locked
Perché queste policies? RRS feed

  • Domanda

  • Installando dei client Windows7 64bit in una rete gestita da un SBS 2011, mi sono reso conto che l'avvio di qualsiasi programma dalla cartella "C:\Program Files (x86)\" viene impedito se non si specifica di avviarlo come Administrator, anche se l'utente è di fatto amministratore della macchina. Non partiva Internet Explorer, non partivano gli applicativi Office, e così via.

    Dopo una breve ricerca sul server ho trovato la policy che bloccava questa azione e l'ho modificata.

    Va bene la sicurezza, ma così mi sembra esagerato!

    Ora mi sono reso conto che sono bloccati anche tutti i files .MSI, con la differenza che questi non vengono eseguiti in nessun modo, se non accedendo al client usando l'Administrator locale (dopo averlo abilitato). In questo caso non sono ancora riuscito ad individuare la policy responsabile.

    Qualche suggerimento?

    mercoledì 7 novembre 2012 20:23

Risposte

  • Alla fine credo fosse colpa di un qualche strano "malfunzionamento" del
    solo PC in questione (ma non ho avuto tempo di approfondire). Ne ho
    installati altri due identici e non hanno avuto alcun problema quando
    ho lanciato l'installazione del file .MSI incriminato. Ho fatto prove
    sia prima di agganciarli al dominio che dopo, con tutti i tipi di
    utenti possibili (Administrator locale, Admin di dominio, utente
    promosso, ecc...) e l'installazione è sempre partita senza battere
    ciglio
     
    martedì 13 novembre 2012 14:54

Tutte le risposte

  • Ciao, che ti blocca gli .msi è la software restriction policy. Si trova nel management delle policy del server sbs sotto computer configuration\windows settings\security settings li hai la software restriction policy. Siccome però sbs ha varie policy dovresti controllare in quale delle varie è applicata, quindi domain, domain controller, client...ecc..

    Solo una precisazione. Qualcosa non va nell'aggancio dei tuoi client. Perchè se sei effettivamente admin della macchina questi problemi non ci sono anche se sei sotto SBS. Mi viene da pensare che hai fatto un join wizard anche del pc. A mio avviso fa parte delle COSE DA NON FARE con un sbs server. Una volta wizardato l'utente il pc lo agganci col classico aggancio a dominio e l'utente lo elevi adminstrator locale. Se fai solo di fargli agganciare il pc col wizard ti applica di tutto di più sia utente che macchina. 

    Ora l'hanno fatto per i dummy sysadmin che non sanno cosa sia una AD, ma che con un click mi applichi 8-10 policy diverse che spesso si sovrappongono pure a me non sta bene. Fai una semplice prova con dijoin di un client e rejoin normale, elevando l'utente admin..a quel punto sulla sua macchina fa quello che vuole, a livello Dominio eredita tutte le policy utente. 

    A.

    giovedì 8 novembre 2012 10:59
  • Se per "join wizard" indendi quello che si fa collegandosi via web dal client al server, non l'ho usato (in SBS 2003 ci si collegava alla pagina "http:\\nomeserver\connectcomputer", in 2011 non ne ho idea, non l'ho mai fatto).

    Sono andato nelle proprietà del PC client, dove si indica il nome della macchina, ho cliccato sul pulsante "ID di rete" e ho inserito i dati richiesti (nome utente e password dell'utilizzatore, nome del PC, dominio, utente e password dell'amministratore di dominio, ecc...). Forse tu intendevi questa procedura? Non mi aveva mai dato un problema simile con altri SBS e clients a 64 bit finora.

    Di solito questa procedura lascia l'utente in questione nel gruppo users. Al primo avvio mi loggo con l'admin di dominio, promuovo l'utente ad amministratore locale, riavvio e mi loggo con quello.

    Una volta finite tutte le installazioni, "degrado" l'utente allo stato di utente normale o power user e verifico che tutto funzioni ancora.

    Comunque mi giunge nuova la cosa che le policies di gruppo non vengano applicate allo stesso modo se si fa join a dominio in un modo piuttosto che in un altro.

    venerdì 9 novembre 2012 00:30
  • P.S.
    Ho spulciato le policies che riguardano le restrizioni software, ma non
    ne ho trovata nessuna che impedisca esplicitamente l'esecuzione di
    files MSI
     
    venerdì 9 novembre 2012 16:48
  • Ciao, probabilmente le tue group policy sono derivate da qualche oggetto di criterio gruppo Starter ( http://technet.microsoft.com/it-it/library/dd367854(v=ws.10).aspx ) per questo motivo probabilmente ti risultano molto restrittive anche se tu non hai effettivamente modificato nulla. Infatti gli oggetti di criterio gruppo Starter servono per creare un nuovo criterio gruppo già configurato per scenari specifici e solitamente il livello di protezione preimpostato è molto elevato (a mio parere anche troppo per la maggior parte dei casi).

    Il blocco dei file MSI solitamente si verifica in seguito all'attivazione del criterio "Disabilita Windows Installer" disponibile in "Configurazione computer > Modelli amministrativi > Componenti di Windows > Windows Installer". Prova ad eseguire una verifica.

    venerdì 9 novembre 2012 23:30
    Moderatore
  • Ho cercato in tutte le policies sul server, ma il "Windows Installer" non risulta disabilitato da nessuna parte (le voci che lo riguardano risultano "non configurate"). A questo punto suppongo che la responsabile sia una policy locale ma non posso provare a breve.

    Domanda: se nella Group Policy "Restrizioni software" impongo l'abilitazione di Windows Installer, mi andrà a "sovrascrivere" l'eventuale policy locale dei client?

    lunedì 12 novembre 2012 00:02
  • Per impostazione predefinita i criteri di gruppo locali sovrascrivono i criteri di gruppo di dominio a patto che non sia stato abilitato il criterio "Disattiva elaborazione oggetti di Criteri di gruppo locali" presente in "Configurazione computer > Modelli amministrativi > Sistema > Criteri di gruppo". Potresti quindi sfruttare questa impostazione per escludere problemi dovuti ad eventuali group policy locali, ma va usata con molta attenzione.
    lunedì 12 novembre 2012 15:44
    Moderatore
  • Alla fine credo fosse colpa di un qualche strano "malfunzionamento" del
    solo PC in questione (ma non ho avuto tempo di approfondire). Ne ho
    installati altri due identici e non hanno avuto alcun problema quando
    ho lanciato l'installazione del file .MSI incriminato. Ho fatto prove
    sia prima di agganciarli al dominio che dopo, con tutti i tipi di
    utenti possibili (Administrator locale, Admin di dominio, utente
    promosso, ecc...) e l'installazione è sempre partita senza battere
    ciglio
     
    martedì 13 novembre 2012 14:54
  • In SBS 2008 e 2011 ti basta digitare http://connect

    Caldamente consigliato rispetto al joint wizard classico da sistema..

    Ciao


    Lorenzo


    • Modificato lorenzo77vr mercoledì 14 novembre 2012 22:07 integrazione
    mercoledì 14 novembre 2012 22:06
  • Lo usavo spesso con SBS2003. Con 2008 e 2011 avevo avuto delle
    difficoltà (ora non ricordo quali errori mi saltavano fuori) perciò ho
    smesso di usare quella procedura.
     
    giovedì 15 novembre 2012 13:20
  • Ciao Skywalker,

    Grazie per l'aggiornamento.

    Saluti,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    martedì 20 novembre 2012 08:19