none
Prevalenza delle policy di dominio... RRS feed

  • Domanda

  • Ciao,

    Ho una policy di dominio, che assegno a varie OU, che *permette* ( disabled ) la mappatura delle stampanti ( Do not allow LPT port redirection ).

    Ad una sola OU vorrei disabilitare questa possibilita ( enabled ).

    Potrei crare una policy che preveda questo ed assegnarla a quella OU *insieme* alla policy precedente ( servirebbero tutti gli altri settaggi ).

    Come posso fare affinche' quest' ultima policy abbia la precedenza sulla esistente?

    Grazie

     

    • Spostato Anca Popa mercoledì 25 agosto 2010 11:31 spostato nel forum piu' appropriato (Da:Microsoft Windows Server Forum)
    mercoledì 25 agosto 2010 10:01

Risposte

Tutte le risposte

  • Se ti è possibile per la logica delle policies che vuoi applicare l'ideale sarebbe inserire la OU sulla quale vuoi disabilitare questa possibilità (enabled) all'interno di una OU in cui la possibilità è permessa (disabled), allora l'ultima policy dedicata al redirezionamento della LPT sovrascriverà la precedente ereditando però tutte le altre policies dalla OU superiore.

    Ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 25 agosto 2010 12:15
    Moderatore
  • Ok quindi devo avere una OU alla quale viene applicata la policy di dominio con la possibilita' permessa ( disabled ) e DENTRO questa OU realizzo una nuova OU ( senza utenti? )  con associata la policy di dominio con la possibilita' negata ( enabled ) ?

     

    Grazie

    mercoledì 25 agosto 2010 12:53
  • Ok quindi

    [cut]


    non è un "quindi", è una possibile soluzione.

    ovviamente nella OU devi mettere gli oggetti ai quali vuoi applicare la policy.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 25 agosto 2010 13:06
    Moderatore
  • Ciao,

    Mi sono permessa di contrassegnare il post di Edoardo, colgo l'occasione per ringraziarlo della sua continua presenza nei forum.

     

    Nel caso in cui vorresti tornare a questa domanda, rispondi a questo post direttamente, in questo modo saremo notificati e potremo seguirlo.

     

    Grazie per la tua collaborazione!

     


    Anca Popa
    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie Microsoft. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte di Microsoft.
    lunedì 30 agosto 2010 09:46
  • Altra possibile soluzione, visto che si tratta di un'intera OU:

    crea una policy con ENABLED (disattiva la possbilità) e assegnala alla OU in questione, poi devi impostare il flag "enforce" e "don't overwrite").
    A quel punto la policy avrà il sopravvento CERTAMENTE.

    per ulteriori spiegazioni, si dovrebbe avere un maggior dettaglio della tua struttura.


    Diego Castelli ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    martedì 14 settembre 2010 08:32
  • crea una policy con ENABLED (disattiva la possbilità) e assegnala alla OU in questione, poi devi impostare il flag "enforce" e "don't overwrite").


    Personalmente non consiglio mai "enforce" e "don't overwrite" perchè sintomatici di una struttura di O.U. pensata in maniera erronea e perchè rendono più difficile prevedere il flusso delle G.P.O. (visto che inseriscono, appunto, delle forzature molto nette).

    La soluzione di Edoardo che sfrutta il flusso "normale" delle Group Policy segue la filosofia Microsoft di creare O.U. "child" appunto per gestire delle eccezioni alla regola più generica.


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    martedì 14 settembre 2010 09:02
  • Rilleggendo il post, però, vedo che lui ha un'intera OU a cui assegnare la policy (suppongo una intera tra le varie a cui applica l'altra policy)

    E anche che ha altri settaggi della policy da sovrascrivere che gli servono e quindi non può rimuovere il link.

    Allora la "Microsoft way" (mi sembra ci sia una domanda perfetta nel 70-290) è di impostare la "don't overwrite" e la "enforce" per fare in modo che i settaggi di una prendano il sopravvento.

    Sono flag che esistono per essere usati.

    A mio avviso non ha senso creare una sotto-OU che contiene tutti i PC che prima erano nella super-OU...

    Comunque anche io sono d'accordo che la soluzione di Edoardo funzioni benissimo, ho solo voluto dare una possibilità in più.

    :-)

    Ciao!


    Diego Castelli ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    lunedì 20 settembre 2010 14:27