none
Problema applicazione GPO - Precedenza DDP RRS feed

  • Domanda

  • Buongiorno a tutti,

    ho questo problema molto ostico di cui non riesco a venirne a capo.

    Premessa veloce:
    sito 1: 2 Dc win2003
    sito 2: 1 Dc win2003 + 1 Dc win2008r2

    livello funzionalità dominio 2003

    il mio problema nasce sull'applicazione delle policy per la configurazione del proxy e in particolare sull'applicazione del default domain policy.

    in origine la configurazione del proxy di IE era fatta direttamente dentro alla DDP, applicata alla radice del dominio e di conseguenza a tutte le OU.

    per ottimizzare la distribuzione l'ho rimossa dalla DDP e creato una policy apposita.

    le importazioni che ho configurato sono quelle classiche di manutenzione IE: Configurazione utente>Criteri>impostazioni di windows> manutenzione di IE>connessione / impostazioni proxy.

    tale policy (che chiamerò "IEProxy") è stata applicata ad una OU specifica e di conseguenza dovrebbe avere maggiore priorità rispetto alla DDP, inoltre le impostazioni proxy  della DDP sonio state rimosse sia singolarmente (ovvero pulendo la configurazione) sia con il pulsante "ripristina impostazioni browser".
    il mio problema è che su una parte del dominio, per la precisione nel sito 2, la policy specifica per la configurazione del proxy non viene applicata e la configurazione risultante sui client è quella della DDP prima della pulizia.

    in pratica succedono 2 cose: la DDP non viene rimossa e la "IEProxy" non viene applicata.
    SUL SITO 1 SEMBRA CHE PER ORA TUTTO SIA APPLICATO CORRETTAMENTE ovvero i pc hanno la configurazione corretta e con un gpresult vedo applicata la policy "ieproxy".
    OPERAZIONI ESEGUITE FIN'ORA E RISULTATI:
    - eseguito un gpresut sul client (lo inserisco nel secondo post per chiarezza).
    - eseguito un rapporto criteri di gruppo (lo inserisco nel secondo post per chiarezza): qui si nota una cosa strana: sembra che la policy dominante sia la DDP (ma con le impostazioni spagliate ovvero quelle prima della pulizia).
    - ho provato a ripristinare i settaggi proxy al DDP e rimuovere la policy "IEproxy" ma nulla cambia
    - preso dalla disperazione ho eseguito un restore con dcgpofix /target:both ma senza risultati
    - ho verificato la replica tra i DC e tutto funziona bene.

    - ho provato a ricreare le stesse impostazioni usando la modalità preferenze senza risultati apprezzabili.

    avete qualche suggerimento da darmi per risolvere?

    ===== Update 04/04/2013 =========

    Eseguendo un "repadmin /showrepl"

    mi dice che tutto viene replicato correttamente.



    ho però notato una cosa interessante:
    se su un qualsiasi pc che presenta la problematica accedo con un altro utente con cui non ho mai fatto accesso sulla macchina (ergo non esiste profilo locale e quant'altro) mi applica le policy in maniera corretta (e immediatamente).
    questo secondo me sposta il problema dai DC ai pc.... anche se non ho idea di come risolvere :)
    altra cosa interessante è che se modifico sulla DDP i requisiti di complessità della password questi vengono applicati normalmente: rimane però il problema della configurazione proxy.


    • Modificato Dario Bonini giovedì 4 aprile 2013 07:40 update
    lunedì 25 marzo 2013 17:28

Tutte le risposte

  • Rapporto:

    Gestione Criteri di gruppo
    body { font-size:68%;font-family:MS Shell Dlg; margin:0px,0px,0px,0px; border: 1px solid #666666; background:#F6F6F6; width:100%; word-break:normal; word-wrap:break-word; } .head { font-weight:bold; font-size:160%; font-family:MS Shell Dlg; width:100%; color:#6587DC; background:#E3EAF9; border:1px solid #5582D2; padding-left:8px; height:24px; } .path { margin-left: 10px; margin-top: 10px; margin-bottom:5px;width:100%; } .info { padding-left:10px;width:100%; } table { font-size:100%; width:100%; border:1px solid #999999; } th { border-bottom:1px solid #999999; text-align:left; padding-left:10px; height:24px; } td { background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; } .btn { width:100%; text-align:right; margin-top:16px; } .hdr { font-weight:bold; border:1px solid #999999; text-align:left; padding-top: 4px; padding-left:10px; height:24px; margin-bottom:-1px; width:100%; } .bdy { width:100%; height:182px; display:block; overflow:scroll; z-index:2; background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; border:1px solid #999999; } button { width:6.9em; height:2.1em; font-size:100%; font-family:MS Shell Dlg; margin-right:15px; } @media print { .bdy { display:block; overflow:visible; } button { display:none; } .head { color:#000000; background:#FFFFFF; border:1px solid #000000; } } 
    Percorso impostazione:
    Spiegazione
    Stampa 
    Chiudi 
    Nessuna spiegazione disponibile per l'impostazione.
    Supportata in:
    Non disponibile
    Rapporti Criteri di gruppo 
    miodominio\miouser su miodominio\Z4 
    Data e ora raccolta dati: 28/03/2013 09:18:03 nascondi tutto 
    
    Riepilogonascondi
    Riepilogo configurazione computernascondi
    Generalenascondi
    Nome computer miodominio\Z4 
    Dominio miodominio.com 
    Sito miodominio 
    Data e ora ultima elaborazione Criteri di gruppo 28/03/2013 08:26:04 
    
    Oggetti Criteri di grupponascondi
    Oggetti Criteri di gruppo applicatinascondi
    Nome Percorso collegamento Revisione 
    Default Domain Policy miodominio.com AD (187), volume di sistema (187) 
    Abilita Servizi Terminal miodominio.com/miodominio AD (1), volume di sistema (1) 
    Firewall miodominio.com/miodominio AD (27), volume di sistema (27) 
    IE - Cancella Cache miodominio.com/miodominio AD (1), volume di sistema (1) 
    Tiime Server - Client miodominio.com/miodominio AD (3), volume di sistema (3) 
    WSUS - Client miodominio.com/miodominio AD (47), volume di sistema (47) 
    
    Oggetti Criteri di gruppo negatinascondi
    Nome Percorso collegamento Motivo rifiuto 
    Criteri gruppo locale Local Vuoto 
    LOGON PRODCSU miodominio.com/miodominio Accesso negato (filtri di sicurezza) 
    Logon Tutti miodominio.com/miodominio Vuoto 
    IE - conf proxy miodominio.com/miodominio Vuoto 
    {30807B49-6BE7-4A12-96F2-3BF0C1564861} miodominio.com/miodominio Collegamento disattivato 
    
    Appartenenza al gruppo di sicurezza al momento dell'applicazione di Criteri di grupponascondi
    BUILTIN\Administrators
    Everyone
    BUILTIN\Users
    NT AUTHORITY\NETWORK
    NT AUTHORITY\Authenticated Users
    NT AUTHORITY\Questa organizzazione
    miodominio\Z4$
    miodominio\Computer del dominio
    miodominio\CERTSVC_DCOM_ACCESS
    Etichetta obbligatoria\Livello obbligatorio di sistema
    Filtri WMInascondi
    Nome Valore Oggetti Criteri di gruppo riferimento 
    Nessuno 
    
    Stato componentenascondi
    Nome componente Stato Data e ora ultima elaborazione 
    Infrastruttura criteri di gruppo Operazione riuscita 28/03/2013 08:26:06 
    Registro di sistema Operazione riuscita 25/03/2013 12:09:29 
    Security Operazione riuscita 25/03/2013 12:09:30 
    
    Riepilogo configurazione utentenascondi
    Generalenascondi
    Nome utente miodominio\miouser 
    Dominio miodominio.com 
    Data e ora ultima elaborazione Criteri di gruppo 28/03/2013 08:25:27 
    
    Oggetti Criteri di grupponascondi
    Oggetti Criteri di gruppo applicatinascondi
    Nome Percorso collegamento Revisione 
    Default Domain Policy miodominio.com AD (44), volume di sistema (44) 
    IE - Cancella Cache miodominio.com/miodominio AD (1), volume di sistema (1) 
    Logon Tutti miodominio.com/miodominio AD (6), volume di sistema (6) 
    IE - conf proxy miodominio.com/miodominio AD (2), volume di sistema (2) 
    Logon Qlik miodominio.com/miodominio/FSI - Via Idiomi AD (3), volume di sistema (3) 
    Logon GEGDO miodominio.com/miodominio/FSI - Via Idiomi AD (4), volume di sistema (4) 
    Logon Comuni miodominio.com/miodominio/FSI - Via Idiomi AD (2), volume di sistema (2) 
    Logon Informativi miodominio.com/miodominio/FSI - Via Idiomi AD (2), volume di sistema (2) 
    
    Oggetti Criteri di gruppo negatinascondi
    Nome Percorso collegamento Motivo rifiuto 
    Criteri gruppo locale Local Vuoto 
    Abilita Servizi Terminal miodominio.com/miodominio Vuoto 
    Firewall miodominio.com/miodominio Vuoto 
    LOGON PRODCSU miodominio.com/miodominio Accesso negato (filtri di sicurezza) 
    Tiime Server - Client miodominio.com/miodominio Vuoto 
    WSUS - Client miodominio.com/miodominio Vuoto 
    {30807B49-6BE7-4A12-96F2-3BF0C1564861} miodominio.com/miodominio Collegamento disattivato 
    Impianti Stampa miodominio.com/miodominio/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Tesoreria miodominio.com/miodominio/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Programma GDO miodominio.com/miodominio/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Personale miodominio.com/miodominio/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Magazzino miodominio.com/miodominio/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon QA miodominio.com/miodominio/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Direzione miodominio.com/miodominio/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Ammin miodominio.com/miodominio/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Amministrazione miodominio.com/miodominio/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Servizi miodominio.com/miodominio/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon CQ miodominio.com/miodominio/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Commercialefsi miodominio.com/miodominio/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    
    Appartenenza al gruppo di sicurezza al momento dell'applicazione di Criteri di grupponascondi
    miodominio\Domain Admins
    Everyone
    BUILTIN\Administrators
    BUILTIN\Users
    NT AUTHORITY\INTERACTIVE
    ACCESSO CONSOLE
    NT AUTHORITY\Authenticated Users
    NT AUTHORITY\Questa organizzazione
    LOCALE
    miodominio\GFI_miodominio_FullAccess
    miodominio\Domain Users
    miodominio\internet admin
    miodominio\Wireless User
    miodominio\miodominio_DEVSEC_BASE
    miodominio\Proprietari autori criteri di gruppo
    miodominio\DnsUpdateProxy
    miodominio\GR-Qlik
    miodominio\Exchange Recipient Administrators
    miodominio\Exchange Public Folder Administrators
    miodominio\GR-Sistemi Informativi
    miodominio\Exchange Organization Administrators
    miodominio\Exchange View-Only Administrators
    miodominio\Enterprise Admins
    miodominio\Schema Admins
    miodominio\GR-Sistemi Informativi
    miodominio\DnsAdmins
    miodominio\Ogg. non autoriz. a replica passw. in controller sola lettura
    miodominio\DHCP Administrators
    miodominio\CERTSVC_DCOM_ACCESS
    miodominio\Utenti debugger
    miodominio\WSUS Administrators
    Etichetta obbligatoria\Livello obbligatorio alto
    Filtri WMInascondi
    Nome Valore Oggetti Criteri di gruppo riferimento 
    Nessuno 
    
    Stato componente nascondi
    Nome componente Stato Data e ora ultima elaborazione 
    Infrastruttura criteri di gruppo Operazione riuscita 28/03/2013 08:25:29 
    Internet Explorer Branding Operazione non riuscita 28/03/2013 08:25:29 
    Impossibile eseguire Internet Explorer Branding a causa dell'errore riportato di seguito.
    
    Impossibile trovare la procedura specificata. 
    
    È possibile che siano state registrate informazioni aggiuntive. Esaminare gli eventi tra 28/03/2013 08:25:29 e 28/03/2013 08:25:29 nella scheda Eventi criteri della console oppure nel registro eventi applicazioni. 
     
    Registro di sistema Operazione riuscita 22/03/2013 09:15:50 
    Scripts Operazione riuscita 22/03/2013 09:15:50 
    
    Configurazione computernascondi
    Criterinascondi
    Impostazioni di Windowsnascondi
    Impostazioni sicurezzanascondi
    Criteri account/Criteri passwordnascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Archivia password mediante crittografia reversibile Disabilitato Default Domain Policy 
    Imponi cronologia delle password Password memorizzate: 24 Default Domain Policy 
    Le password devono essere conformi ai requisiti di complessità Abilitato Default Domain Policy 
    Lunghezza minima password 7 caratteri Default Domain Policy 
    Validità massima password 42 giorni Default Domain Policy 
    Validità minima password 1 giorni Default Domain Policy 
    
    Criteri account/Criterio di blocco accountnascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Soglia di blocchi dell'account Tentativi di accesso non validi: 0 Default Domain Policy 
    
    Criteri locali/Opzioni di sicurezzanascondi
    Accesso alla retenascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Accesso di rete: consenti conversione anonima SID/nome Disabilitato Default Domain Policy 
    
    Sicurezza di retenascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Sicurezza di rete: imponi disconnessione al termine dell'orario di accesso Disabilitato Default Domain Policy 
    Sicurezza di rete: non memorizzare il valore hash di LAN Manager al prossimo cambio di password Abilitato Default Domain Policy 
    
    Criteri chiave pubblica/Client Servizi certificati - Impostazioni registrazione automaticanascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Gestione automatica certificati Abilitato [Impostazione predefinita] 
    Opzione Impostazione 
    Registra nuovi certificati, rinnova certificati scaduti, elabora le richieste di certificato in sospeso e rimuovi certificati revocati Disabilitato 
    Aggiorna e gestisci certificati che utilizzano modelli di certificato di Active Directory Disabilitato 
     
    
    Criteri chiave pubblica/Crittografia file systemnascondi
    Certificatinascondi
    Rilasciato a Rilasciato da Data di scadenza Scopi designati Oggetto Criteri di gruppo dominante 
    Administrator Administrator 03/01/2004 17:53:18 Ripristino file Default Domain Policy 
    
    Per ulteriori informazioni sulle singole impostazioni, avviare Editor oggetti Criteri di gruppo.
    Criteri chiave pubblica/Autorità di certificazione radice attendibilinascondi
    Proprietànascondi
    Oggetto Criteri di gruppo dominante [Impostazione predefinita] 
    Criterio Impostazione 
    Consenti agli utenti di selezionare nuove Autorità di certificazione radice attendibili Abilitato 
    I client possono ritenere attendibili i seguenti archivi di certificati Autorità di certificazione radice di terze parti e Autorità di certificazione radice dell'organizzazione 
    Per poter eseguire l'autenticazione basata sui certificati degli utenti e dei computer, le CA devono rispettare i seguenti criteri Solo CA registrate in Active Directory 
    
    Windows Firewall con sicurezza avanzatanascondi
    Impostazioni globalinascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Versione criterio Non configurato  
    Disattiva FTP con stato Non configurato  
    Disattiva PPTP con stato Non configurato  
    Esenzione IPsec Non configurato  
    IPsec attraverso NAT Non configurato  
    Codifica chiave già condivisa Non configurato  
    Tempo di inattività SA Non configurato  
    StrongCRLCheck Non configurato  
    
    Impostazioni di profilo del dominionascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Stato firewall Disattivato Firewall 
    Connessioni in entrata Non configurato  
    Connessioni in uscita Non configurato  
    Applica regole firewall locali Non configurato  
    Applica regole di sicurezza di connessioni locali Non configurato  
    Visualizza notifiche Non configurato  
    Consenti risposte unicast Non configurato  
    Registra pacchetti ignorati Non configurato  
    Registra connessioni riuscite Non configurato  
    Percorso file di registro Non configurato  
    Dimensione massima file di registro (KB) Non configurato  
    
    Impostazioni di sicurezza della connessionenascondi
    Modelli amministrativinascondi
    Definizioni di criteri (file ADMX) recuperate dal computer locale.Componenti di Windows/Internet Explorer/Pannello di controllo Internet/Scheda Avanzatenascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Svuota la cartella dei file temporanei Internet alla chiusura del browser Abilitato IE - Cancella Cache 
    
    Componenti di Windows/Servizi Desktop remoto/Host sessione di Desktop remoto/Connessioninascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Consenti la connessione remota tramite Servizi Desktop remoto Abilitato Abilita Servizi Terminal 
    
    Componenti di Windows/Windows Updatenascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Attiva aggiornamenti consigliati mediante Aggiornamenti automatici Abilitato WSUS - Client 
    Attiva notifiche del software Abilitato WSUS - Client 
    Configura Aggiornamenti automatici Abilitato WSUS - Client 
    Configura aggiornamento automatico: 3 - Download automatico e avviso per l'installazione 
    Le impostazioni seguenti sono necessarie 
    solo se è stata selezionata l'opzione 4. 
    Giorno pianificato per l'installazione:  0 - Tutti i giorni 
    Orario pianificato per l'installazione: 15.00 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Consenti a utenti non amministratori di ricevere le notifiche di aggiornamento Abilitato WSUS - Client 
    Consenti aggiornamenti firmati da un percorso del servizio di aggiornamento Microsoft nella rete Intranet  Abilitato WSUS - Client 
    Consenti alle funzionalità di risparmio energia di abilitare automaticamente il sistema da Windows Update per installare aggiornamenti pianificati Disabilitato WSUS - Client 
    Consenti installazione immediata Aggiornamenti automatici Disabilitato WSUS - Client 
    Escludi riavvio automatico per installazioni pianificate di Aggiornamenti automatici con gli utenti non connessi Abilitato WSUS - Client 
    Frequenza rilevamento Aggiornamenti automatici Abilitato WSUS - Client 
    Verifica aggiornamenti a 
    intervalli di (ore):  2 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Non impostare Installa aggiornamenti e spegni come opzione predefinita nella finestra di dialogo Fine della sessione di lavoro Disabilitato WSUS - Client 
    Non visualizzare l'opzione Installa aggiornamenti e spegni nella finestra di dialogo Fine della sessione di lavoro Disabilitato WSUS - Client 
    Nuova pianificazione installazioni pianificate Aggiornamenti automatici Abilitato WSUS - Client 
    Attendi fino al 
    riavvio del sistema (minuti):  10 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Richiedi nuovamente riavvio per installazioni pianificate Abilitato WSUS - Client 
    Attendi per il seguente intervallo prima 
    di richiedere un nuovo riavvio 
    pianificato (minuti):  180 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Rimanda riavvio per installazioni pianificate Abilitato WSUS - Client 
    Attendi per il seguente intervallo prima 
    di eseguire un nuovo riavvio 
    pianificato (minuti):  30 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet Abilitato WSUS - Client 
    Impostare il servizio di aggiornamento nella rete Intranet per il rilevamento degli aggiornamenti: http://cipfsi18 
    Impostare il server per le statistiche nella rete Intranet: http://cipfsi18 
    (esempio: http://IntranetUpd01) 
     
    
    Rete/Connessioni di retenascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Proibisci l'uso del Firewall connessione Internet nella rete del dominio DNS Abilitato Firewall 
    
    Rete/Connessioni di rete/Windows Firewall/Profilo di dominionascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Windows Firewall: consenti eccezione amministrazione remota in ingresso  Abilitato Firewall 
    Consenti messaggi in ingresso non richiesti dagli indirizzi IP seguenti: 10.0.0.0/8 
    Sintassi: 
    Digitare "*" per consentire i messaggi da qualsiasi rete, oppure 
    un elenco delimitato da virgole contenente 
    un numero qualsiasi o una combinazione di: 
    indirizzi IP, ad esempio 10.0.0.1 
    descrizioni di subnet, ad esempio 10.2.3.0/24 
    la stringa "localsubnet 
    Esempio: per consentire i messaggi da 10.0.0.1, 
    10.0.0.2 e da qualsiasi altro sistema 
    nella subnet locale o nella subnet 10.3.4.x, 
    digitare il testo seguente in "Consenti messaggi  
    in ingresso non richiesti dagli indirizzi IP seguenti": 
    10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Windows Firewall: consenti eccezione per condivisione file e stampanti in ingresso Abilitato Firewall 
    Consenti messaggi in ingresso non richiesti dagli indirizzi IP seguenti: 10.0.0.0/8 
    Sintassi: 
    Digitare "*" per consentire i messaggi da qualsiasi rete, oppure 
    un elenco delimitato da virgole contenente 
    un numero qualsiasi o una combinazione di: 
    indirizzi IP, ad esempio 10.0.0.1 
    descrizioni di subnet, ad esempio 10.2.3.0/24 
    la stringa "localsubnet 
    Esempio: per consentire i messaggi da 10.0.0.1, 
    10.0.0.2 e da qualsiasi altro sistema 
    nella subnet locale o nella subnet 10.3.4.x, 
    digitare il testo seguente in "Consenti messaggi  
    in ingresso non richiesti dagli indirizzi IP seguenti": 
    10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Windows Firewall: consenti eccezioni ICMP Abilitato Firewall 
    Consenti destinazione irraggiungibile in uscita Abilitato 
    Consenti rallentamento origine in uscita Abilitato 
    Consenti reindirizzamento Abilitato 
    Consenti richiesta echo in ingresso Abilitato 
    Consenti richiesta router in ingresso Abilitato 
    Consenti tempo scaduto in uscita Abilitato 
    Consenti parametro errato in uscita Abilitato 
    Consenti richiesta timestamp in ingresso Abilitato 
    Consenti richiesta mask in ingresso Abilitato 
    Consenti dimensioni pacchetto troppo grandi in uscita Abilitato 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Windows Firewall: consenti eccezioni per Desktop remoto in ingresso Abilitato Firewall 
    Consenti messaggi in ingresso non richiesti dagli indirizzi IP seguenti: 10.0.0.0/8 
    Sintassi: 
    Digitare "*" per consentire i messaggi da qualsiasi rete, oppure 
    un elenco delimitato da virgole contenente 
    un numero qualsiasi o una combinazione di: 
    indirizzi IP, ad esempio 10.0.0.1 
    descrizioni di subnet, ad esempio 10.2.3.0/24 
    la stringa "localsubnet 
    Esempio: per consentire i messaggi da 10.0.0.1, 
    10.0.0.2 e da qualsiasi altro sistema 
    nella subnet locale o nella subnet 10.3.4.x, 
    digitare il testo seguente in "Consenti messaggi  
    in ingresso non richiesti dagli indirizzi IP seguenti": 
    10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Windows Firewall: consenti eccezioni porte locali Abilitato Firewall 
    Windows Firewall: consenti eccezioni programmi locali Abilitato Firewall 
    Windows Firewall: definisci eccezioni porte in ingresso Abilitato Firewall 
    Definisce le eccezioni porte: Oggetto Criteri di gruppo di origine 
    5900:TCP:10.0.0.0/8:enabled:VNC Firewall 
    6189:TCP:10.0.0.0/8:enabled:Dameware Firewall 
     
    Specificare la porta da aprire o da bloccare. 
    Sintassi: 
    <Porta>:<Trasporto>:<Ambito>:<Stato>:<Nome> 
    <Porta> è un numero di porta, in decimali 
    <Trasporto> è "TCP" o "UDP" 
    <Ambito> è "*" (per tutte le reti) oppure 
    un elenco delimitato da virgole contenente 
    un numero qualsiasi o una combinazione di: 
    indirizzi IP, ad esempio 10.0.0.1 
    descrizioni di subnet, ad esempio 10.2.3.0/24 
    la stringa "localsubnet 
    <Stato> è "Abilitato" o "Disabilitato" 
    <Nome> è una stringa di testo 
    Esempio: 
    La seguente stringa di definizione aggiunge la porta TCP 80 
    all'elenco eccezioni porte e consente alla porta di 
    ricevere messaggi da 10.0.0.1, 10.0.0.2 o 
    qualsiasi sistema nella subnet 10.3.4.x: 
    80:TCP:10.0.0.1,10.0.0.2,10.3.4.0/24:enabled:Servizio Web 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Windows Firewall: proteggi tutte le connessioni di rete Disabilitato Firewall 
    
    Sistema/Servizio Ora di Windows/Provider servizi orarinascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Abilita client Windows NTP Abilitato Tiime Server - Client 
    Configura client Windows NTP Abilitato Tiime Server - Client 
    NtpServer 10.0.2.159,0x1 
    Tipo NT5DS 
    CrossSiteSyncFlags 2 
    ResolvePeerBackoffMinutes 15 
    ResolvePeerBackoffMaxTimes 7 
    SpecialPollInterval 3600 
    EventLogFlags 0 
     
    
    Configurazione utentenascondi
    Criterinascondi
    Impostazioni di Windowsnascondi
    Scriptnascondi
    Accessonascondi
    Nome Parametri Ultima esecuzione Ordine script in oggetto Criteri di gruppo Oggetto Criteri di gruppo dominante 
    \\miodominio.com\SysVol\miodominio.com\scripts\tutti.cmd  27/03/2013 08:05:04 Non configurato Logon Tutti 
    \\miodominio.com\SysVol\miodominio.com\scripts\qlik.cmd  27/03/2013 08:05:05 Non configurato Logon Qlik 
    \\miodominio.com\SysVol\miodominio.com\scripts\MEGDOID.cmd  27/03/2013 08:05:05 Non configurato Logon GEGDO 
    \\miodominio.com\SysVol\miodominio.com\scripts\comuniID.cmd  27/03/2013 08:05:05 Non configurato Logon Comuni 
    \\miodominio.com\SysVol\miodominio.com\scripts\informativiID.cmd  27/03/2013 08:05:05 Non configurato Logon Informativi 
    
    Manutenzione di Internet Explorernascondi
    Connessione/Impostazioni proxynascondi
    Oggetto Criteri di gruppo dominante Default Domain Policy 
    Attiva impostazioni proxy 
    Protocollo Server Porta 
    HTTP serverisa.miodominio.com 8080 
    Sicuro serverisa.miodominio.com 8080 
    FTP serverisa.miodominio.com 8080 
    Gopher serverisa.miodominio.com 8080 
    Socks serverisa.miodominio.com 8080 
     
    Eccezioni: Non utilizzare il server proxy per gli indirizzi che iniziano per *.miodominio.com, 10.0.2.161, 10.0.2.160, cipfsi01, cipfsi02, *.trasdeco.com, *.trasdeco.it, *.cipassorbenti.it, *.cipassorbenti.com,  
    Non utilizzare il server proxy per indirizzi locali (Intranet) Abilitato 
    
    Modelli amministrativinascondi
    Definizioni di criteri (file ADMX) recuperate dal computer locale.Componenti di Windows/Internet Explorer/Pannello di controllo Internet/Scheda Avanzatenascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Svuota la cartella dei file temporanei Internet alla chiusura del browser Abilitato IE - Cancella Cache 
    

    lunedì 25 marzo 2013 17:38
  • Impostazioni:

    Gestione Criteri di gruppo
    body { font-size:68%;font-family:MS Shell Dlg; margin:0px,0px,0px,0px; border: 1px solid #666666; background:#F6F6F6; width:100%; word-break:normal; word-wrap:break-word; } .head { font-weight:bold; font-size:160%; font-family:MS Shell Dlg; width:100%; color:#6587DC; background:#E3EAF9; border:1px solid #5582D2; padding-left:8px; height:24px; } .path { margin-left: 10px; margin-top: 10px; margin-bottom:5px;width:100%; } .info { padding-left:10px;width:100%; } table { font-size:100%; width:100%; border:1px solid #999999; } th { border-bottom:1px solid #999999; text-align:left; padding-left:10px; height:24px; } td { background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; } .btn { width:100%; text-align:right; margin-top:16px; } .hdr { font-weight:bold; border:1px solid #999999; text-align:left; padding-top: 4px; padding-left:10px; height:24px; margin-bottom:-1px; width:100%; } .bdy { width:100%; height:182px; display:block; overflow:scroll; z-index:2; background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; border:1px solid #999999; } button { width:6.9em; height:2.1em; font-size:100%; font-family:MS Shell Dlg; margin-right:15px; } @media print { .bdy { display:block; overflow:visible; } button { display:none; } .head { color:#000000; background:#FFFFFF; border:1px solid #000000; } } 
    Percorso impostazione:
    Spiegazione
    Stampa 
    Chiudi 
    Nessuna spiegazione disponibile per l'impostazione.
    Supportata in:
    Non disponibile
    Rapporti Criteri di gruppo 
    miodomino\miouser su miodomino\Z4 
    Data e ora raccolta dati: 28/03/2013 09:18:03 nascondi tutto 
    
    Riepilogonascondi
    Riepilogo configurazione computernascondi
    Generalenascondi
    Nome computer miodomino\Z4 
    Dominio miodomino.com 
    Sito miodomino 
    Data e ora ultima elaborazione Criteri di gruppo 28/03/2013 08:26:04 
    
    Oggetti Criteri di grupponascondi
    Oggetti Criteri di gruppo applicatinascondi
    Nome Percorso collegamento Revisione 
    Default Domain Policy miodomino.com AD (187), volume di sistema (187) 
    Abilita Servizi Terminal miodomino.com/miodomino AD (1), volume di sistema (1) 
    Firewall miodomino.com/miodomino AD (27), volume di sistema (27) 
    IE - Cancella Cache miodomino.com/miodomino AD (1), volume di sistema (1) 
    Tiime Server - Client miodomino.com/miodomino AD (3), volume di sistema (3) 
    WSUS - Client miodomino.com/miodomino AD (47), volume di sistema (47) 
    
    Oggetti Criteri di gruppo negatinascondi
    Nome Percorso collegamento Motivo rifiuto 
    Criteri gruppo locale Local Vuoto 
    LOGON PRODCSU miodomino.com/miodomino Accesso negato (filtri di sicurezza) 
    Logon Tutti miodomino.com/miodomino Vuoto 
    IE - conf proxy miodomino.com/miodomino Vuoto 
    {30807B49-6BE7-4A12-96F2-3BF0C1564861} miodomino.com/miodomino Collegamento disattivato 
    
    Appartenenza al gruppo di sicurezza al momento dell'applicazione di Criteri di grupponascondi
    BUILTIN\Administrators
    Everyone
    BUILTIN\Users
    NT AUTHORITY\NETWORK
    NT AUTHORITY\Authenticated Users
    NT AUTHORITY\Questa organizzazione
    miodomino\Z4$
    miodomino\Computer del dominio
    miodomino\CERTSVC_DCOM_ACCESS
    Etichetta obbligatoria\Livello obbligatorio di sistema
    Filtri WMInascondi
    Nome Valore Oggetti Criteri di gruppo riferimento 
    Nessuno 
    
    Stato componentenascondi
    Nome componente Stato Data e ora ultima elaborazione 
    Infrastruttura criteri di gruppo Operazione riuscita 28/03/2013 08:26:06 
    Registro di sistema Operazione riuscita 25/03/2013 12:09:29 
    Security Operazione riuscita 25/03/2013 12:09:30 
    
    Riepilogo configurazione utentenascondi
    Generalenascondi
    Nome utente miodomino\miouser 
    Dominio miodomino.com 
    Data e ora ultima elaborazione Criteri di gruppo 28/03/2013 08:25:27 
    
    Oggetti Criteri di grupponascondi
    Oggetti Criteri di gruppo applicatinascondi
    Nome Percorso collegamento Revisione 
    Default Domain Policy miodomino.com AD (44), volume di sistema (44) 
    IE - Cancella Cache miodomino.com/miodomino AD (1), volume di sistema (1) 
    Logon Tutti miodomino.com/miodomino AD (6), volume di sistema (6) 
    IE - conf proxy miodomino.com/miodomino AD (2), volume di sistema (2) 
    Logon Qlik miodomino.com/miodomino/FSI - Via Idiomi AD (3), volume di sistema (3) 
    Logon GEGDO miodomino.com/miodomino/FSI - Via Idiomi AD (4), volume di sistema (4) 
    Logon Comuni miodomino.com/miodomino/FSI - Via Idiomi AD (2), volume di sistema (2) 
    Logon Informativi miodomino.com/miodomino/FSI - Via Idiomi AD (2), volume di sistema (2) 
    
    Oggetti Criteri di gruppo negatinascondi
    Nome Percorso collegamento Motivo rifiuto 
    Criteri gruppo locale Local Vuoto 
    Abilita Servizi Terminal miodomino.com/miodomino Vuoto 
    Firewall miodomino.com/miodomino Vuoto 
    LOGON PRODCSU miodomino.com/miodomino Accesso negato (filtri di sicurezza) 
    Tiime Server - Client miodomino.com/miodomino Vuoto 
    WSUS - Client miodomino.com/miodomino Vuoto 
    {30807B49-6BE7-4A12-96F2-3BF0C1564861} miodomino.com/miodomino Collegamento disattivato 
    Impianti Stampa miodomino.com/miodomino/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Tesoreria miodomino.com/miodomino/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Programma GDO miodomino.com/miodomino/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Personale miodomino.com/miodomino/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Magazzino miodomino.com/miodomino/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon QA miodomino.com/miodomino/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Direzione miodomino.com/miodomino/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Ammin miodomino.com/miodomino/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Amministrazione miodomino.com/miodomino/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Servizi miodomino.com/miodomino/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon CQ miodomino.com/miodomino/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    Logon Commercialefsi miodomino.com/miodomino/FSI - Via Idiomi Accesso negato (filtri di sicurezza) 
    
    Appartenenza al gruppo di sicurezza al momento dell'applicazione di Criteri di grupponascondi
    miodomino\Domain Admins
    Everyone
    BUILTIN\Administrators
    BUILTIN\Users
    NT AUTHORITY\INTERACTIVE
    ACCESSO CONSOLE
    NT AUTHORITY\Authenticated Users
    NT AUTHORITY\Questa organizzazione
    LOCALE
    miodomino\GFI_miodomino_FullAccess
    miodomino\Domain Users
    miodomino\internet admin
    miodomino\Wireless User
    miodomino\miodomino_DEVSEC_BASE
    miodomino\Proprietari autori criteri di gruppo
    miodomino\DnsUpdateProxy
    miodomino\GR-Qlik
    miodomino\Exchange Recipient Administrators
    miodomino\Exchange Public Folder Administrators
    miodomino\GR-Sistemi Informativi
    miodomino\Exchange Organization Administrators
    miodomino\Exchange View-Only Administrators
    miodomino\Enterprise Admins
    miodomino\Schema Admins
    miodomino\GR-Sistemi Informativi
    miodomino\DnsAdmins
    miodomino\Ogg. non autoriz. a replica passw. in controller sola lettura
    miodomino\DHCP Administrators
    miodomino\CERTSVC_DCOM_ACCESS
    miodomino\Utenti debugger
    miodomino\WSUS Administrators
    Etichetta obbligatoria\Livello obbligatorio alto
    Filtri WMInascondi
    Nome Valore Oggetti Criteri di gruppo riferimento 
    Nessuno 
    
    Stato componente nascondi
    Nome componente Stato Data e ora ultima elaborazione 
    Infrastruttura criteri di gruppo Operazione riuscita 28/03/2013 08:25:29 
    Internet Explorer Branding Operazione non riuscita 28/03/2013 08:25:29 
    Impossibile eseguire Internet Explorer Branding a causa dell'errore riportato di seguito.
    
    Impossibile trovare la procedura specificata. 
    
    È possibile che siano state registrate informazioni aggiuntive. Esaminare gli eventi tra 28/03/2013 08:25:29 e 28/03/2013 08:25:29 nella scheda Eventi criteri della console oppure nel registro eventi applicazioni. 
     
    Registro di sistema Operazione riuscita 22/03/2013 09:15:50 
    Scripts Operazione riuscita 22/03/2013 09:15:50 
    
    Configurazione computernascondi
    Criterinascondi
    Impostazioni di Windowsnascondi
    Impostazioni sicurezzanascondi
    Criteri account/Criteri passwordnascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Archivia password mediante crittografia reversibile Disabilitato Default Domain Policy 
    Imponi cronologia delle password Password memorizzate: 24 Default Domain Policy 
    Le password devono essere conformi ai requisiti di complessità Abilitato Default Domain Policy 
    Lunghezza minima password 7 caratteri Default Domain Policy 
    Validità massima password 42 giorni Default Domain Policy 
    Validità minima password 1 giorni Default Domain Policy 
    
    Criteri account/Criterio di blocco accountnascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Soglia di blocchi dell'account Tentativi di accesso non validi: 0 Default Domain Policy 
    
    Criteri locali/Opzioni di sicurezzanascondi
    Accesso alla retenascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Accesso di rete: consenti conversione anonima SID/nome Disabilitato Default Domain Policy 
    
    Sicurezza di retenascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Sicurezza di rete: imponi disconnessione al termine dell'orario di accesso Disabilitato Default Domain Policy 
    Sicurezza di rete: non memorizzare il valore hash di LAN Manager al prossimo cambio di password Abilitato Default Domain Policy 
    
    Criteri chiave pubblica/Client Servizi certificati - Impostazioni registrazione automaticanascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Gestione automatica certificati Abilitato [Impostazione predefinita] 
    Opzione Impostazione 
    Registra nuovi certificati, rinnova certificati scaduti, elabora le richieste di certificato in sospeso e rimuovi certificati revocati Disabilitato 
    Aggiorna e gestisci certificati che utilizzano modelli di certificato di Active Directory Disabilitato 
     
    
    Criteri chiave pubblica/Crittografia file systemnascondi
    Certificatinascondi
    Rilasciato a Rilasciato da Data di scadenza Scopi designati Oggetto Criteri di gruppo dominante 
    Administrator Administrator 03/01/2004 17:53:18 Ripristino file Default Domain Policy 
    
    Per ulteriori informazioni sulle singole impostazioni, avviare Editor oggetti Criteri di gruppo.
    Criteri chiave pubblica/Autorità di certificazione radice attendibilinascondi
    Proprietànascondi
    Oggetto Criteri di gruppo dominante [Impostazione predefinita] 
    Criterio Impostazione 
    Consenti agli utenti di selezionare nuove Autorità di certificazione radice attendibili Abilitato 
    I client possono ritenere attendibili i seguenti archivi di certificati Autorità di certificazione radice di terze parti e Autorità di certificazione radice dell'organizzazione 
    Per poter eseguire l'autenticazione basata sui certificati degli utenti e dei computer, le CA devono rispettare i seguenti criteri Solo CA registrate in Active Directory 
    
    Windows Firewall con sicurezza avanzatanascondi
    Impostazioni globalinascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Versione criterio Non configurato  
    Disattiva FTP con stato Non configurato  
    Disattiva PPTP con stato Non configurato  
    Esenzione IPsec Non configurato  
    IPsec attraverso NAT Non configurato  
    Codifica chiave già condivisa Non configurato  
    Tempo di inattività SA Non configurato  
    StrongCRLCheck Non configurato  
    
    Impostazioni di profilo del dominionascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Stato firewall Disattivato Firewall 
    Connessioni in entrata Non configurato  
    Connessioni in uscita Non configurato  
    Applica regole firewall locali Non configurato  
    Applica regole di sicurezza di connessioni locali Non configurato  
    Visualizza notifiche Non configurato  
    Consenti risposte unicast Non configurato  
    Registra pacchetti ignorati Non configurato  
    Registra connessioni riuscite Non configurato  
    Percorso file di registro Non configurato  
    Dimensione massima file di registro (KB) Non configurato  
    
    Impostazioni di sicurezza della connessionenascondi
    Modelli amministrativinascondi
    Definizioni di criteri (file ADMX) recuperate dal computer locale.Componenti di Windows/Internet Explorer/Pannello di controllo Internet/Scheda Avanzatenascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Svuota la cartella dei file temporanei Internet alla chiusura del browser Abilitato IE - Cancella Cache 
    
    Componenti di Windows/Servizi Desktop remoto/Host sessione di Desktop remoto/Connessioninascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Consenti la connessione remota tramite Servizi Desktop remoto Abilitato Abilita Servizi Terminal 
    
    Componenti di Windows/Windows Updatenascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Attiva aggiornamenti consigliati mediante Aggiornamenti automatici Abilitato WSUS - Client 
    Attiva notifiche del software Abilitato WSUS - Client 
    Configura Aggiornamenti automatici Abilitato WSUS - Client 
    Configura aggiornamento automatico: 3 - Download automatico e avviso per l'installazione 
    Le impostazioni seguenti sono necessarie 
    solo se è stata selezionata l'opzione 4. 
    Giorno pianificato per l'installazione:  0 - Tutti i giorni 
    Orario pianificato per l'installazione: 15.00 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Consenti a utenti non amministratori di ricevere le notifiche di aggiornamento Abilitato WSUS - Client 
    Consenti aggiornamenti firmati da un percorso del servizio di aggiornamento Microsoft nella rete Intranet  Abilitato WSUS - Client 
    Consenti alle funzionalità di risparmio energia di abilitare automaticamente il sistema da Windows Update per installare aggiornamenti pianificati Disabilitato WSUS - Client 
    Consenti installazione immediata Aggiornamenti automatici Disabilitato WSUS - Client 
    Escludi riavvio automatico per installazioni pianificate di Aggiornamenti automatici con gli utenti non connessi Abilitato WSUS - Client 
    Frequenza rilevamento Aggiornamenti automatici Abilitato WSUS - Client 
    Verifica aggiornamenti a 
    intervalli di (ore):  2 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Non impostare Installa aggiornamenti e spegni come opzione predefinita nella finestra di dialogo Fine della sessione di lavoro Disabilitato WSUS - Client 
    Non visualizzare l'opzione Installa aggiornamenti e spegni nella finestra di dialogo Fine della sessione di lavoro Disabilitato WSUS - Client 
    Nuova pianificazione installazioni pianificate Aggiornamenti automatici Abilitato WSUS - Client 
    Attendi fino al 
    riavvio del sistema (minuti):  10 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Richiedi nuovamente riavvio per installazioni pianificate Abilitato WSUS - Client 
    Attendi per il seguente intervallo prima 
    di richiedere un nuovo riavvio 
    pianificato (minuti):  180 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Rimanda riavvio per installazioni pianificate Abilitato WSUS - Client 
    Attendi per il seguente intervallo prima 
    di eseguire un nuovo riavvio 
    pianificato (minuti):  30 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet Abilitato WSUS - Client 
    Impostare il servizio di aggiornamento nella rete Intranet per il rilevamento degli aggiornamenti: http://cipfsi18 
    Impostare il server per le statistiche nella rete Intranet: http://cipfsi18 
    (esempio: http://IntranetUpd01) 
     
    
    Rete/Connessioni di retenascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Proibisci l'uso del Firewall connessione Internet nella rete del dominio DNS Abilitato Firewall 
    
    Rete/Connessioni di rete/Windows Firewall/Profilo di dominionascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Windows Firewall: consenti eccezione amministrazione remota in ingresso  Abilitato Firewall 
    Consenti messaggi in ingresso non richiesti dagli indirizzi IP seguenti: 10.0.0.0/8 
    Sintassi: 
    Digitare "*" per consentire i messaggi da qualsiasi rete, oppure 
    un elenco delimitato da virgole contenente 
    un numero qualsiasi o una combinazione di: 
    indirizzi IP, ad esempio 10.0.0.1 
    descrizioni di subnet, ad esempio 10.2.3.0/24 
    la stringa "localsubnet 
    Esempio: per consentire i messaggi da 10.0.0.1, 
    10.0.0.2 e da qualsiasi altro sistema 
    nella subnet locale o nella subnet 10.3.4.x, 
    digitare il testo seguente in "Consenti messaggi  
    in ingresso non richiesti dagli indirizzi IP seguenti": 
    10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Windows Firewall: consenti eccezione per condivisione file e stampanti in ingresso Abilitato Firewall 
    Consenti messaggi in ingresso non richiesti dagli indirizzi IP seguenti: 10.0.0.0/8 
    Sintassi: 
    Digitare "*" per consentire i messaggi da qualsiasi rete, oppure 
    un elenco delimitato da virgole contenente 
    un numero qualsiasi o una combinazione di: 
    indirizzi IP, ad esempio 10.0.0.1 
    descrizioni di subnet, ad esempio 10.2.3.0/24 
    la stringa "localsubnet 
    Esempio: per consentire i messaggi da 10.0.0.1, 
    10.0.0.2 e da qualsiasi altro sistema 
    nella subnet locale o nella subnet 10.3.4.x, 
    digitare il testo seguente in "Consenti messaggi  
    in ingresso non richiesti dagli indirizzi IP seguenti": 
    10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Windows Firewall: consenti eccezioni ICMP Abilitato Firewall 
    Consenti destinazione irraggiungibile in uscita Abilitato 
    Consenti rallentamento origine in uscita Abilitato 
    Consenti reindirizzamento Abilitato 
    Consenti richiesta echo in ingresso Abilitato 
    Consenti richiesta router in ingresso Abilitato 
    Consenti tempo scaduto in uscita Abilitato 
    Consenti parametro errato in uscita Abilitato 
    Consenti richiesta timestamp in ingresso Abilitato 
    Consenti richiesta mask in ingresso Abilitato 
    Consenti dimensioni pacchetto troppo grandi in uscita Abilitato 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Windows Firewall: consenti eccezioni per Desktop remoto in ingresso Abilitato Firewall 
    Consenti messaggi in ingresso non richiesti dagli indirizzi IP seguenti: 10.0.0.0/8 
    Sintassi: 
    Digitare "*" per consentire i messaggi da qualsiasi rete, oppure 
    un elenco delimitato da virgole contenente 
    un numero qualsiasi o una combinazione di: 
    indirizzi IP, ad esempio 10.0.0.1 
    descrizioni di subnet, ad esempio 10.2.3.0/24 
    la stringa "localsubnet 
    Esempio: per consentire i messaggi da 10.0.0.1, 
    10.0.0.2 e da qualsiasi altro sistema 
    nella subnet locale o nella subnet 10.3.4.x, 
    digitare il testo seguente in "Consenti messaggi  
    in ingresso non richiesti dagli indirizzi IP seguenti": 
    10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Windows Firewall: consenti eccezioni porte locali Abilitato Firewall 
    Windows Firewall: consenti eccezioni programmi locali Abilitato Firewall 
    Windows Firewall: definisci eccezioni porte in ingresso Abilitato Firewall 
    Definisce le eccezioni porte: Oggetto Criteri di gruppo di origine 
    5900:TCP:10.0.0.0/8:enabled:VNC Firewall 
    6189:TCP:10.0.0.0/8:enabled:Dameware Firewall 
     
    Specificare la porta da aprire o da bloccare. 
    Sintassi: 
    <Porta>:<Trasporto>:<Ambito>:<Stato>:<Nome> 
    <Porta> è un numero di porta, in decimali 
    <Trasporto> è "TCP" o "UDP" 
    <Ambito> è "*" (per tutte le reti) oppure 
    un elenco delimitato da virgole contenente 
    un numero qualsiasi o una combinazione di: 
    indirizzi IP, ad esempio 10.0.0.1 
    descrizioni di subnet, ad esempio 10.2.3.0/24 
    la stringa "localsubnet 
    <Stato> è "Abilitato" o "Disabilitato" 
    <Nome> è una stringa di testo 
    Esempio: 
    La seguente stringa di definizione aggiunge la porta TCP 80 
    all'elenco eccezioni porte e consente alla porta di 
    ricevere messaggi da 10.0.0.1, 10.0.0.2 o 
    qualsiasi sistema nella subnet 10.3.4.x: 
    80:TCP:10.0.0.1,10.0.0.2,10.3.4.0/24:enabled:Servizio Web 
     
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Windows Firewall: proteggi tutte le connessioni di rete Disabilitato Firewall 
    
    Sistema/Servizio Ora di Windows/Provider servizi orarinascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Abilita client Windows NTP Abilitato Tiime Server - Client 
    Configura client Windows NTP Abilitato Tiime Server - Client 
    NtpServer 10.0.2.159,0x1 
    Tipo NT5DS 
    CrossSiteSyncFlags 2 
    ResolvePeerBackoffMinutes 15 
    ResolvePeerBackoffMaxTimes 7 
    SpecialPollInterval 3600 
    EventLogFlags 0 
     
    
    Configurazione utentenascondi
    Criterinascondi
    Impostazioni di Windowsnascondi
    Scriptnascondi
    Accessonascondi
    Nome Parametri Ultima esecuzione Ordine script in oggetto Criteri di gruppo Oggetto Criteri di gruppo dominante 
    \\miodomino.com\SysVol\miodomino.com\scripts\tutti.cmd  27/03/2013 08:05:04 Non configurato Logon Tutti 
    \\miodomino.com\SysVol\miodomino.com\scripts\qlik.cmd  27/03/2013 08:05:05 Non configurato Logon Qlik 
    \\miodomino.com\SysVol\miodomino.com\scripts\MEGDOID.cmd  27/03/2013 08:05:05 Non configurato Logon GEGDO 
    \\miodomino.com\SysVol\miodomino.com\scripts\comuniID.cmd  27/03/2013 08:05:05 Non configurato Logon Comuni 
    \\miodomino.com\SysVol\miodomino.com\scripts\informativiID.cmd  27/03/2013 08:05:05 Non configurato Logon Informativi 
    
    Manutenzione di Internet Explorernascondi
    Connessione/Impostazioni proxynascondi
    Oggetto Criteri di gruppo dominante Default Domain Policy 
    Attiva impostazioni proxy 
    Protocollo Server Porta 
    HTTP serverisa.miodomino.com 8080 
    Sicuro serverisa.miodomino.com 8080 
    FTP serverisa.miodomino.com 8080 
    Gopher serverisa.miodomino.com 8080 
    Socks serverisa.miodomino.com 8080 
     
    Eccezioni: Non utilizzare il server proxy per gli indirizzi che iniziano per *.miodomino.com, 10.0.2.161, 10.0.2.160, cipfsi01, cipfsi02, *.trasdeco.com, *.trasdeco.it, *.cipassorbenti.it, *.cipassorbenti.com,  
    Non utilizzare il server proxy per indirizzi locali (Intranet) Abilitato 
    
    Modelli amministrativinascondi
    Definizioni di criteri (file ADMX) recuperate dal computer locale.Componenti di Windows/Internet Explorer/Pannello di controllo Internet/Scheda Avanzatenascondi
    Criterio Impostazione Oggetto Criteri di gruppo dominante 
    Svuota la cartella dei file temporanei Internet alla chiusura del browser Abilitato IE - Cancella Cache 
    

    lunedì 25 marzo 2013 17:42
  • prima di mettermi a leggere questa spatafiata di roba (per cui dovrei prendermi le ferie) mi puoi dire se le altre policies vengono prese regolarmente in entrambi i siti ? quali sistemi operativi hanno i clients in entrambi i siti ? se le policies del proxy precedenti messe a livello di dominio erano prese correttamente ? se nella ou incriminata ci sono gli user e non i computer ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 26 marzo 2013 09:57
    Moderatore
  • già che ci sei posta anche il gpresult di un client del primo sito, quello che prende la policy corretta

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 26 marzo 2013 10:01
    Moderatore
  • ciao,

    - Le altre policy vengono regolarmente gestite (ma non vengono modificate o toccate da parecchio)
    - i client nei 2 siti sono un misto di Xp SP3 e Win7 SP1
    - le policy che in precedenza erano applicate con la DDP erano applicate correttamente su tutte le macchine (ma anche questa non veniva modificata da diverso tempo)
    - la policy è applicata a una OU nella quale sono contenute OU figlie (una per ogni sito) con gli utenti e una OU figlia con dentro i PC di tutto il dominio.

    miomonio.com
       -DefaultDomainPolicy
          >OUgenerale
          -Iexplorer
          -AltrePolicy
             >OUsito1Utenti
             >OUsito2Utenti
             >OUpcDomino

    martedì 26 marzo 2013 17:49
  • Ciao, guardando il gpresult del client ho notato che tra i criteri di gruppo negati c'è "IE conf proxy" (che dovrebbe essere l'oggetto che contiene le impostazioni che ti interessano) perché identificato come vuoto. Quindi se il problema è localizzato solo sul sito 2 credo che ci sia un problema di replica tra il DC dove hai eseguito al modifica e il server testa di ponte del sito. Esegui quindi una verifica con repadmin ed eventualmente forza la replica con syncall.

    Esegui anche una verifica del contenuto della cartella SYSVOL nei DC presenti nel sito 2 e confrontali con quelli del sito 1 (dove immagino tu abbia eseguito effettivamente le modifiche).

    mercoledì 27 marzo 2013 12:22
    Moderatore
  • Ciao, guardando il gpresult del client ho notato che tra i criteri di gruppo negati c'è "IE conf proxy" (che dovrebbe essere l'oggetto che contiene le impostazioni che ti interessano) perché identificato come vuoto. Quindi se il problema è localizzato solo sul sito 2 credo che ci sia un problema di replica tra il DC dove hai eseguito al modifica e il server testa di ponte del sito. Esegui quindi una verifica con repadmin ed eventualmente forza la replica con syncall.

    Esegui anche una verifica del contenuto della cartella SYSVOL nei DC presenti nel sito 2 e confrontali con quelli del sito 1 (dove immagino tu abbia eseguito effettivamente le modifiche).

    ciao,
    si l'oggetto è quello ma senza volere ho postato il report preso senza fare un refresh dopo alcune prove.
    posto quello effettivo che non è vuoto e risulta NON applicato...
    ---------

    ora ho aggiornato.

    la voce "IE - conf proxy" compare 2 volte:
    1- nascosto in quanto si tratta delle impostazioni computer giustamente vuote

    2- IE - conf proxy miodominio.com/miodominio AD (2), volume di sistema (2) 


    giovedì 28 marzo 2013 08:22
  • Però dal nuovo gpresult che hai inserito risulta ancora negato perchè vuoto....

    Oggetti Criteri di gruppo negati

    Nome Percorso collegamento Motivo rifiuto

    Criteri gruppo locale Local Vuoto

    LOGON PRODCSU miodominio.com/miodominio Accesso negato (filtri di sicurezza)

    Logon Tutti miodominio.com/miodominio Vuoto

    IE - conf proxy miodominio.com/miodominio Vuoto

    {30807B49-6BE7-4A12-96F2-3BF0C1564861} miodominio.com/miodominio Collegamento disattivato


    giovedì 28 marzo 2013 09:25
    Moderatore
  • è quello che ho scritto anche io .

    purtroppo non è molto leggibile.

    è vuota la parte computer.

    la parte utente dove è configurato il proxy no!

    giovedì 28 marzo 2013 15:50
  • Si, il testo non è molto leggibile in quel modo....

    Comunque hai verificato in qualsiasi caso la replica della Group policy in tutti i DC?

    venerdì 29 marzo 2013 11:47
    Moderatore
  • si la replica funziona correttamente su tutti i DC.

    martedì 2 aprile 2013 07:47
  • Visto comunque che il problema è localizzato solo sui computer del sito 2 mi soffermerei sull'analisi solo dei DC di questo sito.

    Oltre ad un test generale di replica hai verificato anche le versioni degli oggetti GPO? Visto che hai 2 DC basta solo che siano rimasti dei file non aggiornati su uno di questi per avere problemi.

    http://technet.microsoft.com/en-us/library/ff730972.aspx

    martedì 2 aprile 2013 11:06
    Moderatore
  • ciao,

    ho verificato e la replica avviene senza problemi.

    i numeri di versione sono perfettamente allineati.

    (aggiungo la parte sotto al post principale)

    ===== Update 04/04/2013 =========

    Eseguendo un "repadmin /showrepl"

    mi dice che tutto viene replicato correttamente.

    ho però notato una cosa interessante:
    se su un qualsiasi pc che presenta la problematica accedo con un altro utente con cui non ho mai fatto accesso sulla macchina (ergo non esiste profilo locale e quant'altro) mi applica le policy in maniera corretta (e immediatamente).
    questo secondo me sposta il problema dai DC ai pc.... anche se non ho idea di come risolvere :)
    altra cosa interessante è che se modifico sulla DDP i requisiti di complessità della password questi vengono applicati normalmente: rimane però il problema della configurazione proxy.

    giovedì 4 aprile 2013 07:39
  • Si, allora il problema è sicuramente diverso. Come test prova ad eliminare le chiavi di registro specificate in questo articolo http://support.microsoft.com/kb/819961 dal profilo utente problematico, riavviare e a vedere se viene applicata correttamente la nuova policy.

    Verifica anche eventuali software di internet security eventualmente installati.

    giovedì 4 aprile 2013 08:45
    Moderatore
  • ciao,

    dopo aver eseguito la rimozione delle chiavi di registro ho eseguito un gpupdate /force.
    il problema non si è risolto.
    spulciando nei log del client ho trovato questo:

    Nome registro: Microsoft-Windows-GroupPolicy/Operational
    Origine:       Microsoft-Windows-GroupPolicy
    Data:          04/04/2013 14:47:37
    ID evento:     4016
    Categoria attività:Nessuna
    Livello:       Informazioni
    Parole chiave: 
    Utente:        SYSTEM
    Computer:      Z4.miodomino.com
    Descrizione:
    Avvio dell'elaborazione dell'estensione Internet Explorer Branding in corso. 
    
    Oggetti Criteri di gruppo applicabili: (Sono state rilevate alcune modifiche.)
    
    IE - conf proxy
    
    XML evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
        <EventID>4016</EventID>
        <Version>0</Version>
        <Level>4</Level>
        <Task>0</Task>
        <Opcode>1</Opcode>
        <Keywords>0x4000000000000000</Keywords>
        <TimeCreated SystemTime="2013-04-04T12:47:37.948667000Z" />
        <EventRecordID>270886</EventRecordID>
        <Correlation ActivityID="{95116C08-8711-4430-B7F4-0AA43FFFC9EE}" />
        <Execution ProcessID="880" ThreadID="3904" />
        <Channel>Microsoft-Windows-GroupPolicy/Operational</Channel>
        <Computer>Z4.miodomino.com</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="CSEExtensionId">{A2E30F80-D7DE-11D2-BBDE-00C04F86AE3B}</Data>
        <Data Name="CSEExtensionName">Internet Explorer Branding</Data>
        <Data Name="IsExtensionAsyncProcessing">false</Data>
        <Data Name="IsGPOListChanged">true</Data>
        <Data Name="GPOListStatusString">%%4102</Data>
        <Data Name="DescriptionString">IE - conf proxy
    </Data>
        <Data Name="ApplicableGPOList">&lt;GPO ID="{87C5A1C8-1DC9-414D-9DB6-0F980EF42659}"&gt;&lt;Name&gt;IE - conf proxy&lt;/Name&gt;&lt;/GPO&gt;</Data>
      </EventData>
    </Event>

    Nome registro: Microsoft-Windows-GroupPolicy/Operational
    Origine:       Microsoft-Windows-GroupPolicy
    Data:          04/04/2013 14:47:37
    ID evento:     7016
    Categoria attività:Nessuna
    Livello:       Errore
    Parole chiave: 
    Utente:        SYSTEM
    Computer:      Z4.miodomino.com
    Descrizione:
    Elaborazione dell'estensione Internet Explorer Branding completata in 16 millisecondi.
    XML evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
        <EventID>7016</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>2</Opcode>
        <Keywords>0x4000000000000000</Keywords>
        <TimeCreated SystemTime="2013-04-04T12:47:37.958677400Z" />
        <EventRecordID>270887</EventRecordID>
        <Correlation ActivityID="{95116C08-8711-4430-B7F4-0AA43FFFC9EE}" />
        <Execution ProcessID="880" ThreadID="3904" />
        <Channel>Microsoft-Windows-GroupPolicy/Operational</Channel>
        <Computer>Z4.miodomino.com</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="CSEElaspedTimeInMilliSeconds">16</Data>
        <Data Name="ErrorCode">127</Data>
        <Data Name="CSEExtensionName">Internet Explorer Branding</Data>
        <Data Name="CSEExtensionId">{A2E30F80-D7DE-11D2-BBDE-00C04F86AE3B}</Data>
      </EventData>
    </Event>

    da notare che il secondo log da errore.

    cosa sarebbe questo IE branding^

    giovedì 4 aprile 2013 12:53
  • "Internet Explorer Branding" rappresenta le impostazioni di manutenzione di Internet Explorer impostate nelle Group policy. L'errore potrebbe indicare quindi un problema nel caricamento delle policy in Internet Explorer (che includono anche il proxy) in quel particolare profilo utente.

    Prova a reimpostare le impostazioni di IE, riavviare e a vedere se le policy vengono caricate correttamente.

    giovedì 4 aprile 2013 13:56
    Moderatore
  • reimpostato eliminando le impostazioni personali e riavviato.
    nessun miglioramento..
    vedo ancora che la DDP è dominante come in precedenza...


    .
    .
    .
    .
    .
    Manutenzione di Internet Explorernascondi
    Connessione/Impostazioni proxynascondi
    Oggetto Criteri di gruppo dominante Default Domain Policy 
    Attiva impostazioni proxy 
    Protocollo Server Porta 
    HTTP serverisa.miodomino.com 8080 
    Sicuro serverisa.miodomino.com 8080 
    FTP serverisa.miodomino.com 8080 
    Gopher serverisa.miodomino.com 8080 
    Socks serverisa.miodomino.com 8080 

    giovedì 4 aprile 2013 14:01
  • Ma c'è qualche differenza tra gli utenti senza profilo che stai provando e quelli già memorizzati (ad esempio di OU, gruppo, ecc...)?

    Potresti eliminare un profilo problematico e a farlo ricreare per vedere se la policy in quel caso viene effettivamente applicata? In quel caso abbiamo la sicurezza che si tratta di un'impostazione lato client (forse causata proprio da una precedente impostazione delle policy non riuscita, anche se è strano che si verifichi solo sui client del secondo sito).

    giovedì 4 aprile 2013 14:08
    Moderatore
  • Ciao Bon Re,

    Scusa se posto ancora su questo thread rimasto aperto, ma volevo sapere se possiamo considerare risolto il problema o se necessitavi pure di ulteriori informazioni.

    Grazie e buon lavoro.


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    mercoledì 24 aprile 2013 15:41
  • no ancora non ho risolto.. anzi!! :( ho lo stesso problema su un altro cliente.

    al momento mi sto orientando sulla GPO History http://support.microsoft.com/kb/201453/en-us che viene salvata nel registro e che mi sembra non venga cancellata nemmeno se si cancella il profilo.

    Anche sul nuovo domino il problema si presenta simile: se accede con un utente nuovo su una macchina (in questo nuovo caso si tratta di un TS 2008r2) le policy vengono applicate tutte correttamente.

    se accedo con un utente già usato prima di apportare le modifiche queste non vengono apportate...

    ... sto impazzendo.... :(

    venerdì 26 aprile 2013 09:38
  • Sto pensando a questo punto che il problema si sia verificato in seguito all'aggiornamento di Internet Explorer....ovvero che sia rimasta bloccata l'impostazione del proxy nei profili utente che erano stati creati ed avevano ricevuto le policy prima dell'aggiornamento.

    E' stato per caso eseguito un aggiornamento di questo tipo solo per nei client del singolo sito problematico?


    venerdì 26 aprile 2013 23:28
    Moderatore
  • rileggendo tutto il thread vorrei chiedere:

    la policy "IEProxy" imposta un proxy diverso da quello che era precedentemente impostato nella DPP ?

    inoltre ti faccio presente che quando sui clients vengono modificate delle chiavi di registro mediante le Group policies (perché in fondo di questo si tratta), non è sufficiente eliminare una gpo (o renderla indefinita) per riportare tutto nella situazione che precedeva l'applicazione delle policies bensì è necessario definire delle policy che vadano a scrivere nelle chiavi di registro esattamente ciò che vogliamo, ad esempio imposta proxy a blank.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    giovedì 2 maggio 2013 11:17
    Moderatore
  • Sto pensando a questo punto che il problema si sia verificato in seguito all'aggiornamento di Internet Explorer....ovvero che sia rimasta bloccata l'impostazione del proxy nei profili utente che erano stati creati ed avevano ricevuto le policy prima dell'aggiornamento.

    E' stato per caso eseguito un aggiornamento di questo tipo solo per nei client del singolo sito problematico?


    no non mi risulta...gli aggiornamenti vengono rilasciati per l'intera infrastruttura...
    mercoledì 15 maggio 2013 06:47