Gestione delle policy
Le policy si creano usando gli strumenti presenti nel pacchetto RSAT, sotto windows. Le policy sono di fatto files che vengono poi salvate dentro al volume SYSVOL del DC. Se abbiamo piu` di un DC, ricordiamoci che Samba non esegue la sincronizzazione delle policy fra i vari DC, ergo dobbiamo trovare un modo per farlo noi a mano. Se abbiamo un solo DC, non c'e` problema.
Concetti di base validi per qualsiasi policy
Le policy si creano e modificano usando il Group Policy Editor (in italiano Gestione Criteri di Gruppo) che e` parte del pacchetto RSAT.
- Una policy puo` essere applicata a uno o piu` "oggetti", che possono essere tutto il dominio, solo alcuni utenti, solo alcuni gruppi, ecc.
Se vogliamo creare una policy per tutto il dominio, dobbiamo:
- Cliccare destro sul nome del dominio (sotto Foresta, Domini, il nome del dominio che ci interessa)
- Eseguire la voce "Crea un oggetto criteri di gruppo in questo dominio e crea qui un collegamento"
- Dare un nome sensato all'oggetto che stiamo creando (tipo "policy per mappare i dischi"). Quando diamo OK, il nostro oggetto appena creato apparira` sotto la voce "Oggetti criteri di gruppo".
Cliccare destro sul nostro oggetto "policy per mappare i dischi" e selezionare la voce "modifica". Si aprira` l'editor delle policy, in italiano Editor Gestione Criteri di Gruppo.
- Ora, a seconda di che cosa vogliamo fare, dovremo creare la giusta impostazione nell'editor delle policy. Fare riferimento agli esempi sotto per i vari tipi di azione che vogliamo compiere.
Se vogliamo creare una policy solo per un gruppo di utenti, dobbiamo:
Prima di tutto, a meno che non l'abbiamo gia`, occorre creare una OU (Organization Unit, o Unita` organizzativa in italiano) dentro all' editor degli utenti, quindi:
Aprire il programma Utenti e computer di Active Directory
Cliccare destro sul nome del dominio e selezionare "Nuovo -> Unita` organizzativa"
- Dare un nome alla nuova OU.
- Mettere qualche utente nella nuova OU (possiamo anche farlo dopo, ovviamente)
Ora possiamo aprire il Gestore Criteri di Gruppo, e in esso troveremo fra i vari oggetti la nostra OU che abbiamo appena creato.
- Eseguire gli stessi passi di prima, solo che per iniziare non si clicca destro sul nome del dominio ma sul nome della OU che abbiamo creato.
Esempi di policy che ho gia` usato e che so come si fanno
Ecco alcuni esempi di policy che ho usato e che so che funzionano (forse). Tutti questi esempi fanno riferimento all'editor delle policy, in altri termini le azioni qui indicate vanno fatte dentro l'editor delle policy, dopo aver creato la policy come indicato nel paragrafo precedente.
Eseguire uno script al logon o al logoff
- Andiamo sotto "configurazione utente / criteri / impostazioni di windows / Script(Accesso/fine sessione)".
- Modifichiamo quindi la proprieta` che si chiama "accesso" e inseriamo qui il nome del nostro script di logon, con eventuali parametri.
- Allo stesso modo sotto "fine sessione" possiamo inserire uno script di logoff.
- Vale la pena di notare che il pulsante "visualizza file" ci apre una finestra che mostra il percorso (sul server) dove il client si aspetta di trovare lo script. Utile per andare a inserire o modificare rapidamente il file che ci interessa senza dover inseguire il percorso relativo alla policy dentro allo share [sysvol].
Mappare uno o piu` dischi
- Andiamo sotto "configurazione utente / preferenze / impostazioni di windows / mapping unita`"
- Cliccando col tasto destro, possiamo selezionare "nuovo / unita` mappata"
- Nella finestra che appare selezioniamo le opzioni che ci interessano. Vale la pena di notare che ogni tanto i dischi non vengono mappati se l'utente fa login immediatamente dopo che il PC si e` avviato. Se aspetta 30 secondi tutto funziona. Per ridurre l'impatto di questo problema si può selezionare la casella "Riconnetti", in questo caso i dischi verranno mappati comunque ma si presenteranno come disconnessi (una X rossa). Cliccandoci sopra saranno comunque accessibili. Ho googolato il problema e pare che capiti a tanti, e che le varie soluzioni proposte funzionino in modo saltuario. L'unica soluzione vera è aspettare prima di fare login.