogramma voor resultaat van groepsbeleid van het Microsoft (R) Windows
(R) XP-besturingssysteem, versie 2.0
Copyright (C) Microsoft Corp. 1981-2001

Gemaakt op 13-12-2006 om 20:46:58



RVB-resultaten voor AD\Jeroen op JIZAKS : logboekmodus
-------------------------------------------------------

Type besturingssysteem: Microsoft Windows XP Professional
Configuratie van het besturingssysteem: Werkstation
Versie van het besturingssysteem: 5.1.2600
Domeinnaam: AD
Type domein:Windows 2000
Naam van de siteefault-First-Site-Name
Zwervend profiel:
Lokaal prodiel: C:\Documents and Settings\Jeroen.AD
Verbonden via een langzame verbinding?: Nee


COMPUTERINSTELLINGEN
---------------------
CN=JIZAKS,CN=Computers,DC=AD,DC=loc
Laatste maal dat het groepsbeleid is toegepast: 13-12-2006 at 20:45:33
Het groepsbeleid is toegepast vanuit:srv.AD.loc
Drempelwaarde van groepsbeleid voor langzame verbindingen: 500 kbps

Toegepaste groepsbeleidsobjecten
---------------------------------
Default Domain Policy

De volgende groepsbeleidsobejecten worden niet toegepast omdat ze zijn
gefilterd.
--------------------------------------------------------------------------------------
Lokaal groepsbeleid
Filteren: Niet toegepast (leeg)

De computer is deel van de volgende beveiligingsgroepen:
--------------------------------------------------------
BUILTIN\Administrators
Iedereen
Geverifieerde gebruikers


GEBRUIKERSINSTELLINGEN
-----------------------
CN=Jeroen Izaks,CN=Users,DC=AD,DC=loc
Laatste maal dat het groepsbeleid is toegepast: 13-12-2006 at 20:45:33
Het groepsbeleid is toegepast vanuit:n.v.t.
Drempelwaarde van groepsbeleid voor langzame verbindingen: 500 kbps

Toegepaste groepsbeleidsobjecten
---------------------------------
Default Domain Policy

De volgende groepsbeleidsobejecten worden niet toegepast omdat ze zijn
gefilterd.
--------------------------------------------------------------------------------------
Lokaal groepsbeleid
Filteren: Niet toegepast (leeg)

De gebruiker is deel van de volgende beveiligingsgroepen:
---------------------------------------------------------
Domain Admins
Iedereen
BUILTIN\Administrators
Gebruikers
Install adminpak
Install Adobe Photoshop 7.0
LOKAAL
INTERACTIEF
Geverifieerde gebruikers




Install adminpak en install adobe photoshop 7.0 word dus niet uitgevoerd.. Iemand enig idee?

 

[ZipPe]

Die adminpak zou moeten kunnen via deployment, maar die adobe zie ik niet helemaal zo zitten zonder interactie van de user aan de andere kant, want wie gaat de registratie code invullen en wie klikt op ok en next.. Dus daar zal je tools voor moeten gebruiken (scripting)..
Misschien moet je eens stap voor stap uitleggen wat je allemaal hebt gedaan om die software deploy tot stand te brengen.. Aan dat lijstje is dat echt niet te zien

Bv. Voor admin pack, als een van deze onderstaande stappen je niets zeggen is er ergens al wat fout gegaan

adminpak.msi van 2003 cd\i386 folder kopieren naar eigen map c:\Adminpak-Deploy
Folder sharen (Share permissions - everyone)

-ADUC
-ou met daarin computer account(s)
-properties
-grouppolicy
-new
-Geef policy naam "Adminpak-Deploy"
-edit
-Computerconfiguration
-Software settings
-Software installation
-New
-Package
-surf naar msi installer in share, open (met UNC path) \\server\Adminpak-Deploy\ADMINPAK.MSI
-Asign - ok

-Start - run - gpudate

-ok
-start client (2x).

http://www.petri.co.il/download_windows_2003_adminpak.htm

Voor adobe ??
http://marc.theaimsgroup.com/?l=patchmanagement&m=107271962718401&w=2

http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Deploy-Applications.html

 

[JeroenI]

Hallo,

Allereerst bedankt voor je bericht.
Gelukkig zegt alles mij iets over wat jij zegt...
Is gpupdate noodzakelijk? En moet dat op de client of op de server? Ik heb dat namelijk (nog) niet uitgevoerd.

Met vr.gr.,
Jeroen

 

[ZipPe]

noodzakelijk is gupdate niet, maar als je die direct na het invoeren van de instellingen even doet dan word de hele AD vernieuwd en alle instellingen meteen actief, je kan ook in de werkbalk op vernieuwen klikken dat blijft eender. Doe je dat niet moet je wachten op de ingestelde refresh rate van de computer of uit/in loggen.. gpupdate doe je op de computer waar je de Group policies hebt ingesteld, dus als je op de client local policies toepast kan je die ook daar doen. Maar in jouw geval is dat dus de server ADUC..

Als je de stappen hebt uitgevoerd in de volgorde van bovenstaande lijstje moet elke computer bij de eerste volgende reboot de adminpak auto. geinstalleerd krijgen..
Kan zijn dat je een paar keer moet proberen met de client, soms wordt het meteen opgepikt en soms moet je wel eens 2 of 3 keer opnieuw rebooten voor dat ie het oppikt (waarom weet ik ook niet)

 

[JeroenI]

Ben inmiddels toch zo'n 10 keer opnieuw ingelogt, maar helaas... policy's komen niet door... ook niet dmv gpupdate, en naar mijn mening is de gpresult ook goed.

 

[ZipPe]

De gebruiker is deel van de volgende beveiligingsgroepen:
---------------------------------------------------------
Domain Admins
Iedereen
BUILTIN\Administrators
Gebruikers
Install adminpak
Install Adobe Photoshop 7.0
LOKAAL
INTERACTIEF
Geverifieerde gebruikers

Ik weet niet waar dat vandaan komt, maar het lijkt erop dat je die policy aan 'n gebruiker hebt toegewezen.. Je hoeft die deploy policy voor adminpak alleen maar aan de computer OU toe te wijzen, adminpak installeer je niet per gebruiker (dit gaat allemaal naar de system32 folder van de client computer)..
Je hebt alleen de stappen nodig zoals boven beschreven verder hoef je niets of niemand toe te wijzen, daar is geen user interactie voor nodig. (Gebruik de .msien niet de .exe voor de setup van adminpak)

Als dat allemaal goed is ingesteld kan je eens kijken of je logon optimalisatie ingeschakeld staat.. Deze kan je uitschakelen met de policy Computer configuration - Admin templates - System - Logon "Always wait for the network at computer startup and logon" - "Enable".. Als de computer niet wacht op de netwerk verbinding met de server is ie al gestart voor dat de Deploy toegewezen kan worden..

Heb het zelf nog even dunnetjes over gedaan en het is echt zo simpel, meer hoef je niet te doen..

Let goed op in de inlog procedure "Windows is starting up" - "Preparing for network con." - Applying sec. pol." - Installing managed software WS2003 sp1 adminpak" - "Apply system setting" - "Press ctrl delete to begin"

Kijk anders eens in de system32 folder of je daar bv. dsmod.exe, dsquery.exe en aanverwanten terug vind, zo ja heb je wat gemist en is het al geinstalleerd

Succes..
Meer kan ik er niet van maken

 

[JeroenI]

Ik weet niet waar dat vandaan komt, maar het lijkt erop dat je die policy aan 'n gebruiker hebt toegewezen.. Je hoeft die deploy policy voor adminpak alleen maar aan de computer OU toe te wijzen, adminpak installeer je niet per gebruiker (dit gaat allemaal naar de system32 folder van de client computer)..
Je hebt alleen de stappen nodig zoals boven beschreven verder hoef je niets of niemand toe te wijzen, daar is geen user interactie voor nodig. (Gebruik de .msien niet de .exe voor de setup van adminpak)

Als dat allemaal goed is ingesteld kan je eens kijken of je logon optimalisatie ingeschakeld staat.. Deze kan je uitschakelen met de policy Computer configuration - Admin templates - System - Logon "Always wait for the network at computer startup and logon" - "Enable".. Als de computer niet wacht op de netwerk verbinding met de server is ie al gestart voor dat de Deploy toegewezen kan worden..

Heb het zelf nog even dunnetjes over gedaan en het is echt zo simpel, meer hoef je niet te doen..

Let goed op in de inlog procedure "Windows is starting up" - "Preparing for network con." - Applying sec. pol." - Installing managed software WS2003 sp1 adminpak" - "Apply system setting" - "Press ctrl delete to begin"

Kijk anders eens in de system32 folder of je daar bv. dsmod.exe, dsquery.exe en aanverwanten terug vind, zo ja heb je wat gemist en is het al geinstalleerd

Succes..
Meer kan ik er niet van maken

Allereerst bedankt voor je bericht. Hoe werkt het dan met b.v. Photoshop? Ik wil trouwens iedere setup als group hebben, heb dus ook groups gemaakt en deze gekoppelt aan de OU setup, en deze weer in de member of gezet van de desbetreffende gebruiker.

Trouwens krijg ik niet die stappen te zien zoals jij zegt bij het opstarten, bij mij is het gewoon snel laden en ctrl+alt+del venster.

in de sys32 map staan trouwens niet de genoemde bestanden

Alvast mijn dank.

 

[JeroenI]

oei ik krijg bij gpresult nu toegang geweigerd.... misschien moet ik maar eens de boel opnieuw opzetten


[edit]
-surf naar msi installer in share, open (met UNC path) \\server\Adminpak-Deploy\ADMINPAK.MSI


bovenstaande heb ik helemaal nooit gedaan... ik deed het lokaal, leverd dat problemen op? Maar het is zowiezo raar dat hij niet met de loading policy melding komt..

 

[ZipPe]

Neem 't me niet kwalijk Jeroen, maar ik denk dat het beter voor je is om eerst eens bij het begin te beginnen.. Waar je nu zit ben je duidelijk meteen in het diepe gesprongen, dat is wel spannend maar lost niet veel op zoals je hebt gemerkt.

Kijk hoe je zo'n deployment van 'n .msi packetje moet opzetten staat ergens op 1 bladzijde op de helft van een boek dat om en nabij de 850 pagina's dik is (en dat gaat dan alleen nog maar over server 2003).. Het lijkt me duidelijk dat je de eerste 425 pagina's niet hebt gelezen of begrepen. Ga eens helemaal terug en leer eerst eens wat Active Directory inhoud en hoe je die hoort in te richten en als dat allemaal is gelukt dan ben je op de goede weg..

Hellaas is het niet te doen om dat allemaal hier neer te schrijven, zoveel vingers heb ik niet..

Het daarop volgende boek over wat je met een client computer zoals xp allemaal kan met server 2003 en AD etc. is nog eens 1/3 dikker.. En zelfs in dat boek hebben we het nog lang niet over op afstand automatisch grote software packs installeren.

:thumb:

 

[JeroenI]

Oke, dan wil ik graag weer even houden bij de basis onderdelen.
De policy's worden simpelweg niet doorgevoerd.
Ik heb nu enkel wat computer assigned policy's gemaakt die ervoor zorgen dat b.v. het start menu classic word en blijft en dat je niet bij control panel kan komen etc.
Zelfs dit word niet meegenomen. Ik heb de PC in de betreffende OU geplaatst, maar helaas.

GPResult voor dit moment:

Hulpprogramma voor resultaat van groepsbeleid van het Microsoft (R) Windows
(R) XP-besturingssysteem, versie 2.0
Copyright (C) Microsoft Corp. 1981-2001

Gemaakt op 14-12-2006 om 22:03:58



RVB-resultaten voor AD\Jeroen op JIZAKS : logboekmodus
-------------------------------------------------------

Type besturingssysteem: Microsoft Windows XP Professional
Configuratie van het besturingssysteem: Werkstation
Versie van het besturingssysteem: 5.1.2600
Domeinnaam: AD
Type domein:Windows 2000
Naam van de siteefault-First-Site-Name
Zwervend profiel:
Lokaal prodiel: C:\Documents and Settings\Jeroen.AD
Verbonden via een langzame verbinding?: Nee


COMPUTERINSTELLINGEN
---------------------
CN=JIZAKS,OU=Restricted Computers,OU=Configured Computers,DC=AD,DC=loc
Laatste maal dat het groepsbeleid is toegepast: 14-12-2006 at 22:03:45
Het groepsbeleid is toegepast vanuit:srv.AD.loc
Drempelwaarde van groepsbeleid voor langzame verbindingen: 500 kbps

Toegepaste groepsbeleidsobjecten
---------------------------------
Windows
Default Domain Policy

De volgende groepsbeleidsobejecten worden niet toegepast omdat ze zijn
gefilterd.
--------------------------------------------------------------------------------------
Lokaal groepsbeleid
Filteren: Niet toegepast (leeg)

De computer is deel van de volgende beveiligingsgroepen:
--------------------------------------------------------
BUILTIN\Administrators
Iedereen
Geverifieerde gebruikers


GEBRUIKERSINSTELLINGEN
-----------------------
CN=Jeroen Izaks,CN=Users,DC=AD,DC=loc
Laatste maal dat het groepsbeleid is toegepast: 14-12-2006 at 22:03:45
Het groepsbeleid is toegepast vanuit:n.v.t.
Drempelwaarde van groepsbeleid voor langzame verbindingen: 500 kbps

Toegepaste groepsbeleidsobjecten
---------------------------------
Default Domain Policy

De volgende groepsbeleidsobejecten worden niet toegepast omdat ze zijn
gefilterd.
--------------------------------------------------------------------------------------
Lokaal groepsbeleid
Filteren: Niet toegepast (leeg)

De gebruiker is deel van de volgende beveiligingsgroepen:
---------------------------------------------------------
Domain Admins
Iedereen
BUILTIN\Administrators
Gebruikers
LOKAAL
INTERACTIEF
Geverifieerde gebruikers


(P.s. dit is puur bedoelt om mijn schoolfase weer beter in zicht te krijgen, dus het zou voor mij al enkel een heldendaad zijn als ik ook maar 1 policy werkend zou krijgen, maar policy word kennelijk nu helemaal niet gekoppelt.)

hulp word gewaardeerd.

 

[die lange]

hey jeroen

je hebt een policy gemaakt voor de desbetreffende ou tog?
heb je dit al geprobeerd?????

1: menu start
2: administrative tools
3: active directory users and computers
4: de properties van de desbetreffende ou
5: ga naat het tabblad group policy
6: kijk of je hier de user heb toegevoegd (zo niet doe dat dan)
7: als je de user selecteerd krijg je een lijstje eronder met rechten, scroll naar onder en kijk of er een vinkje staat bij aplly group policy!!!!
log vervolgens opnieuw in.

veel succes:thumb:

 

[die lange]

en is het al gelukt????????????

ik hoor het hopelijk snel!!!!

fijn weekend alvast allemaal:thumb:

 

[arnedm]

de services windows installer moet op beide pc's (client&server) gestart zijn...

 

[gertvb]

policy activeren

Mogelijk is het niet expliciet instellen van de dns-server een probleem. Als je zeker wil zijn moet je op elke client-pc het ip-nummer van de dns-server (waar de policy staat) invullen onder primary dns.

Succes
Gert