Group Policy Manager - Windows Small/Essential Business Server 2008

Forum di WindowServer.it 2.0 Sistemi Operati... Windows Small/E... Group Policy Manager

05/09/2010 20.28

	Exc3ss
18 posts

Group Policy Manager

Salve, mi trovo qui a scrivere perchè non riesco a trovare in rete nessun documento che spieghi "in italiano" più meno come usare lo strumento in oggetto che è potentissimo ma per fare più o meno diciamo le cose più richieste, esempio io avrei bisogno in un dominio di bloccare l'utilizzo delle chiavette usb e dei lettori cdrom di tutti i client, e di poter dare il diritto solo ad alcuni utenti, oppure di poter far modificare il registro solo ad alcuni utenti e ad altri no, oppure di bloccare l'utilizzo di tutte le applicazioni che sono quelle standard d'ufficio come office e bloccare l'utilizzo di internet explorer e altre applicazioni tipo nero etc. etc. come si possono realizzare queste funzionalità senza impazzire con script ma utilizzando solo lo strumento in oggetto?

grazie a tutti quelli che risponderanno

05/09/2010 23.41

	SdotNet
1161 posts
www.insidetechnologies.eu

Re: Group Policy Manager

Partiamo con ordine:

- il blocco delle periferiche usb le puoi fare tramite gpo, le info qui: http://blogs.techrepublic.com.com/datacenter/?p=452
- i permessi li controlli lasciando tutti gli utenti come users in modo che non possano installare e fare modifiche sui client
- il blocco delle applicazioni lo fai tramite le software restriction policy. trovi un articolo nella sezione dedicata a windows server 2003, che usa lo stesso sistema di 2008

la cosa fondamentale che devi fare è di creare una policy per ogni modifica che fai....questo perchè ti permette la granularità, la possibilità di disabilitare solo quella policy e di poterla applicare alle dovute OU.

S.Net - Community Lead - MCITP Enterprise - MCTS Operations Manager 2007

06/09/2010 0.50

	Exc3ss
18 posts

Re: Group Policy Manager

Modificato da Exc3ss su 05/09/2010 23.51.41)

SdotNet scrive

Partiamo con ordine:

- il blocco delle periferiche usb le puoi fare tramite gpo, le info qui: http://blogs.techrepublic.com.com/datacenter/?p=452

dunque sto cercando di capire come funziona solo che leggo che questo tipo di policies funzionano da windows 2008 e windows vista ma non sui vecchi sistemi operativi, non capisco se si riferisce al server o anche ai client, perchè io ho client che vanno da windows 2000 fino a windows vista, funzionano anche per questi sistemi operativi?

SdotNet scrive

- i permessi li controlli lasciando tutti gli utenti come users in modo che non possano installare e fare modifiche sui client

si gli utenti sono tutti users, e adesso sto creando diverse OU all'interno del "MyBusiness"/"Users"/"SBSUsers/[NomeOU]

SdotNet scrive

- il blocco delle applicazioni lo fai tramite le software restriction policy. trovi un articolo nella sezione dedicata a windows server 2003, che usa lo stesso sistema di 2008

Ho provato già ad operare quel tipo di blocco se non erro agiva sull'hash dei file exe ma purtroppo non funzionava

SdotNet scrive

la cosa fondamentale che devi fare è di creare una policy per ogni modifica che fai....questo perchè ti permette la granularità, la possibilità di disabilitare solo quella policy e di poterla applicare alle dovute OU.

il problema è che se creo un OU tipo "Commerciali" e poi creo una policy filtrandola per l'OU specifica, però se volessi crearne una apposita per un utente solo? non posso evitare di creare un OU per un singolo utente? e poi non ho chiaro una cosa, quanti tipi di policy posso creare? oppure un utente mi ha chiesto se posso abilitargli la modifica del registro di configurazione di windows... non che io voglia abilitarglielo ma mettiamo caso che voglia permetterglielo come faccio? c'è una policy esistente o la devo creare appositamente?

06/09/2010 10.45

	SdotNet
1161 posts
www.insidetechnologies.eu

Re: Group Policy Manager

il link che ti ho dato funziona solo per sistemi vista o superiori, per versioni precedenti guarda qui: http://support.microsoft.com/kb/555324

bene per l'uso delle multi OU per dividere i vari reparti

l'hash dei file funziona, però se esce una nuova versione del file automaticamente dovrai fare una nuova regola

per applicare la policy al singolo utente, basta che nella sezione di applicazione regola, dove di solito trovi gli authenticated users, metti il tuo utente specifico...oppure un gruppo di utenti al quale vuoi applicare la policy.

non esiste una polìcy per abilitare la scrittura sul registro, ma puoi fare tu la modifica direttamente al registro, cambiando i permessi....un po' come se fosse un file server.

S.Net - Community Lead - MCITP Enterprise - MCTS Operations Manager 2007

06/09/2010 13.35

	andrea.sistarelli
144 posts
sistarelli.com

Re: Group Policy Manager

Exc3ss scrive

Ho provato già ad operare quel tipo di blocco se non erro agiva sull'hash dei file exe ma purtroppo non funzionava

Ti conviene lavorare con le Path Rule e non con gli Hash, altrimenti devi stare sempre dietro agli aggiornamenti.
http://technet.microsoft.com/en-us/library/cc781337(WS.10).aspx

il problema è che se creo un OU tipo "Commerciali" e poi creo una policy filtrandola per l'OU specifica, però se volessi crearne una apposita per un utente solo? non posso evitare di creare un OU per un singolo utente? e poi non ho chiaro una cosa, quanti tipi di policy posso creare? oppure un utente mi ha chiesto se posso abilitargli la modifica del registro di configurazione di windows... non che io voglia abilitarglielo ma mettiamo caso che voglia permetterglielo come faccio? c'è una policy esistente o la devo creare appositamente?

Le GPO posso essere linkate solo ai sites, domini e OU. Poi all'interno di una OU puoi filtrarne l'applicazione agendo sulle proprietà di lettura e di applicazione. Proprio come fosse un file.

Ciao

Andrea Sistarelli
MCP - MCTS - MCSA - MCSE - MCT - CCNA

Pagina 1 di 1

Forum di WindowServer.it 2.0

Sistemi Operati...

Windows Small/E...

Group Policy Manager