none
gpo applicate più volte RRS feed

  • Domanda

  • credo di aver un problema di configurazione su alcune OU o GPO applicate ad esse:

    facendo un gpresult o rsop risulta che all'utente vengono applicate delle GPO 2 volte per cui risultano ,per 3 gpo applicate realmente, 6 voci (2 voci per ogni gpo) .

    Non so se sia un problema ma non riesco a capirne nemmeno il motivo.

    nel dettaglio risulta questo dal gpresult :

    User Configuration Summaryhide

    Generalshow

    User name DOMAIN\08firma1 

    Domain DOMAIN.LAN

    Last time Group Policy was processed 05/11/2010 13.58.42 

     

    Group Policy Objectshide

    Applied GPOshide

    Name Link Location Revision 

    Default Domain Policy DOMAIN.LAN AD (1), Sysvol (1) 

    Firewall-BloccoGiochi DOMAIN.LAN/Citrix - Utenti AD (1), Sysvol (1) 

    08Master-Wsus DOMAIN.LAN/Citrix - Utenti/Location AD (2), Sysvol (2) 

    DesktopLimited DOMAIN.LAN/Citrix - Utenti/Location/Users/Limited AD (100), Sysvol (100) 

    Default Domain Policy DOMAIN.LAN AD (1), Sysvol (1) 

    Firewall-BloccoGiochi DOMAIN.LAN/Citrix - Utenti AD (1), Sysvol (1) 

    08Master-Wsus DOMAIN.LAN/Citrix - Utenti/Location AD (2), Sysvol (2) 


    Daniele Zoccarato
    venerdì 5 novembre 2010 14:09

Risposte

  • il comando

    gpresult /S nomesistema /USER domain\user /R

    riporta il risultato delle policies applicate scrivendolo nel seguente modo:

    per l'account computer riporta l'elenco delle policies applicate all'account computer;

    per l'account user riporta l'elenco della somma delle policies applicate all'account computer e all'account user.

    Nel tuo caso, per come hai nidificato le OU, sembra che le policies siano applicate due volte ma di fatto non è così, il problema è dato solo dalla tua nodificazione di OU in cui dopo due OU: Citrix Utenti e Filiale hai messo sia gli account computer sia gli account user (cosa del tutto inutile visto che le policies si applicano o all'oggetto computer o all'oggetto user ma non ad entrambi).

    Nel mio caso dove la suddivisione è del tipo

    Dominio - Computers - ComputerSedeA

    Dominio - Users - UserSedeA

    il gpresult di un utente della sedeA su un computer della sedeA si presenta come segue (supponendo che le group policies abbiano lo stesso nome della ou, per semplificare)

    IMPOSTAZIONI COMPUTER

    Oggetti Criteri di gruppo applicati

    ComputersSedeA

    Computers

    Domain

    IMPOSTAZIONI DELL'UTENTE

    Oggetti Criteri di gruppo applicati

    ComputersSedeA

    Computers

    Domain

    UsersSedeA

    Users

    Domain

    che di fatto fa capire che il comportamento dell'utente loggato su quella macchina è vincolato in parte anche alle policies relative all'account computer.

    Il problema, ripeto, è che come hai nidificato tu la struttura quei nomi sembrano dire che la policies applicata è la stessa due volte ma in realtà non è così.

    Spero di essere riuscito a spiegarmi.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 11 novembre 2010 11:03
    Moderatore

Tutte le risposte

  • non è che hai definito le medesime policies e le hai associate sia al contenitore padre sia al contenitore figlio ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 5 novembre 2010 14:35
    Moderatore
  • Puoi postare il risultato di

    gpresult /r

    ovviamente se lo lanci con l'utente loggato sulla macchina il risultato è più leggibile.


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    venerdì 5 novembre 2010 14:50
  • dunque : 

    gpresult /r non lo riconosce come argomento valido

    la struttura delle OU è questa:

    Dominio-Citrix Utenti(GPO "FirewallBloccoGiochi") - Filiale (GPO "08Master-Wsus") - Desktop >>> contiene l'account del PC 

    Dominio-Citrix Utenti(GPO "FirewallBloccoGiochi") - Filiale (GPO "08Master-Wsus") - Users - Limited (GPO "DesktopLimited") >>>> contiene l'account Utente

    questo il gpresult:

     

    Microsoft (R) Windows (R) XP versione 2.0

    Copyright (C) Microsoft Corp. 1981-2000

     

    Set creato il 05/11/2010 alle 16.40.47

     

     

     

    Risultati 

    RSOP per DOMINIO\08firma1 su  TEST2XP : Modalit… di registrazione

    ---------------------------------------------------------------------------

     

    Tipo SO:                     Microsoft Windows XP Professional

    Configurazione SO:           Workstation membro

    Versione SO:                 5.1.2600

    Nome dominio:                DOMINIO

    Tipo di dominio:             Windows 2000

    Nome sito:                   Sede

    Profilo comune:             

    Profilo locale:              C:\Documents and Settings\08firma1

    Connesso attraverso 

     

    un collegamento lento?:      No

     

     

    IMPOSTAZIONI COMPUTER

    ----------------------

        CN=TEST2XP,OU=Desktop,OU=Sala al Barro,OU=Citrix - Utenti,DC=DOMINIO,DC=LAN

        Ultima applicazione dei

     

        criteri di gruppo:                   05/11/2010 at 15.34.56

        Criterio di gruppo applicato da:     ANGLIRU.DOMINIO.LAN

        Limite del collegamento lento 

     

        dei criteri di gruppo:               500 kbps

     

        Oggetti Criteri di gruppo applicati

        ------------------------------------

            08Master-Wsus

            Firewall-BloccoGiochi

            Default Domain Policy

            Criteri gruppo locale

     

        Il computer fa parte dei seguenti gruppi di protezione:

        -------------------------------------------------------

            BUILTIN\Administrators

            Everyone

            SophosAdministrator

            NT AUTHORITY\NETWORK

            NT AUTHORITY\Authenticated Users

            TEST2XP$

            Domain Computers

     

     

    IMPOSTAZIONI DELL'UTENTE

    -------------------------

        CN=08firma1,OU=Limited,OU=Users,OU=Filiale,OU=Citrix - Utenti,DC=DOMINIO,DC=LAN

        Ultima applicazione dei

     

        criteri di gruppo:                   05/11/2010 at 16.37.23

        Criterio di gruppo applicato da:     ANGLIRU.DOMINIO.LAN

        Limite del collegamento lento 

     

        dei criteri di gruppo:               500 kbps

     

        Oggetti Criteri di gruppo applicati

        ------------------------------------

            08Master-Wsus

            Firewall-BloccoGiochi

            Default Domain Policy

            DesktopLimited

            08Master-Wsus

            Firewall-BloccoGiochi

            Default Domain Policy

     

        I seguenti GPO non sono stati applicati perch‚ sono stati esclusi dal filtro

        -----------------------------------------------------------------------------

            Criteri gruppo locale

                Filtro:  Non applicato (Vuoto)

     

            Criteri gruppo locale

                Filtro:  Non applicato (Vuoto)

     

        L'utente fa parte dei seguenti gruppi di protezione:

        ----------------------------------------------------

            Domain Users

            Everyone

            SophosUser

            BUILTIN\Users

            NT AUTHORITY\INTERACTIVE

            NT AUTHORITY\Authenticated Users

            LOCALE

            PRN_08 Stampante_7

            PRN_08 Stampante_1

            APPS_FirmaRemota su W2K8

            APPS_Word su W2K


    Daniele Zoccarato
    venerdì 5 novembre 2010 15:46
  • forse non colgo bene il nocciolo del problema ma ammesso e non concesso che le policies denominate:

    08Master-Wsus

    e

    Firewall-BloccoGiochi

    e

    Default Domain Policy

    vengano applicate due volte...

    ... chettefrega dal momento che sono sempre la stessa policy?

    l'importante è che vengano applicate e che utenti e computers siano vincolati da quella policy tanto non sei tu a fare la fatica di applicarla due volte, viene fatto automaticamente.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    domenica 7 novembre 2010 11:58
    Moderatore
  • mi sono accorto di questa cosa cercando di ottimizzare le policy e il tempo di logon degli utenti nelle loro macchine in dominio: mi accorgo di una possibile anomalia e dovrei fregarmene?

    da quel che capisco, mi pare ovvio che non mi crea problemi funzionali all'utente finale ma non trovo alcuna spiegazione tecnica per questo fatto: sto semplicemente cercando questa e mi viene detto "chettefrega"  ????

    ho una rete di 500 account e credo di dover preoccuparmi di ogni briciola fuori posto


    Daniele Zoccarato
    lunedì 8 novembre 2010 08:33
  • mi sono accorto di questa cosa cercando di ottimizzare le policy e il tempo di logon degli utenti nelle loro macchine in dominio: mi accorgo di una possibile anomalia e dovrei fregarmene?

    da quel che capisco, mi pare ovvio che non mi crea problemi funzionali all'utente finale ma non trovo alcuna spiegazione tecnica per questo fatto: sto semplicemente cercando questa e mi viene detto "chettefrega"  ????

    ho una rete di 500 account e credo di dover preoccuparmi di ogni briciola fuori posto

    calma e gesso!

    tu hai aperto questo thread dicendo che le policies venivano applicate due volte su una particolare ou ed hai continuato fornendo tutte le informazioni del caso senza mai dire che nel tuo dominio è presente una particolare anomalia che ritarda i tempi di logon come invece stai affermando in questo post.

    se la problematica è questa (che finora non avevi mai detto) non mi sarei mai sognato di darti quella risposta e cercherò di aiutarti ad arrivare alla soluzione,

    se al contrario è solo un piacere "estetico" quello di non vedere le policies applicate due volte ma non c'è alcun ritardo nella procedura di logon allora la risposta rimane quella precedente.

    se l'anomalia è evidente posta il risultato di un

    gpresult /Z


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 8 novembre 2010 09:16
    Moderatore
  • mi sono accorto di questa cosa cercando di ottimizzare le policy e il tempo di logon degli utenti nelle loro macchine in dominio: mi accorgo di una possibile anomalia e dovrei fregarmene?

    da quel che capisco, mi pare ovvio che non mi crea problemi funzionali all'utente finale ma non trovo alcuna spiegazione tecnica per questo fatto: sto semplicemente cercando questa e mi viene detto "chettefrega"  ????

    Carissimo, se non sai neanche esporre il tuo problema, non dovresti poi alterarti con chi cerca di aiutarti.

    E poi, vuoi ottimizzare per guadagnare qualche decimo di secondo oppure perchè il logon è molto lento (come suggerito da Edoardo) ?

    Nel primo caso, non è solo una fattore di group policy ma entrano in gioco :

    a) nemero di domain controllers e loro caratteristiche

    b) utilizzo di scripts e/o profili di rete

    c) struttura della tua rete

    e una serie di altre variabili tali per cui l'applicazione "doppia" di una policy è secondaria.

    P.S.

    Se poi le policy contengono parametri per utente E computer, vengono applicate logicamente due volte, una volta per l'oggetto computer e una volta per l'oggetto utente.


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 8 novembre 2010 09:32
  • Avete ragione sul mio tono e vi chiedo scusa.

    Sto CERCANDO di ottimizzare le policy e il tempo di logon, quindi analizzando tutto e cercando eventualemente qualcosa da migliorare o correggere: nel far questo mi sono accorto del problema di cui sopra: la mia domanda è : "è un problema"? se lo è, come lo risolvo? se invece non lo è, perchè non lo è?

    vorrei non fregarmene perchè l'infrastruttura è grande e delicata (ovviamente) e non vorrei tralasciare nulla o almeno cercare di avere il controllo sulla maggior parte delle cose.

    Mi dite : "Se poi le policy contengono parametri per utente E computer, vengono applicate logicamente due volte, una volta per l'oggetto computer e una volta per l'oggetto utente."

    ma io a questo punto ne vedo 3 volte in totale, 1 volta su Computers e 2 volte (doppie) su Users, non solo 2 volte in totale...

    Sbaglio io?

    Il risultato di gpresult /z sembra essere troppo lungo per questo post e non mi accetta la risposta, se mi date una mail ve lo inoltro.



    Daniele Zoccarato
    lunedì 8 novembre 2010 10:42
  • Dipende dal contenuto delle O.U. e da come fai i link delle G.P.O.

    Mi spiego meglio :

    se la stessa policy è linkata su tre organizational units in cascata fra loro, verrà applicata tre volte.

    In genere la cosa non capita, visto che la struttura di O.U. si usa proprio per creare delle eccezioni quando si "scende" nella struttura (policy più generica sulla O.U. genitore, policy con le eccezioni su una O.U. "figlia").

    Se poi la stessa policy viene legata al dominio, hai una ulteriore applicazione.

    OVVIAMENTE non è un problema, ma è una cosa con poco senso, visto che la policy a livello dominio viene applicata a tutte le O.U. e quindi renderebbe inutili i link seguenti.

    Il discorso parametri computer e utente è ancora diverso.

    In genere si creano delle G.P.O. per i computers e delle G.P.O. per gli utenti, per semplificare la leggibilità e l'uso delle regole.

    Se nella stessa policy applichi parametri per questi oggetti (diversi fra loro) la policy sarà applicata al computer quando si collega al dominio, e a tutti gli utenti cui spetta.

    Di nuovo, NON è un problema, è solo che generalmente si cerca di gestire le cose come ti descrivevo sopra.


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 8 novembre 2010 11:07
  • Il risultato di gpresult /z sembra essere troppo lungo per questo post e non mi accetta la risposta, se mi date una mail ve lo inoltro.

    mandamelo alla mail in firma
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 8 novembre 2010 11:19
    Moderatore
  • il comando

    gpresult /S nomesistema /USER domain\user /R

    riporta il risultato delle policies applicate scrivendolo nel seguente modo:

    per l'account computer riporta l'elenco delle policies applicate all'account computer;

    per l'account user riporta l'elenco della somma delle policies applicate all'account computer e all'account user.

    Nel tuo caso, per come hai nidificato le OU, sembra che le policies siano applicate due volte ma di fatto non è così, il problema è dato solo dalla tua nodificazione di OU in cui dopo due OU: Citrix Utenti e Filiale hai messo sia gli account computer sia gli account user (cosa del tutto inutile visto che le policies si applicano o all'oggetto computer o all'oggetto user ma non ad entrambi).

    Nel mio caso dove la suddivisione è del tipo

    Dominio - Computers - ComputerSedeA

    Dominio - Users - UserSedeA

    il gpresult di un utente della sedeA su un computer della sedeA si presenta come segue (supponendo che le group policies abbiano lo stesso nome della ou, per semplificare)

    IMPOSTAZIONI COMPUTER

    Oggetti Criteri di gruppo applicati

    ComputersSedeA

    Computers

    Domain

    IMPOSTAZIONI DELL'UTENTE

    Oggetti Criteri di gruppo applicati

    ComputersSedeA

    Computers

    Domain

    UsersSedeA

    Users

    Domain

    che di fatto fa capire che il comportamento dell'utente loggato su quella macchina è vincolato in parte anche alle policies relative all'account computer.

    Il problema, ripeto, è che come hai nidificato tu la struttura quei nomi sembrano dire che la policies applicata è la stessa due volte ma in realtà non è così.

    Spero di essere riuscito a spiegarmi.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 11 novembre 2010 11:03
    Moderatore
  • Ciao Daniele,

     

    Mi scuso per l'intrusione. Ti suggerisco di provare quanto suggerito da Edoardo nell'ultimo post. (OT: grazie Edoardo della collaborazione!)

     

    In attesa di ulteriori feedback, mi sono permessa di mettere il mio contrassegno.

     

    Tienici informati!

     

     


    Anca Popa Follow ForumTechNetIt on Twitter

    FAQ:

    Hyper-V Download e documentazione

    Gestione delle Performance in ambienti virtualizzati: Monitoraggio del Processore

    Virtualizzazione e Failover Cluster

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie Microsoft. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte di Microsoft. 

    venerdì 12 novembre 2010 11:34