2. Voordelen van het werken met Group policies: • Sneller dan manueel overal de instellingen lokaal te maken. • Correcter, je hebt overal precies dezelfde instellingen. • Sneller, de Group policies worden snel actief (gpupdate). • Overzichtelijker, je kan steeds centraal bekijken wie welke instellingen actief heeft. Windows 2008 server - Cvo Heusden-Zolder 2
3. Mogelijke GPO’S • Toegangen control panel • Bureaubladachtergronden en visuele uitzichten • Beveiliging • Printers die automatisch worden toegevoegd aan het gebruikersprofiel (nieuw in 2008 en Vista) -Zie printer deployement • Power options (standby – settings etc. Ook nieuw in 2008 en Vista) • Logon-scripts (maar ook bij afmelden, opzetten pc etc.) • Software deployement over het netwerk • Internet explorer – instellingen • Bijkomende instellingen voor andere software zoals Office (ADM en ADMX – bestanden) • Folder redirection (“My documents” naar een servershare) Windows 2008 server - Cvo Heusden-Zolder 3
4. Volgorde toepassing GPO’S • Local computer Group Policy • Group Policy objects linked to the site • Group Policy objects linked to the domain • Group Policy objects linked to the OU Windows 2008 server - Cvo Heusden-Zolder 4
5. Praktijkvoorbeeld Local computer Group Policy -> bureablad=wit Group Policy objects linked to the site -> bureaublad=zwart Group Policy objects linked to the domain -> bureaublad=wit Group Policy objects linked to the OU -> bureaublad=zwart Windows 2008 server - Cvo Heusden-Zolder 5
6. GPO’S VOOR: Group Policy settings voor users: Software settings Windows settings Security settings Desktop settings Group Policy settings voor computers: Software settings Windows settings Security settings Operating system Windows 2008 server - Cvo Heusden-Zolder 6
8. Volgoefening p.3 Aanmaken van een eenvoudige GPO In dit voorbeeld willen we een gpo maken die de toegang tot het control panel uitschakelt voor iedereen uit de OU personeel (PEUGEOTERSONEEL). Windows 2008 server - Cvo Heusden-Zolder 8
9. Wanneer worden Group policies toegepast ? Windows 2008 server - Cvo Heusden-Zolder 9
10. Commando gpupdate gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot] Parameters /target: { computer | user } : Processes only the Computer settings or the current User settings. By default, both the computer settings and the user settings are processed. /force : Ignores all processing optimizations and reapplies all settings. /wait: value : Number of seconds that policy processing waits to finish. The default is 600 seconds. 0 means "no wait"; -1 means "wait indefinitely." /logoff : Logs off after the refresh has completed. This is required for those Group Policy client-side extensions that do not process on a background refresh cycle but that do process when the user logs on, such as user Software Installation and Folder Redirection. This option has no effect if there are no extensions called that require the user to log off. /boot : Restarts the computer after the refresh has completed. This is required for those Group Policy client-side extensions that do not process on a background refresh cycle but that do process when the computer starts up, such as computer Software Installation. This option has no effect if there are no extensions called that require the computer to be restarted. /? : Displays help at the command prompt. Windows 2008 server - Cvo Heusden-Zolder 10
11. GPO ENFORCED (vroeger “nooverride”) Een Group policy kan de status ENFORCED hebben. Wat dit wil zeggen is dat als er conflicterende GPO settings zijn na de toepassing van deze grouppolicy, dat de instellingen van deze grouppolicy toch zullen toegepast worden. EnforcedGPO’s hebben ook de bovenhand over Block Inheritance (zie volgend item). Windows 2008 server - Cvo Heusden-Zolder 11
12. GPO BLOCK INHERITANCE Block GPO inheritance wil zeggen dat je bovenliggende GPO’s die zouden toegepast worden, gaat blokkeren. Je blokkeert dan wel al de bovenliggende GPO’s. GPO’s met de optie ENFORCED worden toch toegepast. Windows 2008 server - Cvo Heusden-Zolder 12
13. Loopback processing Merge mode In this mode, the list of GPOs for the user is gathered during the logon process. Then, the list of GPOs for the computer is gathered. Next, the list of GPOs for the computer is added to the end of the GPOs for the user. As a result, the computer’s GPOs have higher precedence than the user’s GPOs. Replace mode In this mode, the list of GPOs for the user is not gathered. Instead, only the list of GPOs based on the computer object is used. The User Configuration settings from this list are applied to the user. Windows 2008 server - Cvo Heusden-Zolder 13
14. LABO grouppolicies LABO GPO’S Logon-script Zorg dat elke dienst van de organisatie Peugeot automatisch een drive-mapping heeft naar de map van hun dienst op de server. Gebruik als drive-letter Y:br />Internet explorermaintenance Configureer Internet Explorer voor de Peugeot-onderneming als volgt: ICT – startpaginawww.zdnet.be Directie – Startpagina www.trends.be Al de andere afdelingen – Startpagina www.peugeot.be Zorg dat iedereen tussen de favorieten de urlwww.garagetv.be heeft staan. Folder redirection Configureer voor elke afdeling dat de “My documents”-folder op de Y-schijf wordt gezet. TIP: User Settings | Windows Settings | Folder Redirection. Windows 2008 server - Cvo Heusden-Zolder 14