policy

[carljm72]

client aanpassen voor policies?

hoi!

we hebben op onze DC een werkende AD, Daarbinnen heb ik verschillende OU's aangemaakt, en daarbinnen users geplaatst. Nu heb ik voor een OU een policy aangemaakt, maar de client die in die OU zit, neemt de policy niet over...

BEHALVE, als ik op de betreffende client via configuratiescherm --> gebruikersaccounts --> de betreffende gebruiker toevoeg als Administrator, dan wordt de policy meteen overgenomen. Daarbij; als ik de gebruiker op die plek toevoeg als bijvoorbeeld Hoofdgebruiker of Gebruiker, neemt ie de policy NIET over... en dus ook niet als de gebruiker helemaal niet is toegevoegd op die plek.

oftewel een onwenselijke situatie waarbij ik alle gebruikers op de client zou moeten toevoegen als Administrator...
Iemand een idee, wat er fout is, of wat er aangepast moet worden?

Bij voorbaar dank, voor het meedenken...

 

[Eagle Creek]

Wat is je afkorting OU?

 

[carljm72]

eh.... gewoon dacht dat hier wel bekend was...
ou = organisational unit.

 

[justtrytohelp]

hier is het wel bekend hoor ;;p:love:
ff voor duidelijk heid

Ad = active directory

 

[Eagle Creek]

hier is het wel bekend hoor ;;p:love:
ff voor duidelijk heid

Ad = active directory

Ja en DC is domeinconroller.. What's your point??
============

carljm72,
op het moment ben ik zelf even bezig op een 2003-xp combinatie om te zien of ik je situatie kan reproduceren. Helaas werkt het hier goed. De beperkte gebruiker "test" krijgt gewoon z'n policies mee.
Ik kan je op het moment even niet helpen maar als ik wat vind dan hoor je het .

PS: Nee, OU als afkorting gebruik ik vrijwel nooit.

 

[carljm72]

ok bedankt alvast voor het meedenken.

het is overigens ook niet zo dat het 1 client betreft. het probleem speelt op ALLE clients in het gebouw. daar moet ik overal de gebruikers lokaal Administrator maken wil de policy werken op de client...
niet te doen, toch?
En kan nooit de bedoeling zijn volgens mij.

 

[Eagle Creek]

Dat is inderdaad niet de bedoeling.. Ik heb inmiddels ongeveer hetzelfde "probleem". De policy wordt wel toegepast op 2003/2000 maar XP negeert de boel volledig.. Als ik wat weet hoor je het .

 

[D@nny]

no inhire

Hoi,

Misschien niet echt de properste manier maar als je op de betreffende policy 'no inhire' toepast en eventueel 'overerving' van hoger gelegen policy's uitzet, heb je dan nog altijd het probleem?

Groetjes,
Danny

 

[carljm72]

hoi,

Wil ik best proberen. Maar kun je me ook vertellen waar dat zit, zodat ik wel de juiste instellingen die je aangeeft uit/aanzet?

Groeten

 

[Eagle Creek]

carljm72, ik kan je even niet verder helpen helaas.. In mijn situatie was er geen goede communicatie tussen de DC en cliënt waardoor de policy niet werd opgehaald. Hier was echter verder geen melding van en er was wél netwerkverbinding (ik kon ook VV bestanden zien). Het verwijderen en opnieuw plaatsen van de PC in het domein was de oplossing.
Ik neem aan dat dit geen optie voor je is.

 

[carljm72]

dat ga ik nu proberen dan, zal de client uit het domein halen en vervolgens er weer in 'hangen'.
Alvast bedankt voor je moeite!!!

Ik heb trouwens ergens gehoord dat het opnieuw installeren van Windows XP op de client, wel het probleem zou verhelpen. Dit heb ik nog niet geprobeerd, maar kan me ook niet voorstellen dat dit het oplost, wel?

Groeten!

 

[Eagle Creek]

Ik heb trouwens ergens gehoord dat het opnieuw installeren van Windows XP op de client, wel het probleem zou verhelpen. Dit heb ik nog niet geprobeerd, maar kan me ook niet voorstellen dat dit het oplost, wel?

Tja.. Kan.. Het zou maar zomaar een lokaal vinkje kunnen zijn. Maar volgens mij gaat domainpolicy altijd boven local policy.

Maar wellicht is het een fout vinkje op de DC zelf? Een conflict ergens?

 

[DichteMist]

je kunt het natuurlijk checken via
gpresult
http://www.microsoft.com/technet/pr...ef3-76b7-4eb3-b993-fa0079961585.mspx?mfr=true

en ergens tussendoor een
gpupdate
http://www.microsoft.com/technet/pr...ef3-76b7-4eb3-b993-fa0079961585.mspx?mfr=true

misscihen dat je het handmatig moet pushen via gpupdate? Is te testen.

 

[carljm72]

ook al reeds geprobeerd, zonder resultaat,
al zie ik wel bij gpresult dat de policy aanwezig zou moeten zijn op de client.

 

[DichteMist]

Dan staat er toch echt iets niet goed.
XP behoort gewoon de policies over te nemen van de DC.
Als dat niet zo zou zijn zou ik een groot probleem hebben hierzo op het bedrijf ;-)

policy op de desktops gezet of op de users?
wat voor soort policy is het?

 

[carljm72]

ook ik heb een probleem dus, (het betreft een school hier, ook niet echt handig dus aangezien ze vanalles willen uitspoken!), aangezien het enkel werkt zodra ik op de clients, de inloggende persoon lokaal bekend maak als een Administrator.

ik zal morgen, als ik tijd heb, een paar screenshot maken van de policy, en deze hier proberen te plaatsen.

in de betreffende OU heb ik de user en de computer geplaatst.
Hoe bedoel je; wat voor soort policy is het?

bedankt voor je moeite.

PS: opmerkelijk; een extern ICT bedrijf laten kijken ernaar, maar zei konden niets vinden na 3 dagen zoeken. hun melding was dus: installeer XP eens opnieuw, maar daar ben ik nog niet aan toegekomen.

 

[Eagle Creek]

Hoeveel PC's hebben er last van?

 

[carljm72]

alle pc's waarop ik policies wil hebben... op dit moment een pc of... 40
niet allemaal in een en dezelfde OU.
maar verdeelt over de OU's personeel, en een voor mediatheek.
daar heb ik dus om het werkend te krijgen, de gebruikers lokaal Administrator gemaakt, maar ja geen waanzinnige oplossing. omdat we in de nabije toekomst ook personeel en lln, zelf willen laten inloggen op een pc's die ze zelf willen.

 

[carljm72]

bij deze een overzicht van gpresult op de betreffende client:

Hulpprogramma voor resultaat van groepsbeleid van het Microsoft (R) Windows
(R) XP-besturingssysteem, versie 2.0
Copyright (C) Microsoft Corp. 1981-2001

Gemaakt op 31-5-2007 om 14:20:15
RVB-resultaten voor SMCM\media06 op MEDIA06 : logboekmodus

Type besturingssysteem: Microsoft Windows XP Professional
Configuratie van het besturingssysteem: Werkstation
Versie van het besturingssysteem: 5.1.2600
Domeinnaam: smxx
Type domein: Windows 2000
Naam van de siteefault-First-Site-Name
Zwervend profiel: \\smcfp1\users$\media06
Lokaal prodiel:C:\Documents and Settings\media06
Verbonden via een langzame verbinding?: Nee


COMPUTERINSTELLINGEN

CN=MEDIA06, OU=OU computers mediatheek, OU=Users, OU=smxx, DC=smxx, DC=intern
Laatste maal dat het groepsbeleid is toegepast: 31-5-2007 at 14:19:34
Het groepsbeleid is toegepast vanuit:smcdc1.smcm.intern
Drempelwaarde van groepsbeleid voor langzame verbindingen: 500 kbps

Toegepaste groepsbeleidsobjecten
---------------------------------
mediatheek
Default Domain Policy
Lokaal groepsbeleid

De computer is deel van de volgende beveiligingsgroepen:
--------------------------------------------------------
BUILTIN\Administrators
Iedereen
Gebruikers foutopsporing
Gebruikers
NETWERK
Geverifieerde gebruikers
MEDIA06$
Domain Computers


GEBRUIKERSINSTELLINGEN
-----------------------
CN=media06 media06, OU=OU computers, mediatheek, OU=Users, OU=smxx, DC=smxx, DC=itern
Laatste maal dat het groepsbeleid is toegepast: n.v.t.
Het groepsbeleid is toegepast vanuit:n.v.t.
Drempelwaarde van groepsbeleid voor langzame verbindingen: 500 kbps

Toegepaste groepsbeleidsobjecten
---------------------------------
mediatheek
Default Domain Policy

De volgende groepsbeleidsobejecten worden niet toegepast omdat ze zijn
gefilterd.
---------------------------------------------------------------------------
Lokaal groepsbeleid
Filteren: Niet toegepast (leeg)

De gebruiker is deel van de volgende beveiligingsgroepen:
---------------------------------------------------------
Domain Users
Iedereen
Gebruikers
INTERACTIEF
Geverifieerde gebruikers
LOKAAL
Mediatheek users

 

[carljm72]

is er iemand weet of ik ergens nog rechten moet regelen/controleren? en zo ja, waar.