impostare criteri di gruppo win 2000 server

[ghimel]

Ciao a tutti

sono alle prese con le impostazioni dei criteri di gruppo di windows 2000 server, ma le restrizioni che ho impostato nei modelli amministrativi per una unità organizzativa non vengono rispettate.

Ecco i passaggi

Ho creato un'unità organizzativa in Active Directory che comprende due utenti. Ho creato un criterio di gruppo per l'unità organizzativa (da Proprietà sul contenitore unità organizzativa --> Criteri di gruppo --> Nuovo --> ecc. ), ho aperto la console mmc (Modifica dalla finestra di dialogo precedente), ho modificato nei modelli amministrativi utente la visualizzazione dello schermo nel Pannello di controllo disattivandola per prova. Ora se mi sconnetto come amministratore e mi riconnetto come utente dell'unità organizzativa, apro senza problemi il pannello dello schermo... mentre credevo di averlo bloccato proprio per questo utente!!

Qualcuno mi sa dire dove sta l'inghippo??
Grazie!

[fede_pg]

Ciao, proviamo a controllare un paio di cose:

1) Hai controllato che le policy che hai applicato siano effettivamente lato utente e non lato macchina? Qualche volta può succedere di confondersi e di tentare di applicare impostazioni macchina ad una OU che contiene utenti invece

2) Hai controllato che la policy sia effettivamente "linkata" alla tua OU? Lo puoi vedere dalle proprietà della OU

3) La policy è stata per caso disabilitata?

4) C'è qualche policy applicata a delle OU di livello gerarchico superiore con l'opzione "No override" abilitata?

5) Sul computer da cui ti logghi, hai provato a fare (dalla shell dei comandi) un bel "gpupdate /force" (se hai win xp) o "secedit /refrefshpolicy /enforce user_policy" (con win 2k) per far applicare subito le impostazioni?

6) Non è che per caso ci stai provando con un client win NT 4?


Iniziamo a controllare questo intanto

[ghimel]

Innanzitutto ciao e grafie fede_pg.

Ho seguito le tue indicazioni e:

le policy sono effettivamente lato utente (nello snap-in ho attivato Disabilita schermo da Visualizza del Pannello di controllo nei Modelli amministrativi configurazione utente come prova) mentre non ho toccato la configurazione computer. La OU creata in effetti contiene solo due utenti e nient'altro (è una OU di prova).

La policy è linkata alla OU creata (lo vedo chiaramente dalle proprietà della OU in Criteri di gruppo e come prova dentro Criteri di gruppo ho cliccato su Proprietà --> Trova per verificare che il criterio di gruppo fosse effettivamente linkato alla OU e così è).

La policy non è disabilitata

Non ci sono OU gerarchicamente superiori con l'opzione no override attiva

Ho provato a lanciare dalla shell il secedit per forzare la propagazione della policy ma ancora adesso non verifico nessuna applicazione

Infine il client da cui mi loggo monta Win 2000pro, non NT

L'ultima indicazione, comunque implicita, è che la rete è in un dominio con estensione .locale.

Boh, bel mistero!...

[ghimel]

Altra verifica: ho provato dalla shell a lanciare un gpresult per vedere le configurazioni del GP ma non mi dà molte informazioni in più...

[ghimel]

Altra consideazione: che ci sia una relazione tra le GP che non si propagano ed un'errata configurazione DNS? Mi spiego. Nella configurazione TCP/IP (che non ho curato personalmente ma me la sono trovata così) noto che il server DNS principale ha un IP diverso dal Domain Controller: è corretto?
Se lancio un nslookup su un indirizzo ip di un client connesso (quello su cui sto lavorando) mi dà Impossibile trovare nome server sia per l'indirizzo del server DNS principale sia per quello secondario. In pratica non trova entrambi i server dns.
C'è probabilmente una correlazione tra configurazione dns e applicazione delle GPO... In effetti, gli altri servizi di rete sembrano funzionare (connessioni, accesso internet, gestione del print server). Ora, come posso risettare il DNS? Corretto assegnargli l'IP del domain controller (il server in pratica)? E il server DNS secondario?
Grazie

[comas17]

Dovresti vedere se il server (il domain controller) è anche DNS Server; spesso si fa così ma non è detto.
I DNS che ti ritrovi nelle configurazioni dei client sono indirizzi presenti nella tua rete ? o puntano ad indirizzi pubblici (su internet) ? Puoi dirceli ?
Prova a cambiare l'indirizzo DNS primario di uno dei client ed inserisci quello del server; per il secondario (se i PC hanno accesso ad internet) puoi metterne, per esempio, uno della tin 212.216.112.112

[ghimel]

Grazie comas17!

verifico la corrispondenza tra Domain Controller e DNS server (una dritta sul metodo...)

In ogni caso l'indirizzo del server è 190.120.7.1 mentre quelli dei client sono indirizzi interni di rete (190.120.7.11, 190.120.7.12 ecc. con una suddivisione interna per aree logiche). Il server DNS primario è 192.106.1.1 e quello secondario 213.145.29.13, settati così sia sul server che sui client...

La configurazione me la sono trovata così e presumo ci sia una ragione, ma non capisco come mai il nslookup non risponda positivamente oltre al fatto principale che non riesca a far attivare i criteri di gruppo