none
Blocco Connessione guidata Internet GPO RRS feed

  • Domanda

  • Ciao,

    devo configurare le mie GPO in modo tale che, quando qualcuno tenta di inviare una mail (per esempio da Acrobat Reader), non riesca ad accedere a questa schermata e quindi ad impostare un indirizzo email. Come posso fare? Che policy posso attivare?

    Grazie mille.

    lunedì 22 aprile 2013 16:16

Risposte

  • Va bloccata in lettura e scrittura l'intera chiave "HKEY_CURRENT_USER\Identities". Volendo puoi anche svuotarla di tutte le sottochiavi (ogni sottochiave rappresenta un'identità di Outlook Express), ma se blocchi la lettura non è necessario. In questo modo facendo click su un collegamento "mailto" verrà visualizzata la finestra delle identità di Outlook vuota, ma l'utente non potrà fare nulla (nemmeno selezionando la voce Nuovo).

    Per quanto riguarda il comando "Sysocmgr" dovresti eseguirlo su ogni client (anche in remoto), in alternativa nella pagina trovi anche altri metodi per la rimozione di Outlook Express.



    martedì 23 aprile 2013 16:33
    Moderatore
  • Ciao,

    grazie mille per il suggerimento. Sono riuscito a risolvere il mio problema seguendo in modo simile il tuo procedimento sulle chiavi.

    In poche parole, ho impedito alle mie utenze la lettura della msoeacct.dll; questa dll è quella che gestisce l'utilizzo di Outlook Express. In questo modo, sono riuscito ad evitare che si aprisse il wizard per creare il nuovo utente. E' un po' brutale come azione, ma funziona.

    Grazie ancora per le dritte!

    mercoledì 24 aprile 2013 10:42

Tutte le risposte

  • Ciao, ti stai riferendo a client Windows XP? In tal caso puoi utilizzare le policy contenute in questo documento: http://technet.microsoft.com/en-us/library/bb490614.aspx
    lunedì 22 aprile 2013 16:51
    Moderatore
  • Ciao,

    si scusa, intendevo Windows XP. Purtroppo le ho già provate (ma le riproverò, non si sa mai), ma i risultati non sono stati quelli sperati. Difatti mi compare comunque la finestra per la Connessione guidata Internet (che alla fine, nel mio caso, sarebbe la creazione guidata di una casella mail per Outlook Express). Avrei bisogno che, quando qualcuno tenta di mandare qualcosa via mail, la policy blocchi l'avvio della finestra Connessione guidata Internet (o almeno che, a fine wizard, non permetta di inviare la mail).

    Grazie mille.


    P.S: sarebbe tutto molto più semplice da capire se potessi postare un'immagine, ma purtroppo non riesco visto le restrizioni imposte da Microsoft.

    martedì 23 aprile 2013 07:18

  • Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 23 aprile 2013 07:29
    Moderatore
  • Ciao,

    grazie per l'informazione. Però non riesco comunque ad inserire l'immagine, perché quando ci provo, mi esce un alert con il seguente testo: "Finché non è possibile verificare l'account, il testo non può contenere immagini né collegamenti". Questo perché non ho ancora verificato l'account (pur avendo seguito i passi suggeriti durante l'iscrizione).

    martedì 23 aprile 2013 07:42
  • L'account verrà contrassegnato come verificato automaticamente dal sistema, devi attendere un po' perché hai appena creato il profilo.
    martedì 23 aprile 2013 08:19
    Moderatore
  • Ciao,

    perfetto, allora aspetterò il tempo necessario affinchè sia verificato. Comunque, vi chiederei se cortesemente riusciste ad aiutarmi con il mio problema sulle policy per la Connessione guidata Internet sulla definizione di un account di posta di Outlook Express; esiste un eseguibile da poter disattivare/bloccare?

    Grazie mille.

    martedì 23 aprile 2013 08:23
  • Abilitando correttamente le policy non dovrebbe essere possibile avviare la Connessione guidata internet.

    Leggi anche quest'altra pagina: http://msdn.microsoft.com/en-us/library/ms814849.aspx

    Esegui anche un gpresult sul client per essere sicuro che l'oggetto GPO sia stato correttamente applicato (e che la versione dell'oggetto sia corretta se hai più di un DC).

    Se vuoi proprio impedire l'utilizzo di Outlook Express potresti anche bloccare la sua esecuzione utilizzando la policy:

    Configurazione utente > Modelli amministrativi > Sistema > Non eseguire le applicazioni Windows specificate



    martedì 23 aprile 2013 08:41
    Moderatore
  • Ciao,

    ho provato a bloccare Outlook Express inserendo l'eseguibile come specifica alla policy, e funziona. Se provo ad eseguirlo dal menù start, mi viene bloccata l'esecuzione. Se provo da un pdf a seguire i passi File -> Email o simili, mi si apre comunque il wizard per la configurazione dell'account di posta, finito il quale mi permette di inviare la mail (cosa che sto cercando di impedire). Il tutto, mentre la policy che impedisce l'esecuzione di Outlook Express è attiva.

    martedì 23 aprile 2013 10:02
  • Si, il blocco di Outlook Express è solo una cosa aggiuntiva....comunque ora credo di aver capito meglio a quale wizard ti stavi riferendo, si chiama allo stesso modo ma non si blocca tramite i criteri illustrati precedentemente perché si tratta di un wizard dedicato ad Outlook Express (visibile solo se non è presente un diverso client di posta elettronica predefinito).

    Una soluzione potrebbe essere quella di negare i permessi di lettura/scrittura all'utente sulla chiave HKEY_CURRENT_USER\Identities, puoi eseguire l'operazione anche tramite uno script di logon utilizzando "regini": http://support.microsoft.com/kb/237607/it

    In alternativa potresti provare a rimuovere tutti gli entry points di Outlook Express mediante un file di risposte: http://technet.microsoft.com/en-us/library/bb457174.aspx

    martedì 23 aprile 2013 11:20
    Moderatore
  • Ciao,

    grazie mille per le soluzioni che mi hai proposto, sono entrambe interessanti. Per la prima, ossia quella della modifica delle chiavi, sai per caso che chiavi dovrei andare a manipolare per il mio problema?

    Nel secondo caso, il comando Sysocmgr dovrei applicarlo direttamente al client? Perché in tal caso non riuscirei ad eseguirlo, perché il client non possiede i permessi per eseguire il prompt di comandi.

    Grazie mille.

    martedì 23 aprile 2013 15:56
  • Va bloccata in lettura e scrittura l'intera chiave "HKEY_CURRENT_USER\Identities". Volendo puoi anche svuotarla di tutte le sottochiavi (ogni sottochiave rappresenta un'identità di Outlook Express), ma se blocchi la lettura non è necessario. In questo modo facendo click su un collegamento "mailto" verrà visualizzata la finestra delle identità di Outlook vuota, ma l'utente non potrà fare nulla (nemmeno selezionando la voce Nuovo).

    Per quanto riguarda il comando "Sysocmgr" dovresti eseguirlo su ogni client (anche in remoto), in alternativa nella pagina trovi anche altri metodi per la rimozione di Outlook Express.



    martedì 23 aprile 2013 16:33
    Moderatore
  • Ciao,

    grazie mille per il suggerimento. Sono riuscito a risolvere il mio problema seguendo in modo simile il tuo procedimento sulle chiavi.

    In poche parole, ho impedito alle mie utenze la lettura della msoeacct.dll; questa dll è quella che gestisce l'utilizzo di Outlook Express. In questo modo, sono riuscito ad evitare che si aprisse il wizard per creare il nuovo utente. E' un po' brutale come azione, ma funziona.

    Grazie ancora per le dritte!

    mercoledì 24 aprile 2013 10:42
  • e se il programma usato avesse a bordo un smtp server suo? si blocca più niente. :) tanto valeva piallare la tcp 25...;)

    A.

    sabato 27 aprile 2013 10:27
    Moderatore
  • No, lui voleva solo bloccare la procedura guidata di Outlook Express per la creazione delle identità non bloccare proprio l'SMTP.....almeno io ho capito così.
    sabato 27 aprile 2013 16:51
    Moderatore
  • Si ho capito, ma se il programma predefinito non è express siamo daccapo...basta un fantastico Incredimalil o Thunderbird e la mail la invia senza problemi...boh, vedrà lui ma il "problema" si bypassa anche inconsapevolmente in 30 secondi da parte dell'utente dummy di turno...pensavo l'intento fosse bloccare l'invio mail dai programmi, almeno ho letto così...
    sabato 27 aprile 2013 18:20
    Moderatore
  • Dipende da cosa cerca l'utente...il blocco suggerito non ha lo scopo di impedire l'invio di e-mail ma solo di impedire la configurazione di Outlook Express da parte degli utenti. Se poi il vero intento è proprio bloccare l'invio di messaggi allora non va bene, ma qui secondo me si passa ad una domanda diversa.

    Vediamo cosa ci dice....


    martedì 30 aprile 2013 11:50
    Moderatore
  • Ciao a tutti,

    il mio intento è fare in modo che non parta alcuna schermata di configurazione di nuovi account o di invio mail; di conseguenza non deve mai partire alcun applicativo affiliato ad Outlook Express. Le utenze in questione non hanno permessi tali da poter installare altro o gestire più programmi di posta, quindi mi serve solo che Outlook Express non parta e che il wizard per creare un nuovo account non parta.

    martedì 30 aprile 2013 12:02
  • secondo me lo sforzo di bloccare OE in questo modo è immane rispetto all'esigenza. non è meglio chiudere con un firewall perimetrale l'invio di tcp verso la 25, la 465 e la 587 ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 30 aprile 2013 15:35
    Moderatore
  • Ciao,

    l'idea è ottima, però ho come vincolo quello di utilizzare soltanto le GPO senza metter mano al firewall.

    martedì 30 aprile 2013 15:42
  • tanto valeva piallare la tcp 25...;)


    Edo..la pensiamo uguale..se non puoi mettere mano al firewall (non so perchè). Blocca tramite gpo nel firewall di windows (che presumo sia attivo sui client) le porte richieste e fine dei giochi...

    A.

    martedì 30 aprile 2013 15:44
    Moderatore
  • Si, l'utente non riuscirà ad inviare le e-mail ma potrà continuare ad eseguire la configurazione delle identità di Outlook Express. Secondo me sono problemi diversi.

    Se la domanda è effettivamente "Come posso bloccare l'invio delle e-mail da parte degli utenti su ogni client?" (e quindi l'utente si era spiegato male dall'inizio, chiedendo solo come bloccare la schermata di creazione identità) allora avete perfettamente ragione e il blocco della porta SMTP è sicuramente più veloce.

    martedì 30 aprile 2013 16:50
    Moderatore