Definire gli oggetti Criteri di gruppo

  • 7 minuti

Fin dalle prime versioni di Windows Server, la funzionalità Criteri di gruppo dei sistemi operativi Windows ha fornito un'infrastruttura con cui gli amministratori possono definire le impostazioni a livello centrale e poi distribuirle ai computer dei vari reparti.

Il personale IT di Contoso può quindi definire, imporre e aggiornare l'intera configurazione usando le impostazioni degli oggetti Criteri di gruppo, con cui può intervenire su un intero sito o dominio all'interno dell'organizzazione oppure limitarsi a una singola unità organizzativa.

Suggerimento

La possibilità di applicare un filtro in base all'appartenenza a un gruppo di sicurezza o agli attributi dei computer fisici consente inoltre a Contoso di definire ulteriormente la destinazione delle impostazioni degli oggetti Criteri di gruppo.

Che cos'è Criteri di gruppo?

Criteri di gruppo è un framework dei sistemi operativi Windows con componenti che si trovano in Active Directory Domain Services, nei controller di dominio e in ogni server e client Windows. Usando questi componenti, è possibile gestire la configurazione di un dominio Active Directory Domain Services. Le definizioni dei Criteri di gruppo vengono definite in un oggetto Criteri di gruppo, ovvero un oggetto con una o più impostazioni di criteri che possono essere successivamente applicate a una o più impostazioni di configurazione per un utente o un computer.

A screenshot of the Group Policy Management console. The administrator has selected the Contoso.com domain. Displayed are three GPOs. Also displayed are the OUs in the domain, some of which have linked GPOs.

Criteri di gruppo è un potente strumento di amministrazione. È possibile infatti usare gli oggetti Criteri di gruppo per eseguire il push di varie impostazioni a un numero elevato di utenti e computer. Poiché le impostazioni possono essere applicate a vari livelli, dal computer locale al dominio, è anche definirle con estrema precisione. In primo luogo, è opportuno usare Criteri di gruppo per configurare le impostazioni che si preferisce non vengano configurate dagli utenti, nonché per standardizzare gli ambienti desktop in tutti i computer di un'unità organizzativa o di un'intera organizzazione. È anche usare Criteri di gruppo anche per fornire sicurezza aggiuntiva, per configurare alcune impostazioni di sistema avanzate e per altre finalità illustrate in un'unità dimostrativa successiva.

A screenshot of the Group Policy Management Editor. The administrator has expanded the Computer Configuration and User Configuration nodes to display the Policies and Preferences folders.

Che cosa sono gli oggetti Criteri di gruppo?

Il componente più granulare di Criteri di gruppo è una singola impostazione di criteri che definisce una configurazione specifica, ad esempio un'impostazione di criteri che impedisce a un utente di accedere agli strumenti di modifica del registro di sistema. Se si definisce questa impostazione di criteri e la si applica a un utente, questi non potrà eseguire strumenti come Regedit.exe.

Alcune impostazioni influiscono sull'utente, prendendo il nome di impostazioni di configurazione utente o criteri utente, mentre altre influiscono sul computer e prendono il nome di impostazioni di configurazione computer o criteri computer.

Importante

Le impostazioni non intervengono direttamente sui gruppi e possono essere applicate solo a oggetti utente e computer.

Criteri di gruppo gestisce varie impostazioni di criteri e il framework di Criteri di gruppo è estensibile. Con Criteri di gruppo è possibile gestire pressoché qualsiasi impostazione configurabile.

A screenshot of the Configure Automatic Updates dialog box in the Group Policy Management Editor. The setting is enabled. Other values are displayed.

Per definire un'impostazione dei criteri, seguire questa procedura:

  1. Nell'editor Gestione Criteri di gruppo individuare l'impostazione di criteri e premere INVIO. Viene visualizzata la finestra di dialogo Proprietà dell'impostazione di criteri.
  2. Impostare lo stato dei criteri su Abilitato o Disabilitato. Per la maggior parte delle impostazioni di criteri sono disponibili tre stati: Non configurato, Abilitato e Disabilitato.
  3. Se necessario, configurare valori aggiuntivi e, al termine, selezionare OK.

Le impostazioni di Criteri di gruppo vengono archiviati negli oggetti Criteri di gruppo. In un nuovo oggetto Criteri di gruppo, ogni impostazione di criteri viene automaticamente impostata sullo stato Non configurato. Quando si abilita o disabilita un'impostazione di criteri, Windows Server apporta una modifica alla configurazione di utenti e computer a cui è applicato l'oggetto Criteri di gruppo.

Nota

Quando si ripristina un'impostazione al valore Non configurato, viene ripristinato il valore predefinito.

Per creare un nuovo oggetto Criteri di gruppo in un dominio:

  1. In Gestione Criteri di gruppo fare clic con il pulsante destro del mouse o accedere al menu di scelta rapida relativo al contenitore Oggetti Criteri di gruppo e quindi selezionare Nuovo.
  2. Per modificare le impostazioni di configurazione in un oggetto Criteri di gruppo, fare clic con il pulsante destro del mouse o accedere al menu di scelta rapida relativo all'oggetto Criteri di gruppo e quindi selezionare Modifica. Verrà aperto lo snap-in dell'editor Gestione Criteri di gruppo.

Nell'editor Gestione Criteri di gruppo vengono visualizzate tutte le impostazioni di criteri disponibili in un oggetto Criteri di gruppo all'interno di una gerarchia organizzata che inizia con la suddivisione tra impostazioni computer e impostazioni utente: il nodo Configurazione computer e il nodo Configurazione utente.

Gli oggetti Criteri di gruppo vengono visualizzati in un contenitore denominato Oggetti Criteri di gruppo. I due livelli successivi della gerarchia sono i nodi denominati Criteri e Preferenze. Andando avanti nella gerarchia, nell'editor Gestione Criteri di gruppo vengono visualizzate cartelle denominate nodi o gruppi di impostazioni di criteri. Le impostazioni di criteri si trovano all'interno delle cartelle.

Che cosa sono gli oggetti Criteri di gruppo Starter?

È possibile usare un oggetto Criteri di gruppo Starter come modello a partire dal quale creare altri oggetti Criteri di gruppo all'interno della console di Gestione Criteri di gruppo. Negli oggetti Criteri di gruppo Starter sono disponibili solo impostazioni del modello amministrativo. È possibile usare un oggetto Criteri di gruppo Starter come punto di partenza per la creazione di nuovi oggetti Criteri di gruppo nel dominio. L'oggetto Criteri di gruppo Starter potrebbe contenere già impostazioni specifiche che rappresentano le procedure consigliate per l'ambiente in uso. È possibile importare ed esportare oggetti Criteri di gruppo Starter da file CAB per rendere più semplice ed efficiente la distribuzione in altri ambienti.

Nota

La console di Gestione Criteri di gruppo archivia gli oggetti Criteri di gruppo Starter in una cartella denominata StarterGPOs, che si trova in SYSVOL.

Nota

SYSVOL è una cartella condivisa nei controller di dominio.

Microsoft offre oggetti Criteri di gruppo Starter preconfigurati per i sistemi operativi client Windows. Questi oggetti Criteri di gruppo Starter sono dotati di impostazioni dei modelli amministrativi che riflettono le procedure consigliate da Microsoft per la configurazione dell'ambiente client.