none
problema gpo/gpp non vanno più RRS feed

  • Domanda

  • Ciao a tutti,

    faccio uso "intenso" :) di diverse funzioni delle Group Policy Preferences, in particolar modo di:

    preferenze -> imp. Windows -> collegamenti, registro di sistema, mapping
    preferenze - imp. pannello di controllo -> stampanti ecc..

    non si applicano più fine della fiera, pc nuovi joinati al dominio, utenti nuovi che entrano per la prima volta su pc nuovo,
    profili utenti vecchi (intendo già presenti) nemmeno con il comando gpupdate /force le cartalle di rigenerano sul desktop
    o le nuove stampanti condivise si vedono, policy di layour start menu (w10) non si applica più ecc..
    tutte ferme le "customizzazioni" che derivano dalle GPP e GPO

    ovviamente di recente non ho cambiato nulla (dopo che il problema si è manifestato ho pensato fosse colpa dei driver delle stampanti quindi ho cancellato e rifatto le convisioni, senza alcun successo ovviamente, nel senso, le stampanti non appaiono
    più automaticamente in dispositivi e stampanti, così come i collegamenti alle cartelle condivise non appaiono più sul desktop ecc..)

    scenario dove si è verificato il problema

    SRV1 W2012 64bit ita STD
    SRV2 W2008R2 64bit ita STD

    ovviamente l'UNC della sysvol si raggiunge dai pc desktop correttamente (sia da utente domain admin che dagli utenti di dominio), non è l'endpoint kaspersky, ho già provato addirittura a disinstallarlo, i file xml delle GPP sono correttamente aggiornati come data e ora e presentano i nuovi percorsi/condivisioni delle stampanti
    questo da tutti i server

    i policy set sono correttamente "agganciati" alle OU interessate (della Sede)

    ho verificato i permessi su cartelle condivise e stampanti condivise e sono tutti OK, non è cambiato nulla di recente

    il domain controller principale W2012 (quello che ha tutti e 5 i ruoli FSMO) ha ieri notte installato un bel "set" di aggiornamenti
    l'unica cosa che è cambiata da metà maggio ad oggi

    ovviamente provati n riavvii di server, desktop, decine di GPUPDATE /FORCE (che non restituisce nessun errore)
    nulla da fare, le customizzazioni GPP e GPO non si applicano più e i pc sono alle impostazioni di default

    pc desktop misti W10 pro 32 e 64 bit ita TH2 build 420 o precedenti, W7 pro ita 64bit e un paio di W8.1 64bit pro ita
    (odio questi fritti misti infatti sto gradualmente upgradando tutti i desktop a W10)

    ragazzi, sono nella c...a

    qualcuno può aiutarmi cortesemente?
    non so più cosa pensare, ho anche ipotizzato che gli aggiornamenti abbiano messo fuori uso qualcosa lato DC/AD

    disponibile a GPRESULT varie e quant'altro

    grazie 1000
    ciao

    massimo

    giovedì 16 giugno 2016 15:34

Risposte

Tutte le risposte

  • Hai provato con lo strumento Group Policy Results analizzando uno dei PC/utente con problemi a verificare qualche errore?

    Nell'event viewer lato PC e lato DC, nulla?

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    giovedì 16 giugno 2016 15:46
  • gpresult /H

    Durante gli ultimi criteri utente aggiornamento il giorno 16/06/2016 16:44:34
     
      Rilevato collegamento veloce   Ulteriori informazioni...
    Per gli oggetti Criteri di gruppo seguenti sono presenti avvisi speciali
     
    Nome oggetto Criteri di gruppo Avviso
    cliente Domain Policy Versione Active Directory/SYSVOL non corrispondente


    il criterio di gruppo "cliente" me lo mostra sotto "Oggetti Criteri di gruppo negati"
    (e non capisco perché in quanto il criterio è agganciato alla OU corretta e ha sempre
    funzionato come un orologio svizzero)

    registro eventi sistema pc desknbsp;      Microsoft-Windows-GroupPolicy
    Data:          16/06/2016 16:37:52
    ID evento:     1129
    Categoria attività:Nessuna
    Livello:       Errore
    Parole chiave:
    Utente:        SYSTEM
    Computer:      pcliente.dominio.local
    Descrizione:
    Elaborazione dei Criteri di gruppo non riuscita a causa di problemi di connettività con un controller di dominio. Il problema potrebbe essere transitorio. Se il computer si connette al controller di dominio e i Criteri di gruppo vengono elaborati correttamente, verrà generato un messaggio di operazione riuscita. Se dopo alcune ore tale messaggio non viene visualizzato, contattare l'amministratore.
    XML evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
        <EventID>1129</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8000000000000000</Keywords>
        <TimeCreated SystemTime="2016-06-16T14:37:52.537464500Z" />
        <EventRecordID>15559</EventRecordID>
        <Correlation ActivityID="{5B06C9C2-48A4-4F2C-AC8D-F1DA1466E921}" />
        <Execution ProcessID="920" ThreadID="1192" />
        <Channel>System</Channel>
        <Computer>pccliente.cliente.local</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="SupportInfo1">1</Data>
        <Data Name="SupportInfo2">1967</Data>
        <Data Name="ProcessingMode">2</Data>
        <Data Name="ProcessingTimeInMilliseconds">687</Data>
        <Data Name="ErrorCode">1222</Data>
        <Data Name="ErrorDescription">La rete non è presente o non è avviata. </Data>
      </EventData>
    </Event>

    ecco questo è particolare...
    però potrebbe essere nei momenti in cui ho riavviato i DC


    massimo





    giovedì 16 giugno 2016 16:18
  • Intanto ti consiglio di installare questo aggiornamento nel tuo ambiente per non visualizzare l'errore di versione Active Directory/SYSVOL non corrispondente:

    https://support.microsoft.com/en-us/kb/2866345

    Comunque hai controllato attentamente le impostazioni di sicurezza/deleghe degli oggetti GPO utilizzando la console del server?

    La condivisione sysvol è raggiungibile utilizzando il nome server?

    Lato DC ci sono errori?


    giovedì 16 giugno 2016 16:47
    Moderatore
  • Ciao,

    la hotfix la installo sul DC o sui desktop?
    uno è un 2012 (non R2) e l'altro un 2008 R2
    i desktop sono W7 e W10
    (e solo due 8.1 che presto aggiornerò a W10 per non avere 324823749873 versioni diverse di OS da gestire ;)

    massimo

    giovedì 16 giugno 2016 18:09
  • Buongiorno,

    ti dico la situazione che mi è capitata questa settimana che forse può risolvere il tuo problema.

    Dopo gli aggiornamenti di windowsupdate i client non vedono più le stampanti che vengono installate tramite policy con le preferenze.

    Ho fatto una ricerca e ho capito che sono le kb:3159398 per windows 7 e la kb:3163018

    disinstallato le kb riavviato il client e con gpupdate /force ho risolto il problema.

    Spero ti possa aiutare. Ciao a tutti

    venerdì 17 giugno 2016 07:12
  • ciao,

    ma a me lo fa canche su Windows 10, ormai sono pochi i pc W7 che ho ancora da quel Cliente
    se è un'update è MS che deve rilasciare una fix

    Cosa faccio mi metto a cancellare la KB3159398 sui pc w7 di tutti i clienti?
    e la kb316018 a che sistema si riferisce?

    io ripeto, ho un misto 7 8.1 e 10 (ormai la maggioranza 10 grazie al cielo)
    e non va più niente, nemmeno lo start layout di W10, nessuna policy funziona più

    venerdì 17 giugno 2016 07:29
  • scusa ho omesso una informazione

    la kb:3163018 è per windows 10

    io ho wsus e tramite quello dico di disinstallare le kb ma solo ai due sistemi operativi, se su windows 10 non lo disinstalla fallo a mano.

    Ricorda che dopo il riavvio devi lanciare gpupdate /force

    venerdì 17 giugno 2016 07:34
  • lo so, non uso più WSUS perché, pur validissimo, è un po' laborioso da gestire
    quindi lascio liberi gli update di sistema
    non era mai successo che si bloccasse l'infrastruttura AD
    se mi blocchi le GPO/GPP (non vanno memmeno le GPO, nemmeno lo start layout, lua nulla...)
    praticamente per l'uso che ne faccio io mi blocchi il 90% di funzionalità di AD

    massimo

    venerdì 17 giugno 2016 07:53
  • Ciao,

    la hotfix la installo sul DC o sui desktop?

    E' meglio installare l'aggiornamento o l'hotfix (dipende dalla versione del sistema operativo, nella KB le trovi entrambe) sia sul DC che sui client.

    Per le altre domande invece? Hai aggiornamenti?

    venerdì 17 giugno 2016 08:08
    Moderatore
  • ok procedo a step, prima lo metto sul DC principale (quello che detiene i 5 ruoli FSMO) che è un 2012 STD 64 bit ita

    ma scusate, poi la pagina parla di client Windows 8.x io il problema ce l'ho su W7 e W10...
    ma sieti proprio sicuri?
    come dicevo di desktop w8.1 ne ho solo un paio e su quelli non ho potuto ancora controllare

    le altre non è stato modificato nulla di recente per mettere completamente KO gpp e gpo
    e non vedo errori su deleghe o altri parametri di sicurezza dei policy set

    Ambito: Imposto: no  Collegamento abilitato: SI   percorso: cliente.local
    Filtri di sicurezza le OU dei rispettivi utenti della Sede
    Filtri WMI: nessuna
    Dettagli: Stato oggetto criteri di gruppo: Attivato
    Impostazioni: conf. computer Attivata, conf. utente Attivata
    Deleghe: in lettura sulle OU degli utenti della Sede (dovrebbe essere corretto se non ricordo male)





    venerdì 17 giugno 2016 08:21
  • applicata sul DC principale 2012 non mi cambia nulla (non so se richieda il riavvio del server, lo posso fare
    solo in pausa pranzo)
    le GPP e GPO dal client W10pro64bit ita build GA .420 continuano a non andare


    massimo
    venerdì 17 giugno 2016 08:47
  • lo disinstalli solo a livello client, per i server non ci sono problemi

    • Contrassegnato come risposta massimo-2014 venerdì 17 giugno 2016 10:42
    venerdì 17 giugno 2016 08:50
  • ripeto per i server vanno bene, il problema è a livello client con le KB elencate
    venerdì 17 giugno 2016 08:52
  • non uso WSUS, se tra qualche giorno mi si ri-applicano?
    venerdì 17 giugno 2016 08:56
  • rimuovendo la kb:3163018 su W10 le GPO+GPP riprendono a funzionare correttamente!
    Renzo, grazie infinite            

    Maria Vi prego scalate il problema!
    prima che si fermino tutte le infrastrutture GP/AD dei Clienti

    perché dover rimuovere la KB è un work-around temporaneo, non una soluzione

    Vi prego


    venerdì 17 giugno 2016 10:43
  • ottimo, ricordati di nascondere l'aggiornamento quando viene riproposto da windows update

    Per gli esperti Microsoft ho notato che questi aggiornamenti portano parecchie modifiche

    - non funzionano le policy con le preferenze

    - percorsi unc adesso se da start esegui scrivo \\server non ci arrivo più devo mettere il .dominio per arrivare al server

    Saluti a tutti

    venerdì 17 giugno 2016 11:24
  • Confermo anch'io che la KB in questione causa problemi all'applicazione delle group policy.

    Per quanto riguarda gli aggiornamenti che ti avevo consigliato, come avevo specificato precedentemente, servivano solo per non visualizzare l'avviso durante l'esecuzione di gpresult, non per risolvere questo problema.

    venerdì 17 giugno 2016 11:25
    Moderatore
  • Ho indagato un po' sul problema e la soluzione sembrerebbe la seguente:

    - Se si utilizzano le deleghe sugli oggetti GPO aggiungere nelle deleghe anche il gruppo "Authenticated Users" in lettura

    - Se si utilizzano i filtri di sicurezza sugli oggetti GPO aggiungere nelle deleghe il gruppo "Domain Computers" in lettura

    In questo modo si dovrebbe risolvere senza disinstallare l'aggiornamento.

    Per ulteriori informazioni: https://social.technet.microsoft.com/Forums/en-US/e2ebead9-b30d-4789-a151-5c7783dbbe34/patch-tuesday-kb3159398?forum=winserverGP
    venerdì 17 giugno 2016 12:26
    Moderatore
  • Fabrizio, pur ringraziandoti, personalmente non lo ritengo opportuno
    qui una patch ha messo fuori uso uno dei pilastri fondamentali dell'architettura Active Directory

    la correzione ufficiale deve essere una patch correttiva altrettanto ufficiale da parte di MS
    (ho scritto del problema anche alla Sarkar), non dei work-around

    non intendo modificare policy set, deleghe, permessi o quant'altro per aggirare un problema introdotto da una patch che, in quanto ho massima fiducia in MS, verrà corretto quanto prima
    venerdì 17 giugno 2016 12:32
  • concordo pienamente con massimo-2014
    venerdì 17 giugno 2016 12:53
  • Comunque aggiungendo le deleghe nel modo descritto le group policy verranno applicate nello stesso modo rispetto a prima, non si va a cambiare l'ambito di applicazione della GPO. Per il momento lo vedo come un metodo più veloce rispetto alla disinstallazione della KB (soprattutto in un ambiente non gestito da WSUS).

    venerdì 17 giugno 2016 12:58
    Moderatore
  • Fabrizio, ammesso e non concesso
    su quanti DC dovrei farlo?
    contando poi anche quelli di cui non accesso tramite teleassistenza
    e come mi giustifico se un Cliente mi fa una domanda?

    e se un domani esce un'altra patch che mi modifica un altro comportamento in AD?
    stiamo freschi


    venerdì 17 giugno 2016 13:05
  • Devi farlo su un solo DC per dominio ovviamente, comunque sta a te scegliere....non credo che aspettare sia una soluzione.
    venerdì 17 giugno 2016 13:23
    Moderatore
  • scusa, i work-around li adottavo da IBM ai tempi di OS/2

    MS è un'azienda seria, non credo voglia fare lavorare noi sistemisti con i work-around


    venerdì 17 giugno 2016 17:10
  • Comunque la procedura consigliata non è, ad oggi, un workaround: Microsoft sembrerebbe aver eseguito questa modifica al meccanismo di applicazione delle GPO volutamente per incrementare la sicurezza nella tipologia di attacchi descritta in questo bollettino di sicurezza: https://technet.microsoft.com/en-us/library/security/ms16-072.aspx?f=255&MSPPError=-2147217396

    Quindi non è neanche detto che venga mai rilasciata una "correzione" del problema. Qui è presente una spiegazione più dettagliata https://www.reddit.com/r/sysadmin/comments/4odkev/ms16072_issues/.

    Comunque precedentemente per "aspettare non è una soluzione" intendevo che secondo me non puoi lasciare dei client senza GPO per troppo tempo...devi comunque optare per una delle due soluzioni (disinstallazione o modifica alle deleghe) oppure al massimo contattare il supporto tecnico Business.





    venerdì 17 giugno 2016 21:29
    Moderatore
  • come faccio a nascondere l'aggiornamento da Windows 10?


    massimo

    domenica 19 giugno 2016 16:25
  • quindi sotto il tab Deleghe (quello nella foto) dovrei inserire il gruppo "Authenticated Users" in sola lettura, ma scusa, questo non mi cambia il comportamento delle policy dopo?               

    non è che dopo le policy mi si applicano a tutti gli utenti del dominio comprese anche le altre sedi?                         

    (per i moderatori, come mai spesso l'invio in questo forum si blocca e non si riesce ad andare a capo e bisogna scrivere tutto appiccicato così?.... è un anno che lo segnalo, sarà il caso di sistemare?...) 

                                 
    domenica 19 giugno 2016 16:31
  • per ogni policy set, nel tab deleghe, ho capito bene?
    domenica 19 giugno 2016 17:26
  • Se utilizzi i filtri di sicurezza e si tratta di una policy lato utente devi inserire in lettura solo il gruppo "Domain Computers".

    domenica 19 giugno 2016 20:18
    Moderatore
  • in quale campo?

    nei filtri di sicuezza nel tab Ambito
    o nel tab Delega?

    questo non mi cambierà il comportamento della policy applicandosi così a tutti i computer del dominio? (gruppo Domain Computers) compresi quindi quelli delle altre Sedi (cosa che non deve succedere)

    grazie

    massimo



    lunedì 20 giugno 2016 07:47
  • Nelle deleghe della GPO. Il comportamento non cambia perché si tratta di una GPO utente, quindi si applicano solo i filtri di sicurezza dei gruppi di utenti. Se vuoi fare personalmente un test prima di applicare la modifica a tutto il dominio crea una nuova GPO (anche vuota, o con dei criteri non importanti), imposta i filtri di sicurezza e verifica che non venga effettivamente applicata a nessun utente con gpresult. Dopo questo, aggiungi la delega in lettura per domain computers, esegui sul client di test un gpupdate con un riavvio e verifica con gpresult che la GPO venga applicata effettivamente solo agli utenti desiderati.


    lunedì 20 giugno 2016 08:10
    Moderatore
  • se invece fosse una policy applicata solo ai pc di una Sede, usando come filtro di sicurezza appunto il gruppo dei computer della relativa Sede (e non agli utenti/gruppi di utenti)?
    cosa cambierebbe?
    da un Cliente ho una configurazione di questo tipo


    lunedì 20 giugno 2016 08:25
  • In quel caso dovresti aggiungere nelle deleghe in lettura solo il gruppo "Authenticated Users", mentre nei filtri di sicurezza i gruppi di computer.


    lunedì 20 giugno 2016 08:27
    Moderatore
  • nei filtri di sicurezza il gruppo computer della sede c'è già...
    (intendo ovviamente per il policy set che si applica ai soli computer della sede)
    lunedì 20 giugno 2016 08:31
  • riepiloghiamo

    - se uso policy set che si applicano a soli utenti/ou metto "computer del dominio" in sola lettura nel tab Deleghe ed ho finito     (ecco si è ri-piantato l'invio qui nel forum, per favore sistematelo è estremamente frustrante)

    - se uso policy set che si applicano ai gruppi computer (es. computer della sede A, computer della sede B ecc..) nei relativi policy set nel tab Deleghe dovrò inserire "Authenticated Users" in sola lettura ed ho finito

    ho scritto giusto?       (olè si è dinuovo ri-piantato l'invio... evvaiii)

    - se invece ho la classica impostazione "piccola rete/piccola azienda" dove l'unico policy set si applica sia agli utenti che ai computer del dominio? 



    lunedì 20 giugno 2016 08:41
  • Si, per l'ultimo punto dovresti dividere le GPO (in realtà credo che esista proprio una best practices in merito a questo).
    lunedì 20 giugno 2016 09:29
    Moderatore
  • Ma vi rendete conto questo aggiornamento cosa mi costa di lavoro?
    E come mi giustifico coi Clienti?

    Sarebbe pazzesco andare a modificare la cosa su tutte le reti dei Clienti

    L'unico a cui ho dovuto dare spiegazioni già è incavolato
    Ma non c'era proprio altro modo di fixare quel bug di sicurezza?

    senza mettere fuori uso tutte le GPO/GPP del mondo?

    tra l'altro nelle reti dei piccoli clienti ho sempre usato un'unica policy e ha sempre
    funzionato benissimo come un orologio, senza dover fare un policy set per i pc
    e uno per le OU

    se devo fare 2 policy set richiederebbe andare a capire quali policy devono applcarsi
    come macchine e quali come utenti dovendo suddividere le cose
    parliamo di migliaia di impostazioni, richiederebbe analisi costose e tempi lunghi

    no, non ci siamo

    massimo






    lunedì 20 giugno 2016 09:34
  • In realtà secondo me, in quel caso, c'era qualcosa di sbagliato nell'implementazione delle GPO fin dal principio....può essere l'occasione giusta per ristrutturarlo in maniera migliore anche se sicuramente queste operazioni ti porteranno del lavoro aggiuntivo (del resto come la disinstallazione dell'aggiornamento in tutti i client).


    lunedì 20 giugno 2016 09:49
    Moderatore
  • ma non possono trovare una fix che non blocchi l'attuale "schema" di funzionamento delle gp?
    io ho anche clienti piccoli non saprei come giustificare un costo di analisi del rifacimento delle policy...

    massimo
    lunedì 20 giugno 2016 10:14
  • ristrutturarlo vuol dire sui clienti piccoli (quelli tipo da 4 pc desktop in su) dover fare 2 policy set
    policy pc e policy ou
    questo mi raddoppia il carico di lavoro e la complessità della gestione dell'ambiente AD dai Clienti
    dovrei chiedere più soldi e più tempi e complessità per gestirli

    praticamente MS mi sta mandano in fallimento con questa KB 3163018 (nessuno mi pagherà di più per una modifica fatta "by design" dal produttore)
    perché io sono una piccola attività e da solo mi trovo a dover gestire il doppio del lavoro                                                                                                                                                               non ci siamo (come per l'invio in questo forum, che mai nessuno sistemerà)

    massimo

    lunedì 20 giugno 2016 11:20
  • ma non possono trovare una fix che non blocchi l'attuale "schema" di funzionamento delle gp?
    io ho anche clienti piccoli non saprei come giustificare un costo di analisi del rifacimento delle policy...

    massimo
    Possiamo sperare che venga eseguita una modifica in seguito ma, ad oggi, non ci sono informazioni ne sulle tempistiche ne sul fatto che venga effettivamente rilasciata...
    lunedì 20 giugno 2016 11:26
    Moderatore
  • domanda, se in una configurazione semplice come policy set ho solo "default domain policy"
    e nei filtri di sicurezza ho solo "authenticated users"

    devo usare il work-around o meno?

    grazie mille

    ciao

    massimo

    lunedì 20 giugno 2016 12:24
  • No, tutte le policy applicate a livello "authenticated users" dovrebbero continuare a funzionare anche dopo l'aggiornamento.
    lunedì 20 giugno 2016 12:53
    Moderatore
  • ohhh, grazie al cielo
    che sollievo, almeno tutti i piccolissimi Clienti che hanno il classico DC continuano ad avere le policy funzionanti (stampanti, cartelle condivise sul desktop, power management, proxy ecc.. ecc..) :)

    questo è un gran sollievo, per me è una larga fetta

    (ragazzi non pensiate che chi usa le Group policy siano solo aziende con 5000 desktop,
    Windows Server foundation costa poco meno di 300 euro e ce l'hanno anche aziende
    con 5 pc come desktop in dominio ;-)   )

    massimo


    lunedì 20 giugno 2016 12:57
  • ho fatto come ha detto Fabrizio che ringrazio, in effetti dopo la modifica nelle deleghe, ho testato e successivamente modificato il Wsus affinchè approvi le kb. I client le hanno installate e non ci sono stati problemi.

    Grazie a Fabrizio per la info.

    Saluti a tutti

    martedì 21 giugno 2016 07:00