none
problema applicazione GPO RRS feed

  • Domanda

  • Buongiorno a tutti,

    ho un prolema molto strano che non riesco a gestire, in pratica le group policy che applico a gruppi o singoli non vengono applicate su windows 7 pro e windows 2102r come server.

    filtro: negato (sicurezza)

    però la cartella della policy è accessibile dall'utente (sfogliando la rete come \\dominio\sysvol\etc etc,
    i file hanno il visto su leggi, leggi ed esecuzione (e attraversa per le cartelle).
    gpresult dice che l'utente appartiene a quei gruppi (e peraltro non funzionano anche se le applico al singolo utente

    non esisitono filtri wmi

    la policy viene applicata a livello radice di dominio, il computer si trova in una OU computers insieme a tutti gli altri, 

    le repliche dei DC non sembrano avere problemi

    se applico la policy ad autenticated user non ci sono problemi.

    provato usare un gruppo universale invece che globale non cambia nulla

    provato applicare policy al singolo user non cambia nulla

    provato a dettagliare log, ottengo una indicazione object (cn....... .  ) cn=policies,cn=system,DC=dominio,DC=local) cannot be accessed che ovviamente mi fa pensare ma non capisco visto che l'utente accede alla cartella senza problemi.... forse devo dare diritti anche ad altro ? tipo al pc?

    mi serve qualche idea......


    • Modificato Marcottt lunedì 11 luglio 2016 10:18 errore
    lunedì 11 luglio 2016 10:15

Risposte

Tutte le risposte

  • Ciao, partiamo da una situazione in cui il server è alle ultime updates come i client, sei in questa situazione? Quanti DC? come è fatta la struttura?
    lunedì 11 luglio 2016 12:43
    Moderatore
  • Non ho ben capito se il problema è generale o solo per quelle policy che filtri, in caso positivo un recente update di Microsoft ha reso necessario che il gruppo Authenticated Users abbia accesso in lettura alla GPO altrimenti tutto sembra perfetto ma la policy non viene applicata!!!

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    lunedì 11 luglio 2016 12:55
  • potrebbe essere una risposta stupida, ma... hai controllato di non ever accidentalmente bloccato l'ereditarietà delle sulle sottocartelle??

    ciao

    lunedì 11 luglio 2016 13:22
  • @andrea sistarelli,  ciao,

    in effetti il problema è che se non sono presenti gli autenticated user la policy non si applica, ma io vorrei applicarle solo ad un ristretto gruppo di persone non a tutti gli utenti (per esempio sono le opzioni dei proxy).

    al momento ho scoperto che se metto nelle policy "computer domain" allora funziona tutto (ma devo stare attento a non creare e attivare in questa maniera opzioni "machine" se no vengono applicate a tutti i sistemi.

    Forse Andrea ha centrato problema... però qual'è la soluzione in questo caso ?

    no l'ereditarietà è presente, infatti la policy è bloccata (se no non sarebbe bloccata ma direttamente evitata presumo)

    @vanini,  abbastanza.... i server 2012 sono aggiornati a circa un paio di mesi fa, i client sono abbastanz aggiornati.

    lunedì 11 luglio 2016 13:29
  • La soluzione è lasciare il gruppo Authenticad Users (che comprendo tutti i PC di dominio) con i soli diritti di lettura, e poi dare i permessi di lettura/applicazione al gruppo che ti serve.

    Soluzione ufficiale :)

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    lunedì 11 luglio 2016 14:12
  • grazie Andrea,  perdonami ma scrivi autenticated users e dopo parli di tutti i pc di dominio , intendevi altro ?

    come faccio a dare i diritti di lettura senza dare diritti di esecuzione dalla gui ?... ovvero la soluzione è mettere i diritti dalla gui "giusti" ovvero su tutti i gruppi richiesti e poi dal file systems aggiungere "autenticated users" sulle cartelle di policy (quelle con i sid per intenderci)... ? 

    certo che nel 2016 dover fare ancora questi "hack" è proprio triste.....

    grazie ancora.

    lunedì 11 luglio 2016 14:50
  • ps hai un link o qualcosa di microsoft a riguardo ? mi sa che dovrò giustificare questa procedura....
    lunedì 11 luglio 2016 14:51
  • Non è un hack e non ho scritto male, il gruppo Authenticated Users contiene anche tutti i computer di dominio by design di default.

    Ecco la documentazione ufficiale:

    https://blogs.technet.microsoft.com/askpfeplat/2016/07/05/who-broke-my-user-gpos/

    https://support.microsoft.com/en-us/kb/3163622

    https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica


    lunedì 11 luglio 2016 15:03
  • Ho inserito qualche riferimento ufficiale anche nel mio articolo, penso possa essere utile per giustificare la modifica:

    <link obsoleto rimosso>


    lunedì 11 luglio 2016 16:56
    Moderatore
  • Vi ringrazio tutti per il supporto.  Alla fine avevo trovato la soluzione da solo dando permessi di  lettura ai computer del dominio ma avere il conforto di non essermi rimbambito non è poco :-) 

    Grazie.

    Marco

    martedì 12 luglio 2016 07:19
  • riprendo la discussione perchè ho un problema simile. Sto cercando di applicare una policy ad un gruppo e non mi va.
    Se la policy la assegno sotto "Filtri di sicurezza" al gruppo "Authenticated Users"... funziona.
    Se invece in "Filtri di sicurezza" gli dico di applicarla al gruppo e in "Delega" aggiungo il gruppo "Authenticated Users" in sola lettura.... non viene applicata... potete spiegarmi meglio come andrebbe fatto?

     Grazie
    venerdì 16 febbraio 2018 16:11
  • Se intendi un gruppo di utenti non devi utilizzare "Authenticated Users" ma "Domain computers".
    Leggi l'articolo che ho inserito nel post precedente.
    venerdì 16 febbraio 2018 16:28
    Moderatore