A causa della documentazione confusa e a tratti insufficiente di Microsoft, ecco un articolo per partire con la configurazione dei desktop degli utenti dei pc in rete in un dominio Windows.
Alcune premesse:
- è possibile permettere o negare l'accesso con lo stesso account utente da più macchine contemporaneamente (e l'accesso simultaneo è utile se non serve che gli utenti si logghino ogni volta che usano il pc - ad es. sale internet per piccole e medie strutture);
- tutte le porte TCP/IP del server verso la rete locale devono essere aperte, poichè la trasmissione del profilo di Windows necessita alcune porte per l'RPC scelte a caso dopo la 1024, e forzarle è difficile (si interviene sui servizi componenti DCOM) e sconveniente(altri servizi di Windows non funzionano - ad es. alcune istanze fondamentali di svchost.exe);
- gli account del gruppo Domain Admins possono aggiungere e togliere pc dal dominio, mentre se fanno parte di Administrators allora possono anche operare sulle macchine a fondo e accedere al server!);
- gli oggetti computer in un dominio vengono creati automaticamente al primo accesso, gli utenti ovviamente no.
Per incominciare installare nel server la Group Policy Management Console, scaricabile da qui.
Una volta installata potete definire delle policies nuove, oltre a quelle di default già presenti, con il tasto destro sulla voce interessata nel menu a sinistra. La policy entra in funzione quando è "linkata" al dominio. E' possibile settare policies concorrenti, ma consiglio non farlo perchè in tal caso bisogna accuratamente controllare la precedenza. E' meglio associare a ogni policy il gruppo utente desiderato. Per associarla a tuttio gli utenti, aggungere solo Autenticated Users.
Per editare le policy, tasto dx sulla voce relativa del menu a sx e scegliere Edit. Non descrivo qui ogni singolo gruppo di voci perchè è presente una descrizione dettagliata nella console. Sappiate subito che è possibile anche distribuire pacchetti di installazione in formato msi.
Consiglio fortemente di togliere il link dal dominio delle Default Policies e applicare quelle nuove non cancellando le vecchie.
Infine, se qualche pc avesse problemi a creare il profilo locale con l'utente del dominio e desse errori del tipo "Impossibile copiare..." ad ogni tentativo di accesso, allora c'è qualche file corrotto in C:\Documents and Settings\Default User. Salvate da un'altra parte il contenuto della cartella e copiateci dentro il contenuto della cartella di qualsiasi altro utente, eccetto quello in uso e All Users. Loggate poi l'utente e lasciate al pc il tempo di ricostruire il profilo (anche un'ora).
Le informazioni in questa ultima parte dell'articolo valgono per Windows 2000 e Windows XP Professional.
Nessun commento:
Posta un commento