» »

Windows 2003 - kako konfigurirati GPO za OU

Windows 2003 - kako konfigurirati GPO za OU

pirx ::

Danes sem namestil Windows 2003 Server in Active Directory. Poskusno sem se povezal iz XP mašine na domeno in deluje.

Ker pa je mreža bolj majhna (30 WinXP rač.) ni nekih posebnih zahtev, želel bi narediti samo tole:

1) Ko se uporabniki priklopijo na domeno, se jim mapira črka pogona, ki bo predstavljala njihovo mapo My Documents, nekje na serverju.

2) Želel bi tudi onemogočiti nekatere dele Winsov, kot je Control Panel, nastavitve za monitor, disejblan Run iz menija Start ipd.

Kolikor sem razumel, se vse to lahko naredi z Group Policy Management Console (downloadan iz MS strani)

Kje naj naredim Organizational Unit? (samo enega potrebujem) Rač. in uporabnike dam vse v to eno mapo? Potem še naj naredim GPO, povežem z OU in bodo te nastavitve za odjemalce že takoj ob naslednji prijavi veljale?

Vsaka pomoč in izkušnja bo dobrodošla :)

Microsoft ::

Kle je ena stara tema, ce ti bo kaj pomagala.

Se bom pa jutri kaj bolj razpisal, sem zdele prevec v rozicah. :)


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

pirx ::

Phew, če me še čaka toliko nepredvidenih težav, si že lahko grem zdaj iskati tablete proti glavobolu :D

Tenks za link, sem našel nekaj koristnih informacij!

Microsoft ::

1. V Command prompt napises net use x: \\192.168.123.1\ShareName. Lahka si naredis batch fajl. Nardis ga tako, da zgornji ukaz napises v beleznici, potem pa shranis kot krneki.BAT. V GPO se da potem nastavit, da ob logon pozenes dolocene skripte. Tam pac nastavis, da ti pozene krneki.BAT.
klik

2. V GPO gres semle in nasatvis, kakor se ti zazdi.

Kolikor sem razumel, se vse to lahko naredi z Group Policy Management Console (downloadan iz MS strani)
Prvic slisim, da je to treba DLjat. Mas kak print skrin?

Kje naj naredim Organizational Unit? ...
Takoj pod domeno. Recimo, tako, kot je JimiBtn v tem primeru.

GPO ima dva dela: Computer configuration in User Configuration. Ce bos recimo dal v OU samo PCje in potem spreminjal nastavitve pod User Configuration, bo bolj malo efekta. :)

V GPO lahko nastavis lahko, da bodo nove nastavitve efektivne po dolocenem casu, tudi ce je user logiran. klik


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

pirx ::

JimiBtn, hvala za izčrpen odgovor!

1) Kar si napisal, je tudi dobro vedeti, tako da cool :) Jaz sem pa drugače mislil (mogoče se bolj slabo izrazil) na to, kako mapirati pogon k uporabniku, ki bi predstavljal njegov "My Documents", le da ne bi bil lokalno, ampak na strežniku in bi samo on imel vpogled v mapo.

Odgovor sem našel tukaj. (sicer še ni preizkušeno, ampak verjetno bo delovalo)

2) Žal ga nimam, bom jutri stopil toliko v službo, da ga naredim in uploadam. Izgleda nekoliko drugače.

OU sem že prvič naredil tako, kot ga imaš na sliki in dal noter Userja ter PC, ampak spremembe niso obveljale. Mogoče nisem dobro linkal GPO k OU.

Mimogrede, je pod en OU (npr. "uporabniki") možno še dodati "podmape" OUjev? Če se ne motim, sem nekje zasledil, da se sme v "parent" OU dodati samo še en OU, v tistega pa nobenega več.

Sicer se pa mi testni client PC nekako zelooooo dolgo prijavlja v domeno, najdlje zrem v "Prepairing network connections..." Tudi strežnik se (če ga ponovno bootam) dolgo obotavlja pri tem sporočilu.

V glavnem, jutri naredim še par screenhotov in jih objavim.

Zgodovina sprememb…

  • spremenil: pirx ()

Microsoft ::

1. My Documents se da tudi 'prestavit' na server. klik


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…

pirx ::

Tako, slika pove več kot tisoč besed :) (btw, najprej sem moral odinstalirati GPO Management Console, da sem lahko spet na tak način urejal OUje in ostalo, kasneje sem ga pa spet nazaj namestil - takrat več ni možno urejati v teh oknih ampak samo še v GPO MMC -, slike sledijo)

Slika1:


Ta slika ti je znana. Torej OU v domeni z uporabnikom in PCjem. Ko izberem Properties od OUja, dobim tole okno, kreiram nov GPO in kliknem Edit.

Slika2:


Spremenil sem samo eno nastavitev, ki je vidna. Mimogrede, je te nastavitve potrebno tudi nekako shraniti, ali pa lahko samo kliknem na X ?

Ko nastavim tole bi client computer (UF1, uporabnik Testna Oseba) moral upoštevati spremembe, ali?

No, ker jih ni, sem spet nazaj namestil GPO MMC in dobil pod Administative Tools tole:



Screenshotal sem nekaj zavihkov iz tega orodja: 1, 2, 3, 4, 5 in 6.

Je kje razvidna kakšna napaka?

Microsoft ::

Mimogrede, je te nastavitve potrebno tudi nekako shraniti, ali pa lahko samo kliknem na X ?
Ni treba nic shranit. Ce okno zapres, je dovolj.

Ko nastavim tole bi client computer (UF1, uporabnik Testna Oseba) moral upoštevati spremembe, ali?
Niti ne. Ce hoces, da se bodo nastavitve poznale, potem mores na tistem PCju narediti logoff/logon. Ali pa v GPO nastavis, da se spremembe naredijo tudi, ce je uporabnik logiran. Samo, zgleda, da tega ti nisi nastavil, zato bi moral narediti logoff/logon.

Stvar lahko pohitris, da napises secedit /refreshpolicy machine_policy /enforce in secedit /refreshpolicy user_policy /enforce. Ce ti bo kej zajamralo, potem bos moral verjetno uporabiti namesto secedit nekaj drugega (ti bo napisalo), ostalo pa mislim, da ostane enako (nimam Win2k3, da bi ti tocno povedal). S tem bos manualno PC prisilil, da se bo njegov GPO refreshal.

Potem lahko gpresult uporabis tudi za to, da vidis, iz kje dobi PC GPO. Pac, v command prompt napises gpresult, pa ti potem proti koncu nekje napise, kako in katere so bile GPO sprejete za tist PC.

Potem lahko poskusis se eno stvar. Ko se ti odpre tale stvar, klikni na Properties. Potem pa pojdi na tab Security in daj tistemu userju, za katerega nastavljas GPO, premission Read in Apply Group Policy.

Glede GPO MMC pa nimam nic izkusenj. Te stvari ne uporabljam. Me pa zanima, zakaj rabis to stvar? Recimo, a so mozne se kaksne dodatne nastavitve, ki jih drugace nimas?


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…

pirx ::

Logon/logoff misliš na okence, ki se pojavi ob zagonu PCja? Tisto imam - vpišem up. ime, geslo in izberem ali se naj logira lokalno (ime računalnika) ali pa na domeno (ime domene). Imaš v mislih kaj drugega?

Secedit je v Win2k3 zamenjal gpupdate - bom poskusil s tem kaj podobnega narediti.

Super, za gpresult nisem vedel, ga jutri preizkusim, prav tako bom upošteval še zadnji predlog za permissione.

O GPO MMC na hitro največ lahko izveš tule. Tudi na Windows 2000 Server deluje, ampak bodi pozoren na to, da ko ga namestiš, lahko še samo v tem "dodatku" urejaš GPOje.

Torej, zadeva bi potem morala delovati, če je AD pravilno nastavljen, ali? Sumim še mogoče na DNS, da bi lahko bilo kaj narobe. Drugače sem pa AD namestil po tem postopku.

Microsoft ::

Imaš v mislih kaj drugega?
Ja. Po tistem, ko bos naredil spremembo v GPO, pejt na clinet PC. Ce je uporabnik ze logiran, naredi logoff, potem pa se logon. Sele takrat bi se naj sprememba poznala.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

pirx ::

Ah, danes pa niti domena ni bila na voljo. Bom najprej DNS, DHCP in proxy na Win2k3 poskusil preseliti, ker vse teče na Linuxu s Sambo, ki ima vlogo PDCja in vprašanje, če tudi to kaj ne blokira zadev.

Ko bo narejeno se javim :) Tenks!

pirx ::

Vse narejeno, zdaj pa spet ta AD in GPOji :D Prosil bi še za malo pomoči.

Winse sem pred tem še na novo namestil, ker še nisem delal z Win2k3 in je nastala ena manjša zbrka. No, zdaj vse deluje, tudi strežnik sem promoviral na AD.

Če gremo čisto od začetka:
Zagnal sem Active Directory Users and Computers, v rootu kreiral OU z imenom dssl. (slika 1) Kot prvo sem želel dodati en client PC, z imenom UF1. Tam, ko piše Default: Domain Admins - mora ostati tako, ali pa naj kliknem na Change (slika2) in izberem kaj drugega?

Mimogrede, v OU morajo biti vsi PCji in userji, ali pa lahko kreiram samo userje, ki se potem logirajo s kateregakoli računalnika?

Naslednji korak je dodajanje uporabnika. (slika 3)

Zatem kliknem na OU dssl, izberem Properties, kreiram nov GPO, ga uredim (samo user del - npr. Force Classic Start Menu), potem še Properties od narejenega GPOja in jeziček Security. (slika 4) Verjetno manjka katera skupina ali uporabnik. OUja mislim da ne morem dodati? Kako potem rešiti zadevo?

Upam, da se iz slik da razbrati, kje tiči napaka. V domeno se lahko prijavim, le GPOja mi client PC noče prepoznati.

pirx ::

Okej, sedaj deluje, bilo je le potrebno iti na client computer in se v domeno registrirati preko Network ID wizarda. Čudno, ampak deluje pa :) Tenks za nasvete!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Računanje povprečja? Help? :)

Oddelek: Loža
395807 (5257) kekz
»

Tine Strela

Oddelek: Sedem umetnosti
255416 (3310) Sergio
»

kako nastaviti oddaljen dostop

Oddelek: Operacijski sistemi
211818 (1418) Microsoft
»

SUS; kako nastavit, da na clinet PCju Windows Update kaze na lokalni SUS server?

Oddelek: Operacijski sistemi
131500 (1294) Microsoft
»

Group Policy; kako nastavit GPO za OU?

Oddelek: Operacijski sistemi
382485 (2157) Microsoft

Več podobnih tem