[Samba-it] Appunti GPO

NdK ndk.clanbo at gmail.com
Wed Mar 9 20:01:17 UTC 2016


Ciao a tutti.

Copio qui i miei appunti (*molto* ristretti) sulle GPO, nella speranza
che possano aiutare qualcun*a* ( :) ) a non spararsi in un piede...

-8<--
Il server *NON* interviene nell'applicazione della policy: è compito del
*client* che la riceve.
Il dominio si limita a determinare *quali* policy si applicano.

I GPO vengono tenuti in cache sul client.

Editare le policy *solo* coi tool standard, che gestiscono anche il
version number.

"Computer configuration" viene applicata dal computer account
(nomecomputer$) al momento del logon al dominio.
"User configuration" viene applicata al momento del logon dell'utente,
col suo account. Eccezione per loopback!

Tutte le policy di un gruppo di lavoro devono iniziare con la stessa
stringa (tipo struttura-nomepc-) perché lo spazio dei nomi delle GPO è
"piatto" e con molte policy diventerebbe difficile identificare quelle
d'interesse.


\\dominio.it\sysvol\dominio.it\policy contiene tutti i file delle
policy. Una cartella per policy, con GUID come nome.

Le policy si applicano all'oggetto dove sono linkate e a tutti i suoi child.
Le policy utente si applicano agli user account nella ou o nei suoi
child. Eccezione per loopback!

Le policy vengono applicate allo startup e *ogni 90 minuti*. Non è
quindi opportuno mettere file grossi, ma solo configurazioni (che magari
prendono il file grosso da una share di rete).
All'interno della OU, l'ordine di applicazione è l'inverso della
priorità (priorità bassa=eseguito prima = maggior probabilità di
sovrascrittura successiva).

Il policy-filtering permette *solo* di *togliere* l'applicazione di GPO
ad oggetti che la prenderebbero.
Meglio evitare come la peste i filtri WMI...

Installazione software:
 - usa solo file MSI
 - scrive solo in locale il risultato dell'installazione
 - ad ogni applicazione, ri-verifica che il sw sia installato
 - installare solo da una share accessibile da tutti!
 - utile per sw *molto* leggero, uniche opzioni concesse in file .mst
(p.e. il client OCS www.ocsinventory-ng.org)

Gli administrative templates "scompaiono" quando la macchina esce dal
dominio (o la policy viene rimossa). I template sono file locali alla
macchina con cui si edita la GPO, quindi conviene editare la GPO dalla
macchina più nuova.
L'utente *non* può modificare i valori impostati.

Loopback: configrazione del computer attivabile tramite policy. "quando
un utente fa logon su questo computer, fagli attivare *anche* la parte
*utente* delle policy che prende questo *computer*".
Non posso differenziare la config utente in base all'utente: la stessa
config viene applicata a tutti gli utenti che accedono a quella macchina.
Si attiva con un administrative template: configurazione
computer/criteri/sistema/criteri di gruppo/Modalità di elaborazione
loopback...

Riavviare la macchina a cui si è connessi via rdp:
shutdown -r -t 0

Forza l'aggiornamento dei criteri:
gpupdate /force


Preferences:
Non sono admin templates, quindi sono permanenti.
Non sono valori fissati, ma solo default *ridefinibili* dall'utente (ma
vengono ri-sovrascritti ogni 90 minuti!).
Preferibili per le stampanti.
-8<--

Non sono un esperto di GPO e normalmente non gestisco macchine win. Ma
dovrei aver imparato abbastanza da evitare piede e gamba...

BYtE,
 Diego



More information about the samba-it mailing list