none
Problem s GPO pod windows server 2012 + Windows 7

    Dotaz

  • Dobrý den,

        mám následující problém s GPO. Pod windows server 2012 jsem si vytvořil vlastní zásady skupin na jednotlivé UO. Mám organizační jednotku ve které jsou doménoví uživatelé a na nich jsou aplikované zásady skupin. Logon Script funguje v pořádku, vše se namapuje. Problém ale je v dalším nastavení uživatelů. Mám například zásádu, kterou říkám že se do cestovního profilu bude přidávat také administrator (abych mohl prohlížet na serveru cestovní profily). Ale bohužel tato zásada se neaplikuje i když je nastavená na OU, kde uživatel je.

       Zkoušel jsem také modelování zásad skupin, abych se dozvěděl jáká zásada se na uživatele uplatňuje. A podle modelování by to mělo být v pořádku. Mnou nastavená zásada se nastaví na uživatele. Ale ve výsledku se stejně do cestovního profilu nevytvoří administrator. A tím nemám na serveru přístup do cestovního profilu uživatele.

       Například další problém je s nastavním vzdálené plochy (povolení vzdálene plochy přes GPO), kde mám vše nastavené jak má být i v modelování vidím, že se to uplatňuje na uživatele. Ale ve výsledku se vzdálená plocha nepovolí. 

    Všechny tyto zásahy by se měli dělat pod konfigurací počítače, které by se měli aplikovat po nastartování pc. Ale zase na druhou stranu, když nastavím něco v konfiguraci uživatele tak se to provede v pořádku. Například "odstranění" ovládacích panelů.

    Zkoušel jsem restart/vypnutí klientského počítače. Restart serveru a nic. Přitom podobnou vec jsem zkoušel na windows server 2008 a vše fungovalo. Proto se obracím na Vás o radu. Děkuji 

    5. února 2013 12:40

Odpovědi

  • něco je nastavení pro celý počítač. něco je nastavení pro uživatele. když se startuje počítač, tak se mu aplikují počítačové ČÁSTI GPO, které jsou na (a nad) jeho organizační jednotce. Jakmile se potom přihlašuje uživatel, tak se mu aplikují jen uživatelské ČÁSTI GPO, které jsou na (a nad) organizační jednotce uživatele.

    takže jestli to jsou dvě různé jednotky, třeba takto:

    OU=Pocitace
      GPO A
        Computer Configuration
          nastaveniX
        User Configuration
          nastaveniY
    OU=Uzivatele
      GPO B
        Computer Configuration
          nastaveniR
        User Configuration
          nastaveniS

    tak potom se pri startu pocitace zavadi pouze "nastaveniX" a potom pri prihlaseni uzivatele se zavadi pouze "nastaveniS". Zbytek nastaveni, tedy R a Y jsou na nic a nikdy se nezavedou. (jedine byste mohl mit jeste nastaveniY, ale to byste musel mit zapnuty loopback processing mode).

    Dále místo toho, abyste dělal modeling, tak udělejte Results. Pokud to nejde vzdáleně, tak na daném počítači udělejte lokálně v příkazové řádce GPRESULT /H REPORT.HTM a potom se podívejte do toho Report.Htm reportu.

    ondra.

    5. února 2013 17:37

Všechny reakce

  • no nevím co vidíte v modelování, ale zásady, o nichž mluvíte, jsou zásadami v části Computer Configuration. To tedy znamená, že je aplikují účty počítačů a nikoliv účty uživatelů. Takové GPO musíte tedy připojit k organizační jednotce, ve které máte objekty počítačů a nikoliv uživatelů. Opačně to udělat nelze. Počítače svoje zásady aplikují bez ohledu na uživatele, který se na ně přihlašuje.

    ondrej sevecek, http://www.sevecek.com

    5. února 2013 13:13
  • Pokud tedy tomu dobře rozumím, tak pokud budu mít jednu organizační jednotku kde budu mít 5pc a 5účtu a budu mít zásadu skupin nastavenou na tento na tento kontejner tak část Computer Configuration se bude pouze aplikovat na těch 5pc a část User Configuration se bude pouze aplikovat na těch 5účtů ?

    Druhá věc, stejné nastavení jsem dělal pod Windows server 2008, ale tady jsem nastavoval zásady skupin na celou doménu. Jak Computer Configuration tak aji User Configuration. V doméně jsem měl jen účty uživatelů, žádná PC. A computer configuration se aplikovala a fungovala tzn. měl jsme povolenou vzádelnou plochu, přidany administrátorský účet do cestovního profilu atd. Tohle mě právě u toho zmátlo.

    A další snad poslední věc :) . Pokud to teda jde nastavit pouze přes computer configuration (vzdálená plocha, administrátorský účet atd.) tak je potom potřeba device licenci, aby jsi mohl přidat pc do domeny ne ? Diky

    5. února 2013 15:09
  • něco je nastavení pro celý počítač. něco je nastavení pro uživatele. když se startuje počítač, tak se mu aplikují počítačové ČÁSTI GPO, které jsou na (a nad) jeho organizační jednotce. Jakmile se potom přihlašuje uživatel, tak se mu aplikují jen uživatelské ČÁSTI GPO, které jsou na (a nad) organizační jednotce uživatele.

    takže jestli to jsou dvě různé jednotky, třeba takto:

    OU=Pocitace
      GPO A
        Computer Configuration
          nastaveniX
        User Configuration
          nastaveniY
    OU=Uzivatele
      GPO B
        Computer Configuration
          nastaveniR
        User Configuration
          nastaveniS

    tak potom se pri startu pocitace zavadi pouze "nastaveniX" a potom pri prihlaseni uzivatele se zavadi pouze "nastaveniS". Zbytek nastaveni, tedy R a Y jsou na nic a nikdy se nezavedou. (jedine byste mohl mit jeste nastaveniY, ale to byste musel mit zapnuty loopback processing mode).

    Dále místo toho, abyste dělal modeling, tak udělejte Results. Pokud to nejde vzdáleně, tak na daném počítači udělejte lokálně v příkazové řádce GPRESULT /H REPORT.HTM a potom se podívejte do toho Report.Htm reportu.

    ondra.

    5. února 2013 17:37
  • problém pravděpodobně vyřešen, při těch windows servrech 2012 jsem nastavoval GPO na OU kde byli jen uživatelé a aplikovalo se to tak jak popisuješ. No a na windows servrech 2008 jsem to nastavoval na celou doménu ne na OU. No a měl jsem tam OU počítače na které se to aplikovalo takže tak :). Aspoň jsem se nečemu přiučil. Děkuji za pomoc.

    Ještě možná otázka ohledně licencí. Aby ses mohl připojit do domény tak potřebuješ cal licenci na uživatele. No a když budeš chtít vytvořit položku počítač na kterou budes chtit uplatnit GPO tak potřebujes licenci na device ?

    5. února 2013 18:03
  • to s licencemi vůbec nesouvisí. licencování je na lidi, nebo fyzické počítače. bez ohledu na to, jak se aplikuje GPO.

    o.

    5. února 2013 18:56
  • Jo jasně jen mi šlo o to když se připojiš poprvé s pc do domény tak se ti automaticky vytvoří objekt pc v AD, no a jestli na tento objekt potřebujes device licenci nebo ne.
    5. února 2013 20:35
  • ano i ne. prostě MS licencování nemá nic společného s technikou. Neexistují obvykle žádná technická omezení podle počtu CAL, rozhodně ne z pohledu připojování počítačů do domény ani GPO. Jediná technická omezení, o kterých vím, jsou 2012 Foundation a 2012 Essentials (maximální počet UŽIVATELSKÝCH účtů), nebo SBS 2003. Ale jinak se licence buď nikam ani nezadává, ani to systém nijak nekontroluje.

    "filosofické" licencování je takové, že když přijde kontrola, tak se podívá co je v síti a řekne ti, abys ukázal papírky, co máš a ke kterým lidem/zařízením se ten papírek vztahuje. A pokud v tom okamžiku je v síti víc strojů/lidí (zdůrazňuju lidí, nikoliv uživatelských účtů), tak seš vinnen krádeží :-) Takže žádné technické limity. A prostě musíš mít CAL pro BUĎ člověka, NEBO počítač, který je v síti.

    o.

    6. února 2013 7:15
  • Od windows server 2008 se licence už nikam nepíší. To bylo myslim ve 2003. Jen je v těch licencí je pořádnej maglajz. Vetšinou potřebujes licenci na to kdo se pojí do domény jestli člověk nebo stroj. Ale zase kdyby jsi to podle toho měl dělal tak by jsi potřeboval jak user tak device liceni. Protože pc pokaždé musís přidat do domény a na tomto pc se pak přihlašuje člověk pod nějakým účtem. Ještě by mě zajímalo, když chceš připojit třeba do domény další server tak asi budeš potřebovat device licenci ne ? 
    6. února 2013 21:56