Creare e configurare un oggetto Criteri di gruppo basato su dominio
È possibile gestire gli oggetti Criteri di gruppo usufruendo di due strumenti principali:
- La console di Gestione Criteri di gruppo.
- L'editor Gestione Criteri di gruppo.
Per gestire gli oggetti Criteri di gruppo e le relative impostazioni, è possibile anche usare i cmdlet di Windows PowerShell descritti nella tabella seguente.
Cmdlet
Descrizione
New-GPO
Consente di creare un nuovo oggetto Criteri di gruppo.
New-GPLink
Consente di collegare un oggetto Criteri di gruppo a un sito, a un dominio o a un'unità organizzativa.
Get-GPInheritance
Consente di ottenere informazioni sull'ereditarietà dei Criteri di gruppo relativi a un dominio o a un'unità organizzativa.
Set-GPInheritance
Consente di bloccare o sbloccare l'ereditarietà relativa a un dominio o a un'unità organizzativa.
Get-GPO
Consente di ottenere un oggetto Criteri di gruppo o tutti gli oggetti Criteri di gruppo appartenenti a un dominio.
Che cosa è possibile gestire con gli oggetti Criteri di gruppo?
Esistono due principali categorie di impostazioni di criteri: impostazioni computer, contenute nel nodo Configurazione computer e impostazioni utente, contenute nel nodo Configurazione utente.
- Il nodo Configurazione computer contiene le impostazioni che si applicano ai computer, indipendentemente dall'utente che vi accede. Le impostazioni computer vengono applicate all'avvio del sistema operativo o durante gli aggiornamenti in background e, successivamente, ogni 90 a 120 minuti.
- Il nodo Configurazione utente contiene impostazioni che vengono applicate quando un utente accede a un computer o durante gli aggiornamenti in background e, successivamente, ogni 90 a 120 minuti.
Nei nodi Configurazione computer e Configurazione utente sono disponibili i nodi Criteri e Preferenze.
I nodi Criteri presenti in Configurazione computer e Configurazione utente presentano una gerarchia di cartelle che contengono impostazioni di criteri. Poiché sono disponibili migliaia di impostazioni, in questo corso non è certamente possibile esaminare le singole impostazioni, ma vale la pena scoprire i tipi di impostazioni che è possibile configurare.
Applicare le impostazioni di sicurezza
Nel sistema operativo Windows Server, gli oggetti Criteri di gruppo contengono un numero elevato di impostazioni di sicurezza che è possibile applicare sia a utenti che a computer. Ad esempio, è possibile applicare le impostazioni per i criteri password del dominio o per Windows Defender Firewall, nonché configurare il controllo e altre impostazioni di sicurezza. È inoltre possibile configurare set completi di assegnazioni di diritti utente.
Gestire le impostazioni desktop e applicazioni
È possibile usare Criteri di gruppo per fornire un ambiente desktop e applicazioni coerente per tutti gli utenti dell'organizzazione. Gli oggetti Criteri di gruppo, ad esempio, consentono di configurare ogni impostazione che influisce sulla rappresentazione dell'ambiente utente. È possibile anche configurare impostazioni per alcune applicazioni che supportano oggetti Criteri di gruppo.
Distribuire il software
Con Criteri di gruppo è possibile distribuire applicazioni software a utenti e computer. In particolare, è possibile qualsiasi applicazione software disponibile nel formato MSI. È inoltre possibile imporre l'installazione automatica del software oppure consentire agli utenti di decidere se il software debba essere distribuito nei propri computer.
Importante
La distribuzione di pacchetti software di grandi dimensioni con oggetti Criteri di gruppo potrebbe tuttavia non essere il metodo più efficiente per distribuire un'applicazione nei computer dell'organizzazione. In alcune circostanze, infatti, potrebbe essere più efficace distribuire le applicazioni come parte dell'immagine di un computer desktop.
Gestire il reindirizzamento delle cartelle
L'opzione Reindirizzamento cartelle semplifica notevolmente la creazione di copie backup dei file di dati degli utenti. Il reindirizzamento delle cartelle garantisce infatti che gli utenti abbiano accesso ai propri dati indipendentemente dal computer da cui accedono. Consente inoltre di centralizzare tutti i dati degli utenti in un unico percorso in un server di rete, garantendo al tempo stesso un'esperienza utente simile all'archiviazione di queste cartelle nei rispettivi computer. Ad esempio, è possibile configurare l'opzione Reindirizzamento cartelle in modo che le cartelle Documenti degli utenti vengano reindirizzate a una cartella condivisa su un server di rete.
Configurazione delle impostazioni di rete
Con Criteri di gruppo è possibile configurare varie impostazioni di rete nei computer client. È possibile, ad esempio, imporre alcune impostazioni per reti wireless in modo da consentire agli utenti di connettersi solo a specifici SSID di rete Wi-Fi e con impostazioni di autenticazione e crittografia predefinite. È inoltre possibile distribuire criteri da applicare a impostazioni di reti cablate, mentre alcuni ruoli di Windows Server usano Criteri di gruppo per configurare il lato client dei servizi, ad esempio DirectAccess.
Risoluzione dei problemi relativi all'applicazione di oggetti Criteri di gruppo
L'ereditarietà, i filtri e le eccezioni di Criteri di gruppo sono concetti piuttosto complessi e spesso può essere difficile determinare quali impostazioni di criteri verranno applicate. RSoP (Resultant Set of Policy, Gruppo di criteri risultante) è l'effetto netto dell'applicazione di oggetti Criteri di gruppo a un utente o un computer, dopo aver preso in considerazione i collegamenti GPO, le eccezioni definite dalle opzioni Imposto e Blocca ereditarietà e l'applicazione dei filtri di sicurezza e WMI.
RSoP rappresenta anche una raccolta di strumenti che è possibile usare per valutare, modellare e risolvere i problemi relativi all'applicazione di impostazioni di Criteri di gruppo. RSoP può eseguire una query su un computer locale o remoto e segnalare le esatte impostazioni applicate al computer e a qualsiasi utente che ha eseguito l'accesso al computer. RSoP è inoltre in grado di modellare le impostazioni di criteri che si prevede vengano applicate a un utente o a un computer in vari scenari, tra cui lo scambio di un oggetto tra unità organizzative o siti o la variazione dell'appartenenza al gruppo dell'oggetto. Grazie a queste funzionalità, RSoP può semplificare la gestione e la risoluzione di problemi relativi a eventuali criteri in conflitto. Per eseguire l'analisi del gruppo di criteri risultante sono disponibili gli strumenti seguenti:
- Creazione guidata rapporti Criteri di gruppo.
- Creazione guidata modellazione Criteri di gruppo.
- GPResult.exe.
Dimostrazione
Il video seguente illustra come creare, configurare e applicare oggetti Criteri di gruppo. I passaggi principali del processo sono i seguenti:
- Avviare la Console Gestione Criteri di gruppo.
- Passare al contenitore Oggetti Criteri di gruppo.
- Creare un nuovo oggetto Criteri di gruppo.
- Aprire l'oggetto Criteri di gruppo per modificare alcune impostazioni utente.
- Collegare l'oggetto Criteri di gruppo al dominio
Contoso.com. - Accedere a un computer client come amministratore e abilitare Gestione remota registro eventi e WMI attraverso il firewall.
- Accedere come utente standard e valutare l'effetto dell'oggetto Criteri di gruppo nel computer locale.
- Creare un nuovo oggetto Criteri di gruppo, modificarne le impostazioni e collegarlo a un'unità organizzativa. Verificare le impostazioni di ereditarietà.
- Modificare le impostazioni dei filtri di sicurezza in modo che i criteri vengano applicati solo a un gruppo e non a tutti gli utenti autenticati.
- Verificare l'effetto generato dalla variazione dell'ereditarietà e dei filtri di sicurezza.