Policy blocco sessione dopo 15 min inattivita'

martedì 22 agosto 2006 - 13.23

Elenco Threads

Stanze Forum

Aggiungi ai Preferiti

Cerca nel forum

Nickolò Profilo | Newbie

17 messaggi | Data Invio: mar 22 ago 2006 - 13:23

salve,
ho ricreato un nuovo dominio con Win server 2003 in seguito al danneggiamento dell' HD del server di Dominio precedente creato con Win server 2000.
Mi sono reso conto poi, che le sessioni dei client non si bloccano dopo il periodo di inattività come in precedenza al disastro.
Ho provato a gestire la policy del periododi tempo di inattività circa due settimane fa senza ottenere risultati.
Premetto che alcuni client non sono stati ancora registrati nel nuovo Dominio.
Come mai la policy non viene applicata?
Avete qualche suggerimento ?

Nicolò

us01739 Profilo | Expert

641 messaggi | Data Invio: mar 22 ago 2006 - 13:55

Ciao Nicolò,

prova a gaurdare qui per capire se hai fatto tutto per benino:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx#EAFAC

Fai attenzione ad una cosa: se il db delle policy locale (sui qlient per intenderci) è corrotto, le policy, anche quelle di dominio, non verranno mai applicate; per verificarlo usa il seguente comando:
esentutl /g %SystemDrive%\%WinDir%\security\database\secedit.sdb

Bye Bye

amh dimenticavo:
E' OVVIO CHE PER ESEGUIRE DELLE POLICY DI DOMINIO, L'ACCOUNT MACCHINA DEVE ESISTERE ED ESSERE ATTIVO IN ACTIVE DIRECTORY, QUINDI I CLIENT DEVO ESSERE IN DOMINIO

---------------------------------------------------
Roberto Gelmini - Microsoft Certified Professional
www.robertogelmini.com
---------------------------------------------------

Nickolò Profilo | Newbie

17 messaggi | Data Invio: mar 22 ago 2006 - 14:27

Ciao Roberto,
ho eseguito il comando esentutl /g %SystemDrive%\%WinDir%\security\database\secedit.sdb l'output è....

749x182 409Kb

come mai restituisce un errore di accesso?
quale soluzione posso adottare ?

Nicolò

us01739 Profilo | Expert

641 messaggi | Data Invio: mar 22 ago 2006 - 14:34

Pardon,
c'era una variabile di troppo

Prova così:
esentutl /g %WinDir%\security\database\secedit.sdb

Se tutto è ok, dovresti avere qualcosa del genere:

Microsoft(R) Windows(TM) Database Utilities
Version 5.1
Copyright (C) Microsoft Corporation. All Rights Reserved.

Initiating INTEGRITY mode...
        Database: C:\WINDOWS\security\database\secedit.sdb
  Temp. Database: TEMPINTEG2300.EDB

Checking database integrity.

                     Scanning Status (% complete)

          0    10   20   30   40   50   60   70   80   90  100
          |----|----|----|----|----|----|----|----|----|----|
          ...................................................


Integrity check successful.

Operation completed successfully in 0.721 seconds.

Bye Bye
---------------------------------------------------
Roberto Gelmini - Microsoft Certified Professional
www.robertogelmini.com
---------------------------------------------------

Nickolò Profilo | Newbie

17 messaggi | Data Invio: mar 22 ago 2006 - 14:43

Grazie
questa volta l'output è come suggerisci:

Microsoft(R) Windows(TM) Database Utilities
Version 5.1
Copyright (C) Microsoft Corporation. All Rights Reserved.

Initiating INTEGRITY mode...
Database: C:\WINDOWS\security\database\secedit.sdb
Temp. Database: TEMPINTEG3936.EDB

Checking database integrity.

Scanning Status (% complete)

0 10 20 30 40 50 60 70 80 90 100
|----|----|----|----|----|----|----|----|----|----|
...................................................

Integrity check successful.

Operation completed successfully in 0.625 seconds.

Quindi cosa mi consigli ?
Nicolò

us01739 Profilo | Expert

641 messaggi | Data Invio: mar 22 ago 2006 - 14:54

Bene, quindi cominciamo ad escludere qualche causa.
Nei computer che sono correttamente "joinati" al dominio, verifica se nell'event view trovi un errore 1101 simile a questo:

 Il codice sorgente non è stato renderizzato qui
perchè non c'è sufficiente spazio.
Clicca qui per visualizzarlo in una nuova finestra

Se sì, il motivo è il seguente:
(http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B909260)

Comunque, tu come hai configurato le policy? Hai impostato uno script, hai utilizzato la consolle,ecc..?

Bye Bye
---------------------------------------------------
Roberto Gelmini - Microsoft Certified Professional
www.robertogelmini.com
---------------------------------------------------

Nickolò Profilo | Newbie

17 messaggi | Data Invio: mar 22 ago 2006 - 15:19

mentre consulto i link che mi hai inviato ti dico che le policy le ho amministrate con la seguente procedura:
apro Active Directory -> click tasto dx su dominio -> Proprietà -> Scheda Criteri di Gruppo ->
Default Domain Policy > Modifica.

Inoltre nel visulizzatore eventi dei client non c'è l'errore 1101

Nicolò

Nickolò Profilo | Newbie

17 messaggi | Data Invio: ven 25 ago 2006 - 10:21

Buon giorno Roberto,
dopo la nostra discussione sono riuscito a capire quali policy erano coinvolte 'per il blocco del desktop dei client dopo un certo tempo di inattività'.
Dunque si editano le Defaullt Domain Policy e tra i modelli amministrativi delle impostazioni utente e si amministrano le policy che riguardano il desktop.
Ha scusa, per caso sai come non permettere a Internet Explorer di memorizzare gli accessi?
Se mi autentico ad un repository attraverso Apache, dalla volta successiva IE effettua automaticamente il sign in. Io vorrei invece che l'utente effettuasse agli volta il Login.
Ciao e.... grazie

Nicolò [MCP]

revontulet Profilo | Junior Member

106 messaggi | Data Invio: ven 25 ago 2006 - 23:27

>... per caso sai come non permettere a Internet Explorer
>di memorizzare gli accessi?
>Se mi autentico ad un repository attraverso Apache, dalla volta
>successiva IE effettua automaticamente il sign in. Io vorrei
>invece che l'utente effettuasse agli volta il Login.

prova a vedere questo articolo di Brainkiller

http://www.dotnethell.it/tips/PrivacyInternetExplorer.aspx

Nickolò Profilo | Newbie

17 messaggi | Data Invio: lun 28 ago 2006 - 13:38

Ciao,
ho già provato con quella procedura, non ha effetto sulla circostanza che mi interessa.
In sostanza, quando mi autentico con Apache in http usando il browser voglio che si presenti ogni volta il form di autenticazione (cosa che fa Mozzilla FireFox).
IE invece memorizza l'accesso.
Forse devo gestire la configurazione di Apache ?
Grazie

Pardon.... ho risolto.
la soluzione è in Internet Properties --> scheda Security -> Local Intranet -> Sites. Togliere la spunta alle checkbox.

Nicolò [MCP]

Torna su

Stanze Forum

Elenco Threads

Partecipa anche tu! Registrati!

Hai bisogno di aiuto ?
Perchè non ti registri subito?

Dopo esserti registrato potrai chiedere
aiuto sul nostro Forum oppure aiutare gli altri

Consulta le Stanze disponibili.

Registrati ora !