Principale utente con più risposte
GPO Windows 2012

Domanda
-
Buongiorno, ho la necessità di creare una gpo per un gruppo di utenti o computer.Quando creo la gpo se nel security filtering metto authenticate user mi funziona correttamente mentre se metto un gruppo di pc oppure utenti oppure solamente uno di essi se faccio un gpresult /r mi dà errore di deny security e non riesco a capire il perchè.
Grazie
Saluti
Risposte
-
non ho capito perchè ti sei concentrato sul security filtering quando puoi tranquillamente creare una OU dedicata in cui sposterai questi client e applicare una group policy direttamente a questa OU.
ciao.
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org- Proposto come risposta Edoardo BenussiMVP, Moderator martedì 28 ottobre 2014 10:49
- Contrassegnato come risposta Maria Atanassova giovedì 30 ottobre 2014 10:39
Tutte le risposte
-
Buongiorno, ho creato una group policy riguardante la possibilità di disabilitare le unità removibili nei client.
Ho la necessità però di avere un modo per far si che alcuni pc che io scelgo le possano utilizzare invece.
Come potrei fare?
Grazie
- Unito Maria Atanassova martedì 28 ottobre 2014 10:32 same question
-
Ciao Paolo, semplicemente potresti creare un OU ed inserire i PC a cui vuoi applicare la Group Policy di blocco. Questo ti permette di avere una gestione semplice e veloce in quanto basta inserire al volo il PC nell'OU per fargli acquisire l'impostazione.
Saluti
Nino...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.
- Proposto come risposta NinoRCTNModerator giovedì 9 ottobre 2014 11:24
-
ricordo solo che per rimuovere le impostazioni servirà un'altra ou a cui sia agganciata una policy contraria a quella della prima ou in quanto l'impostazione "non configurato" non è sufficiente a modifcare la situazione.
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org- Modificato Edoardo BenussiMVP, Moderator lunedì 13 ottobre 2014 10:19
- Proposto come risposta Edoardo BenussiMVP, Moderator martedì 14 ottobre 2014 07:13
-
-
purtroppo non è sufficiente togliere i pc dalla ou iniziale a meno che, a livello di domain policies, quella particolare policy sia già configurata all'opposto di come è configurata nella ou.
proprio per questo ho fatto la precisazione.
ciao.
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org -
mmm... ma la policy è di blocco, quindi tutti i client che non sono all'interno dell'OU (vedi Domain Policy) non la ricevono e di conseguenza possono utilizzare le porte USB che è quello che vuole ottenere Paolo. Sbaglio?
...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.
-
-
mmm... ma la policy è di blocco, quindi tutti i client che non sono all'interno dell'OU (vedi Domain Policy) non la ricevono e di conseguenza possono utilizzare le porte USB che è quello che vuole ottenere Paolo. Sbaglio?
non sbagli ma se vuole poter attivare e disattivare la policy è meglio che si attrezzi di conseguenza altrimenti dovrà attrezzarsi in seguito quando avrà per la prima volta la necessità di rimuovere da qualche client la policy restrittiva.
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org -
leggi attentamente qui
http://technet.microsoft.com/en-us/library/cc759506(v=ws.10).aspx
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org -
-
questa condizione
If a GPO is incorrectly denied or applied due to security filtering because the user or computer had different security group memberships than expected, use Active Directory Users and Computers to check and, if necessary change, the security group memberships.
è verificata ?
inoltre presta attenzione che se vuoi filtrare effettivamente gli utenti, ti devi trovare in questa situazione
When restricting the application of a GPO, be sure to remove Authenticated Users. Otherwise all users will always be affected by the GPO.
Computers are members of the Authenticated Users group. If you remove Authenticated Users from the list on the Scope tab and you want the GPO to apply to a computer, you must specifically ensure that the computer belongs to a group that is included in the Security Filtering section on the Scope tab.
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org -
Grazie Edoardo.
Ho verificato ed il gruppo con all'interno i pc fa parte di una Ou e non appartiene a nessun'altro gruppo di sicureza.Ho rimosso l'authenticate user ma non funziona la policy.Ho fatto la prova dell'aggiunta con possibilità di sola lettura ma il problema persiste.
Cosa posso fare?Grazie
Ciao
-
l'utlima frase che ti ho scritto dice:
se rimuovi authenticated users , cosa necessaria se vuoi fare un filtro selettivo, siccome gli account computer sono membri di authenticated users, DEVI per forza definire un nuovo gruppo di sicurezza chiamato ad esempio MIEICOMPUTERS e rendere i clients membri di questo gruppo quindi usare il gruppo per il filtro.
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org -
Ciao Edoardo, è proprio quello che ho fatto.
Ho definito un gruppo X con all'interno i pc che dovevano avere la restrizione.
Ho creato la policy tolto authenticate user nel filtro ed impostato il gruppo corrispondete, na se lancio gpresult /r continua a darmi accesso negato.
Grazie
-
Ciao paolinopp,
Ad oggi il tuo quesito nel Forum di Windows Server è ancora aperto per noi.
Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Se invece hai trovato un'altra soluzione nel frattempo, ti saremmo grati di condividerla anche qui, a beneficio degli altri utenti che seguono il thread.
Grazie,
Maria
Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.
-
ripartiamo dall'inizio perchè forse qualcosa mi sfugge:
descrivimi quale policy vai a modificare, a quale container di active directory la linki e qual'è la configuraizone nelle ACL del gpo.
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org -
Ciao Edoardo, grazie per la tua risposta.
Ti spiego brevemente la cosa:
ho un gruppo di nome X con all'interno alcuni computer all'interno dell'active directory.In quest'ultima c'è una ou che si chiama client.
Io vorrei che i pc che appartengono al gruppo abbiano la policy per il blocco della scrittura sulle porte usb.
Grazie mille
-
Ciao,
Ad oggi il tuo quesito nel Forum di Windows Server è ancora aperto per noi. Qui puoi trovare anche altri consigli:
Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Se invece hai trovato un'altra soluzione nel frattempo, ti saremmo grati di condividerla anche qui, a beneficio degli altri utenti che seguono il thread.
Grazie,
Maria
Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.
-
non ho capito perchè ti sei concentrato sul security filtering quando puoi tranquillamente creare una OU dedicata in cui sposterai questi client e applicare una group policy direttamente a questa OU.
ciao.
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org- Proposto come risposta Edoardo BenussiMVP, Moderator martedì 28 ottobre 2014 10:49
- Contrassegnato come risposta Maria Atanassova giovedì 30 ottobre 2014 10:39
-
Sono riuscito a creare la policy e funziona grazie.
Solamente che se un utente attacca la fotocamera digitale per lo scarico delle foto gli appare questo messaggio di errore: "non si dispone dell'autorizzazione necessaria per accedere a questo dispositivo"
la policy è per permettere la lettura delle flash infatti se attaccano la memoria in un lettore funziona.
Cosa potrei verificare?
Grazie mille
-
non ho capito bene cosa vuoi ottenere (ammesso che sia fattibile)
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org -
ciao edoardo e grazie per la risposta.
Ho creato una policy usb di sola lettura per i dispositivi usb quindi pen drive - dischi usb etc e funziona.
Il problema ce l'ho solamente quando si attaccano fotocamere digitali e nei client appare il messaggio "non si dispone dell'autorizzazione necessaria per accedere a questo dispositivo" se invece attacco la memoria flash della fotocamera in un lettore riesco ad utilizzarla solamente in sola lettura.
Grazie
-
... e il comportamento non fa una grinza: mi sembra corretto!
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org -
-
non si può avere capra e cavoli (cit.) :-)
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org