Implementare l'ereditarietà e l'ambito degli oggetti Criteri di gruppo

  • 7 minuti

Le impostazioni dei criteri negli oggetti Criteri di gruppo definiscono la configurazione. È necessario tuttavia specificare i computer o gli utenti a cui deve essere applicato l'oggetto Criteri di gruppo prima che eventuali modifiche alla configurazione di un oggetto Criteri di gruppo abbiano effetto sui computer o sugli utenti dell'organizzazione. Si parla in questo caso di "ambito di un oggetto Criteri di gruppo", ovvero del gruppo di utenti e computer a cui verranno applicate le impostazioni dell'oggetto Criteri di gruppo.

Importante

L'ambito di un oggetto Criteri di gruppo viene definito collegandolo all'unità organizzativa contenente gli utenti e i computer di destinazione.

Ambito di un oggetto Criteri di gruppo

Sono disponibili vari metodi per gestire l'ambito degli oggetti Criteri di gruppo basati su dominio. Il primo si basa sul collegamento dell'oggetto Criteri di gruppo. In Servizi di dominio Active Directory è possibile collegare oggetti Criteri di gruppo a:

  • Siti
  • Domini
  • Uo

Il sito, il dominio o l'unità organizzativa diventa quindi l'ambito massimo dell'oggetto Criteri di gruppo e le configurazioni specificate dalle impostazioni di criteri nell'oggetto Criteri di gruppo avranno effetto su tutti i computer e gli utenti all'interno del sito, del dominio o dell'unità organizzativa, inclusi quelli presenti nelle unità organizzative figlio. È possibile collegare un oggetto Criteri di gruppo anche a più domini, unità organizzative o siti.

Attenzione

Se si collegano oggetti Criteri di gruppo a più siti di una foresta con più domini possono verificarsi problemi di prestazioni durante l'applicazione dei criteri e, in uno scenario di questo tipo, è quindi opportuno evitare di collegare oggetti Criteri di gruppo a più siti. In una rete con più siti distribuiti in più foreste, infatti, gli oggetti Criteri di gruppo vengono archiviati nei controller del dominio in cui sono stati creati gli oggetti Criteri di gruppo e i computer di altri domini potrebbero essere costretti ad attraversare un collegamento WWAN (Wide Area Network) lento per ottenere gli oggetti Criteri di gruppo.

Per restringere ulteriormente l'ambito di un oggetto Criteri di gruppo, è possibile usare uno dei due tipi di filtri descritti nella tabella seguente.

filtro

Descrizione

Sicurezza

Questi filtri consentono di specificare i gruppi di sicurezza o i singoli oggetti utente o computer correlati all'ambito di un oggetto Criteri di gruppo, ma a cui l'oggetto Criteri di gruppo deve essere applicato o non applicato in modo esplicito.

WMI

Questi filtri consentono di specificare un ambito facendo riferimento alle caratteristiche di un sistema, ad esempio una versione del sistema operativo o lo spazio libero su disco.

Screenshot della console Gestione Criteri di gruppo. L'amministratore ha selezionato un oggetto Criteri di gruppo collegato all'unità organizzativa marketing. Visualizzato nel riquadro dei dettagli sono un filtro WMI denominato Dispositivi Windows 10 e un filtro di sicurezza impostato sul gruppo Marketing.

I filtri di sicurezza e WMI consentono quindi di limitare o specificare l'ambito all'interno dell'ambito iniziale creato dal collegamento all'oggetto Criteri di gruppo. Di seguito è riportato un esempio di un filtro WMI che genera un elenco di computer che eseguono Windows 10.

select * from Win32_OperatingSystem where Version like "10.%"

Ordine di elaborazione degli oggetti Criteri di gruppo

Gli oggetti Criteri di gruppo che devono essere applicati a un utente, a un computer o a entrambi non vengono implementati contemporaneamente, ma seguono un ordine particolare. Eventuali impostazioni in conflitto elaborate in un secondo momento potrebbero infatti sovrascrivere le impostazioni elaborate all'inizio.

Criteri di gruppo segue l'ordine di elaborazione gerarchico seguente:

  1. Oggetti Criteri di gruppo locali.
  2. Oggetti Criteri di gruppo collegati a un sito.
  3. Oggetti Criteri di gruppo collegati a un dominio.
  4. Oggetti Criteri di gruppo collegati a un'unità organizzativa.
  5. Oggetti Criteri di gruppo collegati a un'unità organizzativa figlio.

Importante

Nell'applicazione dei Criteri di gruppo, la regola predefinita è che hanno la priorità gli ultimi criteri (più specifici) applicati.

Eventuali criteri che limitano l'accesso al pannello di controllo applicati a livello di dominio, ad esempio, potrebbero essere invertiti da criteri applicati a livello di unità organizzativa per gli oggetti contenuti in quella particolare unità organizzativa.

Se si collegano vari oggetti Criteri di gruppo a un'unità organizzativa, l'elaborazione viene eseguita nell'ordine specificato dall'amministratore nella scheda Oggetti Criteri di gruppo collegati (dell'unità organizzativa) nella console di Gestione Criteri di gruppo. Per impostazione predefinita, l'elaborazione è abilitata per tutti i collegamenti degli oggetti Criteri di gruppo. Se si disabilita il collegamento di un oggetto Criteri di gruppo di un contenitore, è possibile bloccare completamente l'applicazione dell'oggetto Criteri di gruppo in un dominio o in un'unità organizzativa specifica. Se ad esempio è stata apportata una modifica recente a un oggetto Criteri di gruppo che causa problemi di produzione, è possibile disabilitare il collegamento o i collegamenti fino a quando il problema non viene risolto.

Annotazioni

Si noti che se l'oggetto Criteri di gruppo è collegato ad altri contenitori, continuerà a elaborare l'oggetto Criteri di gruppo se i collegamenti sono abilitati.

È anche possibile disabilitare la configurazione utente o computer di un determinato oggetto Criteri di gruppo indipendentemente dall'utente o dal computer. Se si sa che una sezione di specifici criteri è vuota, disabilitando l'altra sezione è possibile velocizzare leggermente l'elaborazione dei criteri. Se, ad esempio, si dispone di criteri che recapitano solo la configurazione desktop utente, è possibile disabilitare la sezione computer dei criteri.

Ereditarietà degli oggetti Criteri di gruppo

È possibile configurare un'impostazione di criteri in più oggetti Criteri di gruppo ma, in questo caso, si potrebbero verificare conflitti tra i vari oggetti Criteri di gruppo. In questo caso, l'impostazione di criteri da applicare al client viene stabilita in base alle precedenze definite per gli oggetti Criteri di gruppo. Un oggetto Criteri di gruppo con precedenza maggiore ha la priorità su un oggetto Criteri di gruppo con precedenza più bassa. La precedenza viene determinata numericamente e ad ogni oggetto Criteri di gruppo è assegnato un valore di precedenza. Ha la precedenza l'oggetto a cui è assegnato il numero più basso. Un oggetto Criteri di gruppo a cui è assegnato il valore di precedenza uno, quindi, ha la priorità su tutti gli altri oggetti Criteri di gruppo.

Il comportamento predefinito di Criteri di gruppo è che gli oggetti Criteri di gruppo collegati a un contenitore con un valore superiore vengono ereditati dai contenitori con un valore inferiore. Quando un computer viene avviato o un utente accede, le estensioni client di Criteri di gruppo esaminano il percorso del computer o dell'oggetto utente in Active Directory Domain Services e valuta gli oggetti Criteri di gruppo con ambiti che includono il computer o l'utente. Le estensioni lato client applicano quindi le impostazioni di criteri da questi oggetti Criteri di gruppo. I criteri vengono applicati in sequenza: prima i criteri che si collegano al sito, quindi quelli che si collegano al dominio e infine quelli che si collegano a unità organizzative. Questa applicazione sequenziale di oggetti Criteri di gruppo crea un effetto denominato ereditarietà dei criteri. I criteri vengono ereditati, ovvero l'insieme risultante di criteri per un utente o un computer sarà l'effetto cumulativo dei criteri di sito, dominio e unità organizzativa.

Blocca ereditarietà

È possibile configurare un dominio o un'unità organizzativa in modo che venga impedita l'ereditarietà delle impostazioni dei criteri. Si parla in questo di "bloccare l'ereditarietà". Per bloccare l'ereditarietà, fare clic con il pulsante destro del mouse o accedere al menu di scelta rapida relativo al dominio o all'unità organizzativa nella struttura della console Gestione Criteri di gruppo e quindi selezionare Blocca ereditarietà.

Screenshot del menu di scelta rapida per l'unità organizzativa Marketing nella console Gestione Criteri di gruppo. L'amministratore ha selezionato Blocca ereditarietà.

L'opzione Blocca ereditarietà è una proprietà a livello di contenitore e blocca quindi tutte le impostazioni di Criteri di gruppo dagli oggetti Criteri di gruppo che si collegano a elementi padre nella gerarchia Criteri di gruppo.

Attenzione

È consigliabile tuttavia usare sporadicamente l'opzione Blocca ereditarietà, poiché rende più difficile la valutazione della precedenza e dell'ereditarietà di Criteri di gruppo.

Suggerimento

Con l'applicazione di filtri ai gruppi di sicurezza, è possibile definire l'ambito di un oggetto Criteri di gruppo in modo che venga applicato solo agli utenti e ai computer corretti e si rende superflua l'utilizzo dell'opzione Blocca ereditarietà.

È possibile anche impostare un collegamento in modo che venga imposto. Per imporre un collegamento a un oggetto Criteri di gruppo, fare clic con il pulsante destro del mouse o accedere al menu di scelta rapida relativo al collegamento dell'oggetto Criteri di gruppo nella struttura della console e quindi selezionare Imposto dal menu di scelta rapida.

Screenshot del menu di scelta rapida per l'oggetto Criteri di gruppo Impostazioni di sicurezza del dominio Contoso nella console Gestione Criteri di gruppo. L'amministratore ha selezionato Imponi.

Quando si imposta un collegamento di un oggetto Criteri di gruppo su Imposto, l'oggetto acquisisce il livello di precedenza più elevato. Le impostazioni di criteri in questo oggetto Criteri di gruppo prevalgono quindi su eventuali impostazioni di criteri in conflitto relative ad altri oggetti Criteri di gruppo.

Importante

Un collegamento imposto viene applicato ai contenitori figlio anche se questi sono impostati su Blocca ereditarietà. L'opzione Imposto determina l'applicazione dei criteri a tutti gli oggetti presenti all'interno dell'ambito.

La procedura di imposizione è utile quando è necessario configurare un oggetto Criteri di gruppo che definisce una configurazione prescritta da criteri di sicurezza e utilizzo stabiliti dal reparto IT aziendale e si vuole quindi avere la certezza che altri oggetti Criteri di gruppo collegati allo stesso livello o a livelli inferiori non sostituiscano queste impostazioni. A questo scopo, è possibile applicare il collegamento dell'oggetto Criteri di gruppo.

Valutazione della precedenza

Per semplificare la valutazione della precedenza di un oggetto Criteri di gruppo, è sufficiente selezionare un'unità organizzativa o un dominio e quindi selezionare la scheda Ereditarietà di Criteri di gruppo. La scheda visualizza quindi le precedenze degli oggetti Criteri di gruppo, l'accounting per il collegamento dell'oggetto Criteri di gruppo, l'ordine di collegamento, il blocco dell'ereditarietà e l'imposizione dei collegamenti.

Screenshot della console Gestione Criteri di gruppo. L'amministratore ha selezionato la scheda Ereditarietà criteri di gruppo per l'unità organizzativa Marketing. Vengono visualizzati quattro criteri, due dei quali vengono applicati dal dominio.

Importante

Questa scheda non tiene conto degli eventuali criteri relativi a un sito, alla sicurezza degli oggetti Criteri di gruppo o a filtri WMI.