GPO-problem

[TSH]

Vi har ett antal datorer i en AD-domän som vi vill att alla som loggar in på datorerna, utom de som finns i gruppen XXXX ska få, användarinställningarna som finns i GPO'n YYYY. Hur får man till detta?

 

Tsh

 

[nordie]

Det var en lång mening det där men jag tror jag förstår hur du menar.

 

Om du kör GPMC för att redigera GPO:er så har du i högra delen en ruta med behörigheterna för GPO:n. Authenticated Users brukar ha Read eller nåt sånt. Lägg till gruppen XXXX och ge dem Deny.

 

Se bara till att du själv inte är med i den gruppen för då lär du inte kunna redigera den policyn sen! =)

 

Andra varianter är att lägga alla övriga användare i en grupp, ta bort Authenticated Users och lägga dit den gruppen istället. Eller att sprida användarna på olika OU och haka på din policy under en av dem.

 

Välj den variant som passar bäst i ditt fall!

 

[TSH]

Tack, då var ett problem löst.

GPO'n har enbart inställningar i Användardelen (inga i Datordelen). Datorerna ligger i en Grupp. Gruppen ligger i ett OU.

Hur får jag GPO'n att slå igenom?

Hur gör man med Administratörer där man inte vill att GPO,n ska slå igenom men samtidigt ska de kunna redigera GPO'n?

 

Tsh

 

[nordie]

Användardelen av en GPO tar ingen hänsyn till datorkontona. Du måste lägga din GPO på en OU där användarna ligger (eller ovanför) och sedan lägga användarna i en grupp (om inte GPO'n ska gälla alla användare i OU:n).

 

Jag föreslår att du lägger administratörernas konton i en OU vid sidan om, så slipper du låsa ut dig med deny-behörigheter.

 

[TSH]

Okej, då är jag med. Ska jag placera OU't med datorkontorna under OU't för användarna eller hur får jag till det så det bara slår igenom på de datorer som finns i en specifik OU?

 

Tsh

 

[nordie]

Det finns massor av sätt att göra det på. Tänk bara på att datorkonton reagerar på datordelen i de GPO:er du lägger på samma OU och OU:n ovanför.

 

Jag brukar personligen göra en OU som heter typ Arbetsstationer direkt under toppen. Finns det behov av olika inställningar för olika avdelningar t.ex. så gör jag under-OU:n för dessa och hakar på speciella GPO:er där.

 

[TSH]

Om jag skapar ett OU och lägger in datorer i denna. Sedan skapar jag en grupp i OU't och lägger in "Domain Users" i denna grupp borde väl ändringarna bara slå igenom i Användardelen på alla datorer som ligger i detta OU? Finns det något bra sätt att undanta att GPO'n slår igenom för Administratörer?

 

Tsh

 

[TSH]

Det ordnade sig genom att använada "Loopback Processing mode" då slog användarinställningarna igenom för alla som loggar in på en dator som ligger i OU-et.

 

 

Tsh