none
GPO computer applicata solo a nuovi join RRS feed

  • Domanda

  • Buongiorno a tutti,da poco abbiamo modificato le gpo di computer della nostra sede e ho notato che non viene applicata nonostante si veda in gpresult. Viene però applicata se la macchina viene tolta e rimessa in dominio o ai nuovi join in dominio. 

    Sembrerebbe che la OU a cui si applica il criterio non sia più sincronizzata. Qualche idea?

    Grazie

    venerdì 15 gennaio 2021 08:54

Risposte

  • Ciao Gastone,

    perdonami ma non volevo turbarti o infastidirti in nessun modo. Chiedevo solo aiuto.

    Ho trovato la soluzione, è riconducibile ad un'errata configurazione dei firewall a seguito di un ripristino della VM del domain controller, è bastato abilitare su windows firewall le seguenti voci:

    - Remote Scheduled Tasks Management (RPC)
    - Distributed Transaction Coordinator (RPC-EPMAP)

    Grazie per la pazienza.
    saluti

    • Contrassegnato come risposta [NetRunner] venerdì 15 gennaio 2021 15:03
    venerdì 15 gennaio 2021 14:59

Tutte le risposte

  • Quale policy?

    Riporta i riferimenti di quello che vorreste ottenere con la policy


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here

    venerdì 15 gennaio 2021 10:03
    Moderatore
  • Configurazione di macchina: installazione software, vario hardening dei pc.

    I software sono in unità di rete connessa a tutte le macchine \\ipserver\Software$

    Lanciando un gpresult /r /user:dominio\utenteloggato vedo sotto i Criteri Computer la gpo applicata ma effettivamente sulla macchina nessuna delle modifiche è stata apportata.

    Lanciando gpupdate /force la macchina avvisa che è necessario un riavvio per applicare i criteri computer ma non vengono applicati, se si tenta un altro force chiede nuovamente il riavvio.

    Se la stessa viene tolta dal dominio e rimessa il criterio viene appliccato immediatamente, compresa l'installazione software.

    venerdì 15 gennaio 2021 10:17
  • Configurazione di macchina: installazione software, vario hardening dei pc.

    I software sono in unità di rete connessa a tutte le macchine \\ipserver\Software$

    Lanciando un gpresult /r /user:dominio\utenteloggato vedo sotto i Criteri Computer la gpo applicata ma effettivamente sulla macchina nessuna delle modifiche è stata apportata.

    Lanciando gpupdate /force la macchina avvisa che è necessario un riavvio per applicare i criteri computer ma non vengono applicati, se si tenta un altro force chiede nuovamente il riavvio.

    Se la stessa viene tolta dal dominio e rimessa il criterio viene appliccato immediatamente, compresa l'installazione software.

    Non ha senso usare una configurazione di macchina per mappare una share!

    Ancora le spiegazioni sono carenti, con le gpo ci sono almeno 3 modi per mappare le share, io non so cosa stai utilizzando e come...in più parli "compresa l'installazione software"

    Spiega esattamente il tuo obiettivo!


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here

    venerdì 15 gennaio 2021 11:29
    Moderatore
  • Ciao Gastone,

    ci sono varie configurazioni, non ho detto che la usiamo solo per mappare l'unità di rete, ho solo specificato che i software per da distribuire li abbiamo messi li dentro ma è irrilevante.

    Ciò che chiedo, è come mai OGGI modificando quel criterio, qualsiasi essa sia la modifica, esempio "impostare un server interno per gli update" non viene applicato alle macchine già in dominio ma viene applicata se si toglie la macchina dal dominio e la si re-inserisce o si inserisce una macchina nuova. Considerando, inoltre, che il criterio ha sempre funzionato correttamente fino alle settimana scorsa.

    Il criterio è applcato all'OU da noi chiamato "GruppoComputerXXX" in cui sono presenti tutte le macchine in dominio.

    La domanda è: avete qualche idea per evitare di togliere e reinserire tutte le macchine in dominio? C'è un modo per forzare in modo massivo i pc già in dominio? Come mai i nuovi pc in dominio prendono tutte le configurazioni mentre i "vecchi" sono fermi alla settimana scorsa?

    Grazie

    venerdì 15 gennaio 2021 11:55
  • Grande confusione!

    Parti con il singolare sia nel titolo che nella descrizione  "non viene applicata nonostante "

    Dici: " Considerando, inoltre, che il criterio ha sempre funzionato correttamente fino alle settimana scorsa."

    Allora CI fai la domanda sbagliata: "avete qualche idea per evitare di togliere e reinserire tutte le macchine in dominio?"

    Dovresti chiederCI perchè hanno smesso di funzionare le mie GPO, come risolver? (fornendoci informazioni utili)

    Hai delle policies che dalla settimana scorsa non funzionano più (è irrilevante che rifacendo il join vadano, anzi, questo è sintomo di un malfunzionamento) bisogna capire cosa sia successo e risolvere! Non è un comportmento normale!!

    Se tutto funziona correttamente ( e non sono stati fatti casini con le gpo) le policies di default vengono "rinfrescate" ogni 90 minuti con un offset random 0-30 minuti.

    Usi un batch  nelle gpo per l'hardening e installazione? Quanti riavvi hai fatto prima di dire che non va? altre policy: stesso problema?


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here









    venerdì 15 gennaio 2021 14:32
    Moderatore
  • Ciao Gastone,

    perdonami ma non volevo turbarti o infastidirti in nessun modo. Chiedevo solo aiuto.

    Ho trovato la soluzione, è riconducibile ad un'errata configurazione dei firewall a seguito di un ripristino della VM del domain controller, è bastato abilitare su windows firewall le seguenti voci:

    - Remote Scheduled Tasks Management (RPC)
    - Distributed Transaction Coordinator (RPC-EPMAP)

    Grazie per la pazienza.
    saluti

    • Contrassegnato come risposta [NetRunner] venerdì 15 gennaio 2021 15:03
    venerdì 15 gennaio 2021 14:59
  • Ciao Gastone,

    perdonami ma non volevo turbarti o infastidirti in nessun modo. Chiedevo solo aiuto.

    Ho trovato la soluzione, è riconducibile ad un'errata configurazione dei firewall a seguito di un ripristino della VM del domain controller, è bastato abilitare su windows firewall le seguenti voci:

    - Remote Scheduled Tasks Management (RPC)
    - Distributed Transaction Coordinator (RPC-EPMAP)

    Grazie per la pazienza.
    saluti

    Capisci che le variabili in gioco sono tante e continuavi a fornire informazioni non inerenti ... si chiede qualcosa e l'OP risponde altro o con informazioni approssimative...difficile aiutare ... Adesso aggiungi anche un ripristino DC!

    Ciao Gastone

    ps: Ripristino DC: spero che tu ne abbia uno solo o, qualora  siano più di uno, il restore sia stato fatto (come deve essere fatto) in non autorative mode o autorative (NON ripristinando la vm), altrimenti, i problemi alle policies saranno all'ordine del giorno!


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here




    venerdì 15 gennaio 2021 15:33
    Moderatore
  • Ciao Gastone,

    perdonami ma non volevo turbarti o infastidirti in nessun modo. Chiedevo solo aiuto.


    Tranquillo, è il suo modo di fare. Al primo post 8 anni fa mi disse di "smettere di scrivere perchè facevo confusione". Mi son preso 7 MVP Award da allora ed ha ancora lo stesso atteggiamento. Quindi pensa quanto ha infastidito lui me. Lui ha la "verità" lui ha i "link ufficiali" (che, nella pratica,  funzionano una volta si ed una no, una sì ed una no e così via per pigreco periodico).  

    :-)

    Benvenuto eh. 

    A.

    venerdì 15 gennaio 2021 18:14
    Moderatore
  • Ciao Gastone,

    perdonami ma non volevo turbarti o infastidirti in nessun modo. Chiedevo solo aiuto.


    Tranquillo, è il suo modo di fare. Al primo post 8 anni fa mi disse di "smettere di scrivere perchè facevo confusione". Mi son preso 7 MVP Award da allora ed ha ancora lo stesso atteggiamento. Quindi pensa quanto ha infastidito lui me. Lui ha la "verità" lui ha i "link ufficiali" (che, nella pratica,  funzionano una volta si ed una no, una sì ed una no e così via per pigreco periodico).  

    :-)

    Benvenuto eh. 

    A.

    Ciao Alessandro,

    mi spiace perché non tutti hanno la capacità di farsi capire "al volo" su 4 righe o meglio su argomenti che magari per qualcuno sono complessi e per altri semplici. Ma di certo non è necessario aggredire cosi chi nemmeno conosci. Si può sempre non rispondere! L'arroganza gratuita non la sopporto.

    Comunque ti seguo da un po su fb su Ethical, un piacere incontrarti qui :D

    A presto

    ciao

    venerdì 15 gennaio 2021 21:07

  • Ciao Alessandro,

    mi spiace perché non tutti hanno la capacità di farsi capire "al volo" su 4 righe o meglio su argomenti che magari per qualcuno sono complessi e per altri semplici. Ma di certo non è necessario aggredire cosi chi nemmeno conosci. Si può sempre non rispondere! L'arroganza gratuita non la sopporto.

    Comunque ti seguo da un po su fb su Ethical, un piacere incontrarti qui :D

    A presto

    ciao

    Io sono nato qui. E' stata la mia casa per anni. Oggi è oramai in decadenza perchè ci hanno lasciati un po' soli. Sono anni che proviamo a farglielo capire, soprattutto che in una situazione "at visus" l'altra persona potrebbe non reagire scusandosi. Ma è inutile. Qui nessuno modera i moderatori. Ci vediamo su EHI. Lì, come hai visto, il problema non c'è. Vieni buttato fuori dopo 1 secondo netto. Ciao! 
    domenica 17 gennaio 2021 07:51
    Moderatore