none
group policy non applicate a gruppo RRS feed

  • Discussione generale

  • Scenario:

    • Rete di una scuola superiore, Active Directory con Windows 2008,
    • client windows xp sp3,
    • utenti docenti apparteneti ad unica UO ed unico gruppo "docenti", profilo comune docenti bloccato.
    • Studenti appartenenti ognuno ad UO della proprio classe ed unico gruppo "studenti", profilo comune studenti bloccato.
    • Ad entrambi i gruppi è applicata la domain default policy

    In concomitanza di un aggiornamento del profilo sia dei docenti sia degli studenti, ai docenti continua ad applicare correttamente le policy, agli studenti no.

    Prove effettuate:

    • fatto diverse prove con profili diversi, sbloccato, creato nuovo, lo stesso dei docenti. Sempre lo stesso risultato
    • creato nuovo gruppo in cui ho inserito gli studenti, applicato la policy al nuovo gruppo, la policy non viene applicata.
    • Se inserisco gli studenti nel gruppo dei docenti la policy viene correttamente applicata.

    Già da prima avevo definito altre policy, ma in ogni caso al gruppo studenti non applica nessuna di queste policy, tranne quando li inserisco nel gruppo docenti.

    Grazie!

    domenica 3 aprile 2011 19:33

Tutte le risposte

  • Scenario:

    • Rete di una scuola superiore, Active Directory con Windows 2008,
    • client windows xp sp3,
    • utenti docenti apparteneti ad unica UO ed unico gruppo "docenti", profilo comune docenti bloccato.
    • Studenti appartenenti ognuno ad UO della proprio classe ed unico gruppo "studenti", profilo comune studenti bloccato.
    • Ad entrambi i gruppi è applicata la domain default policy

    In concomitanza di un aggiornamento del profilo sia dei docenti sia degli studenti, ai docenti continua ad applicare correttamente le policy, agli studenti no.

    quali errori hai nel registro eventi sezione system e applications quando fai logon con un account del gruppo "studenti" ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    lunedì 4 aprile 2011 09:57
    Moderatore
  • Sistema

    Service Control Manager

    Invio di un controllo avvio da parte del servizio Servizio COM di masterizzazione CD IMAPI riuscito.

     

    Service Control Manager

    il servizio Servizio COM di masterizzazione CD IMAPI è ora in modalità esecuzione.

     

    Service Control Manager

    Il servizio Servizio COM di masterizzazione CD IMAPI è ora in modalità arrestato.

     

    Applicazioni

     

    Userenv

    È stato rilevato che è attivata la cache non in linea sulla condivisione Profilo comune; per evitare potenziali danni al profilo, quando vengono memorizzati profili utente comuni è necessario che la cache non in linea sia disattivata sulle condivisioni.

     

    Folder Redirection

    Impossibile applicare il criterio di reindirizzamento della cartella. Inizializzazione non riuscita.

     

    Userenv

    Esecuzione non riuscita dell'estensione Folder Redirection sul lato client Criteri di gruppo Folder Redirection. Controllare gli errori segnalati in precedenza da tale estensione.

    mercoledì 6 aprile 2011 22:09
  • per caso hai i roaming profiles o la folder redirection configurati nel dominio ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 8 aprile 2011 09:22
    Moderatore
  • Direi di si, considera che creo gli utenti (oltre 1000) con i seguenti script:

    per tutti docenti:

    dsadd user "cn=COGNOME1 NOME1, ou=docenti, dc=intranet, dc=lan" -samid n.cognome1 -pwd password1 -desc n.cognome1 -mustchpwd yes -hmdir \\server\docenti\Cognoome1Nome1 -hmdrv T: -profile \\server\profili\docenti\docenti -fn "NOME1" -ln "COGNOME2" -display "COGNOME1 NOME1" -loscr docenti.cmd -memberof "cn=docenti, ou=gruppi, dc=intranet, dc=lan" "cn=internet, ou=gruppi, dc=intranet, dc=lan"

    dsadd user "cn=COGNOME2 NOME2, ou=docenti, dc=intranet, dc=lan" -samid n.cognome2 -pwd password2 -desc n.cognome2 -mustchpwd yes -hmdir \\server\docenti\Cognoome2Nome2 -hmdrv T: -profile \\server\profili\docenti\docenti -fn "NOME2" -ln "COGNOME2" -display "COGNOME2 NOME2" -loscr docenti.cmd -memberof "cn=docenti, ou=gruppi, dc=intranet, dc=lan" "cn=internet, ou=gruppi, dc=intranet, dc=lan"

     

    Per studenti della classe NX:

    dsadd user "cn=COGNOME1 NOME1 NX, ou=classeNX, dc=intranet, dc=lan" -samid n.cognome1.nx -pwd password3 -desc n.cognome1.nx -mustchpwd yes -hmdir \\server\classi\classeNX -hmdrv P: -profile \\server\profili\studenti\studenti -fn "COGNOME1  NOME1" -ln "COGNOME1 NOME1" -display "COGNOME1 NOME1" -loscr studente.cmd -memberof "cn=studenti, ou=gruppi, dc=intranet, dc=lan" "cn=classeNX, ou=classi, dc=intranet, dc=lan"

    dsadd user "cn=COGNOME2 NOME2 NX, ou=classeNX, dc=intranet, dc=lan" -samid n.cognome2.nx -pwd password3 -desc n.cognome2.nx -mustchpwd yes -hmdir \\server\classi\classeNX -hmdrv P: -profile \\server\profili\studenti\studenti -fn "COGNOME2  NOME2" -ln "COGNOME2 NOME2" -display "COGNOME2 NOME2" -loscr studente.cmd -memberof "cn=studenti, ou=gruppi, dc=intranet, dc=lan" "cn=classeNX, ou=classi, dc=intranet, dc=lan"

     

    venerdì 8 aprile 2011 16:37
  • quali sono le modifiche al profilo fatte di cui parli qui:

    In concomitanza di un aggiornamento del profilo sia dei docenti sia degli studenti, ai docenti continua ad applicare correttamente le policy, agli studenti no. ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    sabato 9 aprile 2011 10:57
    Moderatore
  • ho installato Adobe CS5, ma gli utenti non riuscivano ad avviare le applicazioni, ho sbloccato prima il profilo decenti e dopo aver avviato dal client le applicazioni, ho bloccato ancora il profilo, adesso al gruppo docenti si applicano le policy e funzionano a tutti anche le applicazioni Adobe CS5. Fatto la stessa cosa per gli studenti, anzi ho copiato direttamente il profilo dei docenti, configurato i permessi NTFS, ma a questo punto agli studenti non si applicano più le policy, e non vanno le applicazioni Adobe CS5. Ho pure rifatto completamente il profilo studenti, rimesso il vecchio, applicato quello dei docenti, ma niente, gli utenti appartenenti al gruppo studenti non si applicano le policy e non vanno le CS5.

    Per ovviare adesso tutti gli studenti appartengono al gruppo "docenti", hanno pure lo stesso profilo dei docenti, si applicano le policy correttamente, ma non mi vanno le CS5.

    Dimenticavo una cosa che non ho idea se possa essere o meno importante, tutti i server l'AD e il file server, sono virtualizzati in ambiente HyperV, e ultimamente lato file server abbiamo avuto qualche problema con la disponibilità di disco....

    grazie ancora

    sabato 9 aprile 2011 12:03
  • ho installato Adobe CS5, ma gli utenti non riuscivano ad avviare le applicazioni, ho sbloccato prima il profilo decenti e dopo aver avviato dal client le applicazioni, ho bloccato ancora il profilo, adesso al gruppo docenti si applicano le policy e funzionano a tutti anche le applicazioni Adobe CS5. Fatto la stessa cosa per gli studenti, anzi ho copiato direttamente il profilo dei docenti, configurato i permessi NTFS, ma a questo punto agli studenti non si applicano più le policy, e non vanno le applicazioni Adobe CS5. Ho pure rifatto completamente il profilo studenti, rimesso il vecchio, applicato quello dei docenti, ma niente, gli utenti appartenenti al gruppo studenti non si applicano le policy e non vanno le CS5.

    l'abbinamento delle policies al gruppo di sicurezza è fatto mediante una OU oppure hai modificato le ACL delle policies cme indicato nel tutorial seguente http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Security-Filtering.html ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    lunedì 11 aprile 2011 15:33
    Moderatore
  • Scusa il ritardo, ma ad un certo punto, per le prove effettuate non funzionava più nulla e ho dovuto ripristinare diverse cose. Adesso siamo come prima: le policy vengono applicate solo ad alcuni gruppi e non a tutti.

    Comunque applichiamo le policy non attraverso i OU ma come è indicato nel link di sopra.

    grazie

    sabato 16 aprile 2011 08:29