[LØST] Group Policy

31 innlegg i emnet

Skrevet

Trenger litt hjelp.

Mangler grunnlegende kunnskaper har jeg funnet ut :rolleyes:

Mitt problem er:

Jeg har laget en group policy i en ny OU som funker ok. Så har jeg laget en ny gruppe som jeg legger under den OU'en. Til den gruppen så legger jeg inn de brukerne som skal ha den policyen. Problemet er da at når jeg legger brukerne til den gruppen så får de ikke den policyen som jeg har laget. Men når jeg tar brukerne av gruppen og flytter brukerne fra Users til den nye OU så funker alle policyene som jeg har satt.

Skjønner hva problemet er men ikke hvordan man fikser det.

Vet ikke om dere skjønnte hva jeg skrev er ikke så god til å forklare meg i korte settninger.

Jeg har en win 2k server og 80 klienter alle win 2k pro.

Takker for alt av svar men prøv å skriv på norsk :) så jeg skjønner hva det er snakk om....

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Dette har nok med arv å gjøre...Har du sjekket at ikke gruppen er sperret for arv ?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Er brukerene du legger til i den nye gruppa di medlem av andre grupper som igjen har en annen policy?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Det var jeg som skrev spm, men glemte å logge meg på.

Jeg har ikke de brukerne i noen andre grupper en domain users å den nye gruppen som jeg har laget.

Jeg er også sikker på at det har noe med arv å gjøre men skjønner ikke helt hvorfor enkelt brukere får policyen og ikke grupper som ligger der får den.

Så jeg trenger litt arve hjelp :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

gruppen må ha apply group policy og read rettigheter til group policy objektet.

[ Meldingen ble redigert 07.10.2002 15:31 av exchange ]

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Takk exchange det høres fornuftig ut, men ett lite spm hvor setter jeg det?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Har nå sjekket at det er både apply group policy og read rettigheter GP, men brukerne som ligger i gruppen får fortsatt ikke policy som er satt i den nye OU.

Er åpen for alt av forslag.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

"Group Policy is a policy that contains rules and settings that are applied to Windows 2000 COMPUTERS, their USERS, or both, THAT ARE LOCATED IN A SPECIFIC PART OF Active Directory."

Problemet ditt er helt som det skal være. For at brukere/maskiner skal bli berørt av GPOer, må de befinne seg i det domenet/underdomenet/OUen/underOUen som GPOen settes på. Det holder ikke å bare legge gruppen under AD containeren.

Bruk av Groups i GPOer er først aktuelt for å filtrere FLERE GPOer blant FLERE grupper brukere INNENFOR samme container i AD.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg har selfølgelig lagt den nye gruppen under en ny OU som igjen ligger under domene. På den nye OU'en så har jeg lagt inn en ny GP.

Den nye GP funker fint hvis jeg har lagt inn brukerne rett under den nye OU'en, men hvis jeg lager en gruppe og legger den under den nye OU'en så tar jeg å legger til de brukerne som skal berøres av den nye GP. Da funker ikke GP som jeg har laget???? :rolleyes:

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

De brukerkontoene/maskinkontoene som skal berøres av en GPO må plasseres i den OUen som GPOen settes på.

Det funker ikke å la brukerkontoene/maskinkontoene ligge på default plassering, melde noen av de inn i en gruppe, "plassere" gruppen i en OU og så applye en GPO på den OUen.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvis man må flytte alle brukerne til den OU'en hva er da vitsen med grupper?

Det blir jo så mye rot å flytte brukerne i de forskjellige OU'ene.

Men hvis det er den eneste muligheten jeg har for å få brukerne til å bli berørt av GP'en i den OU'en så har jeg vell ikke noe valg da :)

Takk for svar folkens

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hva er vitsen med OUer, hvis du ikke putter objekter i de B)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvis du må flytte alle brukerne rundt omkring i forskjellige OU'er det er jo veldig knotete.

Meningen med grupper er jo at du skulle kunne lage en gruppe i den OU'en og bare melde inn de brukerne som skal være under den nye GP'en du har laget.

Da har du jo også full kontroll over alle brukerne på de forskjellige OU'ene, slik at hvis du må flytte en hel del med brukere til en annen OU så er det bare å ta den gruppen istedenfor 50 brukere.

Hvis du ikke kan bruke grupper til det hva skal man ellers bruke grupper til da?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Her er det viktig lese fra begynnelsen av , før man begynner svare i hytt og pine c",)

Activ directory er ett stort emne, og det er utrolig mange måter å gjøre ting på. Hovedproblemet her , er at brukerne som opprettes i ulike grupper, har den rettigheten som er satt høyest uansett policies satt på gruppen. Kan virke knotete , når det søkes enklere måter å løse det på (tidsparende der og da , men ikke senere).Tror nok det er rettigheter som utgjør hovedproblemet her. Skal se i boka mi jeg, og komme tilbake til deg

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

mulig jeg er helt på jordet her men :

La brukerene ligge i users, lag så en global gruppe som du samler de brukerene du vil gi rettigheter til ( kall denne gjerne F.eks. 1.egt e.l). Så lager du en domain Local group som du putter de globale gruppene i.Gi gjerne Domain Local gruppen navn etter den ressurssen du skal gi rettigheter på( F.eks printer1egt) Sett så rettighetene på Domain local group. Der av regelen A G L P.............

A ccount

G lobal group

L ocal group

P ermission

Saml gjerne domain local gruppene i en OU, de Global gruppene i en annen OU så du får litt oversikt på det. Men sett rettighetene på Domain lockal groups!!!!!

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

MalvinP du høres ut som en fornuftig fyr ja.

Det her høres veldig kjent ut ja, har ikke gjort det her siden nt 4.0 for 5 år siden så mye er glemt.

Men hvor skal den globale gruppen ligge?

Jeg prøvde å legge den globale gruppen under users å så laget jeg en ny domain local group i den nye OU'en min. I den lokale gruppen min så la jeg inn de brukerne som skal være der.

Når jeg logget meg på med en av de brukerne så hadde den fortsatt ikke noen av de policyene jeg hadde satt på den lokale gruppen.

Hva er det nå da jeg gjør feil?

Har ikke så mye tid til å feilsøke her heller så jeg er utrulig glad for alt av hjelp og forslag jeg kan få :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

det jeg ville gjordt er:

1. La brukerene ligge i users

2. Lag en OU som du kaller grupper

3. I OU'en lager to nye OU'er som heter f.eks. Globale og Lokale

4. I Globale OU'en lager du en global gruppe som du navngir etter hvem som er i den ( f.eks 1egt) I denne gruppen legger du de brukerene du vil ha der :)

5. I den andre OU'en "lokale" lager du en Domain local gruppe og melder inn den globale gruppen. Gi gjerne gruppen navn etter ressursen du gir rettigheter på (f.eks printer1egt)

6. Sett så de rettighetene på den Domain lockal groupen

Det er en stund siden jeg har gjort dette, men mener det ikke skal være verre en det. Har dessverre ikke mulighet til å sjekke dette ut selv, men prøv dette.

Prøv gjerne å lage en ny bruker etter du har laget gruppene å meld denne in i den globale gruppen å se om den får rettighetene!!

Litt vanskelig å hjelpe når jeg ikk efår prøvd det selv.

Hvilke rettigheter er det du skal gi??

[ Meldingen ble redigert 09.10.2002 16:00 av MalvinP ]

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Alle svarene har nå plutselig hoppet over til å gjelde hvordan man setter rettigheter på brukere. Det er ikke der problemet ligger, problemet var GPO.

Det er ikke det samme som rettigheter, og det er ikke identisk med rettigheter mtp hvordan man implementerer det.

Men, kenab, du lurte på hva man brukte grupper til hvis det ikke er GPOer, og svaret er: For å sette rettigheter. Og, som jeg sa tidligere, å filtrere flere GPOer til forskjellige grupper brukere innenfor samme OU.

Det er tungvint å flytte objekter til hver enkelt OU, men det må du fordi din AD kanskje er designet uten å være helt inneforstått med hvordan dette fungerer. Det er alltid tungvint å rydde opp i gammelt rot

Mapper er også tungvint dersom du fra før av har alle filene dine liggende rett på rotkatalogen, og så plutselig skal organisere de i mapper.

Hadde du imidlertid laget et hensiktsmessig mappehierarki fra dag 1, er det mye mer oversiktlig og lettere å administrere.

Slik også med objekter i AD. :)

Q-ball

"Homer no function beer well without."

H. Simpson, The Simpsons

[ Meldingen ble redigert 09.10.2002 18:18 av Q-ball ]

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ser ut som jeg rotet litt her ja :) :)

Group policy settes selvfølgelig på local group policy, site, domene eller på en UO

[ Meldingen ble redigert 09.10.2002 19:30 av MalvinP ]

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Mange ville svar her, men Q-ball har helt rett. Microsoft sier at man skal lage et hierarki av OUer etter organisasjonen/bedriften det gjelder. I OUene plaserer du eventuelt andre OUer eller brukere og grupper som naturlig hører inn under denne OUen. Dette for å lage en oversiktlig struktur i AD. Dersom alle brukere ligger i Users, vil du ikke ha en oversiktlig struktur. Lag derfor altid en ny OU som du plaserer dine brukere og grupper i. Deretter er det brukere inn i globale grupper, globale grupper inn i lokale grupper, og så gi lokale grupper rettigheter til resursene. Så setter du GPO på den OUen du ønsker å gi eller begrense rettigheter på.

Dette er oppskrifte fra Microsoft, håper det hjelper.

Scorpion

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg har også det samme problemet som "kenbab" har snakket med mange men har ikke fått noe fornuftig svar.Håper det finnes noen der ute som kan hjelpe med dette.

Hvorfor virker policyen på enkelt brukere men ikke på grupper ?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Beklager jangel, men tror ikke noen kan hjelpe deg med dette. Det er sånn det er!

GPOer settes på AD containers, og en gruppe er ikke en AD container.

I alle fall i Win2000, har ikke testet det i Win .NET Server 2003...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Her er problem stillingen:

Jeg driver å tester ut policy på en windows 2000 advanced server som kjører Terminal services i applikasjons mode. Jeg har gjort følgende: laget en OU hvor jeg har plassert serveren som kjører TS, på denne OUèn har jeg satt en policy som skal fjerne RUN fra startmenyen. Når jeg legger til enkelt brukere fungerer dette utmerket, men når jeg skal legge inn grupper så fungerer ikke policyen (run menyen vises). Noen som vet hva som kan være årsaken?

PS. det er ingen policy som overstyrer den jeg har satt på OUèn

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvis du ikke kan godta svaret som du har fått ovenfor , vil jeg anbefale deg å lese litt om directory design og hvordan designet i AD skal gjenspeile bedriftens modell. Userne høre hjemme i OU'ene . Du har 2 typer policy (1 USER policy(alstå brukern ikke gruppa) 2 compure policy (maskinen).User policyen tilfaller brukere ikke grupper. Får å få user policy til å berøre grupper, grupper brukerne i OU'er. du kan seff filtrere med grupper osv.

Kebab! :huh:

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Når man kjører Terminalserver pleier man å ha egne policies som bare gjelder for disse serverne. Policyene skal virke for alle som logger på serveren uansett hvilken OU brukerne ligger i. For å løse dette må man sette policyen til å kjøre i såkalt Loopback processing mode. Dette gjøre på følgende måte:

Åpne policyen og gå til Computer Configuration / Administrative Templates / System / Group Policy. Sett User Group Policy loopback processing mode til enabled. Velg deretter Replace hvis du vil at det bare er den gjeldende policyen som skal benyttes. Velg Merge hvis du også vil at policies som ligger i OU'er over også skal gjelde.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive