Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Criteri di gruppo abilita la gestione delle impostazioni utente e computer nei computer che eseguono sistemi operativi Windows Server e Client Windows. Oltre a usare Criteri di gruppo per definire le configurazioni per gruppi di utenti e computer client, è anche possibile usare Criteri di gruppo per gestire i computer server configurando molte impostazioni operative e di sicurezza specifiche del server.
Che cos'è un Criterio di gruppo
I criteri di gruppo possono rappresentare le impostazioni dei criteri in locale nel file system o in Active Directory Domain Services (AD DS). Se usato con Active Directory (AD), le impostazioni di Criteri di gruppo sono contenute in un oggetto Criteri di gruppo. Un oggetto Criteri di gruppo è una raccolta virtuale di impostazioni dei criteri, autorizzazioni di sicurezza e ambito di gestione (SOM) che è possibile applicare a utenti e computer in AD. Un oggetto Criteri di Gruppo consiste in due componenti principali: il contenitore dei Criteri di Gruppo e il modello dei Criteri di Gruppo. Il contenitore Criteri di gruppo viene archiviato nella partizione di dominio di Active Directory, mentre il modello di Criteri di gruppo si trova nella cartella SYSVOL in ogni controller di dominio (DC).
Questi componenti vengono replicati tra controller di dominio tramite la replica di Active Directory e il servizio replica file (FRS) o la replica DFSR (Distributed File System Replication).
Gli oggetti Criteri di gruppo includono configurazioni per le impostazioni del computer e dell'utente. Le configurazioni del computer applicano le impostazioni a livello di sistema e gestiscono impostazioni come il risparmio energia e le regole del firewall. Le configurazioni utente influiscono solo sull'utente corrente, con opzioni quali impostazioni di Internet Explorer e Reindirizzamento cartelle. Gli oggetti Criteri di gruppo possono essere collegati a vari livelli all'interno della gerarchia di Active Directory, ad esempio siti, domini e unità organizzative ,che definiscono l'ambito dell'applicazione.
Le impostazioni dei criteri vengono applicate all'avvio del computer e all'accesso dell'utente. Il servizio Criteri di gruppo determina i GPO applicabili eseguendo una query su AD in base all'appartenenza al sito, al dominio e all'unità organizzativa. Un'estensione lato client (CSE) applica le impostazioni specifiche dettate dalle GPO, gestendo attività come gli aggiornamenti del Registro di sistema e le configurazioni di sicurezza. Le impostazioni dei criteri vengono applicate ai computer all'avvio e agli utenti quando accedono. All'avvio di un computer, il servizio di Criteri di gruppo esegue un controllo su Active Directory per determinare quali oggetti Criteri di gruppo siano collegati e applicabili all'oggetto computer, tra cui:
Sito in cui risiede il computer.
Dominio in cui il computer è membro.
Unità organizzativa principale di cui il computer è membro diretto e qualsiasi altra unità organizzativa sopra quella principale.
Le preferenze di Criteri di gruppo offrono funzionalità di gestione simili a criteri di gruppo standard e vengono gestite nello stesso modo. Gli amministratori possono creare e gestire oggetti Criteri di gruppo usando l'Editor Criteri di gruppo locali (gpedit.msc) per le impostazioni locali o l'Editor degli oggetti Criteri di gruppo all'interno di uno snap-in MMC relativo a AD per le impostazioni a livello di dominio. Ogni criterio di gruppo (GPO) ha un identificatore univoco globale (GUID) e segue la struttura gerarchica di Active Directory per la valutazione delle policy. Una conoscenza approfondita di come creare, modificare e collegare Oggetti dei Criteri di Gruppo all'interno di Active Directory è essenziale per una gestione efficace dei criteri. Le GPO sono archiviate sia in Active Directory che nella cartella SYSVOL su ogni controller di dominio, facilitando l'amministrazione centralizzata e l'applicazione dei criteri.
Estensioni client
Un'estensione lato client (CSE) dei Criteri di gruppo è un componente isolato responsabile dell'elaborazione delle impostazioni specifiche dei criteri fornite dall'infrastruttura dei Criteri di gruppo. Ogni CSE gestisce e archivia i dati dei criteri in un formato specifico, indipendente dall'infrastruttura dei Criteri di Gruppo, che non interpreta né gestisce i dettagli di questi dati. La funzione principale dei Criteri di gruppo è fornire impostazioni a un computer, dove ogni CSE applica la sua parte delle impostazioni dei criteri da più Oggetti Criteri di gruppo.
Immagina l'infrastruttura dei Criteri di Gruppo come un sistema bibliotecario. Il sistema di libreria gestisce e distribuisce libri (o dati) a vari rami (computer). La libreria non deve comprendere il contenuto di ogni libro; garantisce semplicemente che il libro corretto arrivi al ramo destro. In questa analogia, il servizio Criteri di gruppo è come il sistema bibliotecario, distribuendo libri senza conoscerne il contenuto. Le varie impostazioni dei criteri sono simili a generi o raccolte di libri diversi. Il CSE di Criteri di gruppo rappresenta un bibliotecario in ogni ramo, che sa come gestire la raccolta specifica. Proprio come ogni bibliotecario è dotato di gestire la loro raccolta, ogni CSE legge le informazioni specifiche sull'impostazione dei criteri ed esegue azioni in base a ciò che trova all'interno di tali impostazioni.
Funzionamento di Criteri di gruppo
Per i computer, i Criteri di gruppo vengono applicati all'avvio del computer. Per gli utenti, i Criteri di gruppo vengono applicati all'accesso. Questa elaborazione iniziale dei criteri può anche essere definita applicazione di criteri in primo piano.
L'applicazione in primo piano di Criteri di gruppo può essere sincrona o asincrona. In modalità sincrona, il computer non completa l'avvio del sistema fino a quando i criteri del computer non vengono applicati correttamente. Il processo di accesso dell'utente non viene completato fino a quando i criteri utente non vengono applicati correttamente. In modalità asincrona, se non sono presenti modifiche ai criteri che richiedono l'elaborazione sincrona, il computer può completare la sequenza di avvio prima del completamento dell'applicazione dei criteri computer. La shell può essere disponibile per l'utente prima della conclusione dell'applicazione delle politiche utente. Il sistema applica e aggiorna periodicamente i criteri di gruppo in sottofondo. Durante un aggiornamento, le impostazioni dei criteri vengono applicate in modo asincrono.
Per altre informazioni sul funzionamento dei Criteri di gruppo, vedere Elaborazione di Criteri di gruppo.
Che cos'è un'OU
Un'OU è il contenitore AD di livello più basso a cui si possono assegnare impostazioni di Criteri di gruppo. In genere, si assegnano la maggior parte dei Criteri di gruppo a livello di unità organizzativa, quindi assicurarsi che la struttura delle unità organizzative supporti la strategia di gestione dei client basata sui Criteri di gruppo. È anche possibile applicare alcune impostazioni di Criteri di gruppo a livello di dominio, in particolare i criteri password. Alcune impostazioni dei criteri vengono applicate a livello di sito. UNA struttura di Unità Organizzative (OU) ben progettata che riflette la struttura amministrativa dell'organizzazione e sfrutta l'ereditarietà degli oggetti Criteri di Gruppo (GPO) semplifica l'applicazione dei Criteri di Gruppo. Ad esempio, una struttura di unità organizzativa ben progettata può impedire la duplicazione di determinati GPO, consentendo di applicarli a diverse parti dell'organizzazione. Se possibile, crea unità organizzative per delegare l'autorità amministrativa e per implementare i Criteri di gruppo.
La progettazione dell'unità organizzativa richiede requisiti di bilanciamento per delegare i diritti amministrativi indipendentemente dalle esigenze di Criteri di gruppo e la necessità di definire l'ambito dell'applicazione di Criteri di gruppo. È possibile creare unità organizzative all'interno di un dominio e delegare il controllo amministrativo per unità organizzative specifiche a utenti o gruppi specifici. Usando una struttura in cui le unità organizzative contengono oggetti omogenei, ad esempio oggetti utente o oggetti computer, ma non entrambi, è possibile disabilitare facilmente quelle sezioni del Criterio di gruppo che non si applicano a un particolare tipo di oggetto. Questo approccio alla progettazione dell'unità organizzativa riduce la complessità e migliora la velocità con cui vengono applicati i Criteri di gruppo. Gli oggetti Criteri di gruppo collegati ai livelli superiori della struttura dell'unità organizzativa vengono ereditati per impostazione predefinita per le unità organizzative a livello inferiore, riducendo la necessità di duplicare oggetti Criteri di gruppo o di collegare un oggetto Criteri di gruppo a più contenitori.