none
Tempo applicazione Policy di dominio... RRS feed

  • Domanda

  • Ciao,

    Ho realizzato una nuova policy di dominio e l'ho sostituita alla precedente nella OU. Mi loggo tramite Terminal Server, l'utente appartiene alla OU ma l'effetto della nuova policy non c'e' e rimane quello della policy precedente.

     

    Ci vuole un tempo di aggiornamento? Come si puo' forzare?

    Grazie

    mercoledì 25 agosto 2010 12:42

Risposte

Tutte le risposte

  • Ciao,

    Ho realizzato una nuova policy di dominio e l'ho sostituita alla precedente nella OU. Mi loggo tramite Terminal Server, l'utente appartiene alla OU ma l'effetto della nuova policy non c'e' e rimane quello della policy precedente.

     

    Ci vuole un tempo di aggiornamento? Come si puo' forzare?

    Grazie


    l'utente può fare start, esegui, digitare

    gpupdate /force

    e cliccare ok.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 25 agosto 2010 13:07
    Moderatore

  • Hem, l'utente subisce delle policy per le quali non puo' avere l' esegui... :-( che faccio? tiro via tutte le policy e poi : gpupdate /force?
    mercoledì 25 agosto 2010 13:25

  • Hem, l'utente subisce delle policy per le quali non puo' avere l' esegui... :-( che faccio? tiro via tutte le policy e poi : gpupdate /force?

    No. Fai logoff e logon con lo stesso utente, le policies lato utente verranno automaticamente ricaricate.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 25 agosto 2010 13:37
    Moderatore
  • Fatto, eseguito gpupdate /force poi riapplicato la policy di dominio nuova.

    Problema, con la sola policy di dominio l'effetto nuovo voluto ( Do not allow LPT port redirection : enable )  non viene applicato. Se, invece, specifico la policy direttamente sul Server Terminal ( gpedit.msco ), al quale si collega l'utente, funziona!

    La abilitazione della regola: Do not allow LPT port redirection : enable, si ottiene solo tramite le policy *dirette* nel server Terminal e non tramite le policy di dominio?

     

    Grazie

     

     

     

    mercoledì 25 agosto 2010 13:41
  • La abilitazione della regola: Do not allow LPT port redirection : enable, si ottiene solo tramite le policy *dirette* nel server Terminal e non tramite le policy di dominio?


    puoi ottenere lo stesso risultato anche partendo dalle policy di dominio ma devi verificare di applicarle correttamente.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 26 agosto 2010 07:16
    Moderatore
  • Eh :-( , in pratica eseguo la stessa cosa ( Do not allow LPT port redirection : enable ) pero' se tolgo la policy *diretta* nel server e lascio solo quella di dominio non me la applica ( le altre impostazioni nella stessa policy si'.. ).

    Forse e' colpa dell'utente? In pratica l' utente di AD si collega via terminal server sul server dedicato alle connessioni terminal ( non DC ). Se nel server dedicato alle connessione terminal e' specificata la policy la prende, se e' solo la policy di dominio no.

    Quando un utente AD si collega via Terminal acquisisce al login le policy di dominio?

     

    grazie e ciao

    giovedì 26 agosto 2010 08:04
  • Eh :-( , in pratica eseguo la stessa cosa ( Do not allow LPT port redirection : enable ) pero' se tolgo la policy *diretta* nel server e lascio solo quella di dominio non me la applica ( le altre impostazioni nella stessa policy si'.. ).

    Forse e' colpa dell'utente? In pratica l' utente di AD si collega via terminal server sul server dedicato alle connessioni terminal ( non DC ). Se nel server dedicato alle connessione terminal e' specificata la policy la prende, se e' solo la policy di dominio no.

    la policy in questione (Do not allow LPT port redirection : enable ) è associata a che cosa ? al dominio ? ad una OU ? ad un Site ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 26 agosto 2010 11:37
    Moderatore
  • E' associata ad una OU...
    venerdì 27 agosto 2010 06:17
  • e tu hai messo il terminal server dentro la OU e questo non prende la policy correttamente ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 27 agosto 2010 06:57
    Moderatore
  • Esatto, a dire la verita' prende tutte le policy che ho specificato ma non la Do not allow LPT port redirection : enable ... :-(
    venerdì 27 agosto 2010 09:00
  • Hem, ho messo l'utente AD con il quale mi collego tramite Terminal Server..
    venerdì 27 agosto 2010 09:00
  • Hem, ho messo l'utente AD con il quale mi collego tramite Terminal Server..


    ecco l'errore: trattandosi di una policy "computer" e non "user", nella OU vanno messi computer e non utenti.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 27 agosto 2010 09:54
    Moderatore
  • Hum, e come lo metto il Computer?  Tieni conto che mi collego da un'altro dominio ( in vpn ) ed il PC e' visto da ADUC solo nel dominio di competenza.

    Come utente utilizzo un user che ho configurato in ADUC presso il dominio dove gira l'applicazione che utilizzo tramite Terminal Server

     

    ciao e grazie

    lunedì 30 agosto 2010 11:22
  • Hum, e come lo metto il Computer?  Tieni conto che mi collego da un'altro dominio ( in vpn ) ed il PC e' visto da ADUC solo nel dominio di competenza.


    la policy e la OU dovranno essere create nel dominio di competenza e, in quello, verrà spostato il terminal server in quella OU.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 30 agosto 2010 11:51
    Moderatore
  • Non va,

    allora:

    Nel dominio *dal* quale ci si collega ho creato una Policy che:  Do not allow LPT port redirection : Enabled.

    Ho associato la Policy ad una OU dove, dentro, c'e' il PC  che viene usato per il collegamento TS verso un Server Terminal 2003 che sta in un'altro dominio.

    L'utente TS con il quale mi collego e' un utente AD del dominio dove e' inserito il Server Terminal 2003 e *non* esiste nel dominio dal quale effettuo il collegamento.

     

    Dove sbaglio ? :-(

    lunedì 30 agosto 2010 13:36
  • Dimenticavo,

     

    continua anche ad agire la Policy che sta nel dominio di destinazione ed e' associata all'utente con cui ci si collega...

    lunedì 30 agosto 2010 13:39
  • ecco l'errore: trattandosi di una polizza "computer" e non "user", nella OU vanno messi computer e non utenti.
    polizza ?? :)
    Andrea Gallazzi
    http://www.andreagallazzi.com
    This posting is provided "AS IS" with no warranties, and confers no rights.
    lunedì 30 agosto 2010 13:55
  • Eh, chiamala come vuoi ma non va .. :-( , sicuramente sto facendo un errore ma non capisco dove.. :-(
    lunedì 30 agosto 2010 14:05
  • ecco l'errore: trattandosi di una polizza "computer" e non "user", nella OU vanno messi computer e non utenti.
    polizza ?? :)

    ufff... deformazione professionale :-P
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 30 agosto 2010 14:16
    Moderatore
  • Non va,

    allora:

    Nel dominio *dal* quale ci si collega ho creato una Policy che:  Do not allow LPT port redirection : Enabled.

    Ho associato la Policy ad una OU dove, dentro, c'e' il PC  che viene usato per il collegamento TS verso un Server Terminal 2003 che sta in un'altro dominio.


    prima mi hai scritto che nella OU c'è l'utente, ora mi scrivi che dentro la OU c'è il computer.

    quale delle due è vera ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 30 agosto 2010 14:19
    Moderatore
  • C'e' il computer, tu mi hai detto che devo mettere il computer in quanto la policy e' per il computer e non per l'utente.

    L' utente, poi, non potrei metterlo perche' e' l'utente del dominio al quale mi collego e non utente del dominio dove e' inserito il pc.

    Hem, scusa la confusione .. :-)

    lunedì 30 agosto 2010 17:05
  • C'e' il computer, tu mi hai detto che devo mettere il computer in quanto la policy e' per il computer e non per l'utente.


    perfetto, ora se fai un gpresult la policy viene presa dal client ?

    http://technet.microsoft.com/en-us/library/cc775863(WS.10).aspx


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 31 agosto 2010 07:03
    Moderatore
  • Bu mi appare una riga che dice:

    I seguenti GPO non sono stati applicati perche' esclusi dal filtro

    Che filtro?

    Grazie

    martedì 31 agosto 2010 07:52
  • riporta il risultato completo di gpresult
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 31 agosto 2010 08:13
    Moderatore
  • IMPOSTAZIONI COMPUTER
    ----------------------
        CN=NOMEDELPC,OU=NomedellaOU,DC=nomedeldominio,DC=lan
        Ultima applicazione dei

        criteri di gruppo:                   31/08/2010 at 9.34.12
        Criterio di gruppo applicato da:     nomedelserverdc.nomedeldominio.lan
        Limite del collegamento lento

        dei criteri di gruppo:               500 kbps

        Oggetti Criteri di gruppo applicati
        ------------------------------------
            TS_policy
            Default Domain Policy

        I seguenti GPO non sono stati applicati perch‚ sono stati esclusi dal filtro
        -----------------------------------------------------------------------------
            Criteri gruppo locale
                Filtro:  Non applicato (Vuoto)

        Il computer fa parte dei seguenti gruppi di protezione:
        -------------------------------------------------------
            BUILTIN\Administrators
            Everyone
            BUILTIN\Users
            NT AUTHORITY\NETWORK
            NT AUTHORITY\Authenticated Users
            NOMEDELCOMPUTER$
            Domain Computers
    martedì 31 agosto 2010 09:24
  • da questo log io capisco che le TS_policy sono applicate. Il criterio ti risulta attivo sul client in questione ?

    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 31 agosto 2010 10:12
    Moderatore
  • Macche' :-( se tolgo il criterio dal Server Terminal al quale mi collego ( gpedit.msc ) e lo imposto nelle policy di dominio dal quale mi collego ( TS_policy ) non mi viene applicato.

    Mah, ti viene in mente qualche altra cosa?

    Grazie

    martedì 31 agosto 2010 11:44
  • Macche' :-( se tolgo il criterio dal Server Terminal al quale mi collego ( gpedit.msc ) e lo imposto nelle policy di dominio dal quale mi collego ( TS_policy ) non mi viene applicato.

    Mah, ti viene in mente qualche altra cosa ?


    si, mi sono accorto che a furia di girarci attorno, sei riuscito ad incasinare pure me :-)

    se il criterio applicato localmente al Server Terminal al quale ti colleghi funziona significa solo una cosa: la policy dev'essere applicata al Server Terminal o localmente o tramite le domain policies ma le domain policies del dominio in cui si trova il Server Terminal. non serve a nulla applicare questa policy al client dal quale ci si collega al Server Terminal quindi non serve a nulla creare questa policy nel dominio in cui sta il client chiamante ma deve essere creata nel dominio dove si trova il server ricevente.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 31 agosto 2010 12:08
    Moderatore
  • Ok, sono d'accordo,

    Il problema e' che io vorrei applicare la policy ad alcuni client che si collegano tramite terminal server al server e non a tutti.

    Visto che la policy e' Computer Configuration tu mi dici che deve essere applicata al computer che si collega e non all'utente.

    Purtroppo i pc che si collegano non fanno parte del dominio che ospita il Server Terminal e, quindi, non so come associare la policy ( creata nel dominio di competenza del server ) ai pc che si collegano.

     

    Secondo te non c'e' soluzione?

    Grazie

    martedì 31 agosto 2010 14:09
  • Ok, sono d'accordo,

    Il problema e' che io vorrei applicare la policy ad alcuni client che si collegano tramite terminal server al server e non a tutti.

    Visto che la policy e' Computer Configuration tu mi dici che deve essere applicata al computer che si collega e non all'utente.

    Purtroppo i pc che si collegano non fanno parte del dominio che ospita il Server Terminal e, quindi, non so come associare la policy ( creata nel dominio di competenza del server ) ai pc che si collegano.

     

    Secondo te non c'e' soluzione?

    Grazie


    Forse non hai letto bene la mia precedente risposta.

    La policy si deve applicare solo al Terminal Server e non ai clients che si collegano.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 31 agosto 2010 15:03
    Moderatore