none
Script "NetUse" GPO AD Windows Server 2016 per OU Client/Utenti RRS feed

  • Domanda

  • Buonasera,

    Non riesco a far replicare su alcuni client di dominio un semplice script "NetUse" (.bat) applicato GPO AD Windows Server 2016 per OU Client/Utenti 

    Ho creato tre utenti come Domani User nel gruppo User di utenti e computer di AD

    Ho tre PC client windows 7 inserite al dominio e come membri di domain/user

    Ho creato una OU "Computer"ed ho inserito all'interno tutti e tre i PC Client

    Ho creato un gruppo "PC_Reparto1" dove all'interno ho inserito solo PC Client specifico (questa membro anche del gruppo "Client")

    In gestione criteri di gruppo ho creato una OU Computer

    Ho creato un oggetto criteri di gruppo " PC_Reparto1" e relativo collegamento alla policy:

    Ambito = PC_Reparto1 (rimuovendo authenticated user)

    Delega= authenticated user

    Lo script è all'interno del criterio della policy PC_Reparto1, in configurazione utente, impostazioni windows, script accesso

    \\miodominio.local\SysVol\miodominio.local\Policies\{ID}\User\Scripts\Logon

    Ho eseguito più volte il comando gpupdate /force dal server di dominio e dal client come amministartore di dominio gpresult /r /SCOPE COMPUTER e sembra essere tutto corretto nei risultati

    Però lo script al logon dell'utente non parte

    C'è qualche altra configurazione da fare?

    Grazie

    lunedì 10 febbraio 2020 17:13

Risposte

  • Buonasera,

    ho aggiunto nella policy, nel Tab Delega, e nelle autorizzazioni per il gruppo Authenticated user,

    "applica criteri di gruppo" e così funziona tutto correttamente. ( vengono applicate e distribuiti tutti i criteri di gruppo  che vengono modificati nella specifica policy).

    Riassumendo questo è quanto testato:

    • se mi collego ad un client che fa parte del gruppo "PC_Reparto1" con un qualsiasi utente, la policy viene correttamente applicata ( Net Use e non consentire l'aggiunta di programmi alla barra delle applicazioni),
    • se mi collego ad un altro client non inserito nel gruppo "PC_Reparto1" con un qualsiasi utente, la policy non viene applicata

    Ora, quello che vorrei ottenere, è di fare in modo che ad un utente vengano applicate delle policy diverse

    (diverso script Net Use, ad esempio) da un altro utente collegandosi però alla stesso client.

    Il client appartiene al gruppo PC_Reparto1 ? Se non lo specifichi si fatica a capire.

    Avevo letto i post, non ti avevo risposto perchè c'era grande confusione: fra deleghe(perchè le deleghe??),permessi(perchè modificarli??),filtri( potrebbe avere senso, ma occhio ad usarli), loopback (anche qui, potrebbe avere senso, sapendo quello che si vuole ottenere).

    Visto che hai risolto i problemi di applicazione, anche l'ultimo post (vedi parte in grassetto) non chiarisce cosa vuoi...

    Di solito, per necessità "simili" alle tue, uso un solo script es. netuse.cmd, che discrimina in base all'utente, alla appartenenza a un gruppo,  alla OU, o al computer, o altro ... esempio usando whoami.exe e dsget.exe computer si possono fare tante scelte


    :: Esegue qualcosa se l'utente corrente appartiene al gruppo Administratos
    whoami /all |find /i "administrators" >nul && ( echo trovato, faccio qualcosa echo net use t: \\server\adm ) || ( echo non trovato faccio altro)

    Ciao



    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere



    mercoledì 12 febbraio 2020 21:09
    Moderatore
  • per semplificare il concetto potresti creare due OU: una contenente un gruppo di pc ed un'altra contenente il secondo gruppo di pc.

    poi, seguendo le indicazioni di Gastone, crei due bat da applicare con le policy alle OU che, usando whoami discriminino tra i due gruppi di utenti assegnandoli il desiderato "net use".


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    • Contrassegnato come risposta Skiny62 giovedì 20 febbraio 2020 16:46
    lunedì 17 febbraio 2020 09:29
    Moderatore

Tutte le risposte

  • Ciao,

    due cose:

    - le policy anche se fai un force non è detto che si replichino immediatamente. Dipende dalla struttura.

    - a parte la 1, hai provato manualmente ad accedere al percorso da te citato? funziona?

    Mi sembra tanto un problema di accessi alla sysvol più che altro. Sbaglierò. Ma da quei client altre policy si applicano?

    ciao.

    A.

    martedì 11 febbraio 2020 11:18
    Moderatore
  • Ciao Alessandro,

    io sono Marco e grazie innanzitutto per aver risposto alla mia domanda.

    Ti confermo che collegandomi ad uno dei PC Client del gruppo PC_Reparto, e autenticandomi come utente di domain/user accedo perfettamente al path " \\miodominio.local\SysVol\miodominio.local\Policies\{ID}\User\Scripts\Logon" ed eseguo a mano correttamente lo script .bat dove esegue la Net Use.

    Ho provato a modificare come mi hai suggerito una nuova policy  "non consentire l'aggiunta di programmi alla barra delle applicazioni", ma anche questa non viene applicata.

    Questo è il risulktato del tag impostazioni della policy PC_Reparto1 :

    PC_Reparto1 Policy Page 1 of 2 

    PC_Reparto1 Policy 
    Data e ora raccolta dati: 11/02/2020 16:50:48 
    Generale Dettagli 
    Dominio  mydomain.local  
    Proprietario  MYDOMAIN\Domain Admins  
    Creato  10/02/2020 13:20:56  
    Ultima modifica  11/02/2020 16:23:12  
    Revisioni utente  10 (AD), 10 (SYSVOL)  
    Revisioni computer  7 (AD), 7 (SYSVOL)  
    ID univoco  {A78DAA60-1DF1-4537-A489-C58288994F47}  
    Stato oggetto Criteri di gruppo  Abilitato  
    Collegamenti  

    Percorso Imposto Stato collegamento Percorso Computer No Abilitato mydomain.local/Computer 
    L'elenco include solo collegamenti nel dominio dell'oggetto Criteri di gruppo. 
    Filtri di sicurezza 
    Le impostazioni di questo oggetto Criteri di gruppo si applicano solo ai gruppi, agli utenti e ai computer seguenti: 
    Nome MYDOMAIN\PC_Reparto1 
    Delega 
    I gruppi e gli utenti seguenti dispongono delle autorizzazioni specificate per questo oggetto Criteri di gruppo 
    Nome Autorizzazioni concesse Ereditata MYDOMAIN\Domain Admins Modifica impostazioni, elimina, No modifica sicurezza DMYDOMAIN\Enterprise Admins Modifica impostazioni, elimina, No 
    modifica sicurezza MYDOMAIN\PC_Reparto1  Lettura (da filtri di sicurezza) No NT AUTHORITY\Authenticated Lettura No 
    Users 
    NT AUTHORITY\CONTROLLER Lettura No DI DOMINIO ORGANIZZAZIONE NT AUTHORITY\SYSTEM Modifica impostazioni, elimina, No 
    modifica sicurezza 
    Configurazione computer (attivata) 
    Criteri 
    Modelli amministrativi 
    Definizioni di criteri (file ADMX) recuperate dal computer locale. Sistema/Criteri di gruppo 
    11/02/2020 

    about:blank 

    PC_Reparto1 Policy Page 2 of 2 
    11/02/2020 
    Criterio Impostazione Commento Configura modalità di elaborazione Abilitato loopback dei Criteri di gruppo utente 
    Modalità: Sostituisci 
    Configurazione utente (attivata) Criteri Impostazioni di Windows Script Accesso For this GPO, Script order: Non configurato Nome Parametri NetUse_Client.bat 
    Modelli amministrativi 
    Definizioni di criteri (file ADMX) recuperate dal computer locale. 
    Menu Start e barra delle applicazioni 

    Criterio Impostazione Commento Non consentire l'aggiunta di Abilitato programmi alla barra delle applicazioni 
    about:blank 


    martedì 11 febbraio 2020 16:24
  • Aggiungo inoltre delle info a riguardo:

    Sia il Server AD che i client sono delle VM in Virtualbox e le prove le sto effettuando collegandomi sulle VM sia in RDP che in console


    martedì 11 febbraio 2020 16:31
  • Buonasera,

    ho aggiunto nella policy, nel Tab Delega, e nelle autorizzazioni per il gruppo Authenticated user,

    "applica criteri di gruppo" e così funziona tutto correttamente. ( vengono applicate e distribuiti tutti i criteri di gruppo  che vengono modificati nella specifica policy).

    Riassumendo questo è quanto testato:

    • se mi collego ad un client che fa parte del gruppo "PC_Reparto1" con un qualsiasi utente, la policy viene correttamente applicata ( Net Use e non consentire l'aggiunta di programmi alla barra delle applicazioni),
    • se mi collego ad un altro client non inserito nel gruppo "PC_Reparto1" con un qualsiasi utente, la policy non viene applicata

    Ora, quello che vorrei ottenere, è di fare in modo che ad un utente vengano applicate delle policy diverse

    (diverso script Net Use, ad esempio) da un altro utente collegandosi però alla stesso client.

    mercoledì 12 febbraio 2020 15:28
  • Buonasera,

    ho aggiunto nella policy, nel Tab Delega, e nelle autorizzazioni per il gruppo Authenticated user,

    "applica criteri di gruppo" e così funziona tutto correttamente. ( vengono applicate e distribuiti tutti i criteri di gruppo  che vengono modificati nella specifica policy).

    Riassumendo questo è quanto testato:

    • se mi collego ad un client che fa parte del gruppo "PC_Reparto1" con un qualsiasi utente, la policy viene correttamente applicata ( Net Use e non consentire l'aggiunta di programmi alla barra delle applicazioni),
    • se mi collego ad un altro client non inserito nel gruppo "PC_Reparto1" con un qualsiasi utente, la policy non viene applicata

    Ora, quello che vorrei ottenere, è di fare in modo che ad un utente vengano applicate delle policy diverse

    (diverso script Net Use, ad esempio) da un altro utente collegandosi però alla stesso client.

    Il client appartiene al gruppo PC_Reparto1 ? Se non lo specifichi si fatica a capire.

    Avevo letto i post, non ti avevo risposto perchè c'era grande confusione: fra deleghe(perchè le deleghe??),permessi(perchè modificarli??),filtri( potrebbe avere senso, ma occhio ad usarli), loopback (anche qui, potrebbe avere senso, sapendo quello che si vuole ottenere).

    Visto che hai risolto i problemi di applicazione, anche l'ultimo post (vedi parte in grassetto) non chiarisce cosa vuoi...

    Di solito, per necessità "simili" alle tue, uso un solo script es. netuse.cmd, che discrimina in base all'utente, alla appartenenza a un gruppo,  alla OU, o al computer, o altro ... esempio usando whoami.exe e dsget.exe computer si possono fare tante scelte


    :: Esegue qualcosa se l'utente corrente appartiene al gruppo Administratos
    whoami /all |find /i "administrators" >nul && ( echo trovato, faccio qualcosa echo net use t: \\server\adm ) || ( echo non trovato faccio altro)

    Ciao



    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere



    mercoledì 12 febbraio 2020 21:09
    Moderatore
  • Buonasera,

    grazie innanzitutto per aver risposto e suggerito i comandi da inserire negli script della Net Use.

    Mi rendo conto che in effetti non ho chiarito correttamente quello che vorrei ottenere, e la confusione e nel fatto che sono novizio di AD, criteri di gruppo e quant'altro.

    In senso pratico vorrei fare in modo, ed in maniera piuttosto semplice, che un gruppo di Utenti (Reparto1), con gli stessi criteri nella policy autenticandosi ad uno specifico gruppo di computer abbiano due diversi script Net Use.

    Autenticandosi invece su di un diverso gruppo di computer, un'altra specifica policy e diversi Net Use

    Non so se questa volta sono riuscito a farmi capire.

    Si può ottenere quanto descritto?

    Grazie


    giovedì 13 febbraio 2020 14:34
  • per semplificare il concetto potresti creare due OU: una contenente un gruppo di pc ed un'altra contenente il secondo gruppo di pc.

    poi, seguendo le indicazioni di Gastone, crei due bat da applicare con le policy alle OU che, usando whoami discriminino tra i due gruppi di utenti assegnandoli il desiderato "net use".


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    • Contrassegnato come risposta Skiny62 giovedì 20 febbraio 2020 16:46
    lunedì 17 febbraio 2020 09:29
    Moderatore
  • Ho effettuato alcuni test di prova relativamente a quanto da voi suggerito, e funziona.

    Grazie a tutti per i preziosi consigli.

    Un saluto

    giovedì 20 febbraio 2020 16:48