none
utilizzo di un programma su server senza doversi loggare localmente RRS feed

  • Domanda

  • Un saluto a tutti,
    ho una applicazione di gestione dei marcatempo aziendali che è stata a suo tempo installata su un server del dominio.
    Il fornitore di questo programma mi dice che è meglio lasciare il servizio e relativo programmi di gestione e il relativo database sul server per ovvi motivi di availability.
    L'utente che gestisce i dati delle presenze e marcatempo ha un programma di gestione sul proprio pc ma non riesce a fare tutto e ogni tanto ha bisogno di intervenire direttamente con l'applicativo che sta sul server. Il fornitore non ha in previsione di mettere a posto come si deve i vari programmi.
    Ora io non vorrei più che questo utente accedesse direttamente al server (lo fa con il terminal server di amministrazione) dato che sono stati definiti gli amministratori e questo collega non è un admin.
    E' possibile in un qualche modo dare l'accesso al server (una specie di delega) affinchè questo utente possa gestire solo l'applicazione di gestione dei marcatempo e non debba loggarsi direttamente al server?

    Grazie

    venerdì 15 ottobre 2010 21:13

Risposte

  • Giusto per intenderci, le OU sono quelle icone a forma di folder con all'interno un libro che si vedono e gestiscono con la mmc gpmc.msc, dico bene?

    Ci siamo... quasi.

     

    Allora:

    1. nella snapin dalla quale gestisci gli utenti e i computer (active directory users and computers) troverai il "contenitore" dove ci sono i domain controller;

    2. Se fai click con il tasto dx su questo contenitore -> nuovo -> organizational unit (OU, appunto) e le dai un nome qualsiasi (DC accesso remoto... o come vuoi)

    3. Ora puoi trascinare il DC al quale ti interessa dare accesso remoto agli utenti all'interno di questa nuova OU, nidificata a quella già esistente dei Domain Controller (visualizzate, come dici correttamente, come delle cartelle con all'interno il libro).

    4. ora passi alla snap-in per la gestione delle GPO (gpmc.msc: group policy management console);

    5. espandi l'albero del dominio e ricerchi la OU che hai creato;

    6. tasto DX e dal menu contestuale scegli la voce "crea e collega una nuova Policy" (o meglio "Create and Link a GPO Here") e anche in questo caso le darai un nome chiaro e autoesplicativo

    7. tasto destro  su questa nuovo gpo, scegli edit e imposti le voci che ti interessano e che hai correttamente riportato nel tuo post;

    8. correggi la default domain policy che hai modificato in precedenza riportandola alla situazione precedente il tuo intervento.

    9. ti logghi sui vari domain controller e, dal prompt dei comandi, digiti "gpupdate /force" per vare il refresh delle gpo applicate;

    10. provi che tutto funzioni (dovrebbe....)

     

    Ciao

     

     


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    mercoledì 20 ottobre 2010 23:15
  • L'utente che gestisce i dati delle presenze e marcatempo ha un programma di gestione sul proprio pc ma non riesce a fare tutto e ogni tanto ha bisogno di intervenire direttamente con l'applicativo che sta sul server. Il fornitore non ha in previsione di mettere a posto come si deve i vari programmi.

    rileggendo tutto il thread io non darei l'accesso al server a questo utente, esaminerei con cura cosa non riesce a fare dalla sua postazione client e dopo questa analisi agirei, se è il caso, nei confronti del produttore del software.

    per spiegarmi meglio le domande fondamentali da porsi sono: cosa deve fare questo utente agendo sul server che non riesce a fare dalla sua postazione ? come mai questa certa funzionalità non è disponibile dalla sua postazione ? quanto importante è fare questa operazione che sembra essere disponibile solo dal server ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    domenica 17 ottobre 2010 06:18
    Moderatore
  • devi aggiungere l'utente al gruppo remote desktop:

    leggi qui:

    http://technet.microsoft.com/it-it/library/cc758036(WS.10).aspx

    http://technet.microsoft.com/it-it/library/cc781509(WS.10).aspx


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    domenica 17 ottobre 2010 17:28
  • Esistono soluzione terze, come Thinapp che ti permettono di circoscrivere gli applicativi in un "pacchetto" isolato e funzionante.

    Te lo segnalo solo come curiosità, visto che si tratta di soluzioni pensate per realtà medio - grandi (IMHO)


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 18 ottobre 2010 08:39
  • Ho deciso di intraprendere la strada del remote desktop sempre che si riesca....
    Ho impostato l'utente nel gruppo "Remote Desktop Users" e ho cercato di fare RD con quell'utente (ho usato il mio come esempio). Ottengo questo messaggio:

    "To log on to this computer, you must be granted the allow log on the through Terminal Services right. By default, member of the Remote Desktop User Group have this right. If you are not a member of the Remote Desktop User Group or other group that has this right, you must be granted this right manually ".

    Ho cercato di dare i permessi con il gpedit.msc settando la policy "Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on through Terminal Services, ma per questa policy che è già attiva per il gruppo administrators, non è possibile aggiungere altri utenti o gruppi dato che il pulsante è ingrigito.

    Come se ne esce?

    il pulsante è ingrigito percè il server essendo un server membro o addirittura un dc è soggetto alle domain policies (e se dc è soggetto alle domain controller policies) quindi ti viene inibito di modificare le local policies come stai tentando di fare.

    per farlo devi andare nello stesso percorso che hai indicato agendo però sulle domain policies (o su una ou dove sposterai il server se questo è un server membro) oppure sulle domain controller policies (o su una ou dedicata) se questo è un dc.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 20 ottobre 2010 13:00
    Moderatore
  • Come posso fare per limitare questo accesso ad uno solo dei 2 (scommetto che bisogna lavorare di OU...)?

    esatto, devi fare una ou, mettere questo server dentro e creare una gpo su questa ou con il settaggio indicato prima e togliendo la corrispondente gpo dal container superiore.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 20 ottobre 2010 14:43
    Moderatore

Tutte le risposte

  • in cosa è scritta l'applicazione e di quale motore di database si tratta ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    sabato 16 ottobre 2010 06:31
    Moderatore
  • qual è il sistema operativo del server?

     

     

     


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    sabato 16 ottobre 2010 07:55
  • Direi in borland con dbase BDE Firebird ma sarò più preciso...
    sabato 16 ottobre 2010 14:44
  • Scusa non avevo specificato: win2003 server R2 sp2
    sabato 16 ottobre 2010 14:45
  • L'utente che gestisce i dati delle presenze e marcatempo ha un programma di gestione sul proprio pc ma non riesce a fare tutto e ogni tanto ha bisogno di intervenire direttamente con l'applicativo che sta sul server. Il fornitore non ha in previsione di mettere a posto come si deve i vari programmi.

    rileggendo tutto il thread io non darei l'accesso al server a questo utente, esaminerei con cura cosa non riesce a fare dalla sua postazione client e dopo questa analisi agirei, se è il caso, nei confronti del produttore del software.

    per spiegarmi meglio le domande fondamentali da porsi sono: cosa deve fare questo utente agendo sul server che non riesce a fare dalla sua postazione ? come mai questa certa funzionalità non è disponibile dalla sua postazione ? quanto importante è fare questa operazione che sembra essere disponibile solo dal server ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    domenica 17 ottobre 2010 06:18
    Moderatore
  • Concordo pienamente con la tua analisi. Trovo un po' di reticenza sia sul lato user che sul lato fornitore...Ad ogni modo ho fatto una prima a prova ad avviare il programma dal mio pc di lavoro (dopo vare copiato tutti i file di programma e i vari file borland che stanno su windows \system32) il programma gira. Ora bisognerebbe capire come configurare i parametri affinchè il programma usi la base dati sul server e qui il fornitore dovrà darmi un po' di aiuto, spero. Poi concordo che biosogna valutare quello che davvero serve o meno per lo user. Ad ogni modo mi sembra di capire che non c'è una risposta alla mia domanda nel senso che non è possibile fare una specie di delega solo per quell'applicativo da server.

    Ti tengo informato

    Grazie

    domenica 17 ottobre 2010 06:47
  • Concordo con quanto indicato da EDO,

    nel frattempo non è possibile dare l'accesso in desktop remoto allo user senza concedere i privilegi di administrator se non esclusivamente sull'applicativo con un runas?


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    domenica 17 ottobre 2010 06:54
  • Ad ogni modo mi sembra di capire che non c'è una risposta alla mia domanda nel senso che non è possibile fare una specie di delega solo per quell'applicativo da server.

    la delega gliela potresti dare facendolo lavorare col terminal server e le remote apps (se è un 2k8) ossia usare il protocollo rdp per consentire a quell'utente di lanciare solo quella singola applicazione.

    però personalmente mi sembra un brutto modo di aggirare il problema.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    domenica 17 ottobre 2010 14:48
    Moderatore
  • Avevo pensato a questa possibilità ma non ho chiaro con che utente eseguo il desktop remoto.
    Pensavo si potesse usare il desktop remoto solo per connessioni amministrative ( e direi ce ne sono disponibili 2 in contemporanea) , non ho mai provato a loggarmi con un altro utente.
    Tu nel dettaglio come faresti per loggare questo utente via desktop remoto senza dare le credenziali di un admin?

    Grazie

     

    domenica 17 ottobre 2010 17:00
  • devi aggiungere l'utente al gruppo remote desktop:

    leggi qui:

    http://technet.microsoft.com/it-it/library/cc758036(WS.10).aspx

    http://technet.microsoft.com/it-it/library/cc781509(WS.10).aspx


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    domenica 17 ottobre 2010 17:28
  • Esistono soluzione terze, come Thinapp che ti permettono di circoscrivere gli applicativi in un "pacchetto" isolato e funzionante.

    Te lo segnalo solo come curiosità, visto che si tratta di soluzioni pensate per realtà medio - grandi (IMHO)


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 18 ottobre 2010 08:39
  • Sono un po' in difficoltà ad usare il Desktop Remoto dato che il server a cui mi debbo collegare fa parte del dominio anzi è uno dei 2 domain controller...I 2 documenti che mi hai indicato a mio avviso sono per sistemi non domain controller....

    Grazie

    lunedì 18 ottobre 2010 14:32
  • Ho deciso di intraprendere la strada del remote desktop sempre che si riesca....
    Ho impostato l'utente nel gruppo "Remote Desktop Users" e ho cercato di fare RD con quell'utente (ho usato il mio come esempio). Ottengo questo messaggio:

    "To log on to this computer, you must be granted the allow log on the through Terminal Services right. By default, member of the Remote Desktop User Group have this right. If you are not a member of the Remote Desktop User Group or other group that has this right, you must be granted this right manually ".

    Ho cercato di dare i permessi con il gpedit.msc settando la policy "Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on through Terminal Services, ma per questa policy che è già attiva per il gruppo administrators, non è possibile aggiungere altri utenti o gruppi dato che il pulsante è ingrigito.

    Come se ne esce?

    P.S. E' il caso che apra una nuova discussione mirata a questa richiesta specifica: "Accesso in RDP con altro utente non amministrativo su un server che è anche domain controller?"

    Grazie

    mercoledì 20 ottobre 2010 12:45
  • Ho deciso di intraprendere la strada del remote desktop sempre che si riesca....
    Ho impostato l'utente nel gruppo "Remote Desktop Users" e ho cercato di fare RD con quell'utente (ho usato il mio come esempio). Ottengo questo messaggio:

    "To log on to this computer, you must be granted the allow log on the through Terminal Services right. By default, member of the Remote Desktop User Group have this right. If you are not a member of the Remote Desktop User Group or other group that has this right, you must be granted this right manually ".

    Ho cercato di dare i permessi con il gpedit.msc settando la policy "Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on through Terminal Services, ma per questa policy che è già attiva per il gruppo administrators, non è possibile aggiungere altri utenti o gruppi dato che il pulsante è ingrigito.

    Come se ne esce?

    il pulsante è ingrigito percè il server essendo un server membro o addirittura un dc è soggetto alle domain policies (e se dc è soggetto alle domain controller policies) quindi ti viene inibito di modificare le local policies come stai tentando di fare.

    per farlo devi andare nello stesso percorso che hai indicato agendo però sulle domain policies (o su una ou dove sposterai il server se questo è un server membro) oppure sulle domain controller policies (o su una ou dedicata) se questo è un dc.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 20 ottobre 2010 13:00
    Moderatore
  • Ok funziona. Solo che la policy agisce sui 2 server di dominio, gli altri sono tutti dei member server e non ci si accede, (bene!!).
    Come posso fare per limitare questo accesso ad uno solo dei 2 (scommetto che bisogna lavorare di OU...)?

    Grazie intanto

    mercoledì 20 ottobre 2010 14:37
  • Come posso fare per limitare questo accesso ad uno solo dei 2 (scommetto che bisogna lavorare di OU...)?

    esatto, devi fare una ou, mettere questo server dentro e creare una gpo su questa ou con il settaggio indicato prima e togliendo la corrispondente gpo dal container superiore.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 20 ottobre 2010 14:43
    Moderatore
  • Aggiungerei un dettaglio:

    la ou creata mettila all'interno di quella dove già risiede il server, per poter ereditare eventuali altre GPO già linkate


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    mercoledì 20 ottobre 2010 16:06
  • Ricapitoliamo le cose che penso di aver capito.

    Per far accedere un utente non amministrativo in rdp ad un server (che nel mio caso è anche doamin controller), ho agito su 2 punti:
    1) My Computer /Properties / tab "Remote" / verificando che fosse attivo il check box "Enable Remote Desktop on this Computer, quindi usare il pulsante "Select Remote Users" e qui aggiungere l'utente desiderato (notare che è già presente il gruppo "SBS Remote Operators" che però non trovo in nessuna altra parte del dominio...).
    Senza questa prima immissione io non avrei l'accesso in RDP con quell'utente (almeno questa è la mia esperienza).

    2) Con la mmc "Default domain Controller Security Settings" andare nelle "Local Policies" / "User Rights Assignment" e modificare la policy "Allow log on through Terminal Servicis" aggiungendo al suo interno oltre al gruppo administrator che già c'è, il nostro utente che accederà in RDP al server.
    Con queste 2 condizioni (ci vogliono entrambe) si permette già l'accesso all'utente desiderato.

    Ora c'è il problema di limitare l'accesso di questo utente ad un particolare server fra i 2 (nel mio caso) che sono domain controller.
    Detto questo mi risulta difficile capire come ad una OU (che forse ho capito come si crea) si associa una gpo dato che non è stata fatta alcuna gpo ma si è solo intervenuti su una local policy di dominio(vedi punto 2 precedente) ...Insomma ho una gran confusione, non avendo mai operato con le OU e le policy, scusate ma non ci arrivo a comprendere come fare la OU e poi applicargli la Policy...Se avete voglia di farmi un esempio passo passo ve ne sarei molto grato, non c'è urgenza mi rimetto alla vostra generosità...Per il momento posso dire che le OU del mio sistema che è un SBS2003, da quello che vedo, sono tutte vuote.
    Giusto per intenderci, le OU sono quelle icone a forma di folder con all'interno un libro che si vedono e gestiscono con la mmc gpmc.msc, dico bene?

    Grazie

    mercoledì 20 ottobre 2010 19:49
  • Giusto per intenderci, le OU sono quelle icone a forma di folder con all'interno un libro che si vedono e gestiscono con la mmc gpmc.msc, dico bene?

    Ci siamo... quasi.

     

    Allora:

    1. nella snapin dalla quale gestisci gli utenti e i computer (active directory users and computers) troverai il "contenitore" dove ci sono i domain controller;

    2. Se fai click con il tasto dx su questo contenitore -> nuovo -> organizational unit (OU, appunto) e le dai un nome qualsiasi (DC accesso remoto... o come vuoi)

    3. Ora puoi trascinare il DC al quale ti interessa dare accesso remoto agli utenti all'interno di questa nuova OU, nidificata a quella già esistente dei Domain Controller (visualizzate, come dici correttamente, come delle cartelle con all'interno il libro).

    4. ora passi alla snap-in per la gestione delle GPO (gpmc.msc: group policy management console);

    5. espandi l'albero del dominio e ricerchi la OU che hai creato;

    6. tasto DX e dal menu contestuale scegli la voce "crea e collega una nuova Policy" (o meglio "Create and Link a GPO Here") e anche in questo caso le darai un nome chiaro e autoesplicativo

    7. tasto destro  su questa nuovo gpo, scegli edit e imposti le voci che ti interessano e che hai correttamente riportato nel tuo post;

    8. correggi la default domain policy che hai modificato in precedenza riportandola alla situazione precedente il tuo intervento.

    9. ti logghi sui vari domain controller e, dal prompt dei comandi, digiti "gpupdate /force" per vare il refresh delle gpo applicate;

    10. provi che tutto funzioni (dovrebbe....)

     

    Ciao

     

     


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    mercoledì 20 ottobre 2010 23:15
  • Perfetto era proprio quello che mi serviva sapere, così imparo e dovrei capire come si collegano le varie cose.
    Oggi non sono in ufficio ci provo domani e faccio sapere, grazie a te e edo per la paziente collaborazione.
    giovedì 21 ottobre 2010 05:19
  • Ok ha funzionato!!!! Ora mi è più chiaro il meccanismo ma vorrei imporre una forte limitazione all'utente senza coinvolgere gli amministratori
    Ho predisposto un utente ad hoc per questa attività e vorrei dagli il massimo di limitazioni.

    Mi puoi dare un consiglio su come procedere perchè come dicevo non vorrei che le limitazioni finissero anche sugli amministratori.
    Esiste un profilo da caricare (ADM mi sembra si chiami) con già tutte le limitazioni possibili impostate...?
    Grazie

    venerdì 22 ottobre 2010 14:42
  • Mi puoi dare un consiglio su come procedere perchè come dicevo non vorrei che le limitazioni finissero anche sugli amministratori.
    Esiste un profilo da caricare (ADM mi sembra si chiami) con già tutte le limitazioni possibili impostate...?

    ti spiace aprire un nuovo thread e non continuare a fare domande, seppur correlate all'interno di questo dove abbiamo già ripercorso 3/5 dello scibile informatico ? ;-)

    grazie.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 22 ottobre 2010 15:05
    Moderatore
  • ti spiace aprire un nuovo thread e non continuare a fare domande, seppur correlate all'interno di questo dove abbiamo già ripercorso 3/5 dello scibile informatico ? ;-)

    +1
    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    venerdì 22 ottobre 2010 15:13
  • Non mi dispiace assolutamente....Anzi chiedo scusa se ho approfittato. Avevo già fatto mercoledì questa proposta poi vedendo che sempre molto gentilmente e pazientemente rispondevate sono andato avanti. Purtroppo su GPO,OU e company son sgonfio. Grazie a tutti e in particolare ad Adriano che con il suo esempio step by step mi ha permesso finalmente di avere una chiave di lettura sull'uso delle gpo applicate alle OU. Faccio un po' di prove ed eventualmente apro un altro thread specifico per le limitazioni ulteriori all'utente.

    Grazie ancora per il vs supporto che per me è impagabile.

    Bob

    venerdì 22 ottobre 2010 17:47