none
Windows Server 2012 R2, GPO con client di dominio Win10 Pro RRS feed

  • Domanda

  • Ciao a tutti,

    ho un'infrastruttura di rete basata su un PDC con Win Srv 12 R2 e i client di dominio con 8.1 Pro.

    Volendo inserire client di dominio con Win 10 Pro ho notato che le GPO non vengono più applicate. Com'è possibile applicare policy di dominio, come ad esempio la disabilitazione dello Store e restrizioni varie anche su client con Win10 Pro?

    Qualcuno di voi ha già provato? C'è da fare qualche upgrade?

    Grazie a chiunque mi risponda.

    mercoledì 16 marzo 2016 12:38

Risposte

Tutte le risposte

  • Windows 10 viene in parte gestito utilizzando delle nuove policy, quindi è normale che alcune policy specifiche per Windows 8.1 e precedenti non funzionino più correttamente.

    Per visualizzare queste nuove policy in Windows Server 2012 R2 devi scaricare i nuovi ADMX: https://www.microsoft.com/it-IT/download/details.aspx?id=48257 e aggiornare l'archivio dei modelli amministrativi (locale al server o, se lo hai configurato, quello centrale).

    Se le policy continuano a non venire applicate potrebbe trattarsi anche di un problema di filtri WMI da modificare (stranamente la versione 10 non viene letta come superiore alla 6.1 ma come inferiore), per ulteriori informazioni ti consiglio di vedere qui: https://social.technet.microsoft.com/Forums/windowsserver/en-US/9b8efcbd-5c48-4b61-ad6c-8936c403671b/windows-10-pro-client-not-applying-domain-policies?forum=winserveressentials

    mercoledì 16 marzo 2016 13:07
    Moderatore
  • Ciao e grazie.

    In che senso "aggiornare l'archivio dei modelli amministrativi (locale al server o, se lo hai configurato, quello centrale)"

    Io ho un archivio locale su server PDC in C:\Windows\PolicyDefinitions e la cartella condivisa per le policy a questo percorso: \\dominio.local\SYSVOL\dominio.local\policies

    Quindi dove li copio i files scaricati che mi hai suggerito?

    Conosci un metodo per bloccare lo store di windows10 tramite GPO su Server 2012?

    Grazie ancora per la tua collaborazione!

    mercoledì 16 marzo 2016 17:14
  • Nel tuo caso, visto che utilizzi la condivisione \\dominio.local\SYSVOL\dominio.local\policies, hai un archivio centrale quindi è lì che devi aggiornare i file ADMX.

    Per bloccare lo Store e le altre App "non desiderate" (ad esempio Feedback, ecc...) il metodo migliore è quello di utilizzare App Locker, creando delle regole di blocco da un computer client e poi importandole sul server.

    mercoledì 16 marzo 2016 17:18
    Moderatore
  • Ciao e grazie.

    Nel caso in cui scaricassi i nuovi admx per windows 10, essi andranno a sostituire o completare gli admx già presenti? Facendo questo le policy per i client Windows 8.1 continueranno a funzionare?

    L'applicazione App Locker su Windows Srv 2012 R2 Standard è già preinstallata o la devo scaricare? Perchè non riesco a trovarla...

    Grazie mille!

    venerdì 25 marzo 2016 12:50
  • AppLocker già è presente, lo trovi in Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri di controllo delle applicazioni. Per ulteriori informazioni sull'utilizzo: https://technet.microsoft.com/it-it/library/mt592642(v=vs.85).aspx

    Per quanto riguarda gli ADMX non ci sono problemi, vengono aggiunte solo le policy di Windows 10 anche se i file vanno sostituiti completamente. In ogni caso ricorda che questi file gestiscono solo la lista delle definizioni delle policy, quindi il funzionamento delle Group policy correnti non potrà subire variazioni.


    venerdì 25 marzo 2016 16:55
    Moderatore
  • Grazie mille per il tuo aiuto!

    Adesso sto studiando un po' le funzionalità di AppLocker, tu mi scrivi: "Per bloccare lo Store e le altre App "non desiderate" il metodo migliore è quello di utilizzare App Locker, creando delle regole di blocco da un computer client e poi importandole sul server"

    Questo passaggio non mi è chiaro. Eseguo App Locker sul client con Windows 10? Si trova anche sui client? Poi creo le regole direttamente da lì, poi le esporto e le reimporto su WinSrv12? E' corretto?

    Poi ti chiedo gentilmente un ultimo suggerimento:

    per cercare di applicare le GP da Win Srv 12 ai nuovi client di dominio Win10, mi riferisco in particolar modo all'imposizione dello sfondo del desktop, alla mappatura delle unità all'avvio, alle restrizioni sulle visualizzazioni da parte degli utenti ecc. ecc. pensi che potrei definitivamente risolvere con l'aggiornamento degli adx? Pensi sia la strada giusta da intraprendere? Me la consigli?

    Tra un po' arriveranno delle nuove forniture con tutti client con windows 10 e se non riuscirò ad applicare le GPO tramite PDC WinSrv12 R2 è un bel casino! Mi capisci vero?

    Grazie ancora per tutto e buona Pasqua!



    sabato 26 marzo 2016 14:50
  • Dovresti trovare tutto nel mio link precedente, comunque si: vai in un client Windows 10 da utilizzare come master, crei delle regole pacchetto di AppLocker, esporti il set di regole e poi lo importi nella GroupPolicy di Windows Server. Ovviamente dovrai poi attivare le regole in modalità "controllo" (per verificare lato client solo nel registro l'applicazione degli blocchi) o "imposta" (per attivare definitivamente le policy di blocco).

    Per le Group policy di Windows 10 solitamente basta aggiornare gli ADMX (attenzione, alcune non si applicano a determinate versioni di Windows 10, ad esempio quelle del menu Start personalizzato).

    domenica 27 marzo 2016 09:13
    Moderatore
  • Ciao, ho scaricato il pacchetto admx per windows 10.

    Le cartelle che devo copiare nel mio archivio centrale (C:\Windows\SYSVOL\sysvol\dominio.local\Policies\PolicyDefinitions) sono: en-US e it-IT oltre che tutti i file presenti nella cartella "PolicyDefinitions", solo che ho notato che sovrascrivendo i file quando eseguo le gpo mi appare un errore come quello che ti ho allegato.

    Per ovviare a questo avrei pensato di cancellare la cartella intera e di copiare la cartella che ho scaricato.

    Che dici?


    mercoledì 30 marzo 2016 09:54
  • Si, prova a svuotare la cartella e a copiarci solo i nuovi ADMX. Ricorda però che dopo dovrai aggiungere nuovamente eventuali ADMX aggiuntivi che avevi inserito precedentemente (ad esempio quelli di Office, ecc...).

    Solitamente non si verifica quel tipo di errore, ma devi considerare che anche gli aggiornamenti di Windows spesso incidono.
    mercoledì 30 marzo 2016 10:40
    Moderatore
  • Perfetto!

    Svuotando prima la cartella, mantenendo solo gli admx aggiuntivi, non appare più nessun messaggio di errore.

    Oro provo a testare le applicazioni delle policy ai client windows 10 ed a studiarmi un po' l'utilizzo di App Locker.

    Ti farò sapere, per il momento grazie!

    venerdì 1 aprile 2016 09:27