Panoramica di Criteri di gruppo per Office 2010
Si applica a: Office 2010
Ultima modifica dell'argomento: 2015-03-09
I Criteri di gruppo consentono agli amministratori di applicare le configurazioni o le impostazioni dei criteri a utenti e computer in un ambiente basato sul servizio directory Active Directory. Questo articolo contiene una panoramica sui concetti di base dei Criteri di gruppo, per gli amministratori che intendono utilizzare i Criteri di gruppo per gestire applicazioni di Microsoft Office 2010. Le risposte alle domande frequenti su Criteri di gruppo e Office 2010 sono disponibili in Domande frequenti: Criteri di gruppo (Office 2010).
Contenuto dell'articolo:
Criteri di gruppo locali e basati su Active Directory
Elaborazione di Criteri di gruppo
Modifica della modalità di elaborazione degli oggetti Criteri di gruppo in Criteri di gruppo
Modelli amministrativi
Criteri effettivi e preferenze utente
Strumenti di gestione di Criteri di gruppo
Strumento di personalizzazione di Office e Criteri di gruppo
Criteri di gruppo locali e basati su Active Directory
Criteri di gruppo è un'infrastruttura utilizzata per distribuire e applicare una o più configurazioni o impostazioni di criteri desiderate a un gruppo di utenti e computer specifici in un ambiente del servizio directory Active Directory. L'infrastruttura di Criteri di gruppo è costituita da un modulo di gestione di Criteri di gruppo e da diverse singole estensioni. Queste ultime consentono di configurare le impostazioni di Criteri di gruppo modificando il Registro di sistema tramite l'estensione Modelli amministrativi oppure di impostarle per la sicurezza, l'installazione di software, il reindirizzamento delle cartelle, la manutenzione di Internet Explorer, le impostazioni di rete wireless e altre aree.
Ogni installazione di Criteri di gruppo include due estensioni:
Un'estensione sul lato server dello snap-in MMC (Microsoft Management Console) Editor oggetti Criteri di gruppo, il quale consente di definire e impostare i criteri applicati ai computer client.
Un'estensione lato client che chiama il modulo di gestione di Criteri di gruppo per applicare le impostazioni dei criteri.
Le impostazioni di Criteri di gruppo sono contenute in oggetti Criteri di gruppo, che sono collegati ad alcuni contenitori di Active Directory, ad esempio siti, domini o unità organizzative. Quando si crea un oggetto Criteri di gruppo, esso viene archiviato nel dominio. Se un oggetto Criteri di gruppo è collegato a un contenitore di Active Directory, ad esempio un'unità organizzativa, il collegamento diventa un componente del contenitore in questione. Il collegamento non è un componente dell'oggetto Criteri di gruppo. Le impostazioni contenute negli oggetti Criteri di gruppo vengono valutate dalle destinazioni interessate in base alla natura gerarchica di Active Directory. È ad esempio possibile creare un oggetto Criteri di gruppo denominato Impostazioni di Office 2010 contenente solo le configurazioni relative alle applicazioni di Office 2010. È quindi possibile applicare tale oggetto Criteri di gruppo a un sito specifico in modo che gli utenti contenuti in tal sito ricevano le configurazioni di Office 2010 specificate in Impostazioni di Office 2010.
Ogni computer dispone di un oggetto Criteri di gruppo locale che viene sempre elaborato, indipendentemente dal fatto che il computer appartenga a un dominio o al contrario sia autonomo. L'oggetto Criteri di gruppo locale non può essere bloccato da oggetti Criteri di gruppo basati su dominio, tuttavia le impostazioni di questi ultimi hanno priorità poiché vengono elaborati dopo l'oggetto Criteri di gruppo locale.
Nota
In Windows Vista, Windows Server 2008 e Windows 7 è incluso il supporto per la gestione di più oggetti Criteri di gruppo locali in computer autonomi. Per ulteriori informazioni, vedere la guida dettagliata alla gestione di più oggetti Criteri di gruppo locali (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=182215&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).
Sebbene sia possibile configurare gli oggetti Criteri di gruppo locali su singoli computer, i vantaggi maggiori derivanti dall'utilizzo di Criteri di gruppo si ottengono in reti basate su Windows Server 2003 o Windows Server 2008 in cui è installato Active Directory.
Elaborazione di Criteri di gruppo
I Criteri di gruppo per i computer vengono applicati all'avvio di quest'ultimo. Quelli per gli utenti vengono applicati quando questi eseguono l'accesso. Oltre all'elaborazione iniziale di Criteri di gruppo all'avvio e all'accesso, essi vengono applicati in seguito periodicamente in background. Durante l'aggiornamento in background, un'estensione sul lato client riapplica le impostazioni dei criteri solo se vengono rilevate modifiche nel server in uno o più oggetti Criteri di gruppo o nell'elenco di questi ultimi. Per l'installazione di software e il reindirizzamento di cartelle, l'elaborazione di Criteri di gruppo viene eseguita solo all'avvio del computer o all'accesso dell'utente.
Le impostazioni di Criteri di gruppo vengono elaborate nell'ordine seguente:
Oggetto Criteri di gruppo locale Ogni computer dispone di un oggetto Criteri di gruppo archiviato localmente. Tale oggetto viene elaborato per gli oggetti Criteri di gruppo sia del computer sia dell'utente.
Sito In seguito, vengono elaborati gli oggetti Criteri di gruppo collegati al sito a cui appartiene il computer. L'elaborazione viene eseguita nell'ordine specificato dall'amministratore nella scheda Oggetti Criteri di gruppo collegati relativa al sito nella console Gestione Criteri di gruppo. L'oggetto Criteri di gruppo con ordine di collegamento più basso viene elaborato per ultimo e ha la priorità più alta. Per informazioni su come utilizzare la console Gestione Criteri di gruppo, vedere Strumenti di gestione di Criteri di gruppo più avanti in questo articolo.
Dominio Gli oggetti Criteri di gruppo collegati al dominio vengono elaborati nell'ordine specificato dall'amministratore nella scheda Oggetti Criteri di gruppo collegati relativa al dominio nella console Gestione Criteri di gruppo. L'oggetto Criteri di gruppo con ordine di collegamento più basso viene elaborato per ultimo e ha la priorità più alta.
Unità organizzative Gli oggetti Criteri di gruppo collegati all'unità organizzativa più in alto nella gerarchia di Active Directory vengono elaborati per primi e quindi vengono elaborati quelli collegati alle relative unità organizzative figlio e così via. Gli oggetti Criteri di gruppo collegati all'unità organizzativa contenente l'utente o il computer sono elaborati per ultimi.
L'ordine di elaborazione è soggetto alle condizioni seguenti:
Strumentazione gestione Windows (WMI) o filtri di sicurezza applicati agli oggetti Criteri di gruppo.
Eventuali oggetti Criteri di gruppo basati su dominio (non locali) possono essere applicati mediante l'opzione Applica, in modo che le relative impostazioni non possano essere sovrascritte. Poiché gli oggetti Criteri di gruppo applicati sono elaborati per ultimi, le relative impostazioni non possono essere sovrascritte da altre. Se sono presenti più oggetti Criteri di gruppo applicati, una stessa impostazione in ognuno di essi può essere impostata su un valore diverso. In questo caso, l'ordine di collegamento degli oggetti Criteri di gruppo determina l'oggetto contenente le impostazioni finali.
In qualsiasi dominio o unità organizzativa, l'ereditarietà di Criteri di gruppo può essere impostata in modo selettivo su Blocca eredità. Tuttavia, poiché gli oggetti Criteri di gruppo applicati vengono applicati sempre e non è possibile bloccarli, questa impostazione non impedirà l'applicazione dei criteri di questo tipo di oggetti.
Eredità dei criteri
Le impostazioni dei criteri applicate per un utente e un computer dipendono dalla combinazione di oggetti Criteri di gruppo applicati in un sito, un dominio o un'unità organizzativa. Quando si applicano più oggetti Criteri di gruppo a utenti e computer nei contenitori di Active Directory, le impostazioni di tali oggetti vengono aggregate. Per impostazione predefinita, le impostazioni distribuite negli oggetti Criteri di gruppo collegati ai contenitori di livello più alto (contenitori padre) in Active Directory vengono ereditate dai contenitori figlio e si combinano con le impostazioni distribuite negli oggetti Criteri di gruppo collegati ai contenitori figlio. Se più oggetti Criteri di gruppo contengono impostazioni con valori in conflitto, vengono utilizzate quelle dell'oggetto Criteri di gruppo con priorità più elevata, ovvero quello elaborato per ultimo.
Elaborazione sincrona e asincrona
I processi di tipo sincrono possono essere descritti come serie di processi in cui è necessario che un processo venga completato prima che possa essere avviato il successivo. I processi asincroni possono essere eseguiti in diversi thread contemporaneamente, poiché il risultato di ogni processo è indipendente da quello degli altri. Gli amministratori possono utilizzare un'impostazione per ogni oggetto Criteri di gruppo affinché il comportamento di elaborazione predefinito risulti asincrono piuttosto che sincrono.
Nel caso dell'elaborazione sincrona, tutti i processi devono essere completati entro 60 minuti. Allo scadere di questo periodo, le estensioni lato client che non hanno completato l'elaborazione vengono interrotte e le relative impostazioni dei criteri potrebbero non essere applicate completamente.
Funzionalità di ottimizzazione dell'accesso rapido
Per impostazione predefinita, la funzionalità di ottimizzazione dell'accesso rapido è configurata per i membri di dominio e di gruppi di lavoro. Ne consegue l'applicazione asincrona dei criteri all'avvio del computer e all'accesso dell'utente. Questo tipo di applicazione dei criteri è analogo all'aggiornamento in background. Riduce il tempo necessario per la visualizzazione della finestra di accesso e del desktop.
Gli amministratori possono disattivare la funzionalità di ottimizzazione dell'accesso rapido utilizzando il criterio Attendi sempre disponibilità rete all'avvio e all'accesso disponibile nel nodo Configurazione computer\Modelli amministrativi\Sistema\Accesso dell'Editor oggetti Criteri di gruppo.
Elaborazione su collegamenti lenti
Alcune estensioni di Criteri di gruppo non vengono elaborate se la velocità della connessione scende al di sotto di soglie specificate. Il valore predefinito per considerare un collegamento lento corrisponde a qualsiasi velocità inferiore a 500 Kbps.
Intervallo di aggiornamento di Criteri di gruppo
Per impostazione predefinita, i Criteri di gruppo vengono elaborati ogni 90 minuti, con un ritardo casuale di massimo 30 minuti, per un totale massimo di 120 minuti.
Se si apportano modifiche alle impostazioni di sicurezza, i criteri vengono aggiornati nei computer presenti nell'unità organizzativa a cui è collegato l'oggetto Criteri di gruppo:
Al riavvio del computer.
Ogni 90 minuti nelle workstation e nei server e ogni 5 minuti nei controller di dominio.
Per impostazione predefinita, le impostazioni dei criteri di sicurezza distribuite tramite Criteri di gruppo vengono inoltre applicate ogni 16 ore (960 minuti), anche se non viene apportata alcuna modifica agli oggetti Criteri di gruppo.
Attivazione di un aggiornamento di Criteri di gruppo
Le modifiche apportate all'oggetto Criteri di gruppo devono essere prima replicate nel controller di dominio appropriato. Pertanto, le modifiche apportate alle impostazioni di Criteri di gruppo potrebbero non essere immediatamente disponibili per i desktop degli utenti. In alcuni scenari, ad esempio l'applicazione di impostazioni dei criteri di sicurezza, potrebbe essere necessario applicare le impostazioni immediatamente.
Gli amministratori possono attivare manualmente un aggiornamento dei criteri da un computer locale senza attendere l'aggiornamento automatico in background. A tale scopo, gli amministratori possono digitare il comando gpupdate alla riga di comando per aggiornare le impostazioni dei criteri per l'utente o il computer. Non è possibile attivare un aggiornamento dei criteri mediante la console Gestione Criteri di gruppo.
Il comando gpupdate attiva un aggiornamento in background dei criteri nel computer locale in cui esso è stato eseguito. Il comando gpupdate è disponibile negli ambienti Windows Server 2003 e Windows XP.
Non è possibile attivare l'applicazione su richiesta di Criteri di gruppo nei client dal server.
Modifica della modalità di elaborazione degli oggetti Criteri di gruppo in Criteri di gruppo
Il metodo principale per specificare a quali utenti e computer sono destinate le impostazioni di un oggetto Criteri di gruppo consiste nel collegare l'oggetto a siti, domini e unità organizzative.
È possibile utilizzare uno dei metodi illustrati di seguito per modificare l'ordine predefinito in cui vengono elaborati gli oggetti Criteri di gruppo:
Modificare l'ordine dei collegamenti.
Bloccare l'ereditarietà.
Applicare un collegamento a un oggetto Criteri di gruppo.
Disattivare un collegamento a un oggetto Criteri di gruppo.
Utilizzare filtri di sicurezza.
Utilizzare filtri di Strumentazione gestione Windows (WMI).
Utilizzare l'elaborazione loopback.
Ognuno di questi metodi viene descritto nelle sottosezioni successive.
Modificare l'ordine dei collegamenti
L'ordine dei collegamenti agli oggetti Criteri di gruppo in un sito, dominio o unità organizzativa determina quando i collegamenti vengono applicati. Gli amministratori possono modificare la priorità di un collegamento modificando l'ordine, ovvero spostando il collegamento desiderato più in basso o più in alto nell'elenco. Il collegamento più in alto nell'elenco (1 rappresenta la posizione più elevata) ha la massima precedenza per il sito, il dominio o l'unità organizzativa.
Bloccare l'ereditarietà
Se si blocca l'ereditarietà per un dominio o un'unità organizzativa, gli oggetti Criteri di gruppo collegati ai siti, ai domini e alle unità organizzativa di livello superiore non verranno ereditati dai contenitori figlio in Active Directory.
Applicare un collegamento a un oggetto Criteri di gruppo
È possibile specificare che le impostazioni incluse in un oggetto Criteri di gruppo collegato devono avere priorità sulle impostazioni di altri oggetti figlio impostando il collegamento in questione su Applicato. I collegamenti applicati in questo modo non possono essere bloccati dal contenitore padre. Se gli oggetti Criteri di gruppo contengono impostazioni in conflitto e non sono imposti a un contenitore di livello superiore, le impostazioni dei collegamenti nel contenitore padre di livello superiore verranno sovrascritte dagli oggetti Criteri di gruppo collegati alle unità organizzative figlio. Quando si utilizza l'imposizione, l'oggetto Criterio di gruppo collegato al contenitore padre ha sempre priorità. Per impostazione predefinita, gli oggetti Criteri di gruppo collegati non vengono imposti.
Disattivare un collegamento a un oggetto Criteri di gruppo
È possibile bloccare completamente la modalità di applicazione di un oggetto Criteri di gruppo per un sito, un dominio o un'unità organizzativa da parte degli utenti disattivando il collegamento all'oggetto per il dominio, il sito o l'unità organizzativa in questione. Ciò non determina la disattivazione dell'oggetto Criteri di gruppo. Se quest'ultimo è collegato ad altri siti, domini o unità organizzative, continuerà a essere elaborato normalmente in tali contenitori, se i collegamenti sono attivati.
Utilizzare filtri di sicurezza
È possibile utilizzare i filtri di sicurezza per specificare che l'oggetto Criteri di gruppo deve essere applicato solo a specifici principi di sicurezza nel contenitore a cui esso è collegato. Gli amministratori possono utilizzare i filtri di sicurezza per limitare l'ambito di un oggetto Criteri di gruppo in modo che esso venga applicato solo a un singolo gruppo, utente o computer. Non è possibile utilizzare i filtri di sicurezza in modo selettivo su impostazioni diverse in un oggetto Criteri di gruppo.
L'oggetto Criteri di gruppo viene applicato a un utente o a un computer solo se l'utente o il computer in questione dispone delle autorizzazioni di lettura e applicazione di Criteri di gruppo per l'oggetto Criteri di gruppo, assegnate in modo esplicito oppure derivanti dall'appartenenza a un gruppo. Per impostazione predefinita, per tutti gli oggetti Criteri di gruppo le autorizzazioni di lettura e applicazione di Criteri di gruppo sono impostate su Consentito per il gruppo Authenticated Users, il quale include utenti e computer. Ciò consente a tutti i membri di tale gruppo di ricevere le impostazioni di un nuovo oggetto Criteri di gruppo quando questo viene applicato a un'unità organizzativa, un dominio o un sito.
Per impostazione predefinita, i membri di Domain Admins, Enterprise Admins e del Sistema locale dispongono delle autorizzazioni di controllo completo, senza la voce di controllo di accesso (ACE) Applica criteri di gruppo. Al gruppo Authenticated Users appartengono inoltre gli amministratori. Ciò significa che per impostazione predefinita essi ricevono le impostazioni dell'oggetto Criteri di gruppo. È possibile modificare le impostazioni per limitare l'ambito a uno specifico insieme di utenti, gruppi o computer in un'unità organizzativa, in un dominio o in un sito.
Nella console Gestione Criteri di gruppo tali autorizzazioni vengono gestite come una singola unità e i filtri di sicurezza relativi all'oggetto Criteri di gruppo vengono visualizzati nella scheda relativaall'ambito dell'oggetto Criteri di gruppo. Nella console Gestione Criteri di gruppo, gruppi, utenti e computer possono essere aggiunti o rimossi come filtri di sicurezza per ogni oggetto Criteri di gruppo.
Utilizzare filtri di Strumentazione gestione Windows (WMI)
È possibile utilizzare i filtri di Strumentazione gestione Windows (WMI) per filtrare l'applicazione di un oggetto Criteri di gruppo collegando una query WQL (WMI Query Language) all'oggetto in questione. Le query consentono di restituire diversi elementi. Se una query restituisce il valore true per tutti gli elementi previsti, l'oggetto Criteri di gruppo verrà applicato all'utente o al computer di destinazione.
Un oggetto Criteri di gruppo è collegato a un filtro WMI e applicato a un computer di destinazione e il filtro viene valutato su tale computer. Se la valutazione del filtro restituisce false, l'oggetto Criteri di gruppo non verrà applicato a meno che nel computer client non viene eseguito Windows 2000. In questo caso il filtro viene ignorato e l'oggetto Criteri di gruppo viene sempre applicato. Se la valutazione del filtro restituisce il valore true, l'oggetto Criteri di gruppo verrà applicato.
Il filtro WMI costituisce un oggetto separato dall'oggetto Criteri di gruppo nella directory. I filtri WMI devono essere collegati agli oggetti Criteri di gruppo da applicare. Inoltre, il filtro WMI e l'oggetto Criteri di gruppo a cui esso è collegato devono trovarsi nello stesso dominio. I filtri WMI sono archiviati solo nei domini. A ogni oggetto Criteri di gruppo può essere collegato un solo filtro WMI. Lo stesso filtro WMI può essere collegato a più oggetti Criteri di gruppo.
Nota
Strumentazione gestione Windows (WMI) è l'implementazione Microsoft dell'iniziativa di settore WBEM (Web-Based Enterprise Management) che stabilisce gli standard dell'infrastruttura di gestione e consente di combinare informazioni di diversi sistemi di gestione di hardware e software. WMI espone i dati di configurazione dell'hardware quali CPU, memoria, spazio su disco e produttore, nonché quelli della configurazione del software di Registro di sistema, driver, file system, Active Directory, servizio Windows Installer, configurazione di rete e dati delle applicazioni. I dati relativi a un computer di destinazione possono essere utilizzati a fini amministrativi, ad esempio per l'applicazione di filtri WMI agli oggetti Criteri di gruppo.
Utilizzare l'elaborazione loopback
È possibile utilizzare questa caratteristica per garantire l'applicazione di un insieme coerente di criteri a ogni utente che accede a un determinato computer, indipendentemente dalla posizione dell'utente in Active Directory.
L'elaborazione loopback rappresenta un'impostazione avanzata di Criteri di gruppo utile nei computer di alcuni ambienti altamente gestiti, ad esempio server, chioschi multimediali, laboratori, aule e aree di ricevimento. Se si imposta il loopback, le impostazioni di Configurazione utente negli oggetti Criteri di gruppo applicati al computer vengono applicati a ogni accesso utente al computer invece che (come in modalità disostituzione) o in aggiunta alle (come in modalità diunione) impostazioni di Configurazione utente dell'utente.
Per impostare l'elaborazione loopback, è possibile utilizzare il criterio Modalità di elaborazione loopback dei Criteri di gruppo utente disponibile in Configurazione computer\Modelli amministrativi\Sistema\Criteri di gruppo nell'Editor oggetti Criteri di gruppo.
Per utilizzare la caratteristica di elaborazione loopback, l'account utente e l'account computer devono trovarsi entrambi in un dominio che esegue Windows Server 2003 o una versione successiva di Windows. L'elaborazione loopback non funziona sui computer appartenenti a un gruppo di lavoro.
Modelli amministrativi
L'estensione Modelli amministrativi di Criteri di gruppo è costituita da uno snap-in MMC lato server che consente di configurare le impostazioni dei criteri e da un'estensione lato client che consente di impostare le chiavi del Registro di sistema nei computer di destinazione. I criteri dei modelli amministrativi sono inoltre noti come criteri basati sul Registro di sistema o criteri del Registro di sistema.
File di modelli amministrativi
I modelli amministrativi sono costituiti da file in formato Unicode contenenti una gerarchia di categorie e sottocategorie che definiscono il modo in cui le opzioni vengono visualizzate in Editor oggetti Criteri di gruppo e nella console Gestione Criteri di gruppo. Indicano inoltre le posizioni del Registro di sistema interessate dalle configurazioni delle impostazioni dei criteri, tra cui i valori predefinito (non configurata), attivata e non attivata. I modelli sono disponibili in tre versioni di file, ovvero con estensione adm, admx e adml. È possibile utilizzare i file con estensione adm per computer che eseguono qualsiasi sistema operativo Windows. È invece possibile utilizzare i file con estensione admx e adml in computer che eseguono almeno Windows Vista o Windows Server 2008. I file con estensione adml sono le versioni specifiche della lingua dei file con estensione admx.
Le funzionalità dei file di modelli amministrativi sono limitate. Lo scopo dei file di modelli con estensione adm, admx o adml è offrire un'interfaccia utente per configurare i criteri. I file di modelli amministrativi non contengono impostazioni dei criteri. Queste ultime si trovano nei file Registry.pol reperibili nella cartella Sysvol dei controller di dominio.
Lo snap-in Modelli amministrativi lato server include un nodo Modelli amministratici visualizzato nell'Editor oggetti Criteri di gruppo nel nodo Configurazione computer e in quello Configurazione utente. Le impostazioni in Configurazione computer consentono di modificare le impostazioni del Registro di sistema per il computer, mentre quelle in Configurazione utente di modificare le impostazioni del Registro di sistema relative agli utenti. Sebbene alcune impostazioni richiedano l'immissione di valori in semplici elementi di interfaccia utente quali le caselle di testo, per la maggior parte dei criteri sono disponibili solo le opzioni seguenti:
Attivata Il criterio viene applicato. Alcune impostazioni prevedono opzioni aggiuntive che definiscono il funzionamento all'attivazione del criterio.
Disattivata Impone il funzionamento opposto rispetto allo stato Attivata per la maggior parte delle impostazioni dei criteri. Se ad esempio con l'opzione Attivata si impone la disattivazione di una funzionalità, con Disattivata verrà imposta l'attivazione della funzionalità in questione.
Non configurata Il criterio non viene applicato. Si tratta dello stato predefinito per la parte delle impostazioni.
I file di modelli amministrativi vengono archiviati in percorsi del computer locale, come illustrato nella tabella seguente.
Tipo file | Cartella |
---|---|
.adm |
%systemroot%\Inf |
.admx |
%systemroot%\PolicyDefinitions |
.adml |
%systemroot%\PolicyDefinitions\<cartella specifica della lingua, ad esempio it-it> |
È inoltre possibile archiviare e utilizzare file con estensione admx e adml da un archivio centrale nelle cartelle del controller di dominio, come illustrato nella tabella seguente.
Tipo file | Cartella |
---|---|
.admx |
%systemroot%\sysvol\domain\policies\PolicyDefinitions |
.adml |
%systemroot%\sysvol\domain\policies\PolicyDefinitions\<cartella specifica della lingua, ad esempio it-it> |
Per ulteriori informazioni su come archiviare e utilizzare i modelli da un archivio centrale, vedere la sezione "Criteri di gruppo e Sysvol" nella Guida alla pianificazione e alla distribuzione di Criteri di gruppo (https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x410).
File di modelli amministrativi per Office 2010
I file di modelli amministrativi specifici per Office 2010 sono disponibili separatamente per il download e consentono di:
Controllare i punti di ingresso a Internet dalle applicazioni di Office 2010.
Gestire la sicurezza nelle applicazioni di Office 2010.
Nascondere le impostazioni e le opzioni non necessarie agli utenti per l'esecuzione del proprio lavoro e che potrebbero distrarli o comportare richieste superflue di supporto tecnico.
Creare una configurazione standard altamente gestita nei computer degli utenti.
Per scaricare i modelli amministrativi di Office 2010, vedere File dei Modelli amministrativi di Office System 2010 (ADM, ADMX, ADML) e Strumento di personalizzazione di Office (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=189316\&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).
I modelli amministrativi di Office 2010 sono illustrati nella tabella seguente.
Applicazione | File di modelli amministrativi |
---|---|
Microsoft Access 2010 |
access14.admx, access14.adml, access14.adm |
Microsoft Excel 2010 |
excel14.admx, excel14.adml, excel14.adm |
Microsoft InfoPath 2010 |
inf14.admx, inf14.adml, inf14.adm |
Microsoft Office 2010 |
office14.admx, office14.adml, office14.adm |
Microsoft OneNote 2010 |
onent14.admx, onent14.adml, onent14.adm |
Microsoft Outlook 2010 |
outlk14.admx, outlk14.adml, outlk14.adm |
Microsoft PowerPoint 2010 |
ppt14.admx, ppt14.adml, ppt14.adm |
Microsoft Project 2010 |
proj14.admx, proj14.adml, proj14.adm |
Microsoft Publisher 2010 |
pub14.admx, pub14.adml, pub14.adm |
Microsoft SharePoint Designer 2010 |
spd14.admx, spd14.adml, spd14.adm |
Microsoft SharePoint Workspace 2010 |
spw14.admx, spw14.adml, spw14.adm |
Microsoft Visio 2010 |
visio14.admx, visio14.adml, visio14.adm |
Microsoft Word 2010 |
word14.admx, word14.adml, word14.adm |
Criteri effettivi e preferenze utente
Le impostazioni di Criteri di gruppo che possono essere gestite completamente dagli amministratori sono dette criteri effettivi. Le impostazioni configurate dagli utenti ma che possono riflettere lo stato predefinito del sistema operativo al momento dell'installazione sono invece dette preferenze. Sia i criteri effettivi sia le preferenze contengono informazioni che modificano il Registro di sistema nei computer degli utenti.
Criteri effettivi
I valori del Registro di sistema relativi ai criteri effettivi sono archiviati nelle chiavi del Registro di sistema approvate per Criteri di gruppo. Gli utenti non possono modificare o disattivare queste impostazioni.
Per le impostazioni dei criteri relativi al computer:
HKEY_LOCAL_MACHINE\Software\Policies (posizione preferita)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Per le impostazioni dei criteri relativi all'utente:
HKEY_CURRENT_USER\Software\Policies (posizione preferita)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Per Office 2010 i criteri effettivi sono archiviati nelle posizioni del Registro di sistema seguenti.
Per le impostazioni dei criteri relativi al computer:
- HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\14.0
Per le impostazioni dei criteri relativi all'utente:
- HKEY_CURRENT_USER\Software\Policies\ Microsoft\Office\14.0
Preferenze
Le preferenze sono impostate dagli utenti o dal sistema operativo al momento dell'installazione. I valori del Registro di sistema in cui sono archiviate le preferenze si trovano al di fuori delle chiavi di Criteri di gruppo approvate. Le preferenze possono essere modificate dagli utenti.
Se si configurano in questo modo le impostazioni delle preferenze mediante un oggetto Criterio di gruppo, quest'ultimo non sarà soggetto alle limitazioni dell'elenco di controllo di accesso. Pertanto gli utenti potranno modificare i valori nel Registro di sistema. Quando l'oggetto Criteri di gruppo viene escluso dall'ambito (ovvero viene scollegato, disattivato o eliminato), i valori non verranno rimossi dal Registro di sistema.
Per visualizzare le preferenze nell'Editor oggetti Criteri di gruppo, fare clic sul nodo Modelli amministrativi, su Visualizza, su Filtro e quindi deselezionare la casella di controllo Visualizza solo le impostazioni di criteri completamente gestibili.
Strumenti di gestione di Criteri di gruppo
Gli amministratori utilizzano gli strumenti seguenti per amministrare Criteri di gruppo:
Console Gestione Criteri di gruppo Utilizzata per gestire la maggior parte delle attività di gestione di Criteri di gruppo.
Editor oggetti Criteri di gruppo Utilizzato per configurare le impostazioni dei criteri in oggetti Criteri di gruppo.
Console Gestione Criteri di gruppo
La console Gestione Criteri di gruppo semplifica la gestione di Criteri di gruppo offrendo un singolo strumento per gestire gli aspetti di base di Criteri di gruppo, ad esempio la definizione dell'ambito, la delega, i filtri e l'ereditarietà degli oggetti Criteri di gruppo. La console consente inoltre di eseguire il backup (esportazione), il ripristino, l'importazione e la copia di oggetti Criteri di gruppo. Gli amministratori possono utilizzare la console Gestione Criteri di gruppo per comprendere in che modo gli oggetti Criteri di gruppo influenzeranno la rete e determinare come essi modificano le impostazioni per computer o utenti. La console rappresenta lo strumento preferenziale per la gestione della maggior parte della attività correlate a Criteri di gruppo in ambienti di dominio.
La console Gestione Criteri di gruppo offre una visualizzazione di oggetti Criteri di gruppo, siti, domini e unità organizzative in un'organizzazione e consente di gestire domini di Windows Server 2003 o Windows 2000. Gli amministratori utilizzano la console Gestione Criteri di gruppo per eseguire tutte le attività correlate a Criteri di gruppo, ad eccezione della configurazione di singoli criteri negli oggetti Criteri di gruppo. Tale attività viene eseguita mediante l'Editor oggetti Criteri di gruppo, che può essere aperto dalla console Gestione Criteri di gruppo.
Gli amministratori utilizzano la console Gestione Criteri di gruppo per creare un oggetto Criteri di gruppo senza impostazioni iniziali. Possono inoltre creare un oggetto Criteri di gruppo e collegarlo contemporaneamente a un contenitore di Active Directory. Per configurare impostazioni singole in un oggetto Criteri di gruppo, essi apportano le modifiche all'oggetto mediante l'Editor oggetti Criteri di gruppo, direttamente nella console Gestione Criteri di gruppo. All'apertura dell'Editor oggetti Criteri di gruppo viene visualizzato l'oggetto in questione già caricato.
Gli amministratori possono utilizzare la console Gestione Criteri di gruppo per collegare gli oggetti Criteri di gruppo a siti, domini o unità organizzative in Active Directory. Il collegamento degli oggetti Criteri di gruppo è necessario per applicare le impostazioni a utenti e computer nei contenitori di Active Directory.
La console Gestione Criteri di gruppo include le funzionalità di Gruppo di criteri risultante seguenti offerte da Windows:
Modellazione Criteri di gruppo Simula le impostazioni dei criteri che vengono applicate in determinate circostanze specificate da un amministratore. Gli amministratori possono utilizzare Modellazione Criteri di gruppo per simulare i dati del Gruppo di criteri risultante da applicare per una configurazione esistente, oppure possono analizzare gli effetti delle modifiche ipotetiche simulate sull'ambiente di directory.
Rapporti Criteri di gruppo Rappresenta i dati effettivi dei criteri che vengono applicati a un computer e a un utente. Per ottenere i dati si esegue una query sul computer di destinazione, recuperando i dati di Gruppo di criteri risultante applicati al computer. La funzionalità Rapporti Criteri di gruppo è offerta dal sistema operativo client e richiede Windows XP, Windows Server 2003 o versioni successive.
Editor oggetti Criteri di gruppo
L'Editor oggetti Criteri di gruppo è uno snap-in di Microsoft Management Console (MMC) che consente di configurare le impostazioni dei criteri in oggetti Criteri di gruppo. L'Editor oggetti Criteri di gruppo è contenuto in gpedit.dll e viene installato con i sistemi operativi Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 e Windows 7.
Per configurare le impostazioni di Criteri di gruppo per un computer locale non appartenente a un dominio, utilizzare Editor oggetti Criteri di gruppo per gestire un oggetto Criteri di gruppo locale (o più oggetti di questo tipo in computer che eseguono Windows Vista, Windows 7 o Windows Server 2008). Per configurare le impostazioni di Criteri di gruppo in un ambiente di dominio, lo strumento preferito per le attività correlate a Criteri di gruppo è la console Gestione Criteri di gruppo, all'interno della quale viene richiamato l'Editor oggetti Criteri di gruppo.
L'Editor oggetti Criteri di gruppo offre agli amministratori una struttura gerarchica ad albero per configurare le impostazioni negli oggetti Criteri di gruppo costituita dai due nodi principali seguenti:
Configurazione utente Contiene le impostazioni applicate agli utenti al momento dell'accesso e dell'aggiornamento periodico in background.
Configurazione computer Contiene le impostazioni applicate ai computer al momento dell'accesso e dell'aggiornamento periodico in background.
I due nodi principali sono ulteriormente suddivisi in cartelle contenenti i diversi tipi di criteri che possono essere impostati. Tali cartelle includono le seguenti:
Impostazioni software Contiene le impostazioni di installazione del software.
Impostazioni di Windows Contiene le impostazioni dei criteri di sicurezza e per gli script.
Modelli amministrativi Contiene le impostazioni dei criteri basati sul Registro di sistema.
Requisiti di sistema per la console Gestione Criteri di gruppo e l'Editor oggetti Criteri di gruppo
L'Editor oggetti Criteri di gruppo fa parte della console Gestione Criteri di gruppo e viene richiamato quando si modifica un oggetto Criteri di gruppo. È possibile eseguire la console Gestione Criteri di gruppo in Windows XP, Windows Server 2003, Windows Vista, Windows 7 e Windows Server 2008. I requisiti variano in base al sistema operativo Windows in uso, come descritto di seguito:
La Console Gestione Criteri di gruppo è inclusa nel sistema operativo Windows Vista. Se tuttavia è stato installato il Service Pack 1 o il Service Pack 2 di Windows Vista, tale console risulta rimossa. Per reinstallarla, installare gli Strumenti di amministrazione remota del server Microsoft per Windows Vista (https://go.microsoft.com/fwlink/?linkid=89361\&clcid=0x410).
La console Gestione Criteri di gruppo è inclusa in Windows Server 2008 e versioni successive. Tale funzionalità non viene tuttavia installata con il sistema operativo. Per installarla, utilizzare Gestione server. Per informazioni su come installare la console Gestione Criteri di gruppo, vedere Installare Console Gestione Criteri di gruppo (https://go.microsoft.com/fwlink/?linkid=187926\&clcid=0x410).
Per installare la console Gestione Criteri di gruppo in Windows 7, installare gli Strumenti di amministrazione remota del server per Windows 7 (https://go.microsoft.com/fwlink/?linkid=180743\&clcid=0x410).
Per installare la console Gestione Criteri di gruppo in Windows XP o Windows Server 2003, installare la Console Gestione Criteri di gruppo con Service Pack 1 (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=88316\&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).
Per ulteriori informazioni su come utilizzare la console Gestione Criteri di gruppo e l'Editor oggetti Criteri di gruppo, vedere Use Group Policy to enforce Office 2010 settings.
Strumento di personalizzazione di Office e Criteri di gruppo
Gli amministratori possono utilizzare lo Strumento di personalizzazione di Office o i Criteri di gruppo per personalizzare le configurazioni utente per le applicazioni di Office 2010.
Strumento di personalizzazione di Office Utilizzato per creare un file di personalizzazione dell'installazione (con estensione msp). Gli amministratori possono utilizzare questo strumento per personalizzare le caratteristiche e configurare le impostazioni utente. Gli utenti possono modificare la maggior parte delle impostazioni dopo l'installazione. Ciò è possibile perché lo Strumento di personalizzazione di Office configura impostazioni in parti del Registro di sistema disponibili pubblicamente, ad esempio HKEY_CURRENT_USER/Software/Microsoft/Office/14.0. Questo strumento è utilizzato generalmente nelle organizzazioni in cui le configurazioni dei desktop non vengono gestite in modo centralizzato. Per ulteriori informazioni, vedere Office Customization Tool in Office 2010.
Criteri di gruppo Utilizzato per configurare le impostazioni dei criteri di Office 2010 contenute in Modelli amministrativi, che vengono applicate dal sistema operativo. Negli ambienti Active Directory, gli amministratori possono applicare le impostazioni a gruppi di utenti e computer in un sito, un dominio o un'unità organizzativa a cui è collegato l'oggetto Criteri di gruppo. I criteri effettivi sono scritti nelle chiavi del Registro di sistema approvate per le quali esistono restrizioni SACL che ne impediscono la modifica da parte di utenti non amministratori. Gli amministratori possono utilizzare Criteri di gruppo per creare configurazioni desktop altamente gestite. Possono inoltre creare configurazioni meno restrittive per soddisfare i requisiti aziendali e di sicurezza delle organizzazioni. Per ulteriori informazioni sullo Strumento di personalizzazione di Office, vedere Office Customization Tool in Office 2010.
See Also
Concepts
Pianificare i Criteri di gruppo in Office 2010
Domande frequenti: Criteri di gruppo (Office 2010)
Manuale scaricabile: Criteri di gruppo per Office 2010
Use Group Policy to enforce Office 2010 settings
Disable user interface items and shortcut keys in Office 2010
File dei modelli amministrativi di Office 2010 (ADM, ADMX, ADML) e Strumento di personalizzazione di Office
Security policies and settings in Office 2010
Other Resources
Criteri di gruppo di Windows Server
Guida alla pianificazione e alla distribuzione di Criteri di gruppo
Guida di orientamento per la documentazione di Criteri di gruppo