8 Groepsbeleid (Group Policies)

127

8

Groepsbeleid (Group Policies)

Groepsbeleid is een verzameling regels om gebruikers en computers te beheren. Groepsbeleid kan toegepast worden op meerdere domeinen, afzonderlijke domeinen, subgroepen en op individuele systemen. Beleid dat geldt voor afzonderlijke systemen wordt lokaal groepsbeleid genoemd en wordt uitsluitend op het lokale systeem opgeslagen. Alhoewel we niet dieper ingaan op lokaal groepsbeleid, moet je toch eens overwegen om dit eventueel te gebruiken - voor het maken van mirrors - om b.v. de manier van afsluiten in te stellen. ‘Group Policy Objects’ (GPO’s) - lees een groepsbeleidregel - wordt beschouwd als vertragend voor het netwerk. Dit is deels terecht, m aar niet het aantal, wel de inhoud van de opdrachten. Er is dus geen enkele reden om m ogelijke instellingen te verzam elen in één GPO. Meer info: http://www.windowsnetworking.com/articles_tutorials/Optimizing-Group-Policy-Performance.htm

Met een groepsbeleid kan je: • het register aanpassen: Er wordt een bestand aangemaakt met registerinstellingen die in de sectie voor de gebruiker of de lokale computer van de registerdatabase worden opgeslagen. Gebruikersprofielinstellingen die specifiek zijn voor een gebruiker die zich aanmeldt bij een bepaald werkstation of een bepaalde server worden in het register opgeslagen onder: Hkey_Current_User Computerspecifieke instellingen worden opgeslagen onder: Hkey_local_ Machine Op deze manier is het mogelijk om gebruikers allerlei beperkingen op te leggen zoals: geen knop Uitvoeren, geen Internet Explorer, geen opdrachtprompt (MS-Dos box), enz. • scripts toewijzen: Zoals het plaatsen van een snelkoppeling op het bureaublad naar een programma of een website, het kopiëren van bestanden, het aanpassen van menu's, enz. • mappen omleiden: Dit wordt voornamelijk gebruikt om de map ‘Mijn documenten' op de server te bewaren. Deze map wordt dan rechtstreeks vanuit de client aangesproken. Hierdoor kan een gebruiker op gelijk welk toestel dat verbonden is met de server zijn bestanden gebruiken. Dit kan ook voor de mappen Bureaublad en Favorieten. • toepassingen beheren: Je kan ook software automatisch laten installeren op de clients zonder dat je zelf hoeft tussen te komen. Voorwaarde is natuurlijk dat de software daarvoor geschikt is en er tussendoor geen vervelende vragen moeten beantwoord worden zoals een bevestiging van de licentieovereenkomst. De meeste .msi-pakketten voldoen hieraan.

Een servergestuurd netwerk (Windows 2008 R2)

Groepsbeleid (Group Policies), hst. 8

128 Group Policy Preferences (GPP) Nieuw vanaf W indows Server 2008 is de introductie van ‘Group Policy Preferences’. Het grote verschil m et de ‘Policies’ is het niet verplichtend karakter van de ‘Preferences’. Een gebruiker kan in principe de ‘Preference’ aanpassen, m aar m eestal heeft de gebruiker toch die rechten niet. Met ‘Preferences’ m oet het ook m ogelijk zijn om geen scripts (of cm dlet’s) m eer te gebruiken. De m ogelijkheden tot aanpassen zijn veelbelovend, m aar jam m er genoeg niet altijd toepasbaar in ons netwerk. Een voorbeeldje: Je kan perfect een printer toewijzen aan een gebruiker, m aar de printer m oet toegewezen worden aan de gebruiker in functie van het lokaal waar er wordt ingelogd. Je kan ook alle printers toewijzen aan een gebruiker, m aar dan m oet de printer in het lokaal waar de gebruiker inlogt ingesteld worden als standaardprinter - en liefst worden dan de andere printers verwijderd om gepruts te verm ijden. Dit kan niet m et de ‘Preferences’. • Drive M aps: Koppelt een netwerkm ap aan een stationsletter Niet zinvol: Koppelt een map aan een OU en geen groep. M.a.w. een klas en één leraar van die klas kan niet. • Environment: Koppelt een systeem variabele aan een pad. Weinig gebruikt? • Files: Kopieert een bestand (of een groep bestanden) van de server naar de clients - op com puterniveau Zinvol (uitvoeren op computerniveau) • Folders: Biedt de m ogelijkheid om een m ap aan te m aken, te verwijderen, leeg te m aken (denk aan ‘tem porary files’), aan te passen, enz., m aar kan geen m ap kopiëren die een subm ap bevat! Niet zinvol • Ini File: Biedt de m ogelijkheid om ‘ini-Files’ aan te passen (inhoud aanpassen, verwijderen,...) Weinig gebruikt? • Netw ork Shares: Om gedeelde m appen op de clients te beheren Weinig gebruikt? • Registry: Mogelijkheid om registerinstellingen op de clients aan te passen Zinvol: maar niet eenvoudig • Shortcuts:

Biedt de m ogelijkheid om op verschillende plaatsen snelkoppelingen te m aken naar bestanden, URL’s en ‘Shell Objecten’

Zinvol • Data Souces: Mogelijkheid om Open Database Connectivity (ODBC) te configureren Weinig gebruikt? • Devices:

Niet zinvol:

Biedt de m ogelijkheid om ’Devices’ (USB poorten, diskettestations, enz.) op apparaatbeheer-niveau uit te schakelen. Group Policy bevat betere mogelijkheden om verwisselbare media uit te schakelen. Wat als je een USB-muis gebruikt en de USB-poorten uitschakelt?

• Folder Options: Mogelijk om de ‘m apopties’ aan te passen (verborgen bestanden weergeven, steeds m enu-balk weergeven, enz.) Zinvol: werkt zelf in combinatie met een verplicht profiel



129 • Internet Settings: Mogelijk om alle opties van de Internet Explorer in te stellen, zoals Startpagina(‘s), proxy-instellingen, enz. Zinvol: maar ook mogelijk met ‘Group Policy’. Bovendien kun je met ‘Group Policy’ ook het vervelende scherm voor eerste aanmelding uitschakelen (‘Prevent performance of First Run Customize settings’, te combineren met ‘Go Directly to home page’) • Local Users and Groups: Mogelijkheid om lokale gebruikers en groepen aan te passen, toe te voegen, enz. Zinvol: voor b.v. programmeren in .NET om de groep Debug Users uit te breiden met een groep van leerlingen • Netw ork Options: Mogelijkheid om een VPN en/of DUN (Dial-Up Networking) te installeren op de clientcom puters. Momenteel niet zinvol • Pow er Options: Maakt het m ogelijk om (vooral voor laptops) energie-instellingen in te stellen. Niet zinvol (voor desktoptoestellen):

• Printers:

De instelling van de knoppen ‘Sleep’, ‘’Hibernation’, ‘Stand-by’, ... doe je best via ‘Group Policy’

Mogelijkheid om printer(s) toe te voegen aan een OU gebruikers. Ook een printer als standaardprinter instellen is m ogelijk

Commentaar:

Printers toekennen is profielgebonden. Jammer dat je geen printer kunt toewijzen aan een OU ‘computers’ . Toch is deze mogelijkheid een stuk krachtiger dan de mogelijkheid via ‘Group Policy’, die zeer omslachtig is en bovendien geen mogelijkheid heeft om een standaardprinter in te stellen. Met een script dus...

• Regional Options: Mogelijkheid om regionale instellingen aan te passen. Niet zinvol: Moet correct gebeuren bij de installatie van de client. Jammer genoeg kun je via deze instelling niet de toetsenbordinstellingen aanpassen, want dat is wel nodig. • Scheduled Task: Maakt het m ogelijk om onderhoudstaken (b.v. de ‘Disk Cleanup W izard’) of scripts op ingestelde tijdstippen uit te voeren Weinig gebruikt? • Services: Mogelijkheid om services uit te schakelen of het opstarttype aan te passen Zinvol: (alhoewel). Heel wat services worden onnodig gestart en worden beter uitgeschakeld, maar dit doe je best voordat de computers gekopieerd worden. Een interessante lijst van services die mogen uitgschakeld worden vind je terug op de website van ‘Black Viper’. Het uitschakelen van overbodige services komt de performantie sterk ten goede. • Start M enu: Mogelijkheid om verschillende Start Menu’s aan te m aken. Niet zinvol: Ook het ‘Start Menu’ maakt deel uit van het profiel van de gebruiker. Het Start Menu zal eerder afhankelijk zijn van de software die al dan niet op de computers staat. Bron: An Overview of Group Policy Preferences http://www.microsoft.com/downloads/en/details.aspx?FamilyID=42e30e3f-6f01-4610-9d6e-f6e0fb7a0790



130

8.1

Group Policy Management

Vanaf Windows Server 2003 R2 bestaat er de mogelijkheid om ‘Group Policies’ apart te beheren. Tot dan werd een ‘Policy’ ingesteld via de eigenschappen van een OU. Vanad de versie Server 2008 is het gebruik van de ‘Group Policy Management’ de enige mogelijkheid. <

Open Group Policy Management (via snelkoppeling op het bureaublad) (Start, Administrative tools)

• Heel interessant is de m ogelijkheid om de instellingen op te vragen van een GPO via ‘Settings’

• GPO’s worden gem aakt in de m ap ‘Group Policy Objects’. Je moet ze daarna nog koppelen aan een OU



131

8.1.1

Default Domain Policy - Default Domain Controller Policy

In vorige versies was het mogelijk om het beveiligingsbeleid in te stellen via de ‘Administrative tools’. (Domain Controller Security Policy en Domain Security Policy). Er bestaat wel de ‘Local Security Policy’, maar de instellingen daar zijn niet te wijzigen. Reden is dat Microsoft probeert te verhinderen dat deze instellingen worden aangepast. Maar wie het zijn collega’s aandoet 24 verschillende wachtwoorden te m oeten gebruiken voordat ze terug een oud wachtwoord m ogen invoeren, zal waarschijnlijk toch ‘enig’ gevloek m oeten ondergaan. Ook de andere instellingen (wachtwoord m oet vernieuwd worden na 42 dagen) zal op ‘weinig’ enthousiasm e onthaald worden.... maar daar moeten ze maar mee leren leven... Merk ook op dat er een onderscheid gem aakt wordt tussen de ‘Dom ain Policy’ en de ‘Dom ain Controller Policy’. Andere instellingen kiezen voor de dom eincontroller is waarschijnlijk niet relevant. Belangrijker is wie je toegang geeft tot de dom eincontroller en gezien dit enkel adm inistrators zijn, zal ‘enige’ voorzichtigheid wel autom atisch gebeuren. Belangrijk is wel als je wijzigingen doorvoert niet te m issen tussen beide.

< Klik rechts op ‘Default Domain Policy’ < Kies ‘Edit’

< < < < < <

Open ‘Computer Configuration’ Open ‘Policies’ Open ‘Windows Settings’ Open ‘Security Settings’ Klik op ‘Account Policies’ Klik op ‘Password Policy’

! Password Policy



132 !

Dubbelklik op: ‘Enforce password history’

<

Verander 24 –> 1

<

Klik op ‘OK’

De andere instellingen aanpassen doe je best niet zodat er een ‘goed’ beveiligingsbeleid geldt

zie theoretische aanvulling 11.6

! Account Lockout Policy

Is het zinvol om dit in te schakelen? De ‘login’-nam en van de leerlingen en de leerkrachten zijn gekend. Proberen leerlingen (... of een collega...) iem and zijn wachtwoord te raden en is het dan niet beter om het account tijdelijk te blokkeren? W aarschijnlijk wel, tot wanneer een klas gesplitst wordt over twee computerlokalen - en één helft toch wel een toets heeft... maar alle accounts zijn geblokkeerd.... Verander dit toch m aar naar de standaardinschakeling:

<

Dubbelklik op: ‘Account lockout duration’

<

Plaats een vinkje bij: ‘Define this policy setting

<

Klik op ‘OK’

Dit zijn dan de standaardinstellingen, desgewenst kunnen deze ook aangepast worden.



133 ! Kerberos Policy

Kerberos is een standaard authenticatie protocol dat ervoor zorgt dat gebruikers van een netwerk zich op een veilige m anier kunnen aanm elden en hun identiteit bewijzen, zonder steeds opnieuw te m oeten aanm elden. De Kerberos functie betekent dat een Kerberos server aan een ingelogde gebruiker een ‘Ticket’ toekent. Dit ticket blijft gedurende de hele sessie geldig en wordt vertrouwd door andere servers die het protocol kennen. Als de gebruiker uitlogt, wordt de sessie afgebroken en is het ticket niet langer geldig. Het gebruik hiervan is zeer zinvol, Kerberos wordt ook bij andere system en toegepast en is erkend als een veilig autheniticatie-algoritm e. Bovendien bevat Kerberos een aantal voorzorgsm aatregelen die ervoor zorgen dat wachtwoorden na het invoeren beveiligd worden tegen aanvallen. Merk op dat tijdsynchronisatie in deze ‘policy’ belangrijk is en dat de tijdsynchronisatie tussen de clients, de dom eincontroller en een externe tijdserver correct m oeten verlopen.

8.2 8.2.1

Voorbeelden van ‘Group Policy Objects’ Geen Configuratiescherm e

<

Schakel het configuratiescherm uit voor de OU ‘1 graad’

<

Controleer de uitvoering op de ‘client’

< Open de map ‘Group Policy Objects’ < Klik rechts in de geopende map < Selecteer New

< Geen naam in: GeenConfiguratiescherm

< klik op ‘OK’



134 < Klik rechts op: GeenConfiguratiescherm

< Klik op Edit

Een zeer belangrijke keuze m oet hier gem aakt worden: is de ‘Policy’ gebruikersniveau of com puterniveau? In het begin zeker verwarrend om dat de instellingen bij beide voorkom en en m en het gevoel heeft dit door elkaar te m ogen gebruiken. ... niets is minder waar ... De theorie is eenvoudig; al wat in het persoonlijk profiel staat is ‘User Configuration’. M.a.w. het uitzicht van alle venster, m enu’s, enz., m aar ook b.v. de printerinstellingen. Voor ‘Com puter Configuation’ kies je zeker als er iets m oet geïnstalleerd of gekopieerd worden. Een gewone gebruiker heeft deze rechten niet en op elk toestel inloggen als adm instrator is ook niet zinvol. Een ‘Com puter Configuration’ heeft dit recht wel via de groep ‘System ’ User Configuration Policies worden uitgevoerd bij’ Aanmelden /Herstarten’ Computer Configuration Policies worden enkel uitgevoerd bij ‘Herstarten’,

Een ander probleem is het terugvinden van de G PO. Na het openen van een aantal subm appen vind je wel iets terug... m aar som s is het niet zo eenvoudig en is het willekeurig zoeken bijna onm ogelijk



135 In de ‘Adm inistrative Tem plates’ (.adm x) zijn er m om enteel 3103 GPO’s... leuk, maar niet zo eenvoudig om daarin uw weg te vinden... Een m ogelijke oplossing: •

Microsoft heeft een rekenblad ontworpen (zoekterm : ‘Group Pollicy Settings Reference for W indows and W indows server’). Gebruik het rekenblad voor Server 2008 R2

Zoek de juiste benam ing van de GPO en zoek de locatie via een query

< Open : ‘Administrative Templates, All Settings’ < Klik bovenaan op de knop: ‘Action’ < Klik op Filter Options...

< Geef in: ‘prohibit control panel’ < Verander ‘Any’ naar ‘All’

< Klik op ‘OK’



136 Op de tweede lijn vinden we de gevraagde GPO.

< Dubbelklik op: ‘Prohibit access tot the Control Panel’

< Selecteer ‘Enabled’

Merk op dat ook de snelkoppeling naar Control Panel uit het startm enu wordt verwijderd

< Klik op ‘OK’ en sluit de ‘Editor’ af

Vergeet niet om de GPO te slepen naar de OU waarop er m oet toegepast worden!

< Sluit het ‘Group Policy Management’



137

8.2.1.1

Groepsbeleid onmiddellijk uitvoeren Als er een groepsbeleid wordt geconfigureerd in de ‘Active Directory’ dan wordt dit niet onm iddellijk doorgegeven aan de clients. Norm aal gesproken wordt er om de 90 m inuten vernieuwd, m et een m ogelijke uitloop van 30 m inuten eerder of later.

8.2.1.2

GPUpdate:

Door deze instructie uit te voeren worden alle lokale en alle groepsbeleidsinstellingen die zijn opgeslagen in de ‘Active Directory’, m et inbegrip van beveiligingsinstellingen, uitgevoerd.

/force:

W ordt deze param eter gebruikt, dan worden alle verwerkingsoptim aliseringen genegeerd en alle instellingen opnieuw toegepast. <

Klik op de server op Start, Run

<

Tik in: GPUpdate /force

Groepsbeleid controleren op Client

<

Log in op de client met een gebruiker uit de eerste graad b.v. ‘1HA.Tim’

•

Het onderdeel ‘Configuartiescherm ’ is uit het ‘Start Menu’ verdwenen

•

Ook alle koppelingen naar onderdelen in het ‘Configuratiescherm ’ werken niet m eer. Probeer b.v. om rechts op het bureaublad te klikken en de scherm resolutie te veranderen.



138 Mogelijke controle: < Ga naar een MS-DOS box (Start, zoekscherm, tik in cmd en <Enter>) < Tik in: Gpresult /r

W erkt het groepsbeleid niet dan kun jehier controleren of de GPO werd uitgevoerd. Is dit het geval, dan bevat de GPO een fout. Is dit niet het geval dan kun je best eens herstarten.

8.2.2

Mapomleiding

In hst. 5 hebben we een verplicht profiel gemaakt voor de leerlingen. In hst. 7 hebben we de map ‘DocLeer’ aangemaakt met mapquota op de server voor de documenten van de leerlingen. Deze map is gedeeld met lees- en schrijfrechten voor iedereen. Wat nu nog moet gebeuren is een GPO maken die de mapomleiding uitvoert bij het aanmelden. < Maak een nieuw Groepsbeleid: MapOmleidingLln < Klik op ‘OK’ < Klik rechts op ‘MapOmleidingLln’ < Klik op ‘Edit...’

< < < <

Klik op ‘User Configuration’ ‘Policies’ ‘Windows Settings’ ‘Folder Redirection’

< <

Klik rechts op ‘Documents’ Klik op ‘Properties’



139 < Verander bij ‘Setting’: ‘Not configured’ naar: ‘Basic - Redirect everyone’s folder to the same location’ Laat je nooit verleiden om een ‘Path’ terug te vinden via de knop ‘Browse...’ . Dit is bijna altijd fout om dat steeds verwezen wordt naar de lokale schijf en hier een netwerkpad m oet ingegeven worden.

< Geef in bij ‘Root Path’ \\windows7server\DocLeer

< Klik op ‘Apply’

.... dit is erger dan de Middeleeuwen...

<

Klik op ‘Yes’

<

Ga vervolgens naar het tabblad ‘Settings’ < Verwijder het vinkje bij: ‘Grant the user exclusive rights to Documents’ W anneer je dit niet doet kun je als adm instrator deze m ap niet m eer nakijken. Nadeel is wel dat iedereen toegang heeft tot deze m appen. Dit lossen we later op m et een script.

<


Klik op ‘OK’


140 < De GPO te koppelen aan de OU’ Leerlingen’ < Gpupdate /force uit te voeren via de knop ‘Run’

8.2.2.1

‘Pad’ controleren op de Client < Log in op de Client < Klik rechts op: Documenten Bij de ‘Bibliotheeklocaties’m oet de verwijzing naar de server staan. Is dit niet het geval dan kan het zijn dat er al m et deze gebruiker werd aangem eld en er een lokaal profiel bestaat. Het m aakt niet uit of er gewerkt wordt m et een lokaal, verplicht of zwervend profiel. De m ap ‘C:\gebruikers\....\ Docum ents’ krijgt voorrang op de serverm ap. Verwijder het profiel van deze gebruiker, via de com putereigenschappen.

•

Het is niet om dat de koppeling bestaat de m ap werd aangem aakt. Hiervoor is het nodig dat er een m ap/bestand aangem aakt wordt in de m ap ‘Mijn Docum enten’. IJverige collega’s willen b.v. de eerste les vanuit MS-W ord een document bewaren in de map ‘Mijn Documenten’, maar gezien die nog niet is aangemaakt...

•

Laat leerlingen/collega’s (zeker in het begin) deze eigenschap controleren, want dit is de enige m ogelijkheid om iets te bewaren als er gewerkt wordt m et een verplicht profiel. Geef ook nog eens m ee dat docum enten op het bureaublad bij een verplicht profiel niet bewaard worden. W erk je m et een zwervend profiel dan kun je rare dingen tegenkom en (althans volgens de collega’s...), de docum enten zijn om geleid en op elke com puter terug te vinden, m aar die docum enten op het bureaublad slechts op som m igen... ‘t ja ...



141

8.2.3

Actie voor aan/uit- knop aanpassen Het is best deze m ogelijkheden aan te passen om problem en te voorkom en. ‘Afsluiten’ hebben we reeds vervangen door ‘Afm elden’ in het verplicht profiel om dat anders na elke les de com puter wordt afgesloten wat niet zinvol is. Ook op andere tijdstippen (over de m iddag b.v.) is het zinvol om de com puters te laten aanstaan voor updates, virusscan, enz. Eventueel kunnen de com puters altijd afgesloten worden d.m .v. een script.

User GPO: Change Start M enu pow er button –> Enabeld en instellen op ‘Log off’ Door het gebruik van een verplicht profiel is deze knop ingesteld op ‘Afm elden’. De gebruiker kan dit eventueel nog wijzigen via de eigenschappen van het startm enu. Gebruik je deze GPO dan is de instelling niet m eer wijzigbaar:

User GPO: Remove and prevent access to the Shut Dow n, Restart, Sleep and Hibernate commands Vrij drastische GPO. Doet juist niet wat we willen. ‘Opnieuw opstarten’ en ‘Afsluiten’ zijn wel interessant in het keuzem enu, ‘Andere Gebruiker’ en Vergrendelen m oeten we zeker uitschakelen.

Computer GPO:

Hide entry points for Fast User Sw itching –> Enabeld

User GPO:

Remove lock computer –> Enabeld

‘Andere gebruiker’ is uitgeschakeld, ‘Vergrendelen’ werkt niet m eer, alleen ‘Slaapstand’ is nog een probleem .

Computer GPO:

Allow Standby States (S1-S3) W hen Sleeping (Plugged In) –> Disabled

.... grrr ..... de gpo ‘Select the Sleep Buttin Action (Plugged In) werkt niet. Na ruim 4 uur zoeken... ... is dit de oplossing. De knop ‘Vergrendelen’ doet niets, ‘Opnieuw opstarten’ is nog steeds m ogelijk, evenals ‘Afsluiten’

‘Andere gebruiker’ en ‘Slaapstand’ is uitgeschakeld



142 Samenvatting:

< Maak een GPO ‘AanUitAanpassen’ met deze instellingen



143

8.3

Voorbeelden van ‘Group Preferences’

8.3.1

Plaats een snelkoppeling naar een URL op het bureaublad < Plaats een snelkoppeling naar de website van ‘Black Viper’ op het bureaublad en voor de leerlingen van 6IB en noem deze snelkoppeling ‘Uitschakelen services’.

< Maak een nieuwe GPO: URLDesktop6IB

< Klik op ‘OK’

Een snelkoppeling kan gem aakt worden op verschillende locaties. Maar opnieuw m oeten we ons de vraag stellen is de locatie bereikbaar als ‘gebruiker’ of als ‘com puter’? ‘Desktop’ zal een ‘User-policy’ zijn ‘All Users Desktop’ een ‘Com puter-policy’ SendTo een ‘Com puter-policy’. Hou er rekening m ee dat als je een ‘Verplicht profiel’ gebruikt de gebruikersaanpassingen verdwijnen bij het ‘Afm elden’

< Klik rechts op ‘URLDesktop 6IB’ < Klik op ‘Edit’ < Ga naar ‘User Configuration’, Windows Settings, Shortcuts < Klik rechts op ‘Shortcuts’ en kies ‘New’, ‘Shortcut’



144 < Vul in:

Action: Update Update is bijna altijd de goede keuze om dat dit ook ‘Create’ en ‘Replace’ toepast. Target type: URL Location: Desktop Target URL: http://www.blackviper.com

Icon file path:

< Klik op ‘OK’

... jawel ...

< Log in op de client (6IB.Sarah) Op het bureaublad staat deze snelkoppeling



145

8.3.2

Bestand kopiëren en achtergrond aanpassen < Kopieer het bestand ‘UA.jpg’ naar C:\W indows\W eb\W allpaper\W indows < Zorg ervoor dat deze afbeelding als achtergrond gebruikt wordt

8.3.2.1 < < < <

Kopieer het bestand

Kopieer: ‘UA.jpg’ –> ‘NetLogon’ op de server Maak een nieuwe ‘GPO’ aan: CopyAchtergrond Klik rechts op deze GPO Klik op ‘Edit’ <

Ga naar:

• • • •

Com puter Configuration Preferences W indows Settings Files

<

Kik rechts op Files, ‘Properties’

<

Geef in:

Soucre file: \\windows7server\netlogon\UA.jpg Destination File: C:\windows\web\wallpaper\windows\UA.jpg Merk op dat bij de ‘Destination’ de naam van het bestand herhaald wordt!

<

Klik op ‘Apply’

<

Ga naar het tabblad ‘Common’

< Selecteer: ‘Apply once and do not reapply’

< Klik op ‘OK’

Voer de GPO uit, m aar vergeet niet om de GPO eerst te koppelen aan ‘School.cno’ !



146

8.3.2.2

Achtergrond instellen

De achtergrond instellen is geen ‘Preference’-instelling, maar wel een ‘Policy’ < Maak een nieuwe GPO: Achtergrond < Klik rechts op de GPO en klik op ‘Edit’

< Ga naar: • • • • •

User Configuration Policies Adm inistrative Tem plates Desktop Desktop

< Dubbelklik op: Desktop W allpaper’

< Klik op ‘Enabled’

< Geef in bij ‘Wallpaper Name’: C:\windows\web\wallpaper\ windows\UA.jpg

< Geef in bij ‘Wallpaper Style’: Fill

< Klik op ‘OK’

• Deze m ethode is te verkiezen als deze achtergrond altijd gebruikt wordt. Moet de achtergrond tijdelijk veranderd worden (...gedichtjesdag...), dan is het zeker niet nodig om de achtergrond eerst te kopiëren. Plaats de achtergrond in de m ap ‘netlogon’ en verander de ‘W allpaper Nam e’ naar: \\windows7server\netlogon\gedicht.jpg • Vroeger was het ook noodzakelijk (in com binatie m et een verplicht profiel) dat de afbeelding een .BMP was. Dit is niet m eer nodig, m aar vergeet niet dat een .JPG geconverteerd wordt in het geheugen en daar zeer veel ruim te in beslag neem t.



8 Groepsbeleid (Group Policies)

Recommend Documents