GPO e configurazioni in active directory

Di seguito alcune configurazioni particolari ma tipiche che potrebbero essere di aiuto nella configurazione dei criteri di gruppo sui domini Windows.

Come funziona il Loopback Processing Mode nelle Group Polic

Fonte: www.ictpower.it

Le Group Policy hanno la possibilità di configurare sia i computer che gli utenti e le configurazioni utente vengono applicate indipendentemente dal computer dove l’utente si logga.

Supponiamo di avere due Organization Unit (OU), una dove ci sono i computer ed un’altra dove ci sono gli utenti ed ad ognuna delle OU viene applicata una policy diversa, a quella dei computer la policy ROSSA e a quella degli utenti la policy BLU.

Configurazione delle Group Policy

Quando un utente si logga sul PC nella OU ROSSA vengono applicate le configurazioni Computer ROSSE e le configurazioni Utente BLU.

Comportamento senza Loopback Processing Mode abilitato

Per abilitare il Loopback Processing Mode è necessario configurare la Policy scegliendo Computer Configuration/Administrative Templates/System/Group Policy e modificare il parametro Configure user Group Policy loopback processing mode.
Ci sono due modalità: Merge e Replace. Se abilitiamo la modalità Replace verranno applicate le configurazioni Computer ROSSE e le configurazioni Utente ROSSE, andando di fatto ad impedire che l’utente si porti dietro le proprie configurazioni quando si logga a quei particolari computer.

Modalità REPLACE

Se invece abilitiamo la modalità Merge verranno applicate le configurazioni Computer ROSSE e le configurazioni Utente ROSSE e BLU, cioè verranno applicati tutti i settaggi lato utente. Nel caso ci fossero dei settaggi in conflitto verrebbero comunque forzate le configurazioni Utente ROSSE.

Modalità MERGE

Un caso reale di utilizzo di questo parametro è quello dei con PC fissi (in una OU specifica) su cui abilitiamo la Folder Redirection (criteri Utente portati in loopback tramite criterio Computer) e dei PC portatili su cui vogliamo non sia abilitata.

Come creare profili utente immodificabili

Questo tipo di profili si chiamano Mandatory profiles, qualunque modifica apportata al profilo viene persa al logout. Si possono utilizzare per utenti guest o similari.

Attenzione che se alcune cartelle sono mappate eventuali file creati in queste rimarranno persisteni in quanto non risiedono sotto il profilo.

Per creare un Mandatory Profile in un client Windows stand-alone l’utente relativo deve essersi loggato almeno una volta al sistema (in modo che il profilo sia popolato):

  • entrare nella cartella del profilo utente (C:/Users/NomeUtente), eventualmente diventandone proprietario se non è sfogliabile
  • rinominare NTUser.dat in NTUser.man
  • risistemare i permessi modificati

Per creare un Mandatory Profile in un dominio:

  • impostare la share dove salvare il profilo dalle proprietà dell’utente in Utenti e computer di active directory
  • loggarsi in un client con l’utente relativo almeno una volta (per popolare il profilo)
  • rinominare NTUser.dat in NTUser.man

Vedere le GPO applicate su un PC

Per vedere le GPO finali applicate su un PC è possibile simulare l’applicazione direttamente dal domain controller oppure avviare sul PC destinatario rsop.msc. Si aprirà così la console per vedere le policy applicate.

Aggiungi ai preferiti : permalink.

I commenti sono chiusi.