Gestione dei criteri di gruppo
Il Novembre 20, 2021 da adminGroup Policy è una tecnologia di gestione di Active Directory per Windows che fornisce una gestione centralizzata delle impostazioni di configurazione. Anche se non è l’unica soluzione di gestione disponibile – si possono usare anche PowerShell Desired State Configuration (DSC) e Mobile Device Management (MDM) – Group Policy è la tecnologia raccomandata per i dispositivi client collegati al dominio perché fornisce un controllo più granulare di altre soluzioni.
Group Policy Management Console
Le impostazioni di Group Policy sono configurate in oggetti Group Policy (GPO). È possibile collegare i GPO a domini, siti e unità organizzative (OU). Per un controllo ancora maggiore, i GPO possono essere applicati in base ai risultati dei filtri WMI (Windows Management Instrumentation), anche se i filtri WMI dovrebbero essere usati con parsimonia perché possono aumentare significativamente il tempo di elaborazione dei criteri.
La Group Policy Management Console (GPMC) è uno strumento di amministrazione integrato in Windows che consente agli amministratori di gestire i Criteri di gruppo in una foresta Active Directory e ottenere dati per la risoluzione dei problemi dei Criteri di gruppo. Puoi trovare la Console di gestione dei criteri di gruppo nel menu Strumenti di Microsoft Windows Server Manager. Non è una buona pratica usare i controller di dominio per le attività di gestione quotidiana, quindi dovresti installare gli Strumenti di amministrazione remota del server (RSAT) per la tua versione di Windows.
Installazione di Group Policy Management Console
Se si utilizza Windows 10 versione 1809 o successiva, è possibile installare GPMC utilizzando l’app Impostazioni:
- Aprire l’app Impostazioni premendo WIN+I.
- Clicca Apps sotto Windows Settings.
- Clicca Manage optional features.
- Clicca + Add a feature.
- Clicca RSAT: Group Policy Management Tools e poi fare clic su Install.
Figura 1. Installazione della Console di gestione dei criteri di gruppo usando l’interfaccia dell’app Setting
Se stai usando una vecchia versione di Windows, dovrai scaricare la versione giusta di RSAT dal sito web di Microsoft.
Per comodità, potresti voler installare anche Server Manager. Ma se scegliete di non farlo, potete aggiungere GPMC a una Microsoft Management Console (MMC) e salvare la console.
Utilizzare la console di gestione dei criteri di gruppo
Ogni dominio AD ha due GPO predefiniti:
- Politica di dominio predefinita, che è legata al dominio
- Politica dei controller di dominio predefinita, che è legata alla OU del controller di dominio
Puoi vedere tutti i GPO in un dominio cliccando sul contenitore Oggetti dei criteri di gruppo nel pannello sinistro di GPMC.
Figura 2. Interfaccia della console di gestione dei criteri di gruppo
Creare un nuovo oggetto dei criteri di gruppo
Non cambiare né la politica dei controller di dominio predefiniti né la politica del dominio predefinito. Il modo migliore per aggiungere le proprie impostazioni è creare un nuovo GPO. Ci sono due modi per creare un nuovo GPO:
- Fate clic con il tasto destro del mouse sul dominio, sito o OU a cui volete collegare il nuovo GPO e selezionate Crea un GPO in questo dominio e Collegalo qui… Quando salvate il nuovo GPO, sarà collegato e abilitato immediatamente.
- Fate clic con il tasto destro del mouse sul contenitore degli oggetti dei criteri di gruppo e selezionate Nuovo dal menu. Sarà necessario collegare manualmente il nuovo GPO facendo clic con il tasto destro su un dominio, sito o OU e selezionando Link an Existing GPO. Potete farlo in qualsiasi momento.
A prescindere da come create un nuovo GPO, nella finestra di dialogo Nuovo GPO dovete dare un nome al GPO e potete scegliere di basarlo su un GPO esistente. Vedi la prossima sezione per informazioni sulle altre opzioni.
Modifica un oggetto dei criteri di gruppo
Per modificare un GPO, fai clic con il tasto destro del mouse in GPMC e seleziona Modifica dal menu. L’Editor di gestione dei criteri di gruppo di Active Directory si aprirà in una finestra separata.
Figura 3. Interfaccia dell’editor di gestione dei criteri di gruppo
I GPO sono divisi in impostazioni del computer e dell’utente. Le impostazioni del computer sono applicate all’avvio di Windows, e le impostazioni dell’utente sono applicate quando un utente accede. L’elaborazione in background dei Criteri di gruppo applica le impostazioni periodicamente se viene rilevato un cambiamento in un GPO.
Politiche vs Preferenze
Le impostazioni dell’utente e del computer sono ulteriormente suddivise in Politiche e Preferenze:
- Le politiche non tatuano il registro – quando un’impostazione in un GPO viene modificata o il GPO cade fuori portata, l’impostazione della politica viene rimossa e viene utilizzato il valore originale. Le impostazioni dei criteri sostituiscono sempre le impostazioni di configurazione di un’applicazione e saranno grigie in modo che gli utenti non possano modificarle.
- Le preferenze tatuano il registro per impostazione predefinita, ma questo comportamento è configurabile per ogni impostazione delle preferenze. Le preferenze sovrascrivono le impostazioni di configurazione di un’applicazione ma permettono sempre agli utenti di modificare gli elementi di configurazione. Molti degli elementi configurabili nelle Preferenze dei Criteri di gruppo sono quelli che potrebbero essere stati precedentemente configurati utilizzando uno script di login, come le mappature delle unità e la configurazione della stampante.
È possibile espandere i criteri o le preferenze per configurare le loro impostazioni. Queste impostazioni saranno poi applicate agli oggetti computer e utente che rientrano nell’ambito del GPO. Per esempio, se colleghi il tuo nuovo GPO alla OU del controller di dominio, le impostazioni saranno applicate agli oggetti computer e utente situati in quella OU e in qualsiasi OU figlia. Puoi usare l’impostazione Block Inheritance su un sito, dominio o OU per impedire che i GPO collegati agli oggetti padre siano applicati agli oggetti figlio. Puoi anche impostare il flag Enforced sui singoli GPO, che sovrascrive l’impostazione Block Inheritance e qualsiasi elemento di configurazione nei GPO che ha una precedenza maggiore.
Precedenza GPO
Molti GPO possono essere collegati a domini, siti e OU. Quando cliccate su uno di questi oggetti in GPMC, un elenco di GPO collegati apparirà sulla destra nella scheda Linked Group Policy Objects. Se c’è più di un GPO collegato, i GPO con un numero di ordine di collegamento più alto hanno la priorità sulle impostazioni configurate nei GPO con un numero inferiore.
Puoi cambiare il numero di ordine di collegamento cliccando su un GPO e usando le frecce a sinistra per spostarlo in alto o in basso. La scheda Eredità dei criteri di gruppo mostrerà tutti i GPO applicati, compresi quelli ereditati dagli oggetti padre.
Figura 4. Informazioni su tutte le GPO applicate in GPMC
Advanced Group Policy Management
Advanced Group Policy Management (AGPM) è disponibile come parte del Microsoft Desktop Optimization Pack (MDOP) per clienti Software Assurance. A differenza di GPMC, AGPM è un’applicazione client/server in cui il componente server memorizza le GPO offline, inclusa una cronologia per ogni GPO. Le GPO gestite da AGPM sono chiamate GPO controllate perché sono gestite dal servizio AGPM e gli amministratori possono controllarle in entrata e in uscita, proprio come si potrebbe controllare i file o il codice in entrata e in uscita da GitHub o da un sistema di gestione dei documenti.
AGPM fornisce un maggiore controllo sulle GPO rispetto a quanto è possibile con GPMC. Oltre a fornire il controllo della versione, consente di assegnare ruoli come Reviewer, Editor e Approver agli amministratori dei criteri di gruppo, il che aiuta a implementare uno stretto controllo delle modifiche durante l’intero ciclo di vita di GPO. L’auditing di AGPM offre anche una maggiore comprensione delle modifiche ai Criteri di gruppo.
Lascia un commento