[Policy Dominio Win - Help]

[Teo@Unix]

Ho dei problemi con gli utenti "Domain Users" del mio dominio, sto effettuando il passaggio da gruppo di lavoro a dominio.

I miei utenti del dominio facente parte del gruppo domain users sembra non prendino le impostazioni di policy che ho impostato, e non possono avviare quasi nulla, per esempio outlook non parte neanche più, non capisco dove sbaglio ... la migrazione dell'utente locale a quello di dominio la sto facendo manualmente ... ma non credo che questo centri....

tutto ciò non accade se il mio utente è invece membro di "domain admins"...

La "Default Policy" è correttamente linkata e modificata...
tra i gruppi a cui viene applicata ho inserito "domain users" ma continuo ad avere lo stesso problema.
Ho inoltre escluso la policy per i computer ma nulla ..... non capisco ... qualcuno mi sa aiutare? grazie.

[BTS]

visto che fai a mano, probabilmente devi anche mettere l'utente di dominio localmente come amministratore della macchina

le policy non c'entrano niente

[Teo@Unix]

Perbacco sembra proprio così, ora controllerò bene ma credo di aver risolto, ora la mia policy viene applicata correttamente!

Grazie molte!!!

Se trovo qualche altro inghippo posto qui.

[BTS]

perchè la chiami policy? quelli sono solo diritti...

[Teo@Unix]

Policy perchè è una "politica di gestione" ...
non avevo pensato che gli utenti user domain dovevano essere amministratori locali, è da poco che ho cominciato a trattare con dominio windows, una volta che un pc è membro di un dominio non dovrebbero essere indipendenti utenti locali e globali?
Per esempio sul controller di dominio non sono neanche più visibili gli utenti locali.

Trovo giusto mantenere la possibilità di loggarsi localmente su i client, ma che gli user di un dominio debbano essere amministratori locali lo credevo non necessario...

Questo problema mi ha fatto perdere una giornata...

ora sono nella situazione di avere un pò di client in un gruppo di lavoro e un po membri del dominio, mantenendo le stesse credenziali tutto sommato il passaggio sta avvenendo senza problemi...

[BTS]

no... non è necessario che siano amministratori locali. Possono anche non esserlo, ma il profilo deve essere nuovo di pacca per far si che tutte le configurazioni dei programmi nascano con i giusti permessi.

[slowped]

Quote:

Originariamente inviato da BTS

no... non è necessario che siano amministratori locali

Infatti, non è assolutamente necessario. Sei sicuro che la policy sia stata definita correttamente?

Prova a creare ex-novo un utente del dominio (verrà incluso automaticamente nel gruppo domain users) e a loggarti su una macchina. Se il problema si presenta invariato, allora devi riguardare le policy. Se invece funziona tutto allora, come indicato da BTS, molto probabilmente il problema sta nei vecchi profili.

[Teo@Unix]

Si è così, un utente ex-novo non ha problemi...
Il problema stava nei vecchi profili.

[Teo@Unix]

Ora però i miei User Domain, essendo amministratori locali possono eseguire installazioni, nelle impostazioni della policy ho trovato la possibilità di disabilitare dal pannello di controllo la voce "aggingi/rimuovi" però questo non impedisce di installare applicativi in altro modo,
che possiblità ho di vietare le installazioni ora?
Dovrei vietare l'utilizzo del programma "Installshield" per esempio?

[BTS]

la strada migliore è segare tutti i profili e ricrearli dopo avere tolto gli utenti da amministratori locali

[Teo@Unix]

Però questo significa risettare poi tutto l'ambiente dell'utente,

[slowped]

Quote:

Originariamente inviato da Teo@Unix

Però questo significa risettare poi tutto l'ambiente dell'utente,

Però è l'unico modo in cui risolvi alla radice il problema.

[Teo@Unix]

Sbaglio o per ovviare al problema al momento della copia del profilo utente nel nuovo, è sufficiente utilizzare il tasto "cambia" sotto autorizzati ad usare, selezionando il gruppo domain users?!?!?!

[slowped]

Quote:

Originariamente inviato da Teo@Unix

Sbaglio o per ovviare al problema al momento della copia del profilo utente nel nuovo, è sufficiente utilizzare il tasto "cambia" sotto autorizzati ad usare, selezionando il gruppo domain users?!?!?!

Probabilmente sì. Considera però che in questo modo ogni utente del dominio è autorizzato ad avere il controllo completo sui profili di tutti gli altri utenti. Se la policy aziendale lo consente va bene, in ogni caso sarebbe opportuno informare gli utenti della situazione.

[Teo@Unix]

Si sono d'accordo.
Devo dire che sono comunque perplesso perchè non ho ancora trovato una procedura doc descritta da qualche parte sul sito della microsoft per il passaggio da gruppo di lavoro a dominio... e si che credo sia una cosa ricorrente.

Ne ho trovate molte che parlano di migrazioni, ma che non descrivono come risolvere il problema delle autorizzazioni.. che tra l'altro su i sistemi windows trovo siano interrogabili in modo poco chiaro... e che a volte conducono in errore. Naturalmente a mio parere.

Invece, ho trovato un altro problema, quando si copia il profilo nella nuova posizione utilizzando "copia in" ecc.. windows da, si vede, per scontato che i file di posta si trovino su server remoti, di fatti non li copia! Fatto questo non viene modificata la posizione dove outlook punta i file di posta, come avete intuito, nel caso gli archivi siano locali (ad esempio sui portatili), si crea questa pericolosa situazione:

Entrando con il nuovo account di dominio apriamo la posta e constatiamo che il tutto funziona regolarmente...
Andando a vedere dove outlook punta i file di posta scopro che il percorso dell'utente "pippo" del dominio "DOMAIN" per i file di posta è ancora
"C:\Documents and Settings\pippo\Impostazioni locali\Dati applicazioni\Microsoft\Outlook\"

mentre dovrebbe essere:

"C:\Documents and Settings\pippo.DOMAIN\Impostazioni locali\Dati applicazioni\Microsoft\Outlook"

Ignorando tutto questo...
a cose fatte andiamo a cancellare il vecchio profilo, eliminando così la posta anche del nuovo utente!

La microsoft non avverte questa cosa qui: http://technet.microsoft.com/it-it/l...8WS.10%29.aspx

Lo fa in modo ambiguo qui: http://support.microsoft.com/kb/811151/it



spero queste informazioni possano essere di aiuto a qualcuno, prima di fare disastri...

[slowped]

Quote:

Originariamente inviato da Teo@Unix

il passaggio da gruppo di lavoro a dominio... e si che credo sia una cosa ricorrente.

Meno di quanto immagini.

E poi considera anche il PESO dei dei vari segmenti di mercato. Mi spiego. I soldi veri con i sistemi operativi server MS li fa in ambiente corporate. E in questi ambienti le soluzioni di networking nascono nativamente in AD. Le problematiche connesse alla migrazione workgroup=>dominio è tipico delle piccole imprese che evidentemente costituiscono un segmento di mercato che interessa poco.

Quote:

Originariamente inviato da Teo@Unix

Invece, ho trovato un altro problema, quando si copia il profilo nella nuova posizione utilizzando "copia in" ecc.. windows da, si vede, per scontato che i file di posta si trovino su server remoti, di fatti non li copia! Fatto questo non viene modificata la posizione dove outlook punta i file di posta,

Quando copi un profilo vengono copiati anche i file di posta. L'unico problema è che non vengono modificate le impostazioni di Outlook che continua a puntare alla vecchia locazione.

Quote:

Originariamente inviato da Teo@Unix

Andando a vedere dove outlook punta i file di posta scopro che il percorso dell'utente "pippo" del dominio "DOMAIN" per i file di posta è ancora
"C:\Documents and Settings\pippo\Impostazioni locali\Dati applicazioni\Microsoft\Outlook\"

mentre dovrebbe essere:

"C:\Documents and Settings\pippo.DOMAIN\Impostazioni locali\Dati applicazioni\Microsoft\Outlook"

Prova a vedere se puoi utilizzare la variabile di ambiente %USERPROFILE% che contiene appunto il percorso in cui risiede il profilo utente (normalmente una cartella nella directory "Documents and Settings" del drive di sistema.

Come alternativa qui (http://cwashington.netreach.net/depo/view.asp?Index=55) c'è uno script che potrebbe esserti utile. Non ho avuto tempo di analizzarlo in profondità, ma credo che, una volta adattato alle tue esigenze, possa sovrascrivere i percorsi precedentemente utilizzati da outlook sostituendoli con i nuovi (in altre parole da pippo a pippo.DOMAIN).

Una volta collaudato potresti utilizzarlo come startup scripts runonce.

[OUTATIME]

Quote:

Originariamente inviato da Teo@Unix

spero queste informazioni possano essere di aiuto a qualcuno, prima di fare disastri...

Consiglio che do io in questi casi?

- Iscrivi la macchina a dominio
- Loggati come amministratore
- Nella Documents and Settings crea una cartella "old" e sposta il vecchio profilo dell'utente
- Loggati come utente in modo da creare un profilo nuovo
- Rendi l'utente che deve usare il PC amministratore
- Apri almeno una volta tutti i software che l'utente deve usare
- Fai il backup dei dati manualmente dal vecchio profilo.

Tempo fa (circa 2 mesi) scrissi una guida per un utente che aveva il tuo problema di migrazione, sul corretto utilizzo della copia profili.

[Teo@Unix]

Quote:

Originariamente inviato da slowped

Quando copi un profilo vengono copiati anche i file di posta.

No, ti invito ad osservare che non viene copiata tutta la cartella "impostazioni locali" dell'utente.

Cosa che ritengo senza senso dato che l'obiettivo è spostare l'ambiente di un utente su un'altro profilo. La cartella in questione contiene proprio tutte le personalizzazioni.

L'archivio di posta viene copiato solo se si trova in una posizione non predefinita.

[slowped]

Quote:

Originariamente inviato da Teo@Unix

No, ti invito ad osservare che non viene copiata tutta la cartella "impostazioni locali" dell'utente.

Vero. Sorry.