Condividi tramite


Panoramica di Criteri di gruppo (Office System 2007)

Aggiornamento: marzo 2007

Si applica a: Office Resource Kit

 

Ultima modifica dell'argomento: 2015-03-09

Criteri di gruppo è un'infrastruttura che gli amministratori possono utilizzare per implementare specifiche configurazioni di elaborazione per gli utenti e i computer. Le impostazioni dei criteri possono essere inoltre applicate a server membri e controller di dominio all'interno di una foresta di Active Directory. Gli amministratori utilizzano Criteri di gruppo per definire le configurazioni una sola volta e fare in modo che esse vengano applicate dal sistema operativo.

Le impostazioni di Criteri di gruppo sono contenute negli oggetti Criteri di gruppo (GPO), che sono collegati a contenitori del servizio directory di Active Directory selezionati, ovvero siti, domini o unità organizzative (OU). Le impostazioni contenute negli oggetti Criteri di gruppo vengono valutate dalle destinazioni interessate in base alla natura gerarchica di Active Directory.

L'infrastruttura di Criteri di gruppo è costituita da un modulo di gestione di Criteri di gruppo e da diverse singole estensioni. Queste ultime consentono di configurare le impostazioni di Criteri di gruppo modificando il Registro di sistema tramite l'estensione Modelli amministrativi oppure di impostarle per la protezione, l'installazione di software, il reindirizzamento delle cartelle, la manutenzione di Internet Explorer, le impostazioni di rete wireless e altre aree.

Ogni estensione di Criteri di gruppo include due estensioni:

  • Un'estensione sul lato server dello snap-in MMC (Microsoft Management Console) Editor oggetti Criteri di gruppo, il quale consente di definire e impostare i criteri applicati ai computer client.

  • Un'estensione lato client che chiama il modulo di gestione di Criteri di gruppo per applicare le impostazioni dei criteri.

Le impostazioni dei criteri di Microsoft Office System 2007 sono contenute nei file dei modelli amministrativi (con estensione adm). Per ulteriori informazioni, vedere la sezione Estensione Modelli amministrativi.

Nelle sezioni seguenti viene fornita una panoramica dei concetti relativi a Criteri di gruppo. Per ulteriori informazioni, vedere Insieme di Criteri di gruppo (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0x410) (informazioni in lingua inglese) nel sito Microsoft TechNet.

Contenuto dell'argomento

Criteri di gruppo locali e basati su Active Directory

Elaborazione di Criteri di gruppo

Applicazione di Criteri di gruppo

Destinazione dell'applicazione di oggetti Criteri di gruppo

Estensione Modelli amministrativi

Criteri effettivi e preferenze utente

Strumenti di gestione di Criteri di gruppo

Strumento di personalizzazione di Office e Criteri di gruppo

Criteri di gruppo locali e basati su Active Directory

Ogni computer dispone di un oggetto Criteri di gruppo locale che viene sempre elaborato, indipendentemente dal fatto che il computer faccia parte di un dominio o al contrario sia autonomo. L'oggetto Criteri di gruppo locale non può essere bloccato da oggetti Criteri di gruppo basati su dominio, tuttavia le impostazioni di questi ultimi hanno priorità poiché vengono elaborati dopo l'oggetto Criteri di gruppo locale.

Sebbene sia possibile configurare gli oggetti Criteri di gruppo locali su singoli computer, i vantaggi maggiori derivanti dall'utilizzo di Criteri di gruppo si ottengono in reti basate su Windows 2000 o Windows Server 2003 in cui è installato Active Directory.

Gli amministratori possono implementare le impostazioni di Criteri di gruppo per una parte più o meno ampia dell'organizzazione, a seconda delle necessità. A tale scopo, è possibile collegare gli oggetti Criteri di gruppo a siti, domini e unità organizzative. I collegamenti agli oggetti Criteri di gruppo interessano gli utenti e i computer nel modo illustrato di seguito:

  • Gli oggetti Criteri di gruppo collegati a un sito si applicano a tutti gli utenti e i computer nel sito.

  • Gli oggetti Criteri di gruppo collegati a un dominio si applicano direttamente a tutti gli utenti e i computer nel dominio nonché vengono ereditati da tutti gli utenti e computer nelle unità organizzative figlio. Gli oggetti Criteri di gruppo non vengono ereditati tra domini.

  • Gli oggetti Criteri di gruppo collegati a un'unità organizzativa si applicano direttamente a tutti gli utenti e i computer nell'unità organizzativa e vengono ereditati da tutti gli utenti e i computer nelle unità organizzative figlio.

Quando si crea un oggetto Criteri di gruppo, esso viene archiviato nel dominio. Se un oggetto Criteri di gruppo è collegato a un contenitore di Active Directory, ad esempio un'unità organizzativa, il collegamento diventa un componente del contenitore in questione. Il collegamento non è un componente dell'oggetto Criteri di gruppo.

Per creare un oggetto Criteri di gruppo, gli amministratori devono disporre di privilegi di creazione. Per impostazione predefinita, gli oggetti Criteri di gruppo possono essere creati solo da amministratori di dominio, amministratori dell'organizzazione e membri del gruppo Proprietari autori criteri di gruppo. Per modificare un oggetto Criteri di gruppo, è necessario disporre delle apposite autorizzazioni di modifica.

Per ulteriori informazioni sull'infrastruttura di Criteri di gruppo, vedere Insieme di Criteri di gruppo (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0x410) (informazioni in lingua inglese) nel sito Microsoft TechNet.

Nei sistemi operativi Windows Vista e Windows Server® 2008 sono state introdotte nuove funzionalità per la gestione degli oggetti Criteri di gruppo locali, le quali consentono agli amministratori di computer autonomi di applicare più oggetti Criteri di gruppo agli utenti di questo tipo di computer.

Più oggetti Criteri di gruppo locali: modifiche apportate in Windows Vista e Windows Server 2008

Windows Vista e Windows Server 2008 supportano la gestione di più oggetti Criteri di gruppo locali per i computer autonomi. Questa funzionalità è utile per la gestione di ambienti in cui singoli computer vengono condivisi, ad esempio biblioteche e laboratori. È possibile assegnare più oggetti Criteri di gruppo locali a utenti o gruppi predefiniti locali.

In un ambiente di gruppo di lavoro, ogni computer dispone delle proprie impostazioni dei criteri. Questa funzionalità viene utilizzata per i Criteri di gruppo basati su dominio, ma può essere disattivata tramite un'impostazione di Criteri di gruppo.

Gli amministratori possono utilizzare più oggetti Criteri di gruppo locali per gli scopi seguenti:

  • Applicare livelli diversi di Criteri di gruppo agli utenti locali di un computer autonomo. Si tratta di una funzionalità particolarmente utile per gli ambienti di elaborazione condivisa in cui non è disponibile la gestione basata su dominio.

  • Gestire Criteri di gruppo in base a gruppi di amministratori e non amministratori. Se ad esempio gli amministratori desiderano configurare i computer di un laboratorio in modo da garantire la protezione, possono creare impostazioni dei criteri particolarmente restrittive per i gruppi di utenti e meno restrittive per gli account amministratore predefiniti. In questo modo gli amministratori non saranno costretti a disattivare o rimuovere in modo esplicito impostazioni di Criteri di gruppo che interferiscono con la gestione della workstation prima di eseguire attività amministrative. Gli amministratori di Windows Vista possono inoltre disattivare le impostazioni di Criteri di gruppo locali senza attivare in modo esplicito Criteri di gruppo basati su dominio.

Gli amministratori di dominio possono disattivare l'elaborazione degli oggetti Criteri di gruppo locali su client che eseguono Windows Vista attivando il criterio Disattiva elaborazione oggetti Criteri di gruppo locali in un oggetto Criteri di gruppo di dominio. Questa impostazione si trova in Configurazione computer\Modelli amministrativi\Sistema\Criteri di gruppo.

In Windows Vista sono disponibili tre livelli di oggetti Criteri di gruppo locali, ovvero: Criteri di gruppo locali, Criteri di gruppo per amministratori e Criteri di gruppo per non amministratori e Criteri di gruppo locali specifici dell'utente. Questi livelli di oggetti Criteri di gruppo locali vengono elaboratori nell'ordine seguente:

  • Criteri di gruppo locali

  • Criteri di gruppo per amministratori e Criteri di gruppo per non amministratori

  • Criteri di gruppo locali specifici dell'utente

Per informazioni dettagliate sull'utilizzo di più oggetti Criteri di gruppo locali in Windows Vista, vedere la Guida dettagliata alla gestione di più oggetti Criteri di gruppo locali (informazioni in lingua inglese) nel sito Web Microsoft TechNet.

Elaborazione di Criteri di gruppo

L'oggetto Criteri di gruppo locale viene elaborato per primo mentre l'unità organizzativa a cui appartiene il computer o l'utente (quella di cui è un membro diretto) per ultima. Le impostazioni di Criteri di gruppo vengono elaborate nell'ordine seguente:

  • Oggetto Criteri di gruppo locale. Ogni computer dispone di un oggetto Criteri di gruppo archiviato localmente. Tale oggetto viene elaborato per i Criteri di gruppo sia del computer sia dell'utente.

  • Sito. Di seguito, vengono elaborati gli oggetti Criteri di gruppo collegati al sito a cui il computer appartiene. L'elaborazione viene eseguita nell'ordine specificato dall'amministratore nella scheda Oggetti Criteri di gruppo collegati relativa al sito nella console Gestione Criteri di gruppo. L'oggetto Criteri di gruppo collegato elencato per ultimo viene elaborato per ultimo e ha la priorità più bassa. Per informazioni sulla console Gestione Criteri di gruppo, vedere la sezione Strumenti di gestione di Criteri di gruppo.

  • Dominio. Gli oggetti Criteri di gruppo collegati al dominio vengono elaborati nell'ordine specificato dall'amministratore nella scheda Oggetti Criteri di gruppo collegati relativa al dominio nella console Gestione Criteri di gruppo. L'oggetto Criteri di gruppo elencato per ultimo viene elaborato per ultimo e ha la priorità più bassa.

  • Unità organizzative. Gli oggetti Criteri di gruppo collegati all'unità organizzativa più in alto nella gerarchia di Active Directory vengono elaborati per primi e quindi vengono elaborati quelli collegati alle relative unità organizzative figlio e così via. Gli oggetti Criteri di gruppo collegati all'unità organizzativa contenente l'utente o il computer sono elaborati per ultimi.

L'ordine di elaborazione è soggetto alle condizioni seguenti:

  • Strumentazione gestione Windows (WMI) o filtri di protezione applicati agli oggetti Criteri di gruppo.

  • Eventuali oggetti Criteri di gruppo basati su dominio (non locali) possono essere applicati mediante l'opzione Applica, in modo che le relative impostazioni non possano essere sovrascritte. Poiché gli oggetti Criteri di gruppo applicati sono elaborati per ultimi, le relative impostazioni non possono essere sovrascritte da altre. Se sono presenti più oggetti Criteri di gruppo applicati, una stessa impostazione in ognuno di essi può essere impostata su un valore diverso. In questo caso, l'ordine di collegamento degli oggetti Criteri di gruppo determina l'oggetto contenente le impostazioni finali.

  • In qualsiasi dominio o unità organizzativa, l'ereditarietà di Criteri di gruppo può essere impostata in modo selettivo su Blocca eredità. Tuttavia, poiché gli oggetti Criteri di gruppo applicati vengono applicati sempre e non è possibile bloccarli, questa impostazione non impedirà l'applicazione dei criteri di questo tipo di oggetti.

Eredità dei criteri

Le impostazioni dei criteri applicate per un utente e un computer dipendono dalla combinazione di oggetti Criteri di gruppo applicati in un sito, un dominio o un'unità organizzativa. Quando si applicano più oggetti Criteri di gruppo a utenti e computer nei contenitori di Active Directory, le impostazioni di tali oggetti vengono aggregate. Per impostazione predefinita, le impostazioni distribuite negli oggetti Criteri di gruppo collegati ai contenitori di livello più alto (contenitori padre) in Active Directory vengono ereditate dai contenitori figlio e si combinano con le impostazioni distribuite negli oggetti Criteri di gruppo collegati ai contenitori figlio. Se più oggetti Criteri di gruppo contengono impostazioni con valori in conflitto, vengono utilizzate quelle dell'oggetto Criteri di gruppo con priorità più elevata, ovvero quello elaborato per ultimo.

Applicazione di Criteri di gruppo

I Criteri di gruppo per i computer vengono applicati all'avvio di quest'ultimo. Quelli per gli utenti vengono applicati quando questi eseguono l'accesso. Oltre all'elaborazione iniziale di Criteri di gruppo all'avvio e all'accesso, essi vengono applicati in seguito periodicamente in background. Durante l'aggiornamento in background, un'estensione sul lato client riapplica le impostazioni dei criteri solo se vengono rilevate modifiche nel server in uno o più oggetti Criteri di gruppo o nell'elenco di questi ultimi.

Per l'installazione di software e il reindirizzamento delle cartelle, l'elaborazione di Criteri di gruppo viene eseguita solo all'avvio del computer o all'accesso dell'utente.

Elaborazione sincrona e asincrona

I processi di tipo sincrono possono essere descritti come serie di processi in cui è necessario che un processo venga completato prima che possa essere avviato il successivo. I processi asincroni possono essere eseguiti in diversi thread contemporaneamente, poiché il risultato di ogni processo è indipendente da quello degli altri. Gli amministratori possono utilizzare un'impostazione per ogni oggetto Criteri di gruppo affinché il comportamento di elaborazione predefinito risulti asincrono piuttosto che sincrono.

Nel caso dell'elaborazione sincrona, tutti i processi devono essere completati entro 60 minuti. Allo scadere di questo periodo, le estensioni lato client che non hanno completato l'elaborazione vengono interrotte e le relative impostazioni dei criteri potrebbero non essere applicate completamente.

Funzionalità di ottimizzazione dell'accesso rapido

La funzionalità di ottimizzazione dell'accesso rapido è configurata per impostazione predefinita per i membri di dominio e di gruppi di lavoro. Ne consegue l'applicazione asincrona dei criteri all'avvio del computer e all'accesso dell'utente. Questo tipo di applicazione dei criteri è analogo all'aggiornamento in background. Riduce il tempo necessario per la visualizzazione della finestra di accesso e del desktop.

[!NOTA] L'ottimizzazione dell'accesso non è attivato e i criteri vengono elaborati in modo sincrono al primo accesso dell'utente, se quest'ultimo dispone di un profilo comune, se dispone di una home directory e se nell'oggetto utente è specificato uno script di accesso. I criteri relativi al reindirizzamento delle cartelle e all'installazione del software richiedono l'applicazione sincrona. In tali condizioni, l'avvio del computer può comunque essere di tipo asincrono, tuttavia, poiché l'accesso è sincrono, non verrà utilizzata la funzionalità di ottimizzazione.
I computer client che eseguono Windows XP Professional, l'edizione a 64 bit di Windows XP (Itanium) e Windows Server 2003 supportano l'ottimizzazione dell'accesso rapido in qualsiasi ambiente di dominio.
Per i server, l'elaborazione all'avvio e all'accesso funziona sempre come se questo criterio fosse attivato.

Gli amministratori possono disattivare la funzionalità di ottimizzazione dell'accesso rapido con il criterio Attendi sempre disponibilità rete all'avvio e all'accesso disponibile nel nodo Configurazione computer\Modelli amministrativi\Sistema\Accesso dell'Editor oggetti Criteri di gruppo. Se questo criterio è attivato, l'accesso viene eseguito come sui client Windows 2000. Ciò significa che Windows XP attenderà il completamento dell'inizializzazione della rete prima di consentire l'accesso agli utenti. I Criteri di gruppo vengono applicati in modo sincrono in primo piano.

Elaborazione su collegamenti lenti

Alcune estensioni di Criteri di gruppo non vengono elaborate se la velocità della connessione scende al di sotto di soglie specificate. Il valore predefinito per considerare un collegamento lento corrisponde a qualsiasi velocità inferiore a 500 Kbps.

Le impostazioni predefinite per l'elaborazione di Criteri di gruppo su collegamenti lenti sono illustrate di seguito.

Impostazione Valore predefinito

Impostazioni di protezione

ATTIVATA (non è possibile disattivarla)

Protezione IP

ATTIVATA

EFS

ATTIVATA

Criteri restrizione software

ATTIVATA

Wireless

ATTIVATA

Modelli amministrativi

ATTIVATA (non è possibile disattivarla)

Installazione software

DISATTIVATA

Script

DISATTIVATA

Reindirizzamento cartelle

DISATTIVATA

Manutenzione di Internet Explorer

ATTIVATA

Gli amministratori possono utilizzare un criterio per sovrascrivere le impostazioni predefinite. Per specificare le impostazioni relative al rilevamento dei collegamenti lenti per Criteri di gruppo, utilizzare il criterio Rilevamento collegamento lento Criteri di gruppo nel nodo Configurazione computer\Modelli amministrativi\Sistema\Criteri di gruppo dell'Editor oggetti Criteri di gruppo.

Per impostare questa opzione per gli utenti, utilizzare il criterio Rilevamento collegamento lento Criteri di gruppo in Configurazione utente\Modelli amministrativi\Sistema\Criteri di gruppo.

Per ulteriori informazioni sulla gestione di Criteri di gruppo su collegamenti lenti, vedere Impostazione di Criteri di gruppo per il rilevamento di collegamenti lenti (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=80435\&clcid=0x410) (informazioni in lingua inglese) nel sito Microsoft TechNet.

Intervallo di aggiornamento di Criteri di gruppo

Per impostazione predefinita, i Criteri di gruppo vengono elaborati ogni 90 minuti, con un ritardo casuale di massimo 30 minuti, per un totale massimo di 120 minuti.

Se si apportano modifiche alle impostazioni di protezione, i criteri vengono aggiornati nei computer presenti nell'unità organizzativa a cui è collegato l'oggetto Criteri di gruppo:

  • Al riavvio del computer.

  • Ogni 90 minuti nelle workstation e nei server e ogni 5 minuti nei controller di dominio.

  • Per impostazione predefinita, le impostazioni dei criteri di protezione distribuite tramite Criteri di gruppo vengono inoltre applicate ogni 16 ore (960 minuti), anche se non viene apportata alcuna modifica agli oggetti Criteri di gruppo.

Attivazione di un aggiornamento di Criteri di gruppo

Le modifiche apportate all'oggetto Criteri di gruppo devono essere prima replicate nel controller di dominio appropriato. Pertanto, le modifiche apportate alle impostazioni di Criteri di gruppo potrebbero non essere immediatamente disponibili per i desktop degli utenti. In alcuni scenari, ad esempio l'applicazione di impostazioni dei criteri di protezione, potrebbe essere necessario applicare le impostazioni immediatamente.

Gli amministratori possono attivare manualmente un aggiornamento dei criteri da un computer locale senza attendere l'aggiornamento automatico in background. A tale scopo, gli amministratori possono digitare il comando gpupdate alla riga di comando per aggiornare le impostazioni dei criteri per l'utente o il computer. Non è possibile attivare un aggiornamento dei criteri mediante la console Gestione Criteri di gruppo.

Il comando gpupdate attiva un aggiornamento in background dei criteri nel computer locale in cui esso è stato eseguito. Il comando gpupdate è disponibile negli ambienti Windows Server 2003 e Windows XP.

Non è possibile attivare l'applicazione su richiesta di Criteri di gruppo nei client dal server.

Per ulteriori informazioni sull'utilizzo di gpupdate, vedere Aggiornare le impostazioni di Criteri di gruppo con GPUpdate.exe (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=80461\&clcid=0x410) (informazioni in lingua inglese) nel sito Web Microsoft TechNet.

Destinazione dell'applicazione di oggetti Criteri di gruppo

Il metodo principale per specificare a quali utenti e computer sono destinate le impostazioni di un oggetto Criteri di gruppo è rappresentato dal collegamento dell'oggetto a siti, domini e unità organizzative.

È possibile modificare l'ordine di elaborazione predefinito degli oggetti Criteri di gruppo modificando l'ordine dei collegamenti, bloccando l'ereditarietà dei criteri, applicando un collegamento a un oggetto Criteri di gruppo (operazione precedentemente nota come sostituzione) e disattivando un collegamento a un oggetto Criteri di gruppo.

Gli amministratori possono utilizzare i filtri di protezione e WMI per modificare l'insieme di utenti e computer a cui applicare un oggetto Criteri di gruppo.

Gli amministratori possono inoltre utilizzare la funzionalità di elaborazione loopback per accertarsi che lo stesso insieme di impostazioni dei criteri sia applicato a qualsiasi utente che accede a un computer specifico.

Modifica dell'ordine di elaborazione degli oggetti Criteri di gruppo

Gli amministratori possono utilizzare uno dei metodi illustrati di seguito per modificare l'ordine in cui vengono elaborati gli oggetti Criteri di gruppo:

  • Modificare l'ordine dei collegamenti. L'ordine dei collegamenti agli oggetti Criteri di gruppo in un sito, dominio o unità organizzativa determina quando i collegamenti vengono applicati. Gli amministratori possono modificare la priorità di un collegamento modificando l'ordine, ovvero spostando il collegamento desiderato più in basso o più in alto nell'elenco. Il collegamento più in alto nell'elenco (1 rappresenta la posizione più elevata) ha la massima precedenza per il sito, il dominio o l'unità organizzativa.

  • Bloccare l'ereditarietà. Se si blocca l'ereditarietà per un dominio o un'unità organizzativa, gli oggetti Criteri di gruppo collegati ai siti, ai domini e alle unità organizzativa di livello superiore non verranno ereditati dai contenitori figlio in Active Directory. Per impostazione predefinita, tali contenitori ereditano tutti gli oggetti Criteri di gruppo dei contenitori padre, tuttavia, talvolta è utile impedire l'ereditarietà.

  • Applicare un collegamento a un oggetto Criteri di gruppo. Gli amministratori possono specificare che le impostazioni incluse in un oggetto Criteri di gruppo collegato devono avere priorità sulle impostazioni di altri oggetti figlio impostando il collegamento in questione su Applicato. I collegamenti applicati in questo modo non possono essere bloccati dal contenitore padre. Se gli oggetti Criteri di gruppo contengono impostazioni in conflitto e non sono imposti a un contenitore di livello superiore, le impostazioni dei collegamenti nel contenitore padre di livello superiore verranno sovrascritte dagli oggetti Criteri di gruppo collegati alle unità organizzative figlio. In caso di imposizione, l'oggetto Criterio di gruppo collegato al contenitore padre ha sempre priorità. Per impostazione predefinita, gli oggetti Criteri di gruppo collegati non vengono imposti.

  • Disattivare un collegamento a un oggetto Criteri di gruppo. Per impostazione predefinita, l'elaborazione è attivata per tutti i collegamenti agli oggetti Criteri di gruppo. È possibile bloccare completamente l'applicazione di un oggetto Criteri di gruppo per un sito, un dominio o un'unità organizzativa disattivando il collegamento all'oggetto per il dominio, il sito o l'unità organizzativa in questione. Ciò non determina la disattivazione dell'oggetto Criteri di gruppo. Se quest'ultimo è collegato ad altri siti, domini o unità organizzative, continuerà a essere elaborato normalmente.

Filtri di protezione

Questo metodo consente di specificare che l'oggetto Criteri di gruppo deve essere applicato solo a specifiche entità di protezione nel contenitore a cui esso è collegato. Gli amministratori possono utilizzare i filtri di protezione per limitare l'ambito di un oggetto Criteri di gruppo in modo che esso venga applicato solo a un singolo gruppo, utente o computer. Non è possibile utilizzare i filtri di protezione in modo selettivo su impostazioni diverse in un oggetto Criteri di gruppo.

L'oggetto Criteri di gruppo viene applicato a un utente o a un computer solo se l'utente o il computer in questione dispone delle autorizzazioni di lettura e applicazione di Criteri di gruppo (AGP) per l'oggetto Criteri di gruppo, assegnate in modo esplicito oppure derivanti dall'appartenenza a un gruppo. Per impostazione predefinita, per tutti gli oggetti Criteri di gruppo le autorizzazioni di lettura e applicazione sono impostate su Consentito per il gruppo Authenticated Users, il quale include utenti e computer. Ciò consente a tutti i membri di tale gruppo di ricevere le impostazioni di un nuovo oggetto Criteri di gruppo quando questo viene applicato a un'unità organizzativa, un dominio o un sito.

Per impostazione predefinita, i membri di Domain Admins, Enterprise Admins e del Sistema locale dispongono delle autorizzazioni di controllo completo, senza la voce di controllo di accesso (ACE) Applica criteri di gruppo. Al gruppo Authenticated Users appartengono inoltre gli amministratori. Ciò significa che per impostazione predefinita essi ricevono le impostazioni dell'oggetto Criteri di gruppo. È possibile modificare le impostazioni per limitare l'ambito a uno specifico insieme di utenti, gruppi o computer in un'unità organizzativa, in un dominio o in un sito.

Nella console Gestione Criteri di gruppo tali autorizzazioni vengono gestite come una singola unità e i filtri di protezione relativi all'oggetto Criteri di gruppo vengono visualizzati nella scheda relativaall'ambito dell'oggetto Criteri di gruppo. Nella console Gestione Criteri di gruppo, gruppi, utenti e computer possono essere aggiunti o rimossi come filtri di protezione per ogni oggetto Criteri di gruppo. Per informazioni sulla console Gestione Criteri di gruppo, vedere la sezione Strumenti di gestione di Criteri di gruppo.

Filtri di Strumentazione gestione Windows

Strumentazione gestione Windows (WMI) è l'implementazione Microsoft dell'iniziativa di settore WBEM (Web-Based Enterprise Management) che stabilisce gli standard dell'infrastruttura di gestione e offre un modo per combinare informazioni di diversi sistemi di gestione di hardware e software. WMI espone i dati di configurazione dell'hardware quali CPU, memoria, spazio su disco e produttore, nonché quelli della configurazione del software di Registro di sistema, driver, file system, Active Directory, servizio Windows Installer, configurazione di rete e dati delle applicazioni. I dati relativi a un computer di destinazione possono essere utilizzati a fini amministrativi, ad esempio per l'applicazione di filtri WMI agli oggetti Criteri di gruppo.

I filtri WMI possono essere impostati per l'applicazione di un oggetto Criteri di gruppo collegando una query WQL (WMI Query Language) all'oggetto in questione. Le query consentono di restituite diversi elementi. Se una query restituisce il valore true per tutti gli elementi previsti, l'oggetto Criteri di gruppo viene applicato all'utente o al computer di destinazione.

Un oggetto Criteri di gruppo è collegato a un filtro WMI e applicato a un computer di destinazione e il filtro viene valutato su tale computer. Se la valutazione del filtro restituisce false, l'oggetto Criteri di gruppo non viene applicato (tranne se il computer client esegue Windows 2000, nel qual caso il filtro viene ignorato e l'oggetto Criteri di gruppo viene sempre applicato), Se la valutazione del filtro restituisce il valore true, l'oggetto Criteri di gruppo viene applicato.

Il filtro WMI costituisce un oggetto separato dall'oggetto Criteri di gruppo nella directory. Per poter essere applicati, i filtri WMI devono essere collegati agli oggetti Criteri di gruppo. Inoltre, il filtro WMI e l'oggetto Criteri di gruppo a cui esso è collegato devono trovarsi nello stesso dominio. I filtri WMI sono archiviati solo nei domini. A ogni oggetto Criteri di gruppo può essere collegato un solo filtro WMI. Lo stesso filtro WMI può essere collegato a più oggetti Criteri di gruppo.

Elaborazione loopback

L'elaborazione loopback rappresenta un'impostazione avanzata di Criteri di gruppo utile nei computer di alcuni ambienti altamente gestiti, ad esempio server, chioschi multimediali, laboratori, aule e aree di ricevimento. Se si imposta il loopback, le impostazioni di Configurazione utente negli oggetti Criteri di gruppo applicati al computer vengono applicati a ogni accesso utente al computer invece che (come in modalità disostituzione) o in aggiunta alle (come in modalità diunione) impostazioni di Configurazione utente dell'utente. Gli amministratori possono utilizzare questa funzionalità per garantire l'applicazione di un insieme coerente di criteri a ogni utente che accede a un determinato computer, indipendentemente dalla posizione dell'utente in Active Directory.

Per impostare l'elaborazione loopback, gli amministratori possono utilizzare il criterio Modalità di elaborazione loopback dei Criteri di gruppo utente disponibile in Configurazione computer\Modelli amministrativi\Sistema\Criteri di gruppo nell'Editor oggetti Criteri di gruppo.

Per utilizzare la funzionalità di elaborazione loopback, l'account utente e l'account computer devono trovarsi entrambi in un dominio Windows 2000 o versione successiva. Il loopback non funziona sui computer appartenenti a un gruppo di lavoro.

Per ulteriori informazioni sulla destinazione dell'applicazione di oggetti Criteri di gruppo, vedere Controllo dell'ambito degli oggetti Criteri di gruppo mediante la console Gestione Criteri di gruppo (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=80462\&clcid=0x410) (informazioni in lingua inglese) nel sito Microsoft TechNet.

Estensione Modelli amministrativi

L'estensione Modelli amministrativi di Criteri di gruppo è costituita da uno snap-in MMC lato server che consente di configurare le impostazioni dei criteri e da un'estensione lato client che consente di impostare le chiavi del Registro di sistema nei computer di destinazione. I criteri dei modelli amministrativi sono inoltre noti come criteri basati sul Registro di sistema o criteri del Registro di sistema.

Le impostazioni dei criteri di Microsoft Office System 2007 si trovano in file di modelli amministrativi scaricabili dalla pagina File del modello amministrativo (ADM) di Office System 2007 (ADM, ADMX, ADML) e Strumento di personalizzazione di Office versione 2.0 (https://go.microsoft.com/fwlink/?linkid=78161\&clcid=0x410) nell'Area download Microsoft.

File di modelli amministrativi

I modelli amministrativi sono costituiti da file (con estensione adm) in formato Unicode contenenti una gerarchia di categorie e sottocategorie che definiscono il modo in cui le opzioni vengono visualizzate nell'Editor oggetti Criteri di gruppo e nella console Gestione Criteri di gruppo. Indicano inoltre le posizioni del Registro di sistema in cui devono essere apportate le modifiche se viene effettuata una selezione, specificano le opzioni o le restrizioni (sottoforma di valori) associate alla selezione e, in alcuni casi, indicano un valore predefinito da utilizzare se la selezione viene attivata.

Le funzionalità dei file con estensione adm sono limitate. Lo scopo di tali file è offrire un'interfaccia utente per configurare i criteri. I file adm non contengono impostazioni dei criteri. Queste ultime si trovano nei file registry.pol nella cartella Sysvol dei controller di dominio.

Lo snap-in Modelli amministrativi lato server include un nodo Modelli amministratici visualizzato nell'Editor oggetti Criteri di gruppo nel nodo Configurazione computer e in quello Configurazione utente. Le impostazioni in Configurazione computer consentono di modificare le impostazioni del Registro di sistema per il computer, mentre quelle in Configurazione utente di modificare le impostazioni del Registro di sistema relative agli utenti. Sebbene alcune impostazioni richiedano l'immissione di valori in semplici elementi di interfaccia utente quali le caselle di testo, per la maggior parte dei criteri sono disponibili solo le opzioni seguenti:

  • Attivata: il criterio viene applicato. Alcune impostazioni prevedono opzioni aggiuntive che definiscono il funzionamento all'attivazione del criterio.

  • Disattivata: impone il funzionamento opposto rispetto allo stato Attivata per la maggior parte delle impostazioni dei criteri. Se ad esempio con l'opzione Attivata si impone la disattivazione di una funzionalità, con Disattivata verrà imposta l'attivazione della funzionalità in questione.

  • Non configurata: il criterio non viene applicato. Per la maggior parte delle impostazione, questa è l'opzione predefinita.

File di modelli amministrativi per Office System 2007

Per Office System 2007 sono disponibili i file di modelli amministrativi seguenti:

  • office12.adm: componenti condivisi di Office

  • access12.adm: Microsoft Office Access 2007

  • cpao12.adm: Calendar Printing Assistant per Microsoft Office Outlook 2007

  • excel12.adm: Microsoft Office Excel 2007

  • groove12.adm: Microsoft Office Groove 2007

  • ic12.adm: Microsoft Office InterConnect 2007

  • inf12.adm: Microsoft Office InfoPath 2007

  • onent12.adm: Microsoft Office OneNote 2007

  • outlk12.adm: Microsoft Office Outlook 2007

  • ppt12.adm: Microsoft Office PowerPoint 2007

  • proj12.adm: Microsoft Office Project 2007

  • pub12.adm: Microsoft Office Publisher 2007

  • spd12.adm: Microsoft Office SharePoint Designer 2007

  • visio12.adm: Microsoft Office Visio 2007

  • word12.adm: Microsoft Office Word 2007

Gli amministratori possono utilizzare i criteri di Office System 2007 per attività quali:

  • Gestione delle impostazioni di protezione delle applicazioni di Office System 2007

  • Disattivazione della connessione Internet dalle applicazioni di Office System 2007

  • Disattivazione delle impostazioni dell'interfaccia utente di Office System 2007 che potrebbero causare confusione oppure che non sono necessarie per il lavoro degli utenti

  • Creazione di configurazioni di gestione più o meno restrittive dei computer degli utenti

  • Impostazione delle opzioni predefinite di salvataggio dei file per le applicazioni di Office System 2007 in modo da preparare la migrazione da versioni precedenti di Office

Gli amministratori possono ad esempio utilizzare Criteri di gruppo per disattivare, attivare o configurare la maggior parte delle impostazioni che controllano l'interfaccia utente di Office, ad esempio:

  • Comandi dei menu

  • Tasti di scelta rapida

  • Impostazioni della finestra di dialogo Opzioni

Il gran numero di impostazioni di Criteri di gruppo disponibili per Office System 2007 offre un elevato grado di flessibilità. Gli amministratori possono creare configurazioni di gestione più o meno restrittive, a seconda delle specifiche esigenze aziendali e delle principali problematiche di protezione delle organizzazioni.

Per scaricare i file di modelli amministrativi di Office System 2007, visitare la pagina File del modello amministrativo (ADM) di Office System 2007 (ADM, ADMX, ADML) e Strumento di personalizzazione di Office versione 2.0 nell'Area download Microsoft.

È inoltre possibile scaricare il Modello amministrativo (ADM) versione 2.0 per i convertitori dei formati Microsoft Office System 2007 Open XML dall'Area download Microsoft. Gli amministratori possono utilizzare questo modello per modificare il funzionamento predefinito dei convertitori dei formati Open XML di Microsoft Office Word, Excel e PowerPoint 2007.

Gli amministratori possono modificare i file di Modelli amministrativi di Microsoft Office 2003 e Microsoft Office XP per impostare le opzioni salvataggio con nome dei file in modo da includere i formati Open XML delle applicazioni di Office System 2007. Per ulteriori informazioni, vedere l'articolo KB 932127, Come modificare un file dei criteri esistente (file ADM) di Office per Office 2003 e Office XP in modo da impostare i nuovi formati di file Open XML delle applicazioni di Microsoft Office 2007 come predefiniti per il salvataggio con nome (informazioni in lingua inglese) nel sito Web Microsoft Aiuto & Supporto.

Per ulteriori informazioni sui modelli amministrativi, vedere la Guida di riferimento tecnico all'estensione Modelli amministrativi (informazioni in lingua inglese) all'indirizzo https://go.microsoft.com/fwlink/?linkid=56088\&clcid=0x410

In Windows Vista e Windows Server 2008 è stato introdotto un nuovo formato basato su XML per i file di modelli amministrativi, il quale è illustrato nella sessione successiva.

File di modelli amministrativi: modifiche apportate in Windows Vista e Windows Server 2008

Disponibili per la prima volta in Windows NT 4.0, i file di modelli amministrativi utilizzano un formato di file esclusivo con estensione adm. Nei sistemi operativi Windows Vista e Windows Server 2008 questo tipo di file è stato sostituito dal formato ADMX, il quale si basa su XML per visualizzare le impostazioni basate sul Registro di sistema. Questi nuovi file di Modelli amministrativi semplificano la gestione delle impostazioni basate sul Registro di sistema in Windows Vista e Windows Server 2008. Le impostazioni contenute nei file ADM e ADMX di Office 2007 sono le stesse.

I nuovi file ADMX e ADML sostituiscono i precedenti file con estensione adm e si dividono in file di risorse indipendenti dalla lingua (ADMX) e specifici della lingua (ADML). I nuovi tipi di file consentono agli strumenti di Criteri di gruppo di modificare l'interfaccia utente a seconda della lingua configurata dall'amministratore.

L'Editor oggetti Criteri di gruppo e la console Gestione Criteri di gruppo riconoscono comunque i file con estensione adm eventualmente presenti nell'ambiente in uso. I file adm personalizzati (ovvero i file adm non forniti per impostazione predefinita con il sistema operativo) di un oggetto Criteri di gruppo sono utilizzabili dall'Editor oggetti Criteri di gruppo e dalla console Gestione Criteri di gruppo. Gli strumenti non riconoscono i file adm precedenti inclusi per impostazione predefinita nel sistema operativo, ad esempio System.adm e Inetres.adm.

Gli amministratori possono gestire le impostazioni di Criteri di gruppo relative a Windows Vista e a sistemi operativi precedenti da una workstation che esegue Windows Vista. I file ADMX sono supportati solo nel sistema operativo Windows Vista. La copia di file ADMX in sistemi operativi precedenti non ha alcun effetto.

[!NOTA] Gli amministratori possono convertire i file ADM nel formato ADMX mediante l'apposito strumento di migrazione ADMX Migrator, il quale offre un editor di ADMX con interfaccia utente grafica per la creazione e la modifica di modelli amministrativi. Per ulteriori informazioni, vedere ADMX Migrator (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=77409&clcid=0x410) (informazioni in lingua inglese).

Archiviazione di file ADMX e ADML in Windows Vista

L'archivio centrale è costituito da una cartella creata nella cartella Sysvol di un controller di dominio di Active Directory. Tale cartella rappresenta un percorso centralizzato per l'archiviazione dei file ADMX e ADML del dominio. Gli amministratori possono creare un archivio centrale in un controller di dominio che esegue Windows Server 2003 R2, Windows Server 2003 SP1 o Windows 2000 Server. La creazione dell'archivio centrale non richiede Windows Server 2008.

Per ulteriori informazioni sull'amministrazione di file ADMX in Windows Vista, vedere la Guida dettagliata alla gestione dei file ADMX di Criteri di gruppo (informazioni in lingua inglese), Requisiti per la modifica di oggetti Criteri di gruppo mediante file ADMX (informazioni in lingua inglese) e Scenario 2: Modifica di oggetti Criteri di gruppo basati su dominio mediante file ADMX (informazioni in lingua inglese) nel sito Web Microsoft TechNet.

Criteri effettivi e preferenze utente

Le impostazioni di Criteri di gruppo che possono essere gestite completamente dagli amministratori sono definite come criteri effettivi. Le impostazioni configurate dagli utenti o che riflettono lo stato predefinito del sistema operativo al momento dell'installazione sono invece denominate preferenze. Sia i criteri effettivi sia le preferenze contengono informazioni che modificano il Registro di sistema nei computer degli utenti. Esistono importanti differenze tra i criteri effettivi e le preferenze. Le impostazioni dei primi hanno priorità sulle seconde.

I valori del Registro di sistema relativi ai criteri effettivi sono archiviati nelle chiavi del Registro di sistema approvate per Criteri di gruppo, Gli utenti non possono modificare o disattivare queste impostazioni:

Per le impostazioni dei criteri relativi al computer:

  • HKEY_LOCAL_MACHINE\Software\Policies (posizione preferita)

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

Per le impostazioni dei criteri relativi all'utente:

  • HKEY_CURRENT_USER\Software\Policies (posizione preferita)

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Le preferenze sono impostate dagli utenti o dal sistema operativo al momento dell'installazione. I valori del Registro di sistema in cui sono archiviate le preferenze si trovano al di fuori delle chiavi di Criteri di gruppo approvate indicate nella tabella precedente. Le preferenze possono essere modificate dagli utenti.

Gli amministratori possono scrivere un file adm per impostare i valori del Registro di sistema al di fuori degli alberi del Registro di sistema approvati relativi a Criteri di gruppo. In questo caso, è possibile solo assicurarsi che la chiave o il valore del Registro di sistema sia impostato in un determinato modo. Con questo approccio, l'amministratore configura le impostazioni delle preferenze invece che dei criteri effettivi e contrassegna il Registro di sistema con tali impostazioni. Ciò significa che le impostazioni rimangono nel Registro di sistema anche se la preferenza viene disattivata o eliminata.

Se si configurano in questo modo le impostazioni delle preferenze mediante un oggetto Criterio di gruppo, gli oggetti Criteri di gruppo creati non hanno limitazioni dell'elenco di controllo di accesso. Pertanto gli utenti potranno modificare i valori nel Registro di sistema. Quando l'oggetto Criteri di gruppo viene escluso dall'ambito (ovvero viene scollegato, disattivato o eliminato) i valori non vengono rimossi dal Registro di sistema.

Al contrario, le impostazioni dei criteri effettivi del Registro di sistema prevedono limitazioni dell'elenco di controllo di accesso per impedire agli utenti di apportarvi modifiche. I valori dei criteri vengono rimossi quando l'oggetto Criteri di gruppo mediante il quale sono stati impostati viene escluso dall'ambito. Pertanto i criteri effettivi sono considerati criteri completamente gestibili. Per impostazione predefinita, nell'Editor oggetti Criteri di gruppo vengono visualizzati solo i criteri completamente gestibili.

Per visualizzare le preferenze nell'Editor oggetti Criteri di gruppo, fare clic sul nodo Modelli amministrativi, su Visualizza, su Filtro e quindi deselezionare Visualizza solo le impostazioni di criteri completamente gestibili

Le impostazioni dei criteri effettivi hanno priorità sulle preferenze, tuttavia essi non sovrascrivono o modificano le chiavi del Registro di sistema utilizzate per le preferenze. Se viene distribuito un criterio in conflitto con una preferenza, il criterio avrà priorità su quest'ultima. Se sono presenti sia un criterio sia una preferenza, quest'ultima verrà ripristinata se il criterio viene rimosso o disattivato. Le impostazioni delle preferenze rimangono nel Registro di sistema finché non vengono annullate dall'impostazione di un criterio o modificando il Registro di sistema.

Nella tabella seguente vengono riepilogati gli effetti delle impostazioni dei criteri e delle preferenze.

Impostazione di Criteri di gruppo presente Preferenza presente Funzionamento risultante

No

No

Predefinito

No

Il funzionamento è determinato dall'impostazione della preferenza.

No

Il funzionamento è determinato dall'impostazione del criterio.

Il funzionamento è determinato dall'impostazione del criterio. La preferenza viene ignorata.

Per Office System 2007, tutte le impostazioni di criteri specifiche dell'utente sono archiviate nella sottochiave HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0, mentre i criteri specifici del computer sono archiviati nella sottochiave HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\12.0. Per impostazione predefinita, entrambe le sottochiavi dei criteri sono bloccate e non possono essere modificate dagli utenti.

Strumenti di gestione di Criteri di gruppo

Gli amministratori possono gestire Criteri di gruppo mediante gli snap-in MMC Editor oggetti Criteri di gruppo e console Gestione Criteri di gruppo. Quest'ultima viene utilizzata per gestire la maggior parte delle attività relative a Criteri di gruppo. L'Editor oggetti Criteri di gruppo consente di configurare le impostazioni dei criteri degli oggetti Criteri di gruppo.

Console Gestione Criteri di gruppo

La console Gestione Criteri di gruppo semplifica la gestione di Criteri di gruppo offrendo un singolo strumento per gestire gli aspetti di base di Criteri di gruppo, ad esempio la definizione dell'ambito, la delega, i filtri e l'ereditarietà degli oggetti Criteri di gruppo. La console consente inoltre di eseguire il backup (esportazione), il ripristino, l'importazione e la copia di oggetti Criteri di gruppo. Gli amministratori possono utilizzare la console Gestione Criteri di gruppo per comprendere in che modo gli oggetti Criteri di gruppo influenzeranno la rete e determinare come essi modificano le impostazioni per computer o utenti. La console rappresenta lo strumento preferenziale per la gestione della maggior parte della attività correlate a Criteri di gruppo in ambienti di dominio.

La console Criteri di gruppo offre una visualizzazione di oggetti Criteri di gruppo, siti, domini e unità organizzative in un'organizzazione e consente di gestire domini di Windows Server 2003 e Windows 2000. Gli amministratori utilizzano la console Gestione Criteri di gruppo per eseguire tutte le attività correlate a Criteri di gruppo, ad eccezione della configurazione di singoli criteri negli oggetti Criteri di gruppo. Tale attività viene eseguita mediante l'Editor oggetti Criteri di gruppo. L'Editor oggetti Criteri di gruppo viene richiamato affinché sia possibile utilizzarlo direttamente nella console Gestione Criteri di gruppo.

Gli amministratori utilizzano la console Gestione Criteri di gruppo per creare un oggetto Criteri di gruppo senza impostazioni iniziali. Gli amministratori possono inoltre creare un oggetto Criteri di gruppo e collegarlo contemporaneamente a un contenitore di Active Directory. Per configurare le singole impostazioni in un oggetto Criteri di gruppo, quest'ultimo viene modificato dall'interno della console in cui viene visualizzato l'Editor oggetti Criteri di gruppo con l'oggetto in questione caricato.

Gli amministratori possono utilizzare la console Gestione Criteri di gruppo per collegare gli oggetti Criteri di gruppo a siti, domini o unità organizzative in Active Directory. Il collegamento degli oggetti Criteri di gruppo è necessario per applicare le impostazioni a utenti e computer nei contenitori di Active Directory.

La console Gestione Criteri di gruppo include le funzionalità di Gruppo di criteri risultante seguenti offerte da Windows:

  • Modellazione Criteri di gruppo. Simula le impostazioni dei criteri che verranno applicate in determinate circostanze specificate da un amministratore. Gli amministratori possono utilizzare Modellazione Criteri di gruppo per simulare i dati del Gruppo di criteri risultati da applicare per una configurazione esistente oppure possono analizzare gli effetti delle modifiche ipotetiche simulate sull'ambiente di directory. La Modellazione criteri di gruppo richiede almeno un controller di dominio che esegue Windows Server 2003, poiché la simulazione viene eseguita da un servizio eseguito in tale controller di dominio. Per ulteriori informazioni, vedere Modellazione Criteri di gruppo (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=82672\&clcid=0x410) (informazioni in lingua inglese) nel sito Web Microsoft TechNet.

  • Rapporti Criteri di gruppo. Rappresenta i dati dei criteri effettivi applicati a un computer e a un utente. I dati sono ottenuti mediante una query sul computer di destinazione e recuperando i dati del Gruppo di criteri risultante applicato al computer. La funzionalità Rapporti Criteri di gruppo è offerta dal sistema operativo client e richiede Windows XP, Windows Server 2003 o versioni successive. Per ulteriori informazioni, vedere Rapporti Criteri di gruppo (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=82673\&clcid=0x410) (informazioni in lingua inglese) sul sito Web Microsoft TechNet.

La console Gestione Criteri di gruppo è stata inizialmente fornita come download separato per Microsoft Windows Server 2003 e Windows XP. Per scaricare la console Gestione Criteri di gruppo, visitare la pagina di download della console Gestione Criteri di gruppo (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=58541\&clcid=0x410) (informazioni in lingua inglese) nell'Area download Microsoft.

In Windows Vista e Windows Server 2008, la console Gestione Criteri di gruppo è integrata nel sistema operativo e rappresenta lo strumento standard per gestire le attività correlate a Criteri di gruppo insieme all'Editor oggetti Criteri di gruppo.

Per ulteriori informazioni sulla console Gestione Criteri di gruppo, vedere la Guida dettagliata all'utilizzo della console Gestione Criteri di gruppo (https://go.microsoft.com/fwlink/?linkid=75196\&clcid=0x410) nel sito Web Microsoft TechNet.

Editor oggetti Criteri di gruppo

L'Editor oggetti Criteri di gruppo è uno snap-in MMC utilizzato per configurare le impostazioni dei criteri negli oggetti Criteri di gruppo. L'Editor oggetti Criteri di gruppo è contenuto in gpedit.dll e viene installato con i sistemi operativi Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008.

Nei computer che eseguono Windows 2000, Windows XP con Strumenti di amministrazione di Windows Server 2003 e Windows Server 2003, è possibile accedere all'Editor oggetti Criteri di gruppo dagli snap-in Utenti e computer di Active Directory e Siti e servizi di Active Directory.

Per configurare le impostazioni di Criteri di gruppo per un computer locale non membro di un dominio, utilizzare l'Editor oggetti Criteri di gruppo per gestire un oggetto Criteri di gruppo locale (o più di tali oggetti in computer che eseguono Windows Vista o Windows Server 2008). Per configurare le impostazioni di Criteri di gruppo in un ambiente di dominio, lo strumento preferito per le attività correlate a Criteri di gruppo è la console Gestione Criteri di gruppo all'interno della quale viene richiamato l'Editor oggetti Criteri di gruppo.

L'Editor oggetti Criteri di gruppo offre agli amministratori una struttura gerarchica ad albero per configurare le impostazioni negli oggetti Criteri di gruppo. Questi ultimi possono essere collegati a siti, domini e unità organizzative contenenti oggetti computer e utente.

L'Editor oggetti Criteri di gruppo è costituito da due nodi principali, ovvero Configurazione utente, che contiene le impostazioni applicate agli utenti al momento dell'accesso e a un intervallo di aggiornamento in background periodico, e Configurazione computer, che contiene le impostazioni applicate ai computer all'avvio e a un intervallo di aggiornamento in background periodico. I nodi principali sono ulteriormente suddivisi in cartelle contenenti i diversi tipi di criteri che possono essere impostati. Tali cartelle includono:

  • Impostazioni software, contenente le impostazioni di installazione del software

  • Impostazioni di Windows, contenente le imposizioni di protezione e per gli script

  • Modelli amministrativi, contenente i criteri basati sul Registro di sistema

Per ulteriori informazioni sull'Editor oggetti Criteri di gruppo, vedere Criteri di gruppo (prima della console Gestione Criteri di gruppo) (https://go.microsoft.com/fwlink/?linkid=72742\&clcid=0x410) nel sito Microsoft TechNet relativo a Windows Server 2003.

Strumento di personalizzazione di Office e Criteri di gruppo

Gli amministratori possono utilizzare due strumenti per personalizzare le configurazioni utente relative alle applicazioni di Office System 2007, ovvero lo Strumento di personalizzazione di Office e Criteri di gruppo, Sebbene entrambi gli strumenti consentano di configurare le impostazioni degli utenti, vi sono importanti differenze tra i due.

  • Lo Strumento di personalizzazione di Office consente di creare un file di configurazione dell'installazione (file MSP). Gli amministratori possono utilizzare lo strumento per personalizzare le caratteristiche e configurare le impostazioni degli utenti. Questi ultimi possono modificare la maggior parte delle impostazioni dopo l'installazione, in quanto lo Strumento di personalizzazione di Office le configura in parti pubbliche del Registro di sistema, ad esempio in HKEY_CURRENT_USER/Software/Microsoft/Office/12.0. Questo strumento viene in genere utilizzato dalle organizzazioni che non gestiscono la configurazione dei desktop in modo centralizzato. Per ulteriori informazioni, vedere Strumento di personalizzazione di Office in Office System 2007.

  • Criteri di gruppo consente di configurare le impostazioni dei criteri di Office System 2007 contenute in modelli amministrativi in modo che il sistema operativo ne imponga l'applicazione. Negli ambienti Active Directory, gli amministratori possono applicare le impostazioni a gruppi di utenti e computer in un sito, un dominio o in un'unità organizzativa a cui è collegato l'oggetto Criteri di gruppo. I criteri effettivi sono scritti nelle chiavi del Registro di sistema approvate per le quali esistono limitazioni dell'elenco di controllo di accesso che ne impediscono la modifica da parte di utenti non amministratori. Gli amministratori possono utilizzare Criteri di gruppo per creare configurazioni desktop altamente gestite. Possono inoltre creare configurazioni meno restrittive per soddisfare i requisiti aziendali e di protezione delle organizzazioni.

Scaricare questo manuale

Per agevolare la lettura e la stampa, questo argomento è incluso nel manuale scaricabile seguente:

Per un elenco completo dei manuali disponibili, vedere la pagina di informazioni di Office Resource Kit (informazioni in lingua inglese).