Archives For Group Policy Editor

Una richiesta tutto sommato semplice, in un ambiente che non è ancora pronto a fare quel piccolo salto che porta da Office 2013 a Office 2016, come previsto da Microsoft e dall’abbonamento a Office 365. È la stessa società di Redmond a suggerire cosa fare nel caso in cui questo sia necessario, pur ricordando che è sempre bene avere un software aggiornato (per questioni di sicurezza, e non solo).

Office 2013 (GPO): disabilitare l'upgrade a Office 2016

(Messaggio in inglese, lo so) Richiesta di upgrade a Office 2016, come permesso dall’abbonamento a Office 365.

Ho trovato un riferimento molto ben spiegato all’indirizzo support.microsoft.com/en-us/kb/3097292.

Office 365 / 2013 Pro Plus: reset della licenza via Powershell 2

Giusto per farla semplice (perché il documento è davvero spiegato bene), questa è la chiave di registro che ho fatto ritoccare ai PC tramite Group Policy:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\15.0\ClickToRun\Updates]
"UpdatesBlockedTime"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\15.0\Common\OfficeUpdate]
"EnableAutomaticUpgrade"=dword:00000000

Tengo conto anche degli svariati casi che ho trovato nel forum di Technet, dove molte lamentele fanno presente che la prima opzione (UpdatesBlockedTime) non basta a tenere fermo il classico banner che invita all’aggiornamento alla nuova versione di Office (occhio, intendo quella che ti permette di saltare da Office 2013 a 2016, non quella che informa riguardo una patch disponibile per la propria attuale release, quest’ultima deve continuare a poter funzionare, secondo me).

Office 2013 (GPO): disabilitare l'upgrade a Office 2016 1

(Messaggio in inglese, lo so) Richiesta di aggiornamento (di sicurezza, ma non solo) di Office 2013, senza necessità di Upgrade.

La chiave di registro, trasformata in XML per poter essere facilmente copiata e incollata nel Group Policy Editor, è la seguente (non indentata, lo so, porta pazienza e non fare lo schizzinoso, che in questo caso ti risparmio del lavoro ;-)):

<?xml version="1.0" encoding="UTF-8"?>
<Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Office 13: blocca upgrade"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="HKEY_LOCAL_MACHINE"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="SOFTWARE"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Microsoft"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Office"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="15.0"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="ClickToRun"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Updates"><Registry clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}" name="UpdatesBlockedTime" status="UpdatesBlockedTime" image="7" changed="2016-10-25 11:10:46" uid="{15503209-2E18-311F-ED07-5AE948CE4889}"><Properties action="U" displayDecimal="0" default="0" hive="HKEY_LOCAL_MACHINE" key="SOFTWARE\Microsoft\Office\15.0\ClickToRun\Updates" name="UpdatesBlockedTime" type="REG_SZ" value="0"/><Filters/></Registry></Collection></Collection><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Common"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="OfficeUpdate"><Registry clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}" name="EnableAutomaticUpgrade" status="EnableAutomaticUpgrade" image="12" changed="2016-10-25 11:10:46" uid="{6D5BB70C-4B26-16F8-3E29-7FE1C45B7651}"><Properties action="U" displayDecimal="0" default="0" hive="HKEY_LOCAL_MACHINE" key="SOFTWARE\Microsoft\Office\15.0\Common\OfficeUpdate" name="EnableAutomaticUpgrade" type="REG_DWORD" value="00000000"/><Filters/></Registry></Collection></Collection></Collection></Collection></Collection></Collection></Collection></Collection>

Una volta assegnata ai tuoi utenti, questa comincerà a lavorare e modificare il comportamento del registro, andando a nascondere il messaggio di richiesta upgrade al successivo avvio di un software facente parte della suite di Office.

G

Condividi l'articolo con i tuoi contatti:

Scenario: Office 365, tutti gli utenti in cloud, l’Active Directory di Exchange non è in alcun modo legata a quella che abbiamo sui nostri domain controller. Per questo motivo, il tentativo operato da Outlook ogni volta che si configura un account per la prima volta, impiega troppo tempo prima di presentare la classica finestra di richiesta credenziali da specificare manualmente (con possibilità di salvataggio per evitare di doverle reinserire ogni volta). Sia chiaro: non è un problema bloccante, è più un fastidio fortunatamente risolvibile tramite GPO sulle macchine dell’azienda (e non solo). Vediamo insieme come.

Logo-Exchange

Tutto è nato dall’ennesima attesa troppo lunga per la configurazione di Outlook, durante la quale ho deciso di lanciare un test di connettività che chiunque può a sua volta lanciare, passando dal sito web testconnectivity.microsoft.com.

Questo è il risultato parziale ottenuto:

Analizzatore connettività di Microsoft sta testando Exchange ActiveSync.
Il test di Exchange ActiveSync è stato superato.
Tempo trascorso: 55313 ms.

Sto tentando di eseguire un test del servizio di individuazione automatica e di Exchange ActiveSync (se richiesto).
Il servizio di individuazione automatica ha superato il test per Exchange ActiveSync.
Tempo trascorso: 49965 ms.

Sto tentando di contattare il servizio di individuazione automatica con ciascun metodo disponibile.
Il servizio di individuazione automatica ha superato il test.
Tempo trascorso: 49962 ms.

Sto tentando di testare il possibile URL del servizio di individuazione automatica https://contoso.com:443/Autodiscover/Autodiscover.xml
Il test di questo potenziale URL del servizio di individuazione automatica non è stato superato.
Tempo trascorso: 23744 ms

Sto tentando di risolvere il nome host contoso.com in DNS.
Sono riuscito a risolvere il nome dell’host.
Indirizzi IP restituiti: XXX.XX.XXX.XXX
Tempo trascorso: 1259 ms.

Sto testando la porta TCP 443 sull’host meli.it per controllare che sia aperta e in ascolto.
La porta specificata è bloccata, non è in ascolto o non produce la risposta prevista.
Ho rilevato un errore di rete durante la comunicazione con l’host remoto.
Tempo trascorso: 22484 ms.

Sto tentando di testare il possibile URL del servizio di individuazione automatica https://autodiscover.contoso.com:443/Autodiscover/Autodiscover.xml
Il test di questo potenziale URL del servizio di individuazione automatica non è stato superato.
Tempo trascorso: 24570 ms.

Solo al termine riuscirà finalmente a dialogare con outlook.com (Exchange in Cloud) tramite reindirizzamento HTTP:

Sto tentando di contattare il servizio di individuazione automatica tramite il metodo di reindirizzamento HTTP.
Ho contattato il servizio di individuazione automatica usando il metodo di reindirizzamento HTTP.
Tempo trascorso: 1647 ms.

Sto tentando di risolvere il nome host autodiscover.meli.it in DNS.
Sono riuscito a risolvere il nome dell’host.
Indirizzi IP restituiti: XXX.XX.XXX.XXX eccetera (la sfilza degli indirizzi IPv4 e IPv6 risolti direttamente dal DNS)
Tempo trascorso: 6 ms.

Sto testando la porta TCP 80 sull’host autodiscover.meli.it per controllare che sia aperta e in ascolto.
La porta è stata aperta correttamente.
Tempo trascorso: 24 ms.

Analizzatore connettività di Microsoft sta verificando l’individuazione automatica dell’host. meli.it per un reindirizzamento HTTP al servizio di individuazione automatica.
Ho ricevuto la risposta di reindirizzamento (HTTP 301/302).
URL di reindirizzamento: https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml Intestazioni risposte HTTP: Pragma: no-cache X-FEServer: CY1XXXX,CY1ZZZZ X-RequestId: XXXXYYYYZZZ Connection: close Content-Length: 0 Cache-Control: no-cache Date: Wed, 28 Oct 2015 08:43:24 GMT Location: https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml Server: Microsoft-IIS/8.0 X-Powered-By: ASP.NET
Tempo trascorso: 32 ms.

Secondo il documento di Microsoft “Unexpected Autodiscover behavior when you have registry settings under the \Autodiscover key ” disponibile all’indirizzo support.microsoft.com/en-us/kb/2212902, è possibile utilizzare un paio di valori di registro per poter modificare il comportamento di Outlook, forzandolo così a saltare a piè pari la fase di verifica in HTTPS e passare direttamente a quella in HTTP, dove “incontrerà” la risposta dei server di Microsoft Exchange in Cloud e quindi del nostro account che gestisce i domini di posta elettronica aziendale (o personale, ricordo che Office 365 è aperto a tutti).

Nello specifico, qui di seguito vi propongo un file di registro completo che modifica il comportamento di Outlook 2013 (Office 15.0) e Outlook 2016 (Office 16.0):

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\AutoDiscover]
"ExcludeHttpsRootDomain"=dword:00000001
"ExcludeHttpsAutoDiscoverDomain"=dword:00000001

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Outlook\AutoDiscover]
"ExcludeHttpsRootDomain"=dword:00000001
"ExcludeHttpsAutoDiscoverDomain"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover]
"ExcludeHttpsRootDomain"=dword:00000001
"ExcludeHttpsAutoDiscoverDomain"=dword:00000001

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Outlook\AutoDiscover]
"ExcludeHttpsRootDomain"=dword:00000001
"ExcludeHttpsAutoDiscoverDomain"=dword:00000001

Potete scaricare il file di registro da applicare alla vostra macchina direttamente prelevandolo qui: app.box.com/s/sg7haq3lqgw5kwf0t4djlojc33yn230c.

Una questione di GPO

Se invece la modifica deve impattare più macchine (di dominio, per esempio), sarà necessario passare da Group Policy Management di Windows. Quanto fatto sopra però andrà tradotto in XML, così da poterlo facilmente copiare e incollare all’interno di una nuova GPO (sempre consigliato: una GPO, una modifica, mai continuare a utilizzarne una più complessa e potenzialmente ingestibile in futuro). Il lavoro è stato eseguito, come al solito, con Reg2Gpo (disponibile per tutti all’indirizzo public.gfsolone.com/tools/reg2gpo), questo è il risultato:

<?xml version="1.0" encoding="UTF-8"?>
<Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="AutoDiscover_OFF"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="HKEY_CURRENT_USER"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Software"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Microsoft"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Office"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="15.0"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Outlook"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="AutoDiscover"><Registry clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}" name="ExcludeHttpsRootDomain" status="ExcludeHttpsRootDomain" image="12" changed="2015-11-16 11:25:02" uid="{9E57A7C4-8C7B-746B-9015-CD9C6FA01224}"><Properties action="U" displayDecimal="0" default="0" hive="HKEY_CURRENT_USER" key="Software\Microsoft\Office\15.0\Outlook\AutoDiscover" name="ExcludeHttpsRootDomain" type="REG_DWORD" value="00000001"/><Filters/></Registry><Registry clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}" name="ExcludeHttpsAutoDiscoverDomain" status="ExcludeHttpsAutoDiscoverDomain" image="12" changed="2015-11-16 11:25:02" uid="{09AA4871-48AC-8FC9-74BB-F83A80BA988F}"><Properties action="U" displayDecimal="0" default="0" hive="HKEY_CURRENT_USER" key="Software\Microsoft\Office\15.0\Outlook\AutoDiscover" name="ExcludeHttpsAutoDiscoverDomain" type="REG_DWORD" value="00000001"/><Filters/></Registry></Collection></Collection></Collection><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="16.0"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Outlook"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="AutoDiscover"><Registry clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}" name="ExcludeHttpsRootDomain" status="ExcludeHttpsRootDomain" image="12" changed="2015-11-16 11:25:02" uid="{5BC7DCB5-71C3-449C-6AB2-AF3FCE355496}"><Properties action="U" displayDecimal="0" default="0" hive="HKEY_CURRENT_USER" key="Software\Microsoft\Office\16.0\Outlook\AutoDiscover" name="ExcludeHttpsRootDomain" type="REG_DWORD" value="00000001"/><Filters/></Registry><Registry clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}" name="ExcludeHttpsAutoDiscoverDomain" status="ExcludeHttpsAutoDiscoverDomain" image="12" changed="2015-11-16 11:25:02" uid="{FED56706-04B5-C522-132C-855BC105F5EE}"><Properties action="U" displayDecimal="0" default="0" hive="HKEY_CURRENT_USER" key="Software\Microsoft\Office\16.0\Outlook\AutoDiscover" name="ExcludeHttpsAutoDiscoverDomain" type="REG_DWORD" value="00000001"/><Filters/></Registry></Collection></Collection></Collection></Collection></Collection><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Policies"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Microsoft"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Office"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="15.0"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Outlook"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="AutoDiscover"><Registry clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}" name="ExcludeHttpsRootDomain" status="ExcludeHttpsRootDomain" image="12" changed="2015-11-16 11:25:02" uid="{17D389E5-BB11-4911-BFE4-8D068DF81A7B}"><Properties action="U" displayDecimal="0" default="0" hive="HKEY_CURRENT_USER" key="Software\Policies\Microsoft\Office\15.0\Outlook\AutoDiscover" name="ExcludeHttpsRootDomain" type="REG_DWORD" value="00000001"/><Filters/></Registry><Registry clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}" name="ExcludeHttpsAutoDiscoverDomain" status="ExcludeHttpsAutoDiscoverDomain" image="12" changed="2015-11-16 11:25:02" uid="{1172FF58-D3BE-1650-7B93-9436042B3E32}"><Properties action="U" displayDecimal="0" default="0" hive="HKEY_CURRENT_USER" key="Software\Policies\Microsoft\Office\15.0\Outlook\AutoDiscover" name="ExcludeHttpsAutoDiscoverDomain" type="REG_DWORD" value="00000001"/><Filters/></Registry></Collection></Collection></Collection><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="16.0"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Outlook"><Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="AutoDiscover"><Registry clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}" name="ExcludeHttpsRootDomain" status="ExcludeHttpsRootDomain" image="12" changed="2015-11-16 11:25:02" uid="{F73218DC-D3FC-9AE8-4BB0-13787A78E3CC}"><Properties action="U" displayDecimal="0" default="0" hive="HKEY_CURRENT_USER" key="Software\Policies\Microsoft\Office\16.0\Outlook\AutoDiscover" name="ExcludeHttpsRootDomain" type="REG_DWORD" value="00000001"/><Filters/></Registry><Registry clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}" name="ExcludeHttpsAutoDiscoverDomain" status="ExcludeHttpsAutoDiscoverDomain" image="12" changed="2015-11-16 11:25:02" uid="{F833E244-92FF-113B-C2B6-18DE8FE1A94A}"><Properties action="U" displayDecimal="0" default="0" hive="HKEY_CURRENT_USER" key="Software\Policies\Microsoft\Office\16.0\Outlook\AutoDiscover" name="ExcludeHttpsAutoDiscoverDomain" type="REG_DWORD" value="00000001"/><Filters/></Registry></Collection></Collection></Collection></Collection></Collection></Collection></Collection></Collection></Collection>

Che trovate anche già convertito all’indirizzo app.box.com/s/c5bkq66rlupiouejo4d3baop2yanhuze. Non venitemi a parlare di indentazione, limitatevi al “Seleziona tutto, CTRL+C“, vi basterà copiarlo direttamente nella schermata di Group Policy Management per ottenere un risultato molto simile a questo:

Office 365 (Exchange in Cloud): disabilitare l'Autodiscover (HTTPS) 1

Inutile dirlo (si vede anche dall’immagine): dovrete incollarlo sotto User Configuration / Preferences / Windows Settings / Registry. Una volta terminata la modifica, “linkate” la GPO al dominio e applicatela a ogni utente autenticato:

Office 365 (Exchange in Cloud): disabilitare l'Autodiscover (HTTPS) 2

Il gioco è fatto. Entro i tempi di propagazione, ogni Outlook smetterà di puntare all’Autodiscover in HTTPS. La differenza è tanta, lo noterete con i vostri stessi occhi alla prima occasione ;-)

Buon lavoro.

Condividi l'articolo con i tuoi contatti:

Non avete installato (e non lo volete neanche) il sistema di Unified Communication di Microsoft ma vi beccate in pieno il client e i suoi componenti aggiuntivi in giro per il vostro disco e negli startup dei programmi. In Outlook Lync piazza un pulsante nella parte dedicata al calendario e che serve a fissare un meeting sulla piattaforma di Microsoft. Quel pulsante corrisponde ad una libreria DLL caricata in avvio, poca roba certamente, ma è pur sempre un qualcosa che rallenta potenzialmente l’avvio di Outlook.

Ho creato una policy GPO che va ad intervenire sul registro di sistema per bloccarne il caricamento. Riprodurla è molto semplice e posso già fornirvi il necessario per accelerare i tempi di realizzazione.

lync-2013

Create la nuova policy navigando fino a User Configuration / Preferences / Windows Settings / Registry.

A questo punto il da farsi è sempre lo stesso e ha due possibili vie: si porta tutto a termine a manina inserendo i valori di registro, le chiavi, ecc, oppure si trasforma un file .reg in XML così da poterlo incollare all’interno della finestra della GPO come nulla fosse, saltando a piè pari la rogna. Provate ad indovinare cosa vi suggerisco di fare :-)

Giusto per completezza sappiate che il valore da andare a modificare per disattivare il componente aggiuntivo in fase di avvio programma è il LoadBehavior, da portare a “2” (esadecimale) come descritto nel documento ufficiale di Microsoft all’indirizzo msdn.microsoft.com/en-us/library/bb386106.aspx. Altro aspetto al quale fare attenzione (come nel mio caso) è il tipo di installazione effettuata (di Office 2013, ndr) che se distribuito tramite portale Microsoft con la modalità Click-to-Run prevede una seconda location dove trovare ulteriori chiavi da andare a ritoccare, come riportato in un documento di KB sempre di Microsoft (support.microsoft.com/kb/2916599).

A questo punto le chiavi di registro da ritoccare sono le seguenti:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\15.0\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\Outlook\Addins\UCAddin.LyncAddin.1]
"LoadBehavior"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlook\Addins\UCAddin.LyncAddin.1]
"LoadBehavior"=dword:00000002

Che ho trasformato già per voi in codice XML per essere copiate e incollate direttamente nella GPO:

Vi ricordo che il tool di trasformare da file di registro (reg) a codice XML è disponibile pubblicamente all’indirizzo public.gfsolone.com/tools/reg2gpo, basterà avere a portata di mano il file da caricare e inserire i dettagli della GPO, lui penserà al resto e vi proporrà il download del file XML (che potrete direttamente aprire con un blocco note).

Il gioco è già fatto, assegnate la policy agli utenti desiderati (o a tutta l’azienda trattandosi di un componente aggiuntivo per una piattaforma che magari non avete e che non metterete in piedi in un secondo momento) et voilà.

Buon lavoro.

Condividi l'articolo con i tuoi contatti:

E’ una di quelle impostazioni che spesso rompe le scatole sia su client non in dominio (tipicamente casalinghi quindi) che in rete aziendale. Si tratta di una policy di sicurezza studiata per proteggervi e non permettervi di avviare applicazioni o file potenzialmente non sicuri, che vengono scaricati da siti web e che andrebbero “sbloccati” o che si tenta di eseguire da dischi di rete senza copiarli in locale. L’errore a video è tipicamente questo:

Che nonostante sia in inglese non differisce poi molto da quello in italiano, lo riconoscerete facilmente. Talvolta il messaggio potrebbe non consentirvi di fare clic su OK e bloccare completamente l’operazione. Per risolvere il problema sul client basta andare a modificare un’impostazione di sicurezza Internet nel pannello di controllo. Vale lo stesso per computer in dominio ma in quel caso si utilizza una GPO.

Farlo manualmente

E’ molto semplice. Da Start / Pannello di Controllo andate nelle Opzioni Internet (da Rete e Internet) e spostatevi nella voce Sicurezza, quindi scegliete Internet e fate clic sul pulsante “Livello personalizzato“. Scorrete le voci di questa finestra fino ad arrivare a “Avvio di applicazioni e file non sicuri” nell’area “Varie“, quindi spostate la selezione su “Chiedi conferma (consigliato)“:

Confermate il tutto fino ad uscire completamente dalla finestra delle Opzioni Internet. Quel messaggio non dovrebbe più comparirvi e sarete voi a decidere se procedere con l’apertura del file o meno ;-)

Farlo tramite policy di dominio

Farlo tramite Group Policy è altrettanto semplice. Per sicurezza andremo ad applicare il criterio amministrativo sia per PC che per utente. Da Group Policy Manager create una nuova policy e navigare in:

  • Computer Configuration
    • Policies
      • Administrative Templates
        • Windows Components
          • Internet Explorer
            • Internet Control Panel
              • Security Page
                • Internet Zone

Ora basterà cercare la voce “Launching programs and unsafe files” quindi attivarla e posizionarsi su “Prompt“:

Rifate lo stesso identico procedimento ma navigando la “User Configuration” e accertatevi che in entrambi i casi abbiate “Enabled” in corrispondenza del “Launching programs and unsafe files“:

Ed ecco quindi il risultato della policy appena creata:

A voi non resta che applicarla all’intero dominio o a specifiche OU (dipende dalle esigenze chiaramente). La modifica andrà in funzione una manciata di minuti dopo averla linkata dove serve.

Buon lavoro.

Condividi l'articolo con i tuoi contatti:

ShutdownUn computer remoto, la necessità di far sparire all’utente i pulsanti di spegnimento e riavvio della macchina e qualche minuto libero: la ricetta perfetta per l’articolo di stamattina (e intanto buongiorno a tutti).

Il caso è semplice: nel caso in cui la persona non abbia fisicamente accesso alla macchina (nel mio caso una virtuale, ndr) l’andare a cliccare per sbaglio il pulsante “Arresta” o “Riavvia il sistema” causa il fermo del lavoro e la necessità di avvisare chi a quella macchina può accederei in diversa maniera (via console, ndr). Per risolvere basta nascondere i pulsanti e magari richiamare lo spegnimento o il riavvio macchina da riga di comando, sempre funzionante.

Se si è amministratori di quella macchina (o dell’intero dominio) basterà dalla propria seguire una semplice procedura.

Da Start selezionare Esegui quindi digitare “mmc” e premere invio. Dalla console vuota che comparirà a video occorrerà aggiungere uno Snap-In (dal menu File, ndr) scegliendo il “Group Policy Object Editor“.

Una volta confermata la scelta comparirà la finestra dove andare a specificare se si tratta della macchina locale o remota tramite il bottone Browse (sul sistema in italiano sarà Sfoglia), ovviamente in questo specifico caso sarà la seconda (della quale ho specificato direttamente il nome essendo risolto da DNS interno):

L’opera è a metà, ora basterà navigare in User Configuration / Administrative Templates / Start Menu and Taskbar quindi modificare il valore di “Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate commands” in Enabled (in italiano: Configurazione utente / Modelli amministrativi / Menu Start e barra delle applicazioni / Rimuovi e impedisci accesso ai comandi Arresta il sistema, ecc.)

La modifica è immediata. Sfortunatamente non è possibile selezionare i pulsanti da far sparire, in un colpo solo verrà rimosso tutto quello che non corrisponde al semplice “Disconnetti“.

Ancora una volta ringrazio il forum di riferimento Microsoft per l’ottimo suggerimento sullo Snap-in da remoto spiegato nella prima parte dell’articolo, qui il thread.

Condividi l'articolo con i tuoi contatti: