Definire gli oggetti Criteri di gruppo
Fin dalle prime versioni di Windows Server, la funzionalità Criteri di gruppo dei sistemi operativi Windows ha fornito un'infrastruttura con cui gli amministratori possono definire le impostazioni a livello centrale e poi distribuirle ai computer dei vari reparti.
Il personale IT di Contoso può quindi definire, imporre e aggiornare l'intera configurazione usando le impostazioni degli oggetti Criteri di gruppo, con cui può intervenire su un intero sito o dominio all'interno dell'organizzazione oppure limitarsi a una singola unità organizzativa.
Suggerimento
La possibilità di applicare un filtro in base all'appartenenza a un gruppo di sicurezza o agli attributi dei computer fisici consente inoltre a Contoso di definire ulteriormente la destinazione delle impostazioni degli oggetti Criteri di gruppo.
Che cos'è Criteri di gruppo?
Criteri di gruppo è un framework dei sistemi operativi Windows con componenti che si trovano in Active Directory Domain Services, nei controller di dominio e in ogni server e client Windows. Usando questi componenti, è possibile gestire la configurazione di un dominio Active Directory Domain Services. Le definizioni dei Criteri di gruppo vengono definite in un oggetto Criteri di gruppo, ovvero un oggetto con una o più impostazioni di criteri che possono essere successivamente applicate a una o più impostazioni di configurazione per un utente o un computer.
Criteri di gruppo è un potente strumento di amministrazione. È possibile infatti usare gli oggetti Criteri di gruppo per eseguire il push di varie impostazioni a un numero elevato di utenti e computer. Poiché le impostazioni possono essere applicate a vari livelli, dal computer locale al dominio, è anche definirle con estrema precisione. In primo luogo, è opportuno usare Criteri di gruppo per configurare le impostazioni che si preferisce non vengano configurate dagli utenti, nonché per standardizzare gli ambienti desktop in tutti i computer di un'unità organizzativa o di un'intera organizzazione. È anche usare Criteri di gruppo anche per fornire sicurezza aggiuntiva, per configurare alcune impostazioni di sistema avanzate e per altre finalità illustrate in un'unità dimostrativa successiva.
Che cosa sono gli oggetti Criteri di gruppo?
Il componente più granulare di Criteri di gruppo è una singola impostazione di criteri che definisce una configurazione specifica, ad esempio un'impostazione di criteri che impedisce a un utente di accedere agli strumenti di modifica del registro di sistema. Se si definisce questa impostazione di criteri e la si applica a un utente, questi non potrà eseguire strumenti come Regedit.exe.
Alcune impostazioni influiscono sull'utente, prendendo il nome di impostazioni di configurazione utente o criteri utente, mentre altre influiscono sul computer e prendono il nome di impostazioni di configurazione computer o criteri computer.
Importante
Le impostazioni non intervengono direttamente sui gruppi e possono essere applicate solo a oggetti utente e computer.
Criteri di gruppo gestisce varie impostazioni di criteri e il framework di Criteri di gruppo è estensibile. Con Criteri di gruppo è possibile gestire pressoché qualsiasi impostazione configurabile.
Per definire un'impostazione dei criteri, seguire questa procedura:
- Nell'editor Gestione Criteri di gruppo individuare l'impostazione di criteri e premere INVIO. Viene visualizzata la finestra di dialogo Proprietà dell'impostazione di criteri.
- Impostare lo stato dei criteri su Abilitato o Disabilitato. Per la maggior parte delle impostazioni di criteri sono disponibili tre stati: Non configurato, Abilitato e Disabilitato.
- Se necessario, configurare valori aggiuntivi e, al termine, selezionare OK.
Le impostazioni di Criteri di gruppo vengono archiviati negli oggetti Criteri di gruppo. In un nuovo oggetto Criteri di gruppo, ogni impostazione di criteri viene automaticamente impostata sullo stato Non configurato. Quando si abilita o disabilita un'impostazione di criteri, Windows Server apporta una modifica alla configurazione di utenti e computer a cui è applicato l'oggetto Criteri di gruppo.
Nota
Quando si ripristina un'impostazione al valore Non configurato, viene ripristinato il valore predefinito.
Per creare un nuovo oggetto Criteri di gruppo in un dominio:
- In Gestione Criteri di gruppo fare clic con il pulsante destro del mouse o accedere al menu di scelta rapida relativo al contenitore Oggetti Criteri di gruppo e quindi selezionare Nuovo.
- Per modificare le impostazioni di configurazione in un oggetto Criteri di gruppo, fare clic con il pulsante destro del mouse o accedere al menu di scelta rapida relativo all'oggetto Criteri di gruppo e quindi selezionare Modifica. Verrà aperto lo snap-in dell'editor Gestione Criteri di gruppo.
Nell'editor Gestione Criteri di gruppo vengono visualizzate tutte le impostazioni di criteri disponibili in un oggetto Criteri di gruppo all'interno di una gerarchia organizzata che inizia con la suddivisione tra impostazioni computer e impostazioni utente: il nodo Configurazione computer e il nodo Configurazione utente.
Gli oggetti Criteri di gruppo vengono visualizzati in un contenitore denominato Oggetti Criteri di gruppo. I due livelli successivi della gerarchia sono i nodi denominati Criteri e Preferenze. Andando avanti nella gerarchia, nell'editor Gestione Criteri di gruppo vengono visualizzate cartelle denominate nodi o gruppi di impostazioni di criteri. Le impostazioni di criteri si trovano all'interno delle cartelle.
Che cosa sono gli oggetti Criteri di gruppo Starter?
È possibile usare un oggetto Criteri di gruppo Starter come modello a partire dal quale creare altri oggetti Criteri di gruppo all'interno della console di Gestione Criteri di gruppo. Negli oggetti Criteri di gruppo Starter sono disponibili solo impostazioni del modello amministrativo. È possibile usare un oggetto Criteri di gruppo Starter come punto di partenza per la creazione di nuovi oggetti Criteri di gruppo nel dominio. L'oggetto Criteri di gruppo Starter potrebbe contenere già impostazioni specifiche che rappresentano le procedure consigliate per l'ambiente in uso. È possibile importare ed esportare oggetti Criteri di gruppo Starter da file CAB per rendere più semplice ed efficiente la distribuzione in altri ambienti.
Nota
La console di Gestione Criteri di gruppo archivia gli oggetti Criteri di gruppo Starter in una cartella denominata StarterGPOs, che si trova in SYSVOL.
Nota
SYSVOL è una cartella condivisa nei controller di dominio.
Microsoft offre oggetti Criteri di gruppo Starter preconfigurati per i sistemi operativi client Windows. Questi oggetti Criteri di gruppo Starter sono dotati di impostazioni dei modelli amministrativi che riflettono le procedure consigliate da Microsoft per la configurazione dell'ambiente client.