none
Group Policy applicate... ma anche no RRS feed

  • Domanda

  • Salve a tutti

    Solita spinosa questione GP. Server 2022 Standard, client Win 10.

    Ho creato delle policy per la mappatura delle unità di rete. Ho lasciato il permesso ad "Authenticate users" (lettura) e ho aggiunto i gruppi di appartenenza degli utenti. Le ho provate su una macchina virtuale, ovviamente registrata in dominio, entrando ed uscendo con diversi utenti, e ha sempre funzionato. Ho volutamente lasciato il comando NET USE senza parametro /PERSISTENT:YES così, entrando con utenti diversi, venivano rimappate solo le unità a cui l'utente doveva avere accesso. In tutte le prove fatte con la VM, il comportamento è sempre stato corretto: Entrando con l'utente che deve vedere X e Y, trovo la mappatura di X e Y. Disconnettendomi e rientrando con un utente che deve vedere solo Z e W, trovo la mappatura di Z e W. Rientrando col recedente utente, ritrovo X e Y.

    Quando poi ho messo in dominio i PC veri e propri, nonostante diversi riavvii, non vedevo mappare le unità.

    Ho lanciato GPRESULT /R e ho appurato che le policy vengono applicate. La cartella di rete dove si trovano gli script è raggiungibile da tutti, tanto più che se li lancio a mano, le unità vengono mappate e, da lì in avanti, funzionano per ogni riavvio, ma se cambio utente con uno che ha permessi diversi, continuano a non venire mappate le unità corrette.

    Come mai questo comportamento?

    venerdì 1 luglio 2022 08:42

Risposte

  • I filtri di sicurezza sono ostici e fare troubleshooting da qui è alquanto complesso.

    Le soluzioni meno complicate per le mappature sono:  le Group Policy Preferences (per GUI lovers) o le GPO per assegnare uno script di logon (per Script lovers), metterci i filtri di sicurezza in più, quando non servirebbero, è da hara-kiri!

    La cosa strana è che il batch, che come dicevo, è perfettamente raggiungibile dagli utenti interni, non viene lanciato automaticamente, ma se lo lancio a mano, nei successivi riavvii trovo l'unità mappata (nonostante la mancanza del parametro /PERSISTANT:YES nel batch), quindi vuol dire che poi viene lanciato regolarmente.

    Non hai nessuna prova che venga lanciato regolarmente... se trovi le unità mappate il /PERSISTENT:yes probabilmente era già attivo, come dicevo nel post precedente dicevo "non è una condizione sufficiente".
    Se vuoi la certezza di cosa stia succedendo modifica il tuo batch aggiungendo due righe

    net use /persistent:no
    net use * /del /yes

    Di solito uso uno script di logon unico che connette le unità di rete per i vari utente/gruppi... (ne ho uno che fa le mappature in base al nome pc, alla OU, al site, allo user, installa stampanti, le rimuove ... etc. all'inizio era scritto in kix per win NT,  con win 2000 riscritto come batch puro e funziona ancora con win 11)

    Ecco un esempio da usare come unico script di logon senza security filters!

    @echo off :: Sarebbe piu' raffinato verificare se le unità corrette sono :: gia' presenti ed evitare di cancellarle e collegarele ogni volta :: per non complicarci la vita con il seguente codice di esempio :: rimuoverò tutte le mappature preesidtenti (vedi dopo gli asterischi) :: es di check: :: ( REM Verifico La mappatura :: net use X: |find /i "\\server\shareContab" :: )&&( :: REM In caso di susccesso scrivo qualcosa :: echo OK Trovata! :: )||( REM non esistente o non mappata alla share giusta :: echo Mappo... :: REM e qui mappi facendo le verifiche opportune :: ) :: ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :: Batch unico per mappature differenziate a seconda dell'appartenenza a un gruppo/utente ::*********************************************************************************** setlocal echo Un po' di debug: Batch %0 lanciato regolarmente alle %time% del %date%>> "%temp%\_logMap.log" REM Rimuovo tutte le mappature net use * /del /yes REM Mi assicuro che il persistent non sia attivo di default net use /persistent:no REM Mapping per Contabilità REM per il chk di apparteneza al gruppo CONTAB uso woami.exe, che in win7 non è presente... REM per win 7 copiare whoami.exe nella share dei batch e usare \\server\sharedeibat\whoami.exe
    REM occhio se DIRIGENZA appartiene anche a contab (whoami /all |find /i "CONTAB") && ( NET USE X: \\NOMESERVER\CONDIVISIONEcontab NET USE Y: \\NOMESERVER\CONDIVISIONEcontabDUE ) REM Mapping per dirigenza (whoami /all |find /i "DIRIGENZA ") && ( NET USE X: \\NOMESERVER\CONDIVISIONEdirigenza ) REM Mapping per appartenenti al gruppo CuginiDiPapaerino (whoami /all |find /i "CuginiDiPapaerino ") && ( NET USE X: \\NOMESERVER\cugini ) REM Mapping per il solo utente gastone.canali (echo %username% |find /i "gastone") && ( NET USE G: \\NOMESERVER\home\gastone )

    Ciao Gastone



    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here





    lunedì 4 luglio 2022 21:09
    Moderatore
  • Se sei un GUI lover, non hai  scelto la strada giusta! Ti sei solo complicato la vita con GPO+scripts+security filters!
    Come ti ho già detto, devi optare per le GPP (Group Policy Preferences, introdotte con windows 2008) per fare le tue mappature in modalità grafica.

    Ecco la domcumentazione ufficiale  da dove iniziare a studiare Drive Map whith GPP seguono i problemi Mapped Network Drives Not Reconnecting in Windows 10 spesso incontrati (uno dei tanti motivi per cui uso ancora gli scripts di logon)

    Da mia esperienza, la mappatura ottenuta con un comando NET USE X: \\SERVER\CONDIVISIONE, non viene mantenuta dopo un riavvio. Bisogna necessariamente rilanciare il comando.

    Non c'è niente di ufficiale da parte di MS sul comportamento di default di un NET USE, solo che le "Deviceless connections" non sono persistenti... dalla mia esperienza, ho incrociato comportamenti contrastanti (su alcuni SO "rimanevano", su altri SO non c'erano dopo il riavvio... ), quindi per aver un comportamento DETERMINISTICO (non esperenziale) disabilito il persistent come prima cosa.

    Mi toglierei ogni dubbio e taglierei la testa al toro mettendo righe postate in precedenza che ripropongo.

    Posiziona in testa al tuo batch le righe seguenti, lancialo manualmente sul pc fisico in dominio, quello dove hai già fatto questa operazione, riavvia il pc e riporta se trovi le mappature e cosa trovi in  _logMap.log

    echo Un po' di debug: Batch %0 lanciato regolarmente alle %time% del %date%  >> "%temp%\_logMap.log"
    
    REM Rimuovo tutte le mappature
    net use * /del /yes
    
    REM Mi assicuro che il persistent non sia attivo di default
    net use /persistent:no
    REM SEGUE IL TUO BATCH


    Sul comportamento anomalo, non sono lì per capire cosa non vada, in quali OU siano, quali siano le policies, cosa sia cambiato dal test-bed alla messa in produzione, le righe sopra avrebbero aiutato a capire se davvero anomalo... 

    Ecco una versione per singola funzione

    setlocal
    echo Un po' di debug: Batch %0 lanciato regolarmente alle %time% del %date%>> "%temp%\_logMap.log"
    
    REM Rimuovo tutte le mappature
    net use * /del /yes
    
    REM Mi assicuro che il persistent non sia attivo di default
    net use /persistent:no
    
    REM Mapping per Contabilità
    REM per il chk di apparteneza al gruppo CONTAB uso woami.exe, che in win7 non è presente...
    REM per win 7 copiare whoami.exe nella share dei batch e usare \\server\sharedeibat\whoami.exe
    REM occhio se DIRIGENZA appartiene anche a contab (whoami /all |find /i "CONTAB") && ( NET USE X: \\NOMESERVER\CONDIVISIONEcontab NET USE Y: \\NOMESERVER\CONDIVISIONEcontabDUE )

    Ciao Gastone

    PS:Non c'è soluzione perfetta e giustamente dipende dall'ambito, se enne supera il valore di 200...


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here







    giovedì 7 luglio 2022 00:01
    Moderatore

Tutte le risposte

  • Ho creato delle policy per la mappatura delle unità di rete.

    Leggendo tutto il post, deduco che hai creato degli script per la mappatura delle unità di rete e non hai usato le GPO fornite da windows per tale compito (pure io, di solito non le uso, per vari motivi... è una scelta consapevole ).

    Mancano le info fondamentali per aiutarti, quale policy hai usato? il batch?
    immagino una user policy, corretto?

    Potresti indicare quale policy hai definito esattamente ES. User Configuration > Policies > Windows Settings > Scripts (Logon/Logoff)
    è questa?

    Ho lasciato il permesso ad "Authenticate users" (lettura) e ho aggiunto i gruppi di appartenenza degli utenti.

    Intuisco che sono i permessi sui file batch, non capisco perchè hai aggiunto i gruppi di appartenenza degli utenti, cosa volevi ottenere? Sarebbe bastato quello di "Authenticate users".

    Dove hai posizionato gli script (DC, un file server)? In quale share? permessi della share?
    Hai uno script o più? potresti postarne uno per vedere?

    Come mai questo comportamento?

    Ci possono essere diversi motivi, proveremo a trovarli quando avrei dato le info richieste, dal gpresult sappiamo  che la policy è applicata (mi fido) ma non funzionante.

    Come mai RIvada solo dopo che la hai eseguita manualmente, ho un sospetto (vedi ps)

    Ciao Gastone

    PS: "NET USE senza parametro /PERSISTENT:YES" non è una condizione sufficiente ... ma qui ne parliamo appena arrivano lo/gli script che hai fatto, dovrai fare almeno una modifica.


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here










    sabato 2 luglio 2022 08:27
    Moderatore
  • Nelle policy, create nella OU di appartenenza degli utenti, ho usato il valore User Configuration > Policies > Windows Settings > Scripts (Logon/Logoff), indicando il collegamento al batch di mappatura, che è un semplicissimo

    NET USE X: \\NOMESERVER\CONDIVISIONE

    e che si trova in una cartella di rete raggiungibile da tutti


    Ho creato una policy separata per ogni mappatura perché, come dicevo, gli utenti devono vedere risorse diverse in base al reparto, quindi nel filtro di sicurezza delle policy, oltre ad Authenticated Users, ho aggiunto i gruppi di appartenenza degli utenti. I membri del gruppo CONTAB vedono la mappatura della contabilità, quelli del gruppo DIRIGENZA vedono tutte le risorse, e così via.

    Non ho modificato i permessi dei file batch (che ereditano quelli della cartella in cui sono salvati che, come dicevo, è visibile a tutti)


    lunedì 4 luglio 2022 09:09
  • mi sfugge una cosa: tu hai diviso i tuoi utenti in base ad un security group di Windows o in base ad una OU ? perchè se come dici tutti posso leggere la share in cui ci sono gli script di logon, non capisco in base a cosa venga applicato il filtro che determina qualii unità devono essere mappate.

    in pratica dove sta il filtro ?


    Edoardo Benussi
    e[dot]benussi[at]gmx[dot]com

    lunedì 4 luglio 2022 10:24
    Moderatore
  • Ci sono utenti interni ed utenti esterni. Li ho messi in due OU separate. Per gli esterni non mi seve alcuna mappatura (quando devono accedere ai dati, si collegano via VPN e poi usano dei semplici link alle cartelle che servono).

    Entrambe le tipologie di utenti devono avere accesso ad alcune condivisioni, quindi è possibile che in un gruppo di sicurezza ci siano sia utenti interni che esterni, però le policy per la mappatura voglio che sia applicata solo agli utenti interni, quindi le ho create solo nella OU degli interni.

    La cosa strana è che il batch, che come dicevo, è perfettamente raggiungibile dagli utenti interni, non viene lanciato automaticamente, ma se lo lancio a mano, nei successivi riavvii trovo l'unità mappata (nonostante la mancanza del parametro /PERSISTANT:YES nel batch), quindi vuol dire che poi viene lanciato regolarmente.

    La cosa ancor più strana e fastidiosa è che, se per ipotesi dovessi creare una nuova condivisione e dovessi farla mappare aggiungendo la policy al gruppo giusto, questa non verrebbe applicata fino al primo lancio manuale (non ho provato a vedere che succede se aggiungo un secondo batch ad una policy già attiva)

    lunedì 4 luglio 2022 13:14
  • I filtri di sicurezza sono ostici e fare troubleshooting da qui è alquanto complesso.

    Le soluzioni meno complicate per le mappature sono:  le Group Policy Preferences (per GUI lovers) o le GPO per assegnare uno script di logon (per Script lovers), metterci i filtri di sicurezza in più, quando non servirebbero, è da hara-kiri!

    La cosa strana è che il batch, che come dicevo, è perfettamente raggiungibile dagli utenti interni, non viene lanciato automaticamente, ma se lo lancio a mano, nei successivi riavvii trovo l'unità mappata (nonostante la mancanza del parametro /PERSISTANT:YES nel batch), quindi vuol dire che poi viene lanciato regolarmente.

    Non hai nessuna prova che venga lanciato regolarmente... se trovi le unità mappate il /PERSISTENT:yes probabilmente era già attivo, come dicevo nel post precedente dicevo "non è una condizione sufficiente".
    Se vuoi la certezza di cosa stia succedendo modifica il tuo batch aggiungendo due righe

    net use /persistent:no
    net use * /del /yes

    Di solito uso uno script di logon unico che connette le unità di rete per i vari utente/gruppi... (ne ho uno che fa le mappature in base al nome pc, alla OU, al site, allo user, installa stampanti, le rimuove ... etc. all'inizio era scritto in kix per win NT,  con win 2000 riscritto come batch puro e funziona ancora con win 11)

    Ecco un esempio da usare come unico script di logon senza security filters!

    @echo off :: Sarebbe piu' raffinato verificare se le unità corrette sono :: gia' presenti ed evitare di cancellarle e collegarele ogni volta :: per non complicarci la vita con il seguente codice di esempio :: rimuoverò tutte le mappature preesidtenti (vedi dopo gli asterischi) :: es di check: :: ( REM Verifico La mappatura :: net use X: |find /i "\\server\shareContab" :: )&&( :: REM In caso di susccesso scrivo qualcosa :: echo OK Trovata! :: )||( REM non esistente o non mappata alla share giusta :: echo Mappo... :: REM e qui mappi facendo le verifiche opportune :: ) :: ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :: Batch unico per mappature differenziate a seconda dell'appartenenza a un gruppo/utente ::*********************************************************************************** setlocal echo Un po' di debug: Batch %0 lanciato regolarmente alle %time% del %date%>> "%temp%\_logMap.log" REM Rimuovo tutte le mappature net use * /del /yes REM Mi assicuro che il persistent non sia attivo di default net use /persistent:no REM Mapping per Contabilità REM per il chk di apparteneza al gruppo CONTAB uso woami.exe, che in win7 non è presente... REM per win 7 copiare whoami.exe nella share dei batch e usare \\server\sharedeibat\whoami.exe
    REM occhio se DIRIGENZA appartiene anche a contab (whoami /all |find /i "CONTAB") && ( NET USE X: \\NOMESERVER\CONDIVISIONEcontab NET USE Y: \\NOMESERVER\CONDIVISIONEcontabDUE ) REM Mapping per dirigenza (whoami /all |find /i "DIRIGENZA ") && ( NET USE X: \\NOMESERVER\CONDIVISIONEdirigenza ) REM Mapping per appartenenti al gruppo CuginiDiPapaerino (whoami /all |find /i "CuginiDiPapaerino ") && ( NET USE X: \\NOMESERVER\cugini ) REM Mapping per il solo utente gastone.canali (echo %username% |find /i "gastone") && ( NET USE G: \\NOMESERVER\home\gastone )

    Ciao Gastone



    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here





    lunedì 4 luglio 2022 21:09
    Moderatore

  • Le soluzioni meno complicate per le mappature sono:  le Group Policy Preferences (per GUI lovers) o le GPO per assegnare uno script di logon (per Script lovers), metterci i filtri di sicurezza in più, quando non servirebbero, è da hara-kiri! 

    Io sono decisamente GUI lover e preferisco ci siano N policy per N funzioni. Un unico script che verifica, controlla, attacca, stacca, ecc... è sicuramente comodo in certi ambiti, e magari proverò a testarlo in laboratorio.

    Non hai nessuna prova che venga lanciato regolarmente... se trovi le unità mappate il /PERSISTENT:yes probabilmente era già attivo, come dicevo nel post precedente dicevo "non è una condizione sufficiente".

    Sono tutti PC appena collegati al dominio, quindi sicuramente non avevano mappature preesistenti a quelle unità. Da mia esperienza, la mappatura ottenuta con un comando NET USE X: \\SERVER\CONDIVISIONE, non viene mantenuta dopo un riavvio. Bisogna necessariamente rilanciare il comando.

    Infatti sulla macchina virtuale che ho usato in fase di test (che è nelle medesime condizioni dei pc), a seconda dell'utente con cui accedevo, mi ritrovavo le mappature corrette e non ho mai dovuto andare a lanciare a mano lo script.

    É questa la cosa anomala

    mercoledì 6 luglio 2022 08:22
  • Se sei un GUI lover, non hai  scelto la strada giusta! Ti sei solo complicato la vita con GPO+scripts+security filters!
    Come ti ho già detto, devi optare per le GPP (Group Policy Preferences, introdotte con windows 2008) per fare le tue mappature in modalità grafica.

    Ecco la domcumentazione ufficiale  da dove iniziare a studiare Drive Map whith GPP seguono i problemi Mapped Network Drives Not Reconnecting in Windows 10 spesso incontrati (uno dei tanti motivi per cui uso ancora gli scripts di logon)

    Da mia esperienza, la mappatura ottenuta con un comando NET USE X: \\SERVER\CONDIVISIONE, non viene mantenuta dopo un riavvio. Bisogna necessariamente rilanciare il comando.

    Non c'è niente di ufficiale da parte di MS sul comportamento di default di un NET USE, solo che le "Deviceless connections" non sono persistenti... dalla mia esperienza, ho incrociato comportamenti contrastanti (su alcuni SO "rimanevano", su altri SO non c'erano dopo il riavvio... ), quindi per aver un comportamento DETERMINISTICO (non esperenziale) disabilito il persistent come prima cosa.

    Mi toglierei ogni dubbio e taglierei la testa al toro mettendo righe postate in precedenza che ripropongo.

    Posiziona in testa al tuo batch le righe seguenti, lancialo manualmente sul pc fisico in dominio, quello dove hai già fatto questa operazione, riavvia il pc e riporta se trovi le mappature e cosa trovi in  _logMap.log

    echo Un po' di debug: Batch %0 lanciato regolarmente alle %time% del %date%  >> "%temp%\_logMap.log"
    
    REM Rimuovo tutte le mappature
    net use * /del /yes
    
    REM Mi assicuro che il persistent non sia attivo di default
    net use /persistent:no
    REM SEGUE IL TUO BATCH


    Sul comportamento anomalo, non sono lì per capire cosa non vada, in quali OU siano, quali siano le policies, cosa sia cambiato dal test-bed alla messa in produzione, le righe sopra avrebbero aiutato a capire se davvero anomalo... 

    Ecco una versione per singola funzione

    setlocal
    echo Un po' di debug: Batch %0 lanciato regolarmente alle %time% del %date%>> "%temp%\_logMap.log"
    
    REM Rimuovo tutte le mappature
    net use * /del /yes
    
    REM Mi assicuro che il persistent non sia attivo di default
    net use /persistent:no
    
    REM Mapping per Contabilità
    REM per il chk di apparteneza al gruppo CONTAB uso woami.exe, che in win7 non è presente...
    REM per win 7 copiare whoami.exe nella share dei batch e usare \\server\sharedeibat\whoami.exe
    REM occhio se DIRIGENZA appartiene anche a contab (whoami /all |find /i "CONTAB") && ( NET USE X: \\NOMESERVER\CONDIVISIONEcontab NET USE Y: \\NOMESERVER\CONDIVISIONEcontabDUE )

    Ciao Gastone

    PS:Non c'è soluzione perfetta e giustamente dipende dall'ambito, se enne supera il valore di 200...


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here







    giovedì 7 luglio 2022 00:01
    Moderatore
  • Alla fine, non avendo avuto tempo per fare troppe prove, ho optato per seguire il suggerimento da "GUI lover". Ho sostituito i batch con la mappatura direttamente via policy, e sembra funzionare correttamente.

    Sinceramente non ricordo perché, pur conoscendo questa funzionalità, non la avessi applicata prima

    sabato 16 luglio 2022 14:31
  • Alla fine, non avendo avuto tempo per fare troppe prove, ho optato per seguire il suggerimento da "GUI lover". Ho sostituito i batch con la mappatura direttamente via policy, e sembra funzionare correttamente.

    Sinceramente non ricordo perché, pur conoscendo questa funzionalità, non la avessi applicata prima

    I forum servono anche a questo, c'è qualcuno the ti aiuta a ricordare come fare le cose, ti mettono i links per ripassare, ti fanno domande per avere chiaro il contesto in cui ti stai muovendo, cercano di capire dove sbagli e correggerti, ti indicano strade alternative più semplici.

    Ciao Gas


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here


    domenica 17 luglio 2022 08:20
    Moderatore