Het instellen van bureaubladpictogrammen via Groepsbeleid kan een redder in nood zijn bij het distribueren van veelgebruikte apps of links over een heel domein. Maar soms draait het meer om het worstelen met vreemde machtigingsproblemen of padproblemen dan om het daadwerkelijk maken van de pictogrammen. Als je dit al eens hebt geprobeerd en alleen maar naar gebeurtenislogboeken of lege pictogrammen hebt zitten staren, ben je niet de enige. Het is best frustrerend dat Windows je niet altijd vertelt wat er mis is gegaan – natuurlijk moet het het ingewikkelder maken dan nodig is. Maar als iemand die hier wel eens mee heeft geëxperimenteerd, deel ik graag een paar praktische tips en wat je kan helpen om die pictogrammen zonder al te veel gedoe te krijgen.
Hoe los je het probleem op dat bureaubladpictogrammen die via GPO zijn aangemaakt niet verschijnen?
Zorg ervoor dat het bronpad en de machtigingen correct zijn.
- Controleer het UNC-pad dat is opgegeven in het doelpad nogmaals. Als u verwijst naar een netwerktoepassing zoals
\\fs01\TCPView\tcpview.exe, zorg er dan voor dat die map niet verborgen is achter lastige machtigingen. In de ene configuratie werkte het prima, in de andere weigerde het gewoon – waarschijnlijk omdat het account dat het groepsbeleidsobject uitvoert niet minstens lees- en uitvoerrechten had. U kunt de machtigingen van de map controleren: klik met de rechtermuisknop op de map > Eigenschappen > Beveiliging en zorg ervoor dat Geverifieerde gebruikers of Iedereen ten minste lees- en uitvoerrechten heeft. - Als uw snelkoppelingspictogram afkomstig is van een netwerklocatie, zorg er dan voor dat u ‘ Het gebruik van externe paden in bestandspictogrammen toestaan’ hebt ingeschakeld onder Computerconfiguratie > Beheersjablonen > Windows-onderdelen > Bestandsverkenner. Anders krijgt u een leeg pictogram in plaats van uw aangepaste ICO. Ik begrijp niet waarom Windows dit zo ingewikkeld moet maken.
Valideer de GPO-configuratie en vernieuw het beleid correct.
- Gebruik bij het bewerken van de snelkoppeling verstandige omgevingsvariabelen zoals
%ProgramFiles%,%SystemRoot%, of%Public%— veel paden werken niet meer als er een typefout in staat of als Windows ze niet correct uitbreidt. Om een volledige lijst met omgevingsvariabelen te bekijken, drukt u op F3 in het GPP-configuratiedialoogvenster. - Onthoud dat als u de snelkoppeling op de bureaubladen van alle gebruikers wilt plaatsen (niet alleen op die van de ingelogde gebruiker), u de locatie moet instellen op ‘ Bureaublad van alle gebruikers’. Voor gebruikersspecifieke snelkoppelingen kiest u ‘Bureaublad’ en vinkt u ‘Uitvoeren in de beveiligingscontext van de ingelogde gebruiker’ aan onder het tabblad ‘Algemeen’.
- Na de configuratie kunt u de instellingen
gpupdate /forceop de clientcomputers uitvoeren of gewoon uit- en weer inloggen. Soms is dit de enige manier om Windows de nieuwe beleidsregels te laten toepassen. Bij sommige configuraties worden de beleidsregels pas na een herstart toegepast, dus vergeet dat niet als u de snelkoppeling nog steeds niet ziet.
Controleer de gebeurtenislogboeken om te achterhalen waarom het mogelijk is mislukt.
- Open eventvwr.msc, ga naar Toepassingen en filter op gebeurtenissen voor Groepsbeleid. Als er een foutmelding verschijnt over een niet gevonden bestand of geweigerde toegang, dan is dat een aanwijzing.
- Een veelvoorkomende fout is bijvoorbeeld
The system cannot find the file specified.(Error 0x80070002). Meestal is het een typefout in het pad of heeft het account dat wordt gebruikt om de GPO toe te passen geen machtigingen. - Als het beleid helemaal niet wordt toegepast, kunt u GPResult.exe op de clients uitvoeren om te zien wat er ontbreekt of of er conflicten zijn. Soms is loopback-verwerking nodig als u beleid aan de computerzijde toepast op gebruikersobjecten.
Gebruik itemgerichte targeting voor specifieke gebruikersgroepen.
Snelkoppelingen alleen beschikbaar stellen aan bepaalde gebruikers of groepen
- Maak in Active Directory een beveiligingsgroep aan met alle gebruikers aan wie u snelkoppelingen wilt toewijzen.
- Ga in de Editor voor Groepsbeleidsbeheer naar uw snelkoppeling en open vervolgens het tabblad Algemeen. Schakel Doelgerichtheid op itemniveau in en klik op Doelgerichtheid.
- Voeg een regel toe door Nieuw item > Beveiligingsgroep te kiezen en de naam van de domeingroep op te geven. Op deze manier krijgen alleen leden van die groep de snelkoppeling. Mooi en specifiek.
Dit is erg handig als bepaalde snelkoppelingen alleen relevant zijn voor bijvoorbeeld beheerders of een specifieke afdeling. Eén GPO kan meerdere targetingregels bevatten voor verschillende groepen of OU’s, wat het overzichtelijk houdt.
En ja, soms is het een kwestie van uitproberen, vooral als je lokale, netwerk- en gebruikersbeleidsregels combineert. Maar als het eenmaal goed is ingesteld, kan het een hoop handmatig werk besparen. Houd die machtigingen en paden goed in de gaten en vergeet niet de gebeurtenislogboeken te controleren als er iets niet verschijnt.
Het heeft bij mij gewerkt, hopelijk werkt het ook voor jou. Ik hoop dat dit iemand helpt om te voorkomen dat hij of zij zijn of haar haren uittrekt.
Samenvatting
- Controleer de machtigingen voor de doelmap en het pictogrampad.
- Gebruik omgevingsvariabelen met zorg en controleer de paden.
- Het programma wordt uitgevoerd
gpupdate /forceen na wijzigingen afgemeld/aanmeldt. - Gebruik de gebeurtenislogboeken om storingen te diagnosticeren.
- Om specifieke groepen te bereiken, moet u ervoor zorgen dat uw targeting op itemniveau correct is.
Conclusie
Het betrouwbaar weergeven van GPO-snelkoppelingen vereist soms een combinatie van correcte paden, machtigingen en geduld. Er is geen magische knop, maar zodra alle details kloppen, verschijnen de snelkoppelingen zoals gepland op het bureaublad. Als dat niet gebeurt, is het meestal iets kleins, zoals een typefout of onjuiste machtigingen, dat de boel verstoort. Houd dat in gedachten, wees geduldig en controleer alles nog eens. Hopelijk bespaart dit iemand die met dit soort problemen worstelt een paar uur.