locked
Dopo sysprep e join a dominio, problema nella rinomina e attivazione dell'account Administrator RRS feed

  • Domanda

  • Buongiorno,

    ho un problema nel preparare un immagine che poi mi vorrei utilizzare sui pc dell'azienda dove lavoro.

    Ho preso un pc (fujitsu e720) e ho installato da cd un windows 7 pro 32bit. Poi tutt i driver, video compresi, e in infine tutti i software vari che l'azienda ha bisogno.

    Ultima cosa, ho fatto qualche personalizzazione, tipo:

    • il logo aziendale nella cartella oobe e relativa chiave di registro per scrivere una descrizione
    • icona Computer sul desktop per tutti gli utenti
    • mostra per tutti gli utenti tutte le icone in basso a destra del desktop
    • disabilita aggiornamenti automatici per java e adobe reader via chiave di registro
    • impostazione proxy in internet explorer
    • installato tutti i driver di tutti i modelli di stampanti utilizzate in azienda in modo che quando si va ad installare un pc trova in automatico il driver corrispondente
    • installato da una cartella preparata a suo tempo dall'uff. informatico, "ccmsetup.exe" che si trova nella stessa cartella contente questi files:  "ccmsetup.cab" "ep_defaultpolicy.xml" "scepinstall.exe" "wimgapi.msi" e altri pacchetti.. in pratica mi installa il system center
    • ho messo a dominio il pc, installato gli ultimi programmi necessari, e fatto il login col mio utente di dominio in modo che poi quando mi colleghero' con le immagini avrà già in cache il mio utente e relativo desktop personalizzato
    • copiato in c una cartella che fa da piccola repository locale, con qualche driver e programma "pronti all'uso"

    Dopo di che ho tolto il pc da dominio, riavviato, riavviato di nuovo ed eseguito il sysprep col seguente comando da cmd:

    C:\Windows\System32\Sysprep\sysprep /oobe /generalize /shutdown

    Riavviato e prima del boot di windows ho catturato l'immagine con acronis.

    Dopo di che ho provato l'immagine, quindi faccio esplodere l'immagine, nome pc e nome utente amministratore locale (che poi non mi servirà), join a dominio, riavvio e a questo punto il pc dovrebbe prendere delle policy che l'ufficio informatico dell'azienda ha preposto che dovrebbero andare ad esempio, ad attivare l'utente Administrator, rinominarlo in LocalAdmin e impostargli la password.

    Questo ultimo passaggio è il mio piu' grande problema, perchè non so per quale motivo, queste operazioni non vengono applicate.

    Ho provato a togliere il pc da dominio e rimetterlo, a farlo spostare nella OU corretta a seconda del reparto/nome pc che gli imposto così da prendere le relative policy, ma niente... ho provato ripetutamente a fare gpupdate /force oppure gpupdate /sync e far riavviare, ma niente...

    ho provato ad andare nella cartella "C:\Windows\system32\GroupPolicy\Machine e cancellare il file registry.pol nella speranza che lo ricreasse corretto e completo al riavvio successivo, ma niente.. neanche così mi applica la policy della rinomina Administrator...

    Dove sbaglio? Avete qualche suggerimento dove andare a verificare?

    Grazie mille per i vostri consigli e aiuto.

    lunedì 8 febbraio 2016 07:40

Risposte

  • Puó essere che la chiave di registro sia rimasta.

    Prova a vedere se questa kb puó aiutare: https://support.microsoft.com/en-us/kb/2284538

    Se la chiave e presente basta cancellarla (anche se non servirebbe dirlo vorrei suggerire ugualmente di esportare la chiave prima di cancellarla)


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    • Contrassegnato come risposta panacea italia giovedì 11 febbraio 2016 06:54
    mercoledì 10 febbraio 2016 10:14
  • Puó essere che la chiave di registro sia rimasta.

    Prova a vedere se questa kb puó aiutare: https://support.microsoft.com/en-us/kb/2284538

    Se la chiave e presente basta cancellarla (anche se non servirebbe dirlo vorrei suggerire ugualmente di esportare la chiave prima di cancellarla)


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    Ciao!!

    che dire, grazie mille!  Finalmente, sbattendoci un po' la testa credo di aver risolto, e grazie al tuo utilissimo consiglio!

    L'intuizione che poteva dipendere da una qualche traccia nel registro che la policy fosse stata già applicata era corretta e con il tuo aiuto ho potuto "unire i puntini" e risolvere...

    citando dal link che hai mandato:  (qui in italiano  -->  https://support.microsoft.com/it-it/kb/2284538 )

    Sintomi
    Considerare il seguente scenario. È possibile creare un oggetto Criteri di gruppo (GPO) in modalità Preferenze per attivare ilApplicare una sola volta e non riapplicaImpostazione criteri di gruppo in un ambiente di dominio Active Directory. Quindi, viene effettuato un tentativo per distribuire l'oggetto Criteri di gruppo su un computer client che esegue Windows 7 o Windows Server 2008 R2. Tuttavia, il tentativo di distribuzione non riesce. In questo scenario, il sistema non tenterà nuovamente distribuire l'oggetto Criteri di gruppo, anche se l'errore fa sì che la distribuzione di oggetti Criteri di gruppo non è stato risolto.  
    Cause
    Questo problema si verifica perché il GUID del registro per il valore del Registro di sistema RunOnce nel computer client viene creato indipendentemente se vengono applicate le impostazioni delle preferenze di criteri di gruppo o non.

    NotaIl GUID del registro viene creato in uno dei seguenti percorsi, a seconda dell'applicazione di impostazione delle preferenze di criteri di gruppo a un computer o un utente:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Group Policy\Client\RunOnce

    HKEY_CURRENT_USER\Software\Microsoft\Group Policy\Client\RunOnce

    Era esattamente il mio problema, la policy aveva come impostazione di applicarsi una sola volta e non ripetere piu' l'operazione  --->   "Applica una sola volta e non riapplicare Sì "

    Non ho scaricato l'hotfix ma sono andato direttamente nel registro, fatto backup come giustamente suggerito, e poi ho trovato questa chiave:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Group Policy\Client\RunOnce]
    "{0F22777A-8206-46EE-B0A4-6494C6D8A10C}"=""

    Ho cancellato la chiave    {0F22777A-8206-46EE-B0A4-6494C6D8A10C} e riavviando il pc la policy è stata finalmente riapplicata, quindi mi sono ritrovato "Admnistrator" attivato e rinominato in "LocalAdmin".

    Ringrazio tutti per il vostro aiuto, e un grazie particolare ad  aperelli ...

    Ciao!!!

    • Contrassegnato come risposta panacea italia giovedì 11 febbraio 2016 06:54
    giovedì 11 febbraio 2016 06:53

Tutte le risposte

  • Ciao, secondo quanto scrivi "ho messo a dominio il pc, installato gli ultimi programmi necessari, e fatto il login col mio utente di dominio....", teoricamente, la policy preparata dai tuoi colleghi "...a questo punto il pc dovrebbe prendere delle policy che l'ufficio informatico dell'azienda ha preposto che dovrebbero andare ad esempio, ad attivare l'utente Administrator, rinominarlo in LocalAdmin e impostargli la password" doveva essere già stata applicata in quella prima fase. In altre parole, se tu inizializzi un nuovo PC e lo metti a dominio la policy dovrebbe essere subito applicata. Ovviamente devi verificare se la policy è applicata a qualche OU specifica.

    Personalmente mi toglierei subito il dubbio con un nuovo PC o con una VM e poi, nel caso il problema si ripresentasse, andrei a chiarire i dubbi con i colleghi.

    Saluti
    Nino

     
    lunedì 8 febbraio 2016 07:53
    Moderatore
  • Ciao, grazie prima di tutto per l'aiuto che mi stai dando..

    Preferisco non dire dove sto lavorando, ma ti posso dire e devo dire alcune cose per farti capire la realtà in cui mi trovo. L'azienda è molto grande, oltre 3000 dipendenti, circa 1500/1700 clients, pubblica, e io sono dell'helpdesk (ditta esterna).. devo per forza rivolgermi all'ufficio informatico, ma non scherzo, non se ne viene mai a una, totale incapacità o mancanza di voglia nell'aiutare a risolvere i problemi e quindi, mi sto arrangiando da me, per quanto mi è possibile.
    In altri termini, per farla breve, ho già provato a chiedere e interfacciarmi con i responsabili di chi dovrebbe gestire il dominio e le policy, ma è totalmente inutile, è solo un ripetermi che le policy va bene e non riscontrano problemi..

    La prendo come posso, diciamo che così imparo qualcosa di piu' che se dovessi fare tutte cose ripetitive preparate da altri..

    Detto questo, nella preparazione finale dell'immagine, prima di togliere dal dominio e fare il sysprep, il pc l'ho messo a dominio per poter installare alcuni software.. per precisione, quando l'ho messo a dominio quindi la prima volta, l'account LocalAdmin attivo e con password impostata si era impostato... questo mi aveva spinto a pensare che tutto era a posto e potevo quindi procedere al passo successivo, cioe' togliere da dominio il pc e fare il sysprep per poi fargli l'immagine.

    Così ho fatto, solo che poi andando ad esplodere l'immagine, ti chiede come sempre nome pc, utente ecc ecc, ed entrato in windows dopo aver fatto il join a dominio, al riavvio questa volta l'utente administrator rimane disattivo..  se trovo tra gli account locali Administrator disattivo, e non piu' LocalAdmin attivo, credo sia un buon sintomo del fatto che il sysprep è stato fatto correttamente, quindi nella mia ignoranza credo ci sia un qualcosa che impedisce alle policy del dominio di applicarsi al pc.. ma non so dove andare a cercare queste cose.. sto cercando in lungo e in largo ma ancora senza successo.. ecco perchè sto provando su technet ora..

    grazie...


    lunedì 8 febbraio 2016 08:44
  • Ciao,

    non so se ho capito bene, ha un account LocalAdmin e un account Administrator (disabilitato) quando parti con l'immagine?


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    lunedì 8 febbraio 2016 09:42
  • Puoi eseguire un gpresult /z (https://technet.microsoft.com/it-it/library/cc733160%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396) nella prima e nella seconda fase di join per verificare se ci sono differenze di applicazione.

    lunedì 8 febbraio 2016 11:13
    Moderatore
  • Puoi eseguire un gpresult /z (https://technet.microsoft.com/it-it/library/cc733160%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396) nella prima e nella seconda fase di join per verificare se ci sono differenze di applicazione.

    Ciao e grazie per l'aiuto anche a te...

    Prima che mi scrivessi avevo trovato appunto i comandi gpresut e avevo fatto un gpresult /H GpResult.html

    il problema è che non ho ben chiaro dove e cosa cercare esattamente in quei risultati...

    martedì 9 febbraio 2016 09:38
  • Ciao,

    non so se ho capito bene, ha un account LocalAdmin e un account Administrator (disabilitato) quando parti con l'immagine?


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    Ciao,

    parto con un account locale amministratore appena installato il sistema.

    poi installati vari programmi e dopo alcune personalizzazioni ho messo il pc a dominio con un nome macchina temporaneo, giusto per installare appunto alcuni software che devo reperire dalla rete.

    Quando ho messo il pc a dominio, mi ha ativato, rinominato e impostato la password all'account l'account  (locale) Administrator; quindi da Administrator disattivato mi sono ritrovato come è giusto che faccia, LocalAdmin con la sua password.

    Tolto il pc da dominio, riavviato e fatto sysprep.

    Quando poi esplodo l'immagine, al primo avvio ritrovo giustamente Administrator disattivato come da situazione iniziale di default.

    Metto il pc a dominio, e l'account Administrator rimane disattivato...  credo quindi, che ci sia un problema con la policy che dovrebbe appunto attivare, rinominare e impostare pw Administrator...

    Una domanda, ho riesploso l'immagine e prima di metterla a dominio, sono andato in   "C:\Windows\System32\GroupPolicy\Machine" e lì vi ho trovato il Registry.pol della data di quando stavo preparando l'immagine e avevo messo a dominio il pc la prima e unica volta prima del sysprep...

    potrebbe essere che dia fastidio o crei conflitti ?
    martedì 9 febbraio 2016 09:39
  • Non dovrebbe, poi avevi provato a cancellarolo mi pare.

    Nel gpresult devi solo verificare che la policy sia stata applicata 


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    martedì 9 febbraio 2016 10:13
  • Non dovrebbe, poi avevi provato a cancellarolo mi pare.

    Nel gpresult devi solo verificare che la policy sia stata applicata 


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    Ho trovato queste righe:

    Utenti e gruppi locali
    Utente (nome: Administrator (built-in))
    All'oggetto sono state applicate le impostazioni seguenti. In caso di conflitti, in questa categoria prevalgono le impostazioni nella parte superiore del rapporto.
    Administrator (built-in)
    Oggetto Criteri di gruppo dominante GPO.computer_gestiti
    Risultato: operazione riuscita
    Utente locale
    Azione Aggiorna
    Proprietà
    Nome utente Administrator (built-in)
    Rinomina con LocalAdmin
    Cambiamento password non consentito Falso
    Nessuna scadenza password Vero
    Account disattivato Falso
    Scadenza account Mai

    martedì 9 febbraio 2016 12:25
  • nella "parte superiore del rapporto" non c'é nulla a riguardo? Perché sembra che la GPO venga applicata

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    • Modificato aperelli martedì 9 febbraio 2016 12:31
    martedì 9 febbraio 2016 12:30
  • nella "parte superiore del rapporto" non c'é nulla a riguardo? Perché sembra che la GPO venga applicata

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    Non ho molta dimestichezza con queste cose, è la prima volta che mi ci metto a guardare... magari ho davanti agli occhi la soluzione ma non la vedo ancora, cioè per ora in cima al rapporto non riesco a vedere nulla che mi aiuti a capire..

    in compenso ho provato ad aprire Group Policy Management dal mio pc e vedo le policy del dominio... ho provato a cercare la polici dell'Administrator Built-In e ho notato una cosa:

    Preferenzehide
    Impostazioni del Pannello di controllohide
    Utenti e gruppi localihide
    Utente (nome: Administrator (built-in))hide
    Administrator (built-in) (ordine: 1)hide
    Utente localehide
    Azione Aggiorna
    ProprietàNome utente Administrator (built-in)
    Rinomina con LocalAdmin
    Cambiamento password non consentito Falso
    Nessuna scadenza password Vero
    Account disattivato Falso
    Scadenza account Mai

    Comunehide
    OpzioniArresta elaborazione elementi dell'estensione se si verifica un errore in questo elemento No
    Rimuovi elemento quando non viene più applicato No
    Applica una sola volta e non riapplicare Sì




    Mi riferisco in fondo, dove vi è la descrizione "Applica una sola volta e non riapplicare Sì "
    Domanda: non è che applica questa policy solo una volta e poi per lui è stata applicata e quindi per le prossime volte (ogni volta che riesplodo l'immagine) salta questa impostazione?

    Ma se così fosse, nel momento cui preparavo l'immagine e avevo tolto il pc da dominio, quando si fa il sysprep, non è che dovrebbe "azzerare" tutto, e cioè magari anche quel registro o altro dove viene registrato che quella policy della rinomina Administrator è già stata fatta?

    mercoledì 10 febbraio 2016 07:39
  • Puó essere che la chiave di registro sia rimasta.

    Prova a vedere se questa kb puó aiutare: https://support.microsoft.com/en-us/kb/2284538

    Se la chiave e presente basta cancellarla (anche se non servirebbe dirlo vorrei suggerire ugualmente di esportare la chiave prima di cancellarla)


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    • Contrassegnato come risposta panacea italia giovedì 11 febbraio 2016 06:54
    mercoledì 10 febbraio 2016 10:14
  • Puó essere che la chiave di registro sia rimasta.

    Prova a vedere se questa kb puó aiutare: https://support.microsoft.com/en-us/kb/2284538

    Se la chiave e presente basta cancellarla (anche se non servirebbe dirlo vorrei suggerire ugualmente di esportare la chiave prima di cancellarla)


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    Ciao!!

    che dire, grazie mille!  Finalmente, sbattendoci un po' la testa credo di aver risolto, e grazie al tuo utilissimo consiglio!

    L'intuizione che poteva dipendere da una qualche traccia nel registro che la policy fosse stata già applicata era corretta e con il tuo aiuto ho potuto "unire i puntini" e risolvere...

    citando dal link che hai mandato:  (qui in italiano  -->  https://support.microsoft.com/it-it/kb/2284538 )

    Sintomi
    Considerare il seguente scenario. È possibile creare un oggetto Criteri di gruppo (GPO) in modalità Preferenze per attivare ilApplicare una sola volta e non riapplicaImpostazione criteri di gruppo in un ambiente di dominio Active Directory. Quindi, viene effettuato un tentativo per distribuire l'oggetto Criteri di gruppo su un computer client che esegue Windows 7 o Windows Server 2008 R2. Tuttavia, il tentativo di distribuzione non riesce. In questo scenario, il sistema non tenterà nuovamente distribuire l'oggetto Criteri di gruppo, anche se l'errore fa sì che la distribuzione di oggetti Criteri di gruppo non è stato risolto.  
    Cause
    Questo problema si verifica perché il GUID del registro per il valore del Registro di sistema RunOnce nel computer client viene creato indipendentemente se vengono applicate le impostazioni delle preferenze di criteri di gruppo o non.

    NotaIl GUID del registro viene creato in uno dei seguenti percorsi, a seconda dell'applicazione di impostazione delle preferenze di criteri di gruppo a un computer o un utente:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Group Policy\Client\RunOnce

    HKEY_CURRENT_USER\Software\Microsoft\Group Policy\Client\RunOnce

    Era esattamente il mio problema, la policy aveva come impostazione di applicarsi una sola volta e non ripetere piu' l'operazione  --->   "Applica una sola volta e non riapplicare Sì "

    Non ho scaricato l'hotfix ma sono andato direttamente nel registro, fatto backup come giustamente suggerito, e poi ho trovato questa chiave:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Group Policy\Client\RunOnce]
    "{0F22777A-8206-46EE-B0A4-6494C6D8A10C}"=""

    Ho cancellato la chiave    {0F22777A-8206-46EE-B0A4-6494C6D8A10C} e riavviando il pc la policy è stata finalmente riapplicata, quindi mi sono ritrovato "Admnistrator" attivato e rinominato in "LocalAdmin".

    Ringrazio tutti per il vostro aiuto, e un grazie particolare ad  aperelli ...

    Ciao!!!

    • Contrassegnato come risposta panacea italia giovedì 11 febbraio 2016 06:54
    giovedì 11 febbraio 2016 06:53
  • grazie per il feedback

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    giovedì 11 febbraio 2016 09:37