Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Servers

Windows Vista/7 + Mandatory Profiles

G_ij_s
4 antwoorden
  • Om duidelijk te maken wat ik wil leg ik eerst de huidige situatie uit:

    Wij maken gebruik van Windows XP clients en Windows 2003/2008 als servers. Voor de gebruikers is een profiel path ingesteld in het gebruikersaccount.

    Dat ziet er ongeveer zo uit:\\server\profiles$\%profile%. Op de werkstations is dan met het commando "set profile=afdelingadm" de map aangeven waar de gebruiker zijn profiel zoekt.

    Als de gebruiker aanmeld dan vind Windows XP netjes het profiel in \\server\profiles$\[b:627922c67d]afdelingsadm[/b:627922c67d]
    tuser.man Deze truuk om verschillende profielen te koppelen aan groepen machines werkt helaas niet meer in Windows Vista / 7. Windows Vista en Windows 7 negeert de %profile% variable en kan dus het profiel niet vinden. (Ja ik houd rekening met de .V1 en .V2 extensie)

    Enige wat ik tot op heden heb gevonden om hetzelfde voor elkaar te krijgen is de Group Policy "Set roaming profile path". Dit heeft echter als resultaat dat iedereen inclusief de Administrator hetzelfde profiel heeft.

    Weet iemand een manier om een mandatory profile te koppelen aan een machine groep zonder dat de Administrator dit profiel ook overneemt?

    Loopback-verwerkingsmodus van gebruikersgroepsbeleid werkt helaas niet. :cry: "Set roaming profile path" werkt alleen als het beleid word toegepast op een machine in plaats van een gebruikersgroep.
  • Ik zou dan de computeraccounts groeperen in verschillende OU's, op die OU's de GPO's koppelen en het administrator account geen apply rechten geven op de GPO's.
  • [quote:52979c9733="Leo S"]Ik zou dan de computeraccounts groeperen in verschillende OU's, op die OU's de GPO's koppelen en het administrator account geen apply rechten geven op de GPO's.[/quote:52979c9733]

    Tja dat kan dus niet. Je kan alleen Domain Computers GPO rechten geven of Authenticated Users.

    Zodra je kiest voor een User of Usergroep dan werkt het GPO niet. Loopback Groupolicy mode werkt helaas ook niet.

    In het geval van "geen apply rechten", komt het er op neer dat je geen rechten hebt om de GPO te lezen. Het probleem is dat de machine zelf dan het GPO al heeft doorgevoerd waardoor Windows Vista of Windows 7 als nog met het mandatory profile aanmeld.
  • Hmmm, dan zit ik waarschijnlijk even te makkelijk te denken. Het gaat inderdaad om een computer policy… Die wordt toegepast voordat een gebruiker inlogt…

    Ik heb zo gauw geen oplossing, maar vind het een interessant probleem. Ik zal eens een en ander gaan testen op de VMware omgeving bij ons op kantoor, als ik er tijd voor heb…

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.