Condividi tramite


La Console di Gestione dei Criteri di Gruppo

La Console di Gestione dei Criteri di Gruppo offre una gestione unificata di tutti gli aspetti dei Criteri di Gruppo nelle foreste multiple di un'organizzazione. La Console di Gestione dei Criteri di Gruppo (GPMC) consente di gestire tutti gli oggetti Criteri di Gruppo (GPO), i filtri di Strumentazione gestione Windows (WMI) e le autorizzazioni correlate ai Criteri di Gruppo nella rete. Si pensi alla Console Gestione Criteri di gruppo come punto di accesso principale a Criteri di gruppo, con tutti gli strumenti di gestione di Criteri di gruppo disponibili nell'interfaccia Gestione Criteri di gruppo.

La Console Gestione Criteri di gruppo è costituita da un set di interfacce scriptabili per la gestione di Criteri di gruppo e di un'interfaccia utente basata su MMC. La Console Gestione Criteri di gruppo è inclusa in Windows Server e negli Strumenti di amministrazione server remota.

La GPMC offre le seguenti funzionalità:

  • Importare ed esportare oggetti Criteri di gruppo.
  • Copiare e incollare i Criteri di gruppo.
  • Eseguire il backup e il ripristino delle GPO.
  • Cercare i Criteri di gruppo esistenti.
  • Report capabilities.
  • Modellazione di Criteri di gruppo. Consente di simulare i dati RsoP (Resultant Set of Policy) per la pianificazione delle distribuzioni di Criteri di gruppo prima della loro implementazione nell'ambiente di produzione.
  • Risultati dei criteri di gruppo. Consente di visualizzare l'interazione con i Criteri di gruppo e risolvere i problemi relativi alle distribuzioni di Criteri di gruppo.
  • Supporto per le tabelle di migrazione per facilitare l'importazione e la copia di GPOs (oggetti Criteri di gruppo) tra domini e foreste. Una tabella di migrazione è un file che associa i riferimenti a utenti, gruppi, computer e percorsi UNC (Universal Naming Convention) nella GPO di origine a nuovi valori nella GPO di destinazione.
  • Riportare le impostazioni GPO e i dati RSoP in report HTML che è possibile salvare e stampare.
  • Interfacce scriptabili che consentono tutte le operazioni disponibili nella Console di Gestione dei Criteri di gruppo. Non è possibile usare script per modificare le singole impostazioni dei criteri in un oggetto Criteri di gruppo (GPO).

Prerequisites

Per usare la Console di Gestione dei criteri di gruppo, è necessario completare i prerequisiti seguenti.

  • Disporre della funzionalità Gestione Criteri di gruppo installata in un computer che esegue Windows Server o un sistema operativo client Windows.
  • Have Edit settings, delete, and modify security permissions on the GPO.
  • To link GPOs, you need the modify permission on that site, domain, or OU. Per impostazione predefinita, solo gli amministratori di dominio e gli amministratori dell'organizzazione dispongono di questa autorizzazione.
    • Gli utenti e i gruppi autorizzati a collegare oggetti Criteri di gruppo a un sito, un dominio o un'unità organizzativa specifici possono collegare oggetti Criteri di gruppo, modificare l'ordine di collegamento e impostare l'ereditarietà dei blocchi in tale sito, dominio o unità organizzativa.

Creare un oggetto Criteri di gruppo non collegato

Per creare un oggetto Criteri di gruppo non collegato, eseguire i seguenti passaggi:

  1. To open the GPMC, select Start, enter Group Policy Management in the search box, and then select Group Policy Management.
  2. Nell'albero della console Gestione Criteri di Gruppo, clic destro su Oggetti Criteri di Gruppo nella foresta e nel dominio in cui si desidera creare un nuovo oggetto Criteri di Gruppo disconnesso.
  3. Select New.
  4. In the New GPO dialog box, specify a name for the new GPO, and then select OK.

Modificare un oggetto Criteri di gruppo esistente

Per modificare le impostazioni dei criteri all'interno di un oggetto Criteri di gruppo esistente, seguire questa procedura:

  1. Nell'albero della console GPMC, espandere Oggetti Criteri di gruppo nella foresta e nel dominio contenente il GPO che si desidera modificare.
  2. Right-click the GPO that you want to edit, and then select Edit.
  3. Nell'albero della console dell'Editor Gestione Criteri di gruppo, espandere gli elementi necessari per individuare l'elemento di criterio che contiene le impostazioni dei criteri che si desidera modificare. Selezionare un elemento per visualizzare le impostazioni dei criteri associate nel riquadro dei dettagli.
  4. Nel riquadro dei dettagli fare doppio clic sui nomi dell'impostazione dei criteri che si desidera modificare.
  5. In the Properties dialog box, modify policy settings as needed, and then select OK.
  6. Dopo aver completato le modifiche necessarie, chiudere l'Editor Gestione Criteri di Gruppo.

Il modo principale per applicare le impostazioni dei criteri in un oggetto Criteri di gruppo a utenti e computer consiste nel collegare l'oggetto Criteri di gruppo a un contenitore in Active Directory. Gli GPO possono essere collegati a tre tipi di contenitori in Active Directory: siti, domini e unità organizzative (OU). Un oggetto Criteri di gruppo può essere collegato a più contenitori di Active Directory.

Gli oggetti Criteri di Gruppo (GPO) vengono archiviati in base al dominio. Ad esempio, se si collega un oggetto Criteri di gruppo a un'unità organizzativa, l'oggetto Criteri di gruppo non viene archiviato in tale unità organizzativa. Un oggetto GPO è specifico per il dominio e può essere collegato ovunque nella foresta. L'interfaccia utente nella console Gestione Criteri di gruppo consente di chiarire la distinzione tra i collegamenti e gli oggetti Criteri di gruppo effettivi.

Nella Console Gestione Criteri di gruppo (GPMC), è possibile collegare un oggetto Criteri di gruppo esistente ai contenitori di Active Directory usando uno dei metodi seguenti:

  • Fare clic con il pulsante destro del mouse su un sito, un dominio o un'unità organizzativa, quindi selezionare Collega un GPO esistente. Questa procedura richiede che il GPO esista già nel dominio.
  • Trascinare un oggetto Criteri di gruppo dall'elemento Oggetti Criteri di gruppo all'unità organizzativa a cui si desidera collegare l'oggetto Criteri di gruppo. Questa funzionalità di trascina e rilascia funziona solo all'interno dello stesso dominio.

All'interno di ogni sito, dominio e unità organizzativa, l'ordine dei collegamenti controlla l'ordine in cui vengono applicati gli OGC. Per modificare la precedenza di un collegamento, è possibile modificare l'ordine di collegamento, spostando ogni collegamento verso l'alto o verso il basso nell'elenco nella posizione appropriata. I collegamenti con il numero più basso hanno una precedenza maggiore per un determinato sito, dominio o unità organizzativa.

Ad esempio, si vuole che l'ultimo oggetto Criteri di gruppo aggiunto abbia la precedenza più alta. È possibile modificare l'ordine di collegamento dell'oggetto Criteri di gruppo in base a un ordine di collegamento pari a 1 per renderlo il più alto. Per modificare l'ordine dei collegamenti degli oggetti Criteri di gruppo per un sito, un dominio o un'unità organizzativa, usare la Console di Gestione dei Criteri di gruppo.

Scollegare un GPO significa che il GPO collegato non si applica più alla posizione in cui era originariamente collegato. Per scollegare un GPO:

  1. Nell'albero della console Gestione Criteri di gruppo espandere Oggetti dei criteri di gruppo nella foresta e nel dominio che contengono l'oggetto dei criteri di gruppo che si desidera scollegare.
  2. Seleziona l'oggetto Criteri di gruppo da scollegare.
  3. In the details pane, select the Scope tab.
  4. In the Links section, right-click the Active Directory object with the link you want to delete, and then select Delete Link(s).

L'eliminazione di un collegamento a un oggetto Criteri di gruppo è diversa dall'eliminazione di un oggetto Criteri di gruppo. Se un collegamento di un oggetto Criteri di gruppo (GPO) è attivo, l'oggetto Criteri di gruppo rimane disponibile. Rimangono presenti anche altri collegamenti da altri domini a tale oggetto Criteri di gruppo. Quando si elimina un GPO, viene richiesto di eliminare il GPO e tutti i collegamenti ad esso nel dominio selezionato. Se si esegue l'oggetto Criteri di gruppo e tutti i collegamenti, i collegamenti all'oggetto Criteri di gruppo da altri domini non vengono eliminati. Assicurarsi di rimuovere i collegamenti a questo Criterio di Gruppo in altri domini prima di eliminare questo Criterio di Gruppo da questo dominio.

Disabilitare le impostazioni di configurazione utente o configurazione computer in un oggetto di Criteri di gruppo

Per creare un oggetto Criteri di gruppo per impostare solo le impostazioni dei criteri correlate all'utente, disabilitare le impostazioni di Configurazione computer nell'oggetto Criteri di gruppo. La disabilitazione della configurazione del computer riduce leggermente il tempo di avvio del computer perché le impostazioni di configurazione del computer nell'oggetto Criteri di gruppo non devono essere valutate. Se si configurano solo le impostazioni dei criteri relative al computer, è consigliabile disabilitare le impostazioni di configurazione dell'utente nell'oggetto Criteri di gruppo. Per disabilitare configurazione utente o configurazione computer:

  1. Nell'albero della console Gestione dei Criteri di gruppo, espandere Oggetti di Criteri di gruppo nella foresta e nel dominio che contengono l'oggetto Criteri di gruppo con le impostazioni dei criteri da disabilitare.
  2. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo contenente le impostazioni dei criteri da disabilitare.
  3. Nell'elenco Stato GPO, selezionare una delle opzioni seguenti:
    • Tutte le impostazioni dei criteri disabilitate
    • Impostazioni di configurazione del computer disabilitate
    • Enabled (default)
    • Impostazioni di configurazione utente disabilitate