none
Icone Outlook Express e Accessori su menù avvio con GPO Folder Redirection RRS feed

  • Domanda

  • Utilizzo una GPO per i client windows xp pro che nasconde e limita molte cose a livello di visualizzazione del desktop e dei menu programmi: per il menù avvio è attiva la redirection sul percorso standard (creato in locale su ogni PC) "c:\programmi\menu" nel quale inserisco le mie icone personalizzate ( ad esempio un sw di assistenza remota on-demand).

    I problemi sono due: il primo è che se l'utente connesso è amministratore locale, gli vengono creati i link a Outlook Express, Explorer e Accessori quando io invece li vorrei eliminare.

    Il secondo problema è che per far sì che venga visualizzato correttamente il percorso "Avvio->Programmi->...programmi vari..." devo per forza avere la struttura "C:\programmi\menu\programmi\" , quindi (a mio parere) una cartella di troppo.

    Potete aiutarmi?

    Grazie in anticipo

    venerdì 8 ottobre 2010 08:23

Risposte

  • Nel caso delle icone da te citate il problema non è il default user profile ma un processo che viene lanciato subito dopo la creazione del profilo e che viene chiamato "Just-in-Time Setup" (JIT).

    L'unico modo per evitare che le icone dei vari applicativi vengano create è editare il registro come puoi vedere in questo articolo

    http://windows-internal.net/MS.Press-Microsoft.Windows.XP/32ch15b.htm

    Ovviamente per gestire il tutto con le GPO puoi usare un logon script lato "computer" in cui inserire un .reg (magari trasformato in .exe usando reg2exe).


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    venerdì 8 ottobre 2010 09:39

Tutte le risposte

  • I problemi sono due: il primo è che se l'utente connesso è amministratore locale, gli vengono creati i link a Outlook Express, Explorer e Accessori quando io invece li vorrei eliminare.

    Il secondo problema è che per far sì che venga visualizzato correttamente il percorso "Avvio->Programmi->...programmi vari..." devo per forza avere la struttura "C:\programmi\menu\programmi\" , quindi (a mio parere) una cartella di troppo.

    Premessa : non è normale che utenti di un dominio possano usare l'amministratore locale sulla loro postazione.

    Così gli permetti di aggirare molti dei controlli che puoi avere tramite Active Directory.


    L'amministratore locale è soggetto solo alla policy locale del PC, quindi devi lavorare sulle local policy (eventualmente creandoti un template da applicare tramite batch per evitare di fare N volte le stesse impostazioni).

    Puoi usare SECEDIT

    http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/secedit_cmds.mspx?mfr=true

    Mi sfugge il senso della tua seconda domanda....


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    venerdì 8 ottobre 2010 08:32
  • grazie per la solerte risposta.

    abbiamo scelto che gli utenti siano amministratori locali del pc per semplicità di gestione (ad esempio per cambiare ip tra una filiale e l'altra necessitano di tali diritti) e quel che si danneggiano o modificano, è a loro rischio e pericolo in ogni caso.

    la mia perplessità nasce dal fatto che il sistema tenta SEMPRE di crearle e infatti se l'utente non è amministratore, compaiono errori di accesso negato per il menù avvio.

    non credo, o non capisco quando dici "L'amministratore locale è soggetto solo alla policy locale del PC" : cioè solo alcune impostazioni vengono realmente applicate??? o nessuna? o se un utente è amministratore locale non può avere GPO di dominio????

    non voglio creare template da applicare ad ogni utente per ogni pc ; io ho computer standard ai quali è necessario che accedano più utenti diversi, quindi non ho pc legati a singoli pc

    Il secondo problema deriva da una precedente applicazione di policy locali in cui per fare il redirect del menù avvio bastava impostare il percorso "c:\programmi\menu" mentre con la gpo devo avere un'altra sotto-cartella "programmi" per far si che mi crei il menù avvio "star-programmi-....icone..." , altrimenti mi inserisce le icone direttamente sul menù che appare dal menù "start"


    Daniele Zoccarato
    venerdì 8 ottobre 2010 08:50
  • soprattutto il senso delle GPO è centralizzare e automatizzare delle personalizzazioni; se devo cominciare a fare template da copiare su pc o batch che lo facciano al posto mio, che senso anno le GPO di dominio???
    Daniele Zoccarato
    venerdì 8 ottobre 2010 08:52
  • chiedo scusa ma non è che hai capito che gli utenti utilizzano l'utente Administrator locale? se è così specifico meglio che l'utente è amministratore locale in quanto appartenente al gruppo "Administrators" del PC.
    Daniele Zoccarato
    venerdì 8 ottobre 2010 09:05
  • Allora : avevo frainteso parte del discorso.

    Tu inserisci utenti di dominio come amministratori locali (io avevo interpretato come logon CON l'amministratore locale definito in ogni singolo PC).

    Per l'utente LOCALE ti confermo il discorso delle policy locali.

    Detto questo, definire un utente come amministratore locale (come tu mi confermi) conferisce una serie di autorizzazioni potenzialmente dannose (che poi la colpa sia dell'utente o meno, la cosa è abbastanza irrilevante).

    Da quanto mi scrivi, però, ti sfugge il modo in cui vengono creati i profili.

    Accedendo a diversi PC, ogni volta che  un utente effettua il logon per la prima volta, il profilo viene creato partendo dal default user profile presente su quella specifica macchina.

    Ora, il mio consiglio sarebbe di centralizzare i profili utente in modo che ciascuno abbia sempre lo stesso ambiente di lavoro (con le impostazioni da te volute).

    Per la seconda domanda, sarà un mio limite ma mi sfugge ancora il problema, magari qualcun'altro riuscirà a risponderti.


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    venerdì 8 ottobre 2010 09:06
  • ...ogni volta che  un utente effettua il logon per la prima volta, il profilo viene creato partendo dal default user profile...

    questo lo so e per questo mi fido di windows xp e funziona tutto come voglio io, tranne questa cosa di queste icone.

    il profilo è leggero e praticamente non ha personalizzazioni strane ma solo LIMITAZIONI GRAFICHE per cui non vedo la necessità di fare copie di profili quando il profilo di partenza è pressochè perfetto e non richiede l'utilizzo della rete (visto che potrei avere limitazioni di banda tra le filiali diverse).

    Non è più semplice impedire la creazione delle icone dal profilo di default?

    e poi perchè mi viene data la possibilità di fare redirect e poi mi vengono create icone non desiderate???

    ad esempio stamattina ad un utente non si è caricato correttamente il profilo e windows lo ha fatto loggare con un profilo temporaneo ; tale profilo dipende dal default user profile e quindi mi ha ricreato le maledette icone, mantenendole poi anche al successivo login con il profilo correttamente caricato: suppongo quindi che potrebbe accadere anche partendo da un profilo template.................mmm


    Daniele Zoccarato
    venerdì 8 ottobre 2010 09:21
  • Nel caso delle icone da te citate il problema non è il default user profile ma un processo che viene lanciato subito dopo la creazione del profilo e che viene chiamato "Just-in-Time Setup" (JIT).

    L'unico modo per evitare che le icone dei vari applicativi vengano create è editare il registro come puoi vedere in questo articolo

    http://windows-internal.net/MS.Press-Microsoft.Windows.XP/32ch15b.htm

    Ovviamente per gestire il tutto con le GPO puoi usare un logon script lato "computer" in cui inserire un .reg (magari trasformato in .exe usando reg2exe).


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    venerdì 8 ottobre 2010 09:39
  • è una buona soluzione che spiega il comportamento al logon, sto già facendo dei test solo che ho diverse chiavi di registro simili e per disattivare tutto quel che voglio ho già accumulato  12 chiavi di registro diverse...

     

    possibile che nessuno abbia le mie stesse esigenze e non esista  un adm che fa al caso mio?? :-(


    Daniele Zoccarato
    venerdì 8 ottobre 2010 12:30