none
GPO Windows 2012 RRS feed

  • Domanda

  • Buongiorno, ho la necessità di creare una gpo per un gruppo di utenti o computer.Quando creo la gpo se nel security filtering metto authenticate user mi funziona correttamente mentre se metto un gruppo di pc oppure utenti oppure solamente uno di essi se faccio un gpresult /r mi dà errore di deny security e non riesco a capire il perchè.

    Grazie

    Saluti

    venerdì 17 ottobre 2014 11:54

Risposte

  • non ho capito perchè ti sei concentrato sul security filtering quando puoi tranquillamente creare una OU dedicata in cui sposterai questi client e applicare una group policy direttamente a questa OU.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 27 ottobre 2014 15:46
    Moderatore

Tutte le risposte

  • Buongiorno, ho creato una group policy riguardante la possibilità di disabilitare le unità removibili nei client.

    Ho la necessità però di avere un modo per far si che alcuni pc che io scelgo le possano utilizzare invece.

    Come potrei fare?

    Grazie

    giovedì 9 ottobre 2014 09:36
  • Ciao Paolo, semplicemente potresti creare un OU ed inserire i PC a cui vuoi applicare la Group Policy di blocco. Questo ti permette di avere una gestione semplice e veloce in quanto basta inserire al volo il PC nell'OU per fargli acquisire l'impostazione.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    giovedì 9 ottobre 2014 11:23
    Moderatore
  • ricordo solo che per rimuovere le impostazioni servirà un'altra ou a cui sia agganciata una policy contraria a quella della prima ou in quanto l'impostazione "non configurato" non è sufficiente a modifcare la situazione.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org


    lunedì 13 ottobre 2014 10:18
    Moderatore
  • grazie Nino ed Edoardo per le vostre risposte.

    Cosa intendi Edoardo che dovrei fare una nuova ou per rimuovere le impostazioni?

    Non basta che tolga i pc dalla OU iniziale?

    Grazie

    lunedì 13 ottobre 2014 12:24
  • purtroppo non è sufficiente togliere i pc dalla ou iniziale a meno che, a livello di domain policies, quella particolare policy sia già configurata all'opposto di come è configurata nella ou.

    proprio per questo ho fatto la precisazione.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 13 ottobre 2014 13:03
    Moderatore
  • mmm... ma la policy è di blocco, quindi tutti i client che non sono all'interno dell'OU (vedi Domain Policy) non la ricevono e di conseguenza possono utilizzare le porte USB che è quello che vuole ottenere Paolo. Sbaglio?

    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    lunedì 13 ottobre 2014 13:20
    Moderatore
  • si giustamente Nino

    Voglio che i pc che non sono all'interno della policy riescano ad utilizzare le porte usb.

    Grazie ancora

    lunedì 13 ottobre 2014 17:59
  • mmm... ma la policy è di blocco, quindi tutti i client che non sono all'interno dell'OU (vedi Domain Policy) non la ricevono e di conseguenza possono utilizzare le porte USB che è quello che vuole ottenere Paolo. Sbaglio?
    non sbagli ma se vuole poter attivare e disattivare la policy è meglio che si attrezzi di conseguenza altrimenti dovrà attrezzarsi in seguito quando avrà per la prima volta la necessità di rimuovere da qualche client la policy restrittiva.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 14 ottobre 2014 07:21
    Moderatore
  • leggi attentamente qui

    http://technet.microsoft.com/en-us/library/cc759506(v=ws.10).aspx


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    venerdì 17 ottobre 2014 12:11
    Moderatore
  • grazie edoardo della risposta.

    Ho letto il link ed ho impostato nel delegation il gruppo authenticate user in sola lettura, ma nonostante ciò ho l'errore di prima.

    Ci sono altre soluzioni?

    Grazie

    venerdì 17 ottobre 2014 12:38
  • questa condizione 

    If a GPO is incorrectly denied or applied due to security filtering because the user or computer had different security group memberships than expected, use Active Directory Users and Computers to check and, if necessary change, the security group memberships.

    è verificata ?

    inoltre presta attenzione che se vuoi filtrare effettivamente gli utenti, ti devi trovare in questa situazione

    When restricting the application of a GPO, be sure to remove Authenticated Users. Otherwise all users will always be affected by the GPO.

    Computers are members of the Authenticated Users group. If you remove Authenticated Users from the list on the Scope tab and you want the GPO to apply to a computer, you must specifically ensure that the computer belongs to a group that is included in the Security Filtering section on the Scope tab.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    venerdì 17 ottobre 2014 13:27
    Moderatore
  • Grazie Edoardo.

    Ho verificato ed il gruppo con all'interno i pc fa parte di una Ou e non appartiene a nessun'altro gruppo di sicureza.Ho rimosso l'authenticate user ma non funziona la policy.Ho fatto la prova dell'aggiunta con possibilità di sola lettura ma il problema persiste.

    Cosa posso fare?Grazie

    Ciao

    venerdì 17 ottobre 2014 14:11
  • l'utlima frase che ti ho scritto dice:

    se rimuovi authenticated users , cosa necessaria se vuoi fare un filtro selettivo, siccome gli account computer sono membri di authenticated users, DEVI per forza definire un nuovo gruppo di sicurezza chiamato ad esempio MIEICOMPUTERS e rendere i clients membri di questo gruppo quindi usare il gruppo per il filtro.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    venerdì 17 ottobre 2014 14:27
    Moderatore
  • Ciao Edoardo, è proprio quello che ho fatto.

    Ho definito un gruppo X con all'interno i pc che dovevano avere la restrizione.

    Ho creato la policy tolto authenticate user nel filtro ed impostato il gruppo corrispondete, na se lancio gpresult /r continua a darmi accesso negato.

    Grazie

    lunedì 20 ottobre 2014 07:09
  • Ciao paolinopp,

    Ad oggi il tuo quesito nel Forum di Windows Server è ancora aperto per noi.

    Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Se invece hai trovato un'altra soluzione nel frattempo, ti saremmo grati di condividerla anche qui, a beneficio degli altri utenti che seguono il thread.

    Grazie,

    Maria


    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    lunedì 20 ottobre 2014 09:18
  • ripartiamo dall'inizio perchè forse qualcosa mi sfugge:

    descrivimi quale policy vai a modificare, a quale container di active directory la linki e qual'è la configuraizone nelle ACL del gpo.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 22 ottobre 2014 11:50
    Moderatore
  • Ciao Edoardo, grazie per la tua risposta.

    Ti spiego brevemente la cosa:

    ho un gruppo di nome X con all'interno alcuni computer all'interno dell'active directory.In quest'ultima c'è una ou che si chiama client.

    Io vorrei che i pc che appartengono al gruppo abbiano la policy per il blocco della scrittura sulle porte usb.

    Grazie mille

    mercoledì 22 ottobre 2014 22:29
  •  Ciao,

    Ad oggi il tuo quesito nel Forum di  Windows Server è ancora aperto per noi. Qui puoi trovare anche altri consigli:

        https://social.technet.microsoft.com/Forums/en-US/5e55fd7e-9707-4925-aa54-0f98d389a531/enable-and-    disbale-usb-access-group-policy?forum=winserverDS

    Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Se invece hai trovato un'altra soluzione nel frattempo, ti saremmo grati di condividerla anche qui, a beneficio degli altri utenti che seguono il thread.

    Grazie,

    Maria


    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    lunedì 27 ottobre 2014 12:38
  • non ho capito perchè ti sei concentrato sul security filtering quando puoi tranquillamente creare una OU dedicata in cui sposterai questi client e applicare una group policy direttamente a questa OU.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 27 ottobre 2014 15:46
    Moderatore
  • Sono riuscito a creare la policy e funziona grazie.

    Solamente che se un utente attacca la fotocamera digitale per lo scarico delle foto gli appare questo messaggio di errore: "non si dispone dell'autorizzazione necessaria per accedere a questo dispositivo"

    la policy è per permettere la lettura delle flash infatti se attaccano la memoria in un lettore funziona.

    Cosa potrei verificare?

    Grazie mille

    martedì 2 dicembre 2014 16:23
  • non ho capito bene cosa vuoi ottenere (ammesso che sia fattibile)

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 2 dicembre 2014 16:36
    Moderatore
  • ciao edoardo e grazie per la risposta.

    Ho creato una policy usb di sola lettura per i dispositivi usb quindi pen drive - dischi usb etc e funziona.

    Il problema ce l'ho solamente quando si attaccano fotocamere digitali e nei client appare il messaggio "non si dispone dell'autorizzazione necessaria per accedere a questo dispositivo" se invece attacco la memoria flash della fotocamera in un lettore riesco ad utilizzarla solamente in sola lettura.

    Grazie

    martedì 2 dicembre 2014 16:43
  • ... e il comportamento non fa una grinza: mi sembra corretto!

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 2 dicembre 2014 16:48
    Moderatore
  • solamente che avrei la necessità di usare le fotocamere e non i lettori flash...

    martedì 2 dicembre 2014 16:51
  • non si può avere capra e cavoli (cit.) :-)

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    giovedì 4 dicembre 2014 13:55
    Moderatore