anoniem Geplaatst: 28 oktober 2009 Delen Geplaatst: 28 oktober 2009 Om duidelijk te maken wat ik wil leg ik eerst de huidige situatie uit: Wij maken gebruik van Windows XP clients en Windows 2003/2008 als servers. Voor de gebruikers is een profiel path ingesteld in het gebruikersaccount. Dat ziet er ongeveer zo uit:\\server\profiles$\%profile%. Op de werkstations is dan met het commando "set profile=afdelingadm" de map aangeven waar de gebruiker zijn profiel zoekt. Als de gebruiker aanmeld dan vind Windows XP netjes het profiel in \\server\profiles$\[b:627922c67d]afdelingsadm[/b:627922c67d]\ntuser.man Deze truuk om verschillende profielen te koppelen aan groepen machines werkt helaas niet meer in Windows Vista / 7. Windows Vista en Windows 7 negeert de %profile% variable en kan dus het profiel niet vinden. (Ja ik houd rekening met de .V1 en .V2 extensie) Enige wat ik tot op heden heb gevonden om hetzelfde voor elkaar te krijgen is de Group Policy "Set roaming profile path". Dit heeft echter als resultaat dat iedereen inclusief de Administrator hetzelfde profiel heeft. Weet iemand een manier om een mandatory profile te koppelen aan een machine groep zonder dat de Administrator dit profiel ook overneemt? Loopback-verwerkingsmodus van gebruikersgroepsbeleid werkt helaas niet. :cry: "Set roaming profile path" werkt alleen als het beleid word toegepast op een machine in plaats van een gebruikersgroep. Quote Link naar reactie
anoniem Geplaatst: 29 oktober 2009 Auteur Delen Geplaatst: 29 oktober 2009 Ik zou dan de computeraccounts groeperen in verschillende OU's, op die OU's de GPO's koppelen en het administrator account geen apply rechten geven op de GPO's. Quote Link naar reactie
anoniem Geplaatst: 29 oktober 2009 Auteur Delen Geplaatst: 29 oktober 2009 [quote:52979c9733="Leo S"]Ik zou dan de computeraccounts groeperen in verschillende OU's, op die OU's de GPO's koppelen en het administrator account geen apply rechten geven op de GPO's.[/quote:52979c9733] Tja dat kan dus niet. Je kan alleen Domain Computers GPO rechten geven of Authenticated Users. Zodra je kiest voor een User of Usergroep dan werkt het GPO niet. Loopback Groupolicy mode werkt helaas ook niet. In het geval van "geen apply rechten", komt het er op neer dat je geen rechten hebt om de GPO te lezen. Het probleem is dat de machine zelf dan het GPO al heeft doorgevoerd waardoor Windows Vista of Windows 7 als nog met het mandatory profile aanmeld. Quote Link naar reactie
anoniem Geplaatst: 29 oktober 2009 Auteur Delen Geplaatst: 29 oktober 2009 Hmmm, dan zit ik waarschijnlijk even te makkelijk te denken. Het gaat inderdaad om een computer policy... Die wordt toegepast voordat een gebruiker inlogt... Ik heb zo gauw geen oplossing, maar vind het een interessant probleem. Ik zal eens een en ander gaan testen op de VMware omgeving bij ons op kantoor, als ik er tijd voor heb... Quote Link naar reactie
anoniem Geplaatst: 29 oktober 2009 Auteur Delen Geplaatst: 29 oktober 2009 [quote:0bc397c44f="Leo S"]Hmmm, dan zit ik waarschijnlijk even te makkelijk te denken. Het gaat inderdaad om een computer policy... Die wordt toegepast voordat een gebruiker inlogt... Ik heb zo gauw geen oplossing, maar vind het een interessant probleem. Ik zal eens een en ander gaan testen op de VMware omgeving bij ons op kantoor, als ik er tijd voor heb...[/quote:0bc397c44f] Zelf heb ik hier een test opstelling in VMWare. Windows XP, Windows 7 en een Windows 2008 server ... Het mooiste zou zijn dat ik een usergroep voor een machinegroep een bepaald profiel kon geven. Echter ben nu al tevreden met een profiel voor iedereen behalve de admin. Het verschil in profielen los ik dan op door scripts. Ik denk dat ik morgen eens ga proberen of ik het profiel path via de grouppolicy wel op \\server\profiles$\%profile% kan zetten. Wellicht kan ik dan middels "Gebruikers Omgevingsvariabelen" toch een apart profiel instellen voor de gebruiker. Quote Link naar reactie
Aanbevolen berichten
Om een reactie te plaatsen, moet je eerst inloggen