none
GPO - User setting applicate a specifici computer RRS feed

  • Domanda

  • Ariecchime :-) Quello delle GPO è un argomento affascinante ma a volte veramente non ne esco...

    Diciamo che ho tot server su i quali si effettua l'accesso (amministrazione remota) con un account domain admin.

    Quello che vorrei è eseguire uno script specifico su tutti questi server al logon di questo utente o qualunque altro.

    Tutti i server sono dentro un security group all'interno di una OU (dentro questa ci sono svariati altri gruppi)

    Ho creato la GPO, linkata alla OU sopra e cambiato i security filtering per applicarla solo al gruppo_server.

    Nella policy lato COMPUTER ho settato la User Group Policy loopback processing mode su enable e merge.

    Nella policy lato USER ho settato il logon script.

    Il risultato è che non funziona, Access Denied (Security Filtering)...

    Qualche suggerimento?

    PS. Se aggiungo l'account utente specifico alle security filtering allora la policy viene applicata correttamente, ma il problema è che non posso mettere "authenticated users" altrimenti me la applica a tutto il sito perchè il link è attivo sull'intera OU.

    GRazie 1000

    martedì 4 maggio 2010 13:55

Risposte

  • Tutti i server sono dentro un security group all'interno di una OU (dentro questa ci sono svariati altri gruppi)

    [cut]

    PS. Se aggiungo l'account utente specifico alle security filtering allora la policy viene applicata correttamente, ma il problema è che non posso mettere "authenticated users" altrimenti me la applica a tutto il sito perchè il link è attivo sull'intera OU.


    combinando il risultato delle due frasi quotate deduco che:

    1) gli users (uno specifico o gli authenticated) devi averceli altrimenti lo script di logon non potrebbe agire

    2) se metti gli authenticated si applica a tutto il sito e non sui server che desideri significa che è impostata male la divisione degli oggetti nella OU o meglio dovresti mettere quei servers in una OU distinta, ad esempio una OU figlia per matenere l'ereditarietà.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 5 maggio 2010 07:47
    Moderatore
  • 2- Ho già una OU con tutti i server dentro, ma non l'ho lincato li perchè non ci sono i DC che stanno sotto un'altra OU... Posso a limite fare un link alla OU "domain Controllers" e mettere nel filtro solo i nomi dei server che mi interessano?


    certo, questo lo puoi fare anche se io ti sconsiglio di "incartarti" troppo con questa sorta di matrioske.

    ricordo che ne avevamo già parlato e già ti avevo consigliato di mettere in preventivo un bel lavoro di analisi e riorganizzazione della tua active directory. come vedi il problema si ripropone. 


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 5 maggio 2010 08:34
    Moderatore
  • Ciao Alessandro.

    Io ti consiglio di provare una cosa così: metti i DC che NON vuoi eseguano lo script in un gruppo di protezione globale o universale.

    Nella security tab delle proprietà policy metti il DENY (SOLO A READ!!!!!!!) a quel gruppo. (dal group policy object editor, che puoi aprire con cilck-dx -> edit... dalla gpmc.msc, click-dx sulla POLICY (root node) e poi "properties"->security)
    ESSENZIALE CHE ESISTANO ALTRI DC Fuori da quel gruppo, perchè potrebbe darti dei problemi ad editarla di nuovo, da uno dei DC "esclusi"

    spero di esserti stato utile!
    Ciao!

    P.S. comunque le policy sui DC sono un argomento molto delicato. Ricorda che sarebbe MOLTO meglio avere un ambiente di TEST (magari macchine virtuali) su cui testare PRIMA le policy.


    Diego Castelli

    mercoledì 5 maggio 2010 09:12

Tutte le risposte

  • Tutti i server sono dentro un security group all'interno di una OU (dentro questa ci sono svariati altri gruppi)

    [cut]

    PS. Se aggiungo l'account utente specifico alle security filtering allora la policy viene applicata correttamente, ma il problema è che non posso mettere "authenticated users" altrimenti me la applica a tutto il sito perchè il link è attivo sull'intera OU.


    combinando il risultato delle due frasi quotate deduco che:

    1) gli users (uno specifico o gli authenticated) devi averceli altrimenti lo script di logon non potrebbe agire

    2) se metti gli authenticated si applica a tutto il sito e non sui server che desideri significa che è impostata male la divisione degli oggetti nella OU o meglio dovresti mettere quei servers in una OU distinta, ad esempio una OU figlia per matenere l'ereditarietà.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 5 maggio 2010 07:47
    Moderatore
  • 1) gli users (uno specifico o gli authenticated) devi averceli altrimenti lo script di logon non potrebbe agire

    2) se metti gli authenticated si applica a tutto il sito e non sui server che desideri significa che è impostata male la divisione degli oggetti nella OU o meglio dovresti mettere quei servers in una OU distinta, ad esempio una OU figlia per matenere l'ereditarietà

    1- Posso aggiungerli nel security filtering

    2- Ho già una OU con tutti i server dentro, ma non l'ho lincato li perchè non ci sono i DC che stanno sotto un'altra OU... Posso a limite fare un link alla OU "domain Controllers" e mettere nel filtro solo i nomi dei server che mi interessano?

    mercoledì 5 maggio 2010 08:02
  • 2- Ho già una OU con tutti i server dentro, ma non l'ho lincato li perchè non ci sono i DC che stanno sotto un'altra OU... Posso a limite fare un link alla OU "domain Controllers" e mettere nel filtro solo i nomi dei server che mi interessano?


    certo, questo lo puoi fare anche se io ti sconsiglio di "incartarti" troppo con questa sorta di matrioske.

    ricordo che ne avevamo già parlato e già ti avevo consigliato di mettere in preventivo un bel lavoro di analisi e riorganizzazione della tua active directory. come vedi il problema si ripropone. 


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 5 maggio 2010 08:34
    Moderatore
  • Ciao Alessandro.

    Io ti consiglio di provare una cosa così: metti i DC che NON vuoi eseguano lo script in un gruppo di protezione globale o universale.

    Nella security tab delle proprietà policy metti il DENY (SOLO A READ!!!!!!!) a quel gruppo. (dal group policy object editor, che puoi aprire con cilck-dx -> edit... dalla gpmc.msc, click-dx sulla POLICY (root node) e poi "properties"->security)
    ESSENZIALE CHE ESISTANO ALTRI DC Fuori da quel gruppo, perchè potrebbe darti dei problemi ad editarla di nuovo, da uno dei DC "esclusi"

    spero di esserti stato utile!
    Ciao!

    P.S. comunque le policy sui DC sono un argomento molto delicato. Ricorda che sarebbe MOLTO meglio avere un ambiente di TEST (magari macchine virtuali) su cui testare PRIMA le policy.


    Diego Castelli

    mercoledì 5 maggio 2010 09:12
  • Grazie Diego, ci provo senz'altro appena riesco. Concordo su l'ambiente di test, ma in questo caso devo solo eseguire uno script VBS che mi esegua BGINFO e relative opzioni ad ogni logon sui server quindi niente di clamorosamente impattante sulle configurazioni dei DC.

     

    Grazie ancora, appena ho buone nuove mi faccio sentire.

    mercoledì 5 maggio 2010 10:10
  • far stare sul desktop il risultato di bginfo lo puoi fare anche con un semplice batch senza scomodare le gpo.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 6 maggio 2010 09:14
    Moderatore
  • Si infatti lo stavo facendo via Task Schedulati in vbs solo che farlo su 50 server è un lavoraccio :-)
    giovedì 6 maggio 2010 09:27