![[RSS]](https://tweakers.net/g/if/v2/icons/rss_small.png){kind=icon}
Let op: Tweakers stopt per 2023 met Tweakblogs. In
dit artikel
leggen we uit waarom we hiervoor hebben gekozen.
Warning! Groepsbeleid wordt niet meer toegepast sinds 14 juni 2016 door security-update
Ik wil even wat kwijt, misschien heb je er wat aan.
het kan goed zijn dat bepaalde groepsbeleid objecten die je in werking hebt sinds 14 juni 2016 niet meer toegepast worden.
De meeste Windows systeembeheerders die werken met Windows kennen het (hoop ik) wel, groepsbeleidobjecten.
Eén van de leuke dingen van groepsbeleidobjecten is dat je er voor kan zorgen dat ze alleen van toepassing zijn op bepaalde users en/of groepen.
Stel je dus voor je hebt een groep "studenten" die je qua rechten op de Windows machine helemaal wilt inperken, dan kan je een groepsbeleid aanmaken die je op de groep "studenten" toepast zodat ze alleen nog kunnen doen waarvan jij wilt dat ze dat kunnen. De boel lekker dichtgetimmerd.
Een ander voorbeeld, een bepaalde groep in het bedrijf moet bepaalde schijfletters krijgen, dus pas je een groepsbeleid toe op die groep medewerkers en die krijgen een bepaalde schijfletter toegewezen.
Nu hadden wij van de week een klant waar ineens de schijfletters niet meer tevoorschijn kwamen op een Windows 10 machine. Ook hadden wij dat hier op kantoor bij een bepaalde schijfletter.
Diezelfde middag moest ik bij een klant een groepsbeleid maken die voor een bepaalde groep users van toepassing moest zijn, dus een mooie policy gemaakt en gefilterd op die specifieke groep users, maar wat ik ook probeerde de instellingen werden niet toegepast
.
Op de server heb je een tool RSoP (Resultant Set of Policy) waarmee je kan nabootsen welke groepsbeleiden op een bepaalde user op een bepaalde computer worden toegepast.
Deze gaf aan dat alles correct stond, echter op de Windows 10 client nog steeds geen resultaat.
Dan ga je verder zoeken. Op de client
De rest van de zaken die ik heb geprobeerd laat ik ivm tijdgebrek achterwege en zal tot de conclusie van mijn verhaal komen:
Microsoft Security Bulletin MS16-072
Op 14 juni heeft Microsoft een beveiligingspatch uitgebracht voor Windows zie hier:
https://support.microsoft.com/en-us/kb/3163622
Nadat deze update is geïnstalleerd worden groepsbeleidobjecten alleen nog maar toegepast wanneer;
A. De Authenticated Users groep leesrechten heeft op de policy (wat standaard zo is, maar er voor zorgt dat de policy op iedereen wordt toegepast.
B. Naast een specifiek gedefinieerde groep (Via security filtering) ook de "Domain Computers" groep leesrechten krijgt op de policy (via Delegation).
Wanneer je dit dus niet doorhebt, veroorzaakt MS16-072 mijn inziens ook weer een security-issue omdat een groepsbeleid waarmee je een bepaalde groep users qua rechten had ingeperkt ineens veel meer rechten kunnen hebben in het netwerk.
Wat vinden jullie daarvan?
De oplossing is dus te vinden onderaan dit artikel;
https://support.microsoft.com/en-us/kb/3163622
http://serverfault.com/qu...sabled-server-2012-r2-and
Waar ik de oplossing heb gevonden.
Raymond.
Edit: Titel aangepast gezien het niet alleen Windows 10 betreft
het kan goed zijn dat bepaalde groepsbeleid objecten die je in werking hebt sinds 14 juni 2016 niet meer toegepast worden.
De meeste Windows systeembeheerders die werken met Windows kennen het (hoop ik) wel, groepsbeleidobjecten.
Eén van de leuke dingen van groepsbeleidobjecten is dat je er voor kan zorgen dat ze alleen van toepassing zijn op bepaalde users en/of groepen.
Stel je dus voor je hebt een groep "studenten" die je qua rechten op de Windows machine helemaal wilt inperken, dan kan je een groepsbeleid aanmaken die je op de groep "studenten" toepast zodat ze alleen nog kunnen doen waarvan jij wilt dat ze dat kunnen. De boel lekker dichtgetimmerd.
Een ander voorbeeld, een bepaalde groep in het bedrijf moet bepaalde schijfletters krijgen, dus pas je een groepsbeleid toe op die groep medewerkers en die krijgen een bepaalde schijfletter toegewezen.
Nu hadden wij van de week een klant waar ineens de schijfletters niet meer tevoorschijn kwamen op een Windows 10 machine. Ook hadden wij dat hier op kantoor bij een bepaalde schijfletter.
Diezelfde middag moest ik bij een klant een groepsbeleid maken die voor een bepaalde groep users van toepassing moest zijn, dus een mooie policy gemaakt en gefilterd op die specifieke groep users, maar wat ik ook probeerde de instellingen werden niet toegepast
.Op de server heb je een tool RSoP (Resultant Set of Policy) waarmee je kan nabootsen welke groepsbeleiden op een bepaalde user op een bepaalde computer worden toegepast.
Deze gaf aan dat alles correct stond, echter op de Windows 10 client nog steeds geen resultaat
.Dan ga je verder zoeken. Op de client
code:
in de usercontext uitgevoerd. Wat blijkt, volgens het rapport heeft de user schijnbaar geen rechten op het zojuist aangemaakte groepsbeleid.1
| Gpresult /h report.html /f |
De rest van de zaken die ik heb geprobeerd laat ik ivm tijdgebrek achterwege en zal tot de conclusie van mijn verhaal komen:
Microsoft Security Bulletin MS16-072
Op 14 juni heeft Microsoft een beveiligingspatch uitgebracht voor Windows zie hier:
https://support.microsoft.com/en-us/kb/3163622
Nadat deze update is geïnstalleerd worden groepsbeleidobjecten alleen nog maar toegepast wanneer;
A. De Authenticated Users groep leesrechten heeft op de policy (wat standaard zo is, maar er voor zorgt dat de policy op iedereen wordt toegepast.
B. Naast een specifiek gedefinieerde groep (Via security filtering) ook de "Domain Computers" groep leesrechten krijgt op de policy (via Delegation).
Wanneer je dit dus niet doorhebt, veroorzaakt MS16-072 mijn inziens ook weer een security-issue omdat een groepsbeleid waarmee je een bepaalde groep users qua rechten had ingeperkt ineens veel meer rechten kunnen hebben in het netwerk.
Wat vinden jullie daarvan?
De oplossing is dus te vinden onderaan dit artikel;
https://support.microsoft.com/en-us/kb/3163622
Met credits voorTo resolve this issue, use the Group Policy Management Console (GPMC.MSC) and follow one of the following steps:
Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO).
If you are using security filtering, add the Domain Computers group with read permission.
http://serverfault.com/qu...sabled-server-2012-r2-and
Waar ik de oplossing heb gevonden.
Raymond.
Edit: Titel aangepast gezien het niet alleen Windows 10 betreft
Logmein & Teamviewer Alternatief: Screenconnect
Voor het ondersteunen van klanten op afstand heb ik jarenlang Teamviewer gebruikt. Werkt altijd goed voor incidentele support, maar is niet echt een goed alternatief wanneer je computers ook zonder actie van de klant wilt kunnen bedienen (updates 's avonds of bijv. een tijd afspreken met de klant om wanneer de klant er niet is een probleem op te lossen.
Een aantal jaar geleden ben ik daarom overgestapt op LogMeIn Central. Met een aantal grote voordelen;
Nu we steeds meer computers onder beheer hebben en de tijd vordert, lopen we tegen een aantal issues aan:
Ik kreeg onlangs een telefoontje van iemand die FastViewer probeerde te verkopen. Dit heb ik een tijdje getest, maar vond het allemaal niet erg prettig werken.
Op het internet diverse dingen gezocht, waarna ik uiteindelijk bij ScreenConnect terecht kwam.
Ik heb dit nu een tijdje getest, en denk er serieus over om dit in te gaan zetten.
Update 22-06-2016
Wij werken inmiddels 1,5 jaar met ScreenConnect https://www.screenconnect.com/ wat een verademing is dat!
Een aantal jaar geleden ben ik daarom overgestapt op LogMeIn Central. Met een aantal grote voordelen;
- Makkelijk toegang op afstand zonder interactie van de klant
- [il]Client installaties uitrollen met msi
- Toegang tot anderen geven aan een "selectie van" bepaalde computers in mijn beheerconsole
- Hosted in de Cloud (kan tegelijk ook een nadeel zijn)
Nu we steeds meer computers onder beheer hebben en de tijd vordert, lopen we tegen een aantal issues aan:
- Teamviewer komt denk ik ieder half jaar met een nieuwe versie, om bij te blijven moet je iedere keer upgraden. (tegen kosten waar je U tegen zegt) Je mag de oudere versies blijven gebruiken, maar wanneer een klant dan een gratis versie heeft van een nieuwere teamviewer, zit je daar altijd mee te klooien want die kunnen weer niet tegelijk draaien...
- [lil]De oudere versie waar wij op zijn blijven steken, ondersteund steeds minder, vooral mac is een probleem
- Geen filetransfer mogelijkheid
- Naar mate er meer PC's in Central staan lopen de kosten ook op
- Geen integrale oplossing voor "Quicksupport"
- In de cloud, ik heb vaker meegemaakt dat eea traag is, niet wil verbinden en zelf een aantal keer dat de hele site er uit lag.
Ik kreeg onlangs een telefoontje van iemand die FastViewer probeerde te verkopen. Dit heb ik een tijdje getest, maar vond het allemaal niet erg prettig werken.
Op het internet diverse dingen gezocht, waarna ik uiteindelijk bij ScreenConnect terecht kwam.
Ik heb dit nu een tijdje getest, en denk er serieus over om dit in te gaan zetten.
- Je host het op je eigen server (dus zelf in control over de beschikbaarheid)
- Gechikt voor remote access
- Active Directory integratie
- Je betaald alleen voor het aantal teglijktijdige sessies, geen limiet aan computers
- Alle teksten en Logo's ed. aan te passen
- 2-factor authentication
- Etc.
Update 22-06-2016
Wij werken inmiddels 1,5 jaar met ScreenConnect https://www.screenconnect.com/ wat een verademing is dat!