none
GPO e LAN W7 W8 W10 RRS feed

  • Domanda

  • Buongiorno a tutti,

    vi è un metodo semplice mediante GPO per negare la modifica dei parametri LAN ?

    Ho visto che GPO di Microsoft ha nativamente questa funzionalita ma solo per client precedenti ad XP, io mi ritrovo con 220 client con Windows da 7 fino al recente 10.

    Saluti


    giovedì 19 novembre 2015 11:48

Risposte

  • Purtroppo come ti dicevo sugli admin locali diventa un po una rogna...dovresti provare attivandola su gpedit.msc direttamente dal client...ma anche se funzionasse poi ti tocca fare il giro...e 220 mi sembrano tantini..li la realtà è che su una struttura così grande gli utenti non devono essere admin...
    giovedì 19 novembre 2015 14:38
    Moderatore

Tutte le risposte

  • I parametri di rete non possono essere modificati dagli utenti non amministratori per impostazione predefinita, non è necessario configurare dei criteri nelle GPO.
    giovedì 19 novembre 2015 13:13
    Moderatore
  • Purtroppo per esigenze tutti gli utenti sono amministratori locali della macchina
    giovedì 19 novembre 2015 13:59
  • a questo punto un admin di macchina può anche tranquillamente reimpostarsi le policy...le GPO sono nate per gli users...se uno è admin non lo fermi con una GPO...

    giovedì 19 novembre 2015 14:02
    Moderatore
  • comunque qui trovi la policy.

    https://technet.microsoft.com/en-us/library/cc732613(v=ws.10).aspx

    giovedì 19 novembre 2015 14:03
    Moderatore
  • Ho già attivato la GPO

    Prohibit access to properties of a LAN connection. If you enable this Group Policy setting, then affected users cannot change any of the properties of a LAN connection.

    Settata anche in enforced, ma i client non recepiscono.

    Eseguito già riavvio DC e gpupdate /sync e /force su client ma nulla, riesco a cambiare i settaggi , ho inserito nella GPO anche un altra regola che viene correttamente applicata quindi i client comunicano e recepiscono dal DC le GPO.

    giovedì 19 novembre 2015 14:29
  • a questo punto un admin di macchina può anche tranquillamente reimpostarsi le policy...le GPO sono nate per gli users...se uno è admin non lo fermi con una GPO...

    Si , declassando l'utente come semplice user la policy viene applicata, pensavo ci fosse un modo per forzare anche ad amministratori e power user la regola
    giovedì 19 novembre 2015 14:36
  • Purtroppo come ti dicevo sugli admin locali diventa un po una rogna...dovresti provare attivandola su gpedit.msc direttamente dal client...ma anche se funzionasse poi ti tocca fare il giro...e 220 mi sembrano tantini..li la realtà è che su una struttura così grande gli utenti non devono essere admin...
    giovedì 19 novembre 2015 14:38
    Moderatore
  • Sono d'accordo con Alessandro, il problema di fondo è che gli utenti non devono essere amministratori.

    Se devono poter eseguire operazioni particolari puoi provare ad inserirli in altri gruppi locali, ma se sono amministratori possono fare tutto, anche superare i criteri delle GPO.

    giovedì 19 novembre 2015 15:02
    Moderatore
  • Purtroppo per esigenze tutti gli utenti sono amministratori locali della macchina

    l'errore è questo: qualunque protezione, in questo scenario, diventa inutile!

    ciao.


    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    domenica 22 novembre 2015 08:54
    Moderatore
  • Ciao Alessio,
    Abbiamo ancora il tuo thread aperto nel Forum di Active Directory.
    Per chiudere il thread puoi segnare come risposta gli interventi che hanno risposto alla tua domanda iniziale. Aggiungo che il tuo riscontro tornerà sicuramente utile per chi si dovesse trovare nella medesima situazione, così è molto gradito dai membri della community anche condividere una soluzione tua.
    Grazie a tutti della partecipazione nel forum!

    Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    giovedì 26 novembre 2015 13:24