none
Eseguire una GPO che risiede all'interno di una OU. RRS feed

  • Domanda

  • Salve.

    All'interno di un paio di OU ho le relative GPO che si occupano di mappare sui clients un paio di dischi di rete su altrettante lettere di unità.

    Per gli utenti appartenenti alle OU che si collegano dall'interno della OU stessa le GPO funzionano benissimo, mentre non funziona per gli utenti che "migrano" da una OU all'altra con il notebook, ovvero: quando un utente della OU "Direzione" si reca presso la OU "Filiale1" e si autentica, riesce ad accedere ma non esegue la GPO locale che gli mappa i dischi di rete.

    Quale potrebbe essere una soluzione intelligente per ovviare al problema ?

    1) migrare gli utenti fuori dalle OU e sfruttare l'ereditarietà dell'esecuzione delle policy
    2) linkare le GPO a livello di Dominio ?
    3) utilizzare Security Filtering e Targeting ?

    Alex.

    martedì 12 febbraio 2013 15:59

Risposte

Tutte le risposte

  • Ciao, perdonami ma non ho capito se la struttura è singola o sono due AD diverse trustate o dei child domain...perchè se è singola, un utente della OU direzione, farà sempre parte di quella OU no? Perchè deve cambiare Organizational Unit quando va in filiale? Non può usare la stessa OU anche quando va in filiale? 

    A.

    martedì 12 febbraio 2013 16:21
    Moderatore
  • Salve.

    All'interno di un paio di OU ho le relative GPO che si occupano di mappare sui clients un paio di dischi di rete su altrettante lettere di unità.

    Per gli utenti appartenenti alle OU che si collegano dall'interno della OU stessa le GPO funzionano benissimo, mentre non funziona per gli utenti che "migrano" da una OU all'altra con il notebook, ovvero: quando un utente della OU "Direzione" si reca presso la OU "Filiale1" e si autentica, riesce ad accedere ma non esegue la GPO locale che gli mappa i dischi di rete.

    Il problema è che se un utente va col suo portatile nella Filiale1 in realtà active directory non lo sa e non sposta l'account utente dalla OU "direzione" alla OU "filiale1" quindi per l'account utente non vengono applicate le policies.

    l'unico modo per ottenere quello che vuoi tu, è avere i sites di active directory con un domain controller in ogni site e un indirizzamento ip diverso in ogni site. a quel punto potrai creare una group policy che lanci uno script di startup per i pc che vengono accesi in quel site e la group policy sarà associata al container Site. in questo modo se il notebook verrà acceso nel site direzione caricherà lo script per la mappatura delle shares di direzione mentre se verrà acceso nel site filiale1 carichrà le shares di quel site.

    ciao.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    martedì 12 febbraio 2013 16:25
    Moderatore
  • Ciao, perdonami ma non ho capito se la struttura è singola o sono due AD diverse trustate o dei child domain...perchè se è singola, un utente della OU direzione, farà sempre parte di quella OU no? Perchè deve cambiare Organizational Unit quando va in filiale? Non può usare la stessa OU anche quando va in filiale? 

    A.

    Ciao, scusa sono stato un po' stringato.

    Il Dominio è unico: il PDC è ubicato presso la OU="Direzione", mentre in "OU"="Filiale1" e in OU="Filiale2" ci sono due RODC replicati tramite VPN.

    Tutti i server sono 2008 R2.

    Nella struttura di Active Directory le tre OU rispecchiano la struttura aziendale: ogni OU è una sede aziendale (e anche un "Site" con i relativi indirizzamenti di rete), al suo interno ci sono i server, le stampanti, gli utenti, ecc ...

    La struttura riportata dallo snap-in del Group Policy Management, rispecchia fedelmente la struttura con le varie OU: in ogni cartella ci sono linkate le GPO relative alla OU.

    Spero di essermi spiegato un po' meglio. :)

    ALex.





    • Modificato Alex_B_ martedì 12 febbraio 2013 16:44
    martedì 12 febbraio 2013 16:35
  • ... l'unico modo per ottenere quello che vuoi tu, è avere i sites di active directory con un domain controller in ogni site e un indirizzamento ip diverso in ogni site ...

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    ... è esattamente la struttura della nostra azienda.

    Però la GPO sul portatile dell'utente non viene eseguita ...

    ALex.

    martedì 12 febbraio 2013 16:41
  • ma Direzione e Filiale1 sono dei Site o delle OU ?

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    mercoledì 13 febbraio 2013 11:25
    Moderatore
  • ma Direzione e Filiale1 sono dei Site o delle OU ?

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    "Direzione" e "Filiale1" sono OU.

    Le reti fisiche ed i server (DC in "Direzione" ed RODC in "Filiale1") sono mappate su gruppi di indirizzi diversi: Direzione=192.168.10.0, Filiale1=192.168.20.0, ecc ...

    Quindi in "Active Directory Sistes and Services" sono anche identificate come sites diverse, cioè volendo si possono utilizzare anche per implemantare ad esempio dei trageting filters ... 

    ALex.

    mercoledì 13 febbraio 2013 11:36
  • bene, se sono OU non può funzionare.

    tu devi associare la gpo con lo script al Site e non alla OU.

    ciao.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    mercoledì 13 febbraio 2013 11:40
    Moderatore
  • bene, se sono OU non può funzionare.

    tu devi associare la gpo con lo script al Site e non alla OU.

    ciao.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    Grazie Edoardo.

    Quindi, ricapitolando ...

    1) elimino le GPO di mappatura che ho linkato alle varie OU
    2) ricreo le GPO di mappatura linkandole al livello di Dominio 
    3) per ognuna delle GPO imposto un Targeting Filter che ne permette l'esecuzione sulla base del Site alla quale si riferisce,

    Così facendo qualsiasi utente che si logga dall'interno di un Site, manda in esecuzione la GPO anche se lui (l'utente intendo) appartiene ad una qualsivoglia OU.

    Giusto ? La proviamo ? :)

    ALex. 

    • Contrassegnato come risposta Alex_B_ sabato 9 marzo 2013 07:39
    • Contrassegno come risposta annullato Alex_B_ sabato 9 marzo 2013 07:39
    mercoledì 13 febbraio 2013 11:46
  • non serv fare quanto hai scritto,

    ti basta slegare la policy esistente dalle OU e agganciarle ai Sites che hai

    http://technet.microsoft.com/en-us/library/cc738954(v=ws.10).aspx


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    mercoledì 13 febbraio 2013 13:17
    Moderatore
  • non serv fare quanto hai scritto,

    ti basta slegare la policy esistente dalle OU e agganciarle ai Sites che hai

    http://technet.microsoft.com/en-us/library/cc738954(v=ws.10).aspx


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    Grazie infinite,

    La prossima settimana provvederò alle impostazioni suggerite e chiuderò il thread con le risultanze sicuramente positive !

    ALex.

    giovedì 14 febbraio 2013 16:11
  • La prossima settimana provvederò alle impostazioni suggerite e chiuderò il thread con le risultanze sicuramente positive !

    Ciao Alex,

    Abbiamo ancora il tuo thread aperto nel Forum di Group Policy e mi chiedevo se possiamo aiutarti ulteriormente o se hai risolto nel frattempo.

    Se così fosse ti saremmo grati di condividere il tuo feedback in questo spazio ricordandoti che altri membri della community potrebbero riscontrare comportamenti simili.

    Grazie in anticipo,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 


    • Modificato Anca Popa lunedì 4 marzo 2013 12:21 blockquote
    lunedì 4 marzo 2013 12:20
  • Ciao,

    Per mancanza di tempo non ho ancora avuto la possibilità di testare la soluzione proposta, anche se sono certo che risolverà il mio problema.

    In settimana conto assolutamente di implementare la GPO e di riportare il feedback qui sul forum.

    Grazie infinite per l'aiuto impagabile.

    Alex.

    lunedì 4 marzo 2013 13:29
  • Ciao,

    Per mancanza di tempo non ho ancora avuto la possibilità di testare la soluzione proposta, anche se sono certo che risolverà il mio problema.

    In settimana conto assolutamente di implementare la GPO e di riportare il feedback qui sul forum.

    Grazie infinite per l'aiuto impagabile.

    Alex.


    Con il consiglio di Edoardo Benussi ho risolto, grazie infinite !

    ALex.
    sabato 9 marzo 2013 07:38
  • grazie del feedback, ciao.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    sabato 9 marzo 2013 07:46
    Moderatore