Ik snap niets van GPO

[moustach12]

Beste,

Ik heb heel mijn Windows Server 2003 opnieuw moeten instaleren (zie mijn vorige topic) Hiervoor was alles netjes aan gepast in de GPO. Maar ik snap hier niets van. Ik wil graag programma's blokkeren voor bepaalde groepen en het menu start aanpassen en bureablad. Er moet nog veel meer mee te doen zijn, ik heb er nog al haast mee want mensen zitten hier te wachten om weer op de server te werken. Maar ik moet eerst alles beveiligen! Ik heb trouwens een domein controller en Terminal services role.
Alvast bedankt!

 

[dnties]

Het gaat (veel) te ver om alles voor te kauwen (zou meerdere pagina's tekst vereisen), maar een paar tips heb ik wel voor je:

Ik neem aan dat de mensen allemaal via Terminal Server gaan werken; op hun werkstations wordt geen software gebruikt.

a. Maak een publiekelijk toegankelijk gedeelde map op het netwerk, laten we zeggen \\server\Bureaublad
[Natuurlijk mogen alleen de administrators schrijfrechten hebben op die map, gewone gebruikers alleen leesrechten.]
Zet daar snelkoppelingen in naar programma's die op de terminal server beschikbaar zijn (kun je gewoon kopieren uit het start-menu naar die map). Vergeet niet om in die map een RDP document op te nemen om verbinding te maken met e Terminal Server(!)
Leid het bureaublad om naar die gedeelde map voor gewone domein-gebruikers. Zet in de GPO de andere items die je niet wilt tonen af, bijv. het tonen van de prullenbak, tonen van Deze Computer etc.
b. Maak een publiekelijk toegankeleijk gedeelde map op het netwerk, laten we zeggen \\server\StartMenu
[Natuurlijk mogen alleen de administrators schrijfrechten hebben op die map, gewone gebruikers alleen leesrechten.]
Maak daarin 2 submappen, namelijk Programma's (voor NL gebruikers) en Programs (voor UK)
Zet in die 2 submappen snelkoppelingen in naar programma's die op de terminal server beschikbaar zijn (kun je gewoon kopieren uit het start-menu naar die map). Natuurlijk mag je ook daar weer submappen gebruiken, bijv. voor de snelkoppelingen van Microsoft Office.
Leid het Start-menu om naar die gedeelde map voor gewone domein-gebruikers. Zet het lokale Start-menu af voor die gebruikers in de GPO etc, zodat het startmenu alleen de opties toont die je hierboven hebt aangemaakt. Verder kun je Configuratiescherm etc. via de GPO verwijderen uit het startmenu, de optie Computer afsluiten verwijderen uit het startmenu en (zéker) de optie Uitvoeren verwijderen uit het start-menu.

Ik neem aan dat je hier wel wat mee kunt. Natuurlijk uitgebreid testen etc.

Wil je wél toestaan dat ook op de lokale pc software wordt gebruikt, dan zul je moeten gaan kijken naar de loopback optie in GPO's, want je wilt dan hebben dat op (zodra de gebruiker verbonden is met de Terminal Server) andere GPO's gelden dan op hun lokale pc voor hun gebruikersnamen.

Succes,

Tijs.

 

[moustach12]

Hee Tijs,
Ik ben heel erg beginnend hier in. (Ben ook pas 15)
Maar systeembeheer is een beroep dat ik graag wil gaan doen.
Dus ik weet ook niet wat een .RDP bestand in houd en hoe ik dat moet maken!

Groetjes Thijs.

 

[dnties]

Hoe kan het zijn dat een 15-jarige een Active Directory en een Terminal Server moet gaan opzetten? Is dit voor een stage? In het geval van een stage zal er toch wel iemand zijn met de juiste opleidingen en/of ervaring in de buurt die je kan helpen (stagebegeleider en/of systeembeheerder)?

Ok, even over je vraag m.b.t. RDP document: Een RDP document is een instellingen-document dat bij het Extern Bureaublad programma gebruikt kan worden.
Zo'n RDP document stel je samen door Start -> Uitvoeren -> mstsc
op te starten of via
Start -> (Alle) programma's -> Bureau-accessoires -> Verbinding met Extern Bureaublad

Als je eerst de Computer naam invult waar je mee verbinden wilt en daarna op de knop "Opties >>" klikt, dan zul je zien dat je allerlei opties kunt instellen én dat je in het tabblad Algemeen kunt kiezen voor Opslaan als...

Zodra je alle opties hebt ingesteld ga je (dus) naar het tabblad Algemeen terug en kiest Opslaan als...
Je kunt dan dat RDP document gaan opslaan. Dubbelklikken mensen op zo'n RDP document (of op een werkende snelkoppeling naar daar document), dan wordt Extern Bureaublad programma gestart met de opties die jij in het RDP document had ingesteld.

Succes,

Tijs.

 

[moustach12]

Hahaha Moet? Moet?
Van mezelf, is gewoon een soort hobby, ik had deze server van iemand over genomen die ik amper meer spreek, dus daar kon ik het niet meer aan vragen

Bedankt ik ga kijken of het werkt.

ps. met mensen die zitten te wachten voor server zijn vrienden die website hebben gehost bij mij

 

[moustach12]

Help!
Vreemd, als ik op rechter-muis knop druk loopt explorer.exe vast :S

???

 

[dnties]

Gebruik ShellExView

Sorteer op de kolom Type.
Schakel (tijdelijk) alle Context Menu onderdelen uit die niet van Microsoft afkomstig zijn. Kijk of het probleem dan weg is. Is het probleem dan inderdaad weg, dan kun je (als je wilt) selectief weer items gaan inschakelen totdat je het probleem weer tegenkomt. Je weet dan wat voor de crashes verantwoordelijk is, zodat je die kunt gaan updaten of uitschakelen.

Verdere achtergrond: hier

Tijs.

 

[moustach12]

Eigenlijk snap ik er niet veel van.
Zou je het iets anders kunnen uitleggen?
Ik snap het tot "bureaublad omleiden"

 

[moustach12]

Ook als ik naar gpedit.msc ga, kan ik niets toevoegen of wijzigen?

 

[dnties]

Even kort door de bocht (over het gestandaardiseerde bureaublad): Je maakt een map met kopiën van de gewenste snelkoppelingen erin, en je zorgt ervoor dat het bureaublad van de gebruikers wordt omgeleid naar die map.
Verder zet je in de GPO ook neer dat Deze Computer van het bureaublad verdwijnt etc.

Vergelijkbaars doe je met het Start-menu, waarbij je het 'normale' start-menu verbergt, toegang tot het Uitvoeren vakje onmogelijk maakt, Configuratiescherm laat verdwijnen etc. Zie mijn posting daaromtrent vanwege Programma's / Programs.

Meer kan ik hierover niet gaan uitleggen: Het forum is niet bedoeld voor cursussen Windows 2003. Evt. wil ik wel (via TeamViewer o.i.d.) je snel even wat laten zien over wat ik bedoel, maar helemaal uitwerken zul je toch zelf moeten doen. Per slot kan ik niet bepalen wat je wel en niet wilt toestaan aan gebruikers én het aantal GPO-instellingen is te groot om het te kunnen voorkauwen. Bovendien zou je er op die manier niets van leren, terwijl dat wél je bedoeling is!

Wil je wat zien via TeamViewer, klik dan op mijn schuilnaam links van dit bericht en kies voor Verstuur E-mail. Zet daar dan je MSN-naam in, je telefoonnummer en e-mail adres, zodat we direct contact kunnen hebben. Dit is een eenmalig iets en alleen voor jou vandaag. Ik ga er daarbij vanuit dat je zelf voor het scherm van de Server / Terminal Server kunt zitten om vandaaruit de TeamViewer sessie op te starten en mee te kijken. Je kunt bij de TeamViewer link kiezen voor de Portable versie, die is goed genoeg. Pak die uit in een aparte map en start TeamViewer.exe op, waarna je de sessiecode + pincode doorgeeft via MSN (of telefoon etc.)

Tijs.

 

[dnties]

Kleine samenvatting:
a. Terminal Server en Active Directory server is 1 en dezelfde server
b. Problemen veroorzaakt door software die op de server was gezet: De PATH-instelling was overschreven. Dat is gefixt
c. Log on locally en Log on from Terminal Services aangezet voor de groep Remote Desktop Users in de Domain Controller policy
d. 2 mappen aangemaakt: Bureaublad en StartMenu. Die beveiligd en de juiste snelkoppelingen erin gezet.
e. Group Policy Management Consol geïnstalleerd, aparte OU gemaakt voor remote gebruikers met een eigen policy. In de policy folderomleiding voor Bureaublad en Start Menu ingesteld, en tevens een hoop opties uitgeschakeld voor de gebruikers. Tevens testgebruiker aangemaakt in die OU om mee te testen. Tests lijken m.i. geslaagd.

@moustach12: Als je een gebruiker aanmaakt, moet je die niet alleen in die OU zetten, maar ook lid maken van de Remote Desktop Users groep, anders kan die nieuwe gebruiker niet inloggen op je server. Dat had ik vergeten aan je te laten zien.

Tijs.