Condividi tramite


Elaborazione di Criteri di Gruppo

Per impostazione predefinita, Group Policy è cumulativo ed ereditato e influenza tutti i computer e gli utenti in un contenitore di Active Directory (AD) e sui relativi elementi figlio. Le impostazioni dei criteri relative al computer sostituiscono le impostazioni dei criteri relative all'utente.

Gli oggetti Criteri di gruppo vengono elaborati nell'ordine seguente:

  1. Viene applicato l'oggetto Criteri di gruppo locale.
  2. Vengono applicati oggetti Criteri di gruppo collegati ai siti.
  3. Gli oggetti dei Criteri di gruppo collegati ai domini vengono applicati.
  4. Gli GPO collegati alle unità organizzative (OU) vengono applicati. In una struttura di unità organizzative nidificata, i Criteri di gruppo collegati alle unità organizzative principali vengono applicati per primi, seguiti dai Criteri di gruppo collegati alle unità organizzative secondarie.

Suggerimento

La sequenza di elaborazione dei Criteri di gruppo è fondamentale perché ogni applicazione di criteri successiva può sovrascrivere le impostazioni applicate dai criteri precedenti.

Il metodo di ereditarietà predefinito consiste nel valutare Group Policy a partire dal contenitore padre più alto. Il contenitore di Active Directory più vicino al computer o all'utente esegue l'override dei criteri di gruppo impostati in un contenitore di Active Directory di livello superiore. L'ereditarietà viene ignorata quando si imposta l'opzione forzata per il collegamento GPO o quando viene applicata l'impostazione di blocco dell'ereditarietà. Criteri di gruppo locali vengono elaborati prima dei criteri basati su dominio. Le impostazioni dei criteri degli Oggetti dei Criteri di Gruppo collegati ai contenitori di Active Directory sostituiscono le impostazioni dei criteri locali.

È possibile collegare più oggetti Criteri di gruppo (GPO) a un contenitore di Active Directory. Il collegamento oggetto Criteri di gruppo con l'ordine di collegamento più basso nell'elenco Collegamenti oggetto Criteri di gruppo ha la precedenza per impostazione predefinita.

Come funziona l'elaborazione dei Criteri di gruppo

I criteri di gruppo per le impostazioni del computer sono applicati all'avvio del computer. I criteri di gruppo vengono applicati all'accesso degli utenti. Questa elaborazione iniziale dei criteri può anche essere definita applicazione di criteri in primo piano.

L'elaborazione in primo piano di Criteri di gruppo può essere sincrona o asincrona. In modalità sincrona, il computer non completa l'avvio del sistema fino a quando i criteri del computer non vengono applicati correttamente. Il processo di accesso utente non viene completato fino a quando i criteri utente non vengono applicati correttamente. In modalità asincrona, se non sono presenti modifiche ai criteri che richiedono l'elaborazione sincrona, il computer può completare la sequenza di avvio prima del completamento dell'applicazione dei criteri computer. Il desktop può anche essere disponibile per l'utente prima che l'applicazione delle regole utente sia completata in modalità asincrona. Il sistema applica e aggiorna periodicamente i criteri di gruppo in sottofondo. Durante un aggiornamento, le impostazioni dei criteri vengono applicate in modo asincrono.

Tutte le elaborazioni dei criteri devono essere completate entro 60 minuti. Non esiste alcun metodo per modificare questo periodo di timeout.

Dopo l'elaborazione iniziale dei Criteri di gruppo (nota anche come applicazione dei criteri in primo piano), il sistema applica periodicamente (aggiorna) i Criteri di gruppo in background. Durante un aggiornamento, le impostazioni dei criteri vengono applicate in modo asincrono.

Per impostazione predefinita, viene eseguito un aggiornamento ogni 90 minuti. Il sistema potrebbe aggiungere un tempo casuale fino a 30 minuti all'intervallo di aggiornamento. È possibile modificare questi valori predefiniti usando un'impostazione di Criteri di gruppo nell'estensione Modelli amministrativi su Criteri di gruppo. Se si imposta il valore su zero minuti, la frequenza di aggiornamento viene impostata su sette secondi. Non tutte le estensioni di Criteri di gruppo vengono elaborate durante un aggiornamento in background. Ad esempio, l'elaborazione del reindirizzamento delle cartelle viene eseguita solo quando un utente accede. Inoltre, l'elaborazione dei criteri di installazione software si verifica solo all'avvio di un computer e all'accesso di un utente.

Anche se il sistema elabora le estensioni di script per Criteri di gruppo durante un aggiornamento in background, i singoli script vengono eseguiti solo all'avvio e all'arresto del computer e quando un utente accede e si disconnette.

Durante un aggiornamento dei criteri, per impostazione predefinita, un'estensione lato client riapplica le impostazioni dei criteri solo se rileva una modifica a uno degli oggetti Criteri di gruppo o al relativo elenco di oggetti Criteri di gruppo. Questo comportamento è per motivi di prestazioni.

Oggetti criteri di gruppo attuati

Determinare se sono presenti impostazioni dei criteri che devono essere sempre applicate per determinati gruppi di utenti o computer. Creare oggetti Criteri di gruppo che contengono queste impostazioni dei criteri, collegarli al sito, al dominio o all'unità organizzativa appropriati e designare questi collegamenti come imposti. Impostando questa opzione, si applicano le impostazioni dei criteri di un GPO di livello superiore, impedendo ai GPO nei contenitori AD di livello inferiore di sovrascriverle. Ad esempio, se si definisce un oggetto Criteri di gruppo specifico a livello di dominio e si imposta l'opzione applicata, i criteri contenuti nell'oggetto Criteri di gruppo si applicano a tutte le unità organizzative nel dominio. Gli oggetti Criteri di gruppo collegati alle unità organizzative di livello inferiore non possono sostituire il Criterio di gruppo di dominio applicato. Se più oggetti Criteri di gruppo sono collegati nello stesso sito, dominio o unità organizzativa e hanno impostato l'opzione applicata, il collegamento dell'oggetto Criteri di gruppo più alto impostato su applicato ha la precedenza.

Bloccare l'eredità

Nella Console di Gestione Criteri di Gruppo (GPMC), la funzionalità Blocca ereditarietà criteri, o Blocca ereditarietà, si riferisce a una caratteristica che influenza l'ordine di elaborazione dei Criteri di Gruppo. Ogni dominio e unità organizzativa in AD ha un attributo GPOptions , che può essere configurato per bloccare l'ereditarietà. Questa funzione ferma le impostazioni dei criteri applicate ai livelli locali, del sito, del dominio e delle unità organizzative superiori dall'influire su computer o utenti all'interno dell'unità organizzativa. Tuttavia, mentre l'ereditarietà bloccata impedisce l'applicazione della maggior parte delle impostazioni a un'unità organizzativa, non influisce sulle impostazioni applicate tramite Oggetti Criteri di Gruppo con l'opzione 'forzata'. Enforced è una proprietà di collegamento e ha la precedenza sull'ereditarietà dei criteri di blocco, una proprietà contenitore.

Le impostazioni dei criteri collegate a un dominio in genere si applicano a tutti i computer e gli utenti all'interno del dominio, indipendentemente dall'unità organizzativa padre. Usando Console Gestione Criteri di gruppo, è possibile bloccare l'ereditarietà in un dominio o un'unità organizzativa per impedire l'applicazione delle normali impostazioni di Criteri di gruppo. Bloccando l'ereditarietà a livello di dominio, si impedisce che le impostazioni degli oggetti Criteri di gruppo collegati a un sito di Active Directory siano applicate al dominio, mentre il blocco a livello di unità organizzativa impedisce alle impostazioni derivanti da oggetti Criteri di gruppo collegati a siti e domini di influire su tali unità organizzative.

Oltre a bloccare l'ereditarietà:

  • Un oggetto Criteri di gruppo (GPO) può essere completamente disabilitato
  • Un oggetto Criteri di gruppo può avere le impostazioni del computer disabilitate
  • Un oggetto Criteri di gruppo (GPO) può avere le impostazioni utente disabilitate
  • Un GPO (Oggetto Criteri di Gruppo) può avere tutte le impostazioni disabilitate

Estensioni lato client dei criteri di preferenza dei criteri di gruppo

Le estensioni lato client dei Criteri di gruppo delle preferenze hanno metodi di elaborazione univoci. All'interno di un singolo Criterio di gruppo è possibile configurare uno o più elementi di preferenza per una specifica estensione delle preferenze dei criteri di gruppo da elaborare. Ad esempio, un singolo oggetto Criteri di gruppo può contenere più elementi preferenza di mappatura unità.

Durante l'elaborazione dei Criteri di Gruppo, l'infrastruttura passa in rassegna una serie di estensioni. Per ogni estensione, fornisce informazioni essenziali, incluso un elenco di Oggetti Criteri di Gruppo con modifiche e Oggetti Criteri di Gruppo non più applicabili all'utente o al computer. L'infrastruttura condivide anche dettagli specifici del contesto, ad esempio se la connessione di rete è considerata lenta. L'estensione Preferenza Criteri di gruppo utilizza le informazioni sugli oggetti Criteri di gruppo modificati e fuori campo per elaborare le impostazioni.

Le estensioni lato client elaborano gli elementi delle preferenze in sequenza, dall'alto verso la fine dell'elenco. Il risultato dell'elaborazione di ogni elemento di preferenza dipende dall'azione configurata, mentre la destinazione a livello di singolo elemento potrebbe impedire l'applicarsi di un elemento. L'estensione elabora ogni elemento fino a quando non completa l'elenco o si arresta a causa di impostazioni di configurazione come Arresta l'elaborazione degli elementi in questa estensione se si verifica un errore in questo elemento o Applica una sola volta e non riapplicano. Una volta elaborati tutti gli elementi di preferenza, il controllo torna al servizio Criteri di gruppo.

Filtro criteri di gruppo

È possibile filtrare se un oggetto Criteri di gruppo viene applicato usando filtri di sicurezza o Strumentazione gestione Windows (WMI).

Il filtro di sicurezza consente di definire quali utenti e computer ricevono e applicano le impostazioni dei criteri in un oggetto Criteri di gruppo. Il filtro dei gruppi di sicurezza determina se il GPO si applica a gruppi, utenti o computer. Il filtro dei gruppi di sicurezza non può essere usato in modo selettivo in impostazioni dei criteri diverse all'interno di un oggetto Criteri di gruppo.

WMI consente di utilizzare una query per filtrare l'applicazione dei Criteri di gruppo. Quando si usa il filtro WMI, i criteri si applicano alle entità di sicurezza che soddisfano le condizioni della query WMI. Ogni oggetto Criteri di gruppo può essere collegato a un filtro WMI; tuttavia, lo stesso filtro WMI può essere associato a più oggetti Criteri di gruppo. Prima di poter collegare un filtro WMI a un oggetto Criteri di gruppo, è necessario creare il filtro. Il filtro WMI viene valutato sul computer di destinazione durante l'elaborazione dei criteri di gruppo. L'oggetto Criteri di gruppo si applica solo se il filtro WMI restituisce true.

Modalità di elaborazione loopback

La modalità di elaborazione loopback applica le impostazioni di configurazione utente degli oggetti Criteri di gruppo assegnati al computer indipendentemente dagli utenti che accedono. L'elaborazione del loopback confluirà o sostituirà le impostazioni dell'utente dagli oggetti di Criteri di Gruppo (GPO) assegnati all'utente. Questa impostazione di criterio è appropriata in determinati ambienti strettamente gestiti con computer a uso speciale, ad esempio classi, chioschi pubblici e aree di ricevimento.

Ad esempio, è possibile abilitare questa impostazione di criterio in un server specifico per modificare le impostazioni utente in base al computer utilizzato. Quando si abilita l'impostazione dei criteri della modalità di elaborazione loopback, il sistema applica le impostazioni dei criteri utente in base alla configurazione del computer, indipendentemente dall'utente che esegue l'accesso. Ciò garantisce impostazioni coerenti delle policy utente per tutti gli utenti del computer, come definite dalle GPO del computer.

Abilitando l'impostazione dei criteri di elaborazione del loopback in un oggetto Criteri di gruppo, è possibile configurare le impostazioni dei criteri utente in base al computer su cui effettuano l'accesso. Senza l'elaborazione loopback, i criteri di gruppo (GPO) applicati a un oggetto computer elaboreranno solamente le impostazioni di configurazione del computer. Gli oggetti Criteri di gruppo applicati agli utenti elaboreranno solo le impostazioni di configurazione utente. Quando si abilita l'impostazione dei criteri della modalità di elaborazione loopback, è necessario assicurarsi che le impostazioni Configurazione computer e Configurazione utente nell'oggetto Criteri di gruppo siano abilitate. Queste impostazioni dei criteri vengono applicate indipendentemente dal tipo di accesso dell'utente.

È possibile configurare l'impostazione dei criteri di loopback utilizzando la Console di gestione dei criteri di gruppo per modificare i Criteri di gruppo e abilitare l'impostazione dei criteri di gruppo configura la modalità di elaborazione loopback utente in Configurazione computer\Criteri\Modelli amministrativi\Sistema\Criteri di gruppo. Sono disponibili due opzioni:

  • Modalità unione: in questa modalità, l'elenco di GPO per l'utente viene raccolto durante il processo di login. Successivamente, viene raccolto l'elenco degli Oggetti Criteri di Gruppo (GPO) per il computer. Successivamente, l'elenco di GPO per il computer viene aggiunto alla fine dei GPO per l'utente. Di conseguenza, le GPO del computer hanno una precedenza maggiore rispetto a quelle dell'utente. Se le impostazioni dei criteri entrano in conflitto, vengono applicate le impostazioni dei criteri utente nei GPO del computer piuttosto che le normali impostazioni dei criteri dell'utente.

  • Modalità di sostituzione: in questa modalità, l'elenco degli oggetti Criteri di gruppo (GPO) per l'utente non viene raccolto. Invece, viene utilizzato solo l'elenco dei Criteri di gruppo basati sull'oggetto del computer. Le impostazioni di Configurazione utente di questo elenco vengono applicate all'utente.

Aggiornamento di Criteri di gruppo

I meccanismi principali per l'aggiornamento dei criteri di gruppo sono durante l'avvio e l'accesso. I criteri di gruppo vengono aggiornati anche a intervalli regolari. L'intervallo di aggiornamento dei criteri determina la rapidità con cui le modifiche ai Criteri di gruppo vengono applicate. Per impostazione predefinita, i client e i server verificano le modifiche ai GPO ogni 90 minuti usando un offset casuale fino a 30 minuti. Le modifiche apportate alle impostazioni di Criteri di gruppo potrebbero non essere immediatamente disponibili nei desktop degli utenti perché le modifiche apportate all'oggetto Criteri di gruppo devono prima essere replicate nel controller di dominio appropriato.

I controller di dominio verificano eventuali modifiche ai criteri del computer ogni cinque minuti. Questa frequenza di polling può essere modificata usando una di queste impostazioni dei criteri: l'intervallo di aggiornamento di Criteri di gruppo per i computer, l'intervallo di aggiornamento di Criteri di gruppo per i controller di dominio o l'intervallo di aggiornamento di Criteri di gruppo per gli utenti. Non è consigliabile abbreviare la frequenza tra gli aggiornamenti a causa del potenziale aumento del traffico di rete e di un carico maggiore sui controller di dominio.

I componenti di un oggetto Criteri di gruppo vengono archiviati sia in AD che nella cartella SYSVOL dei controller di dominio. La replica di un Criterio di gruppo in altri controller di dominio avviene tramite due meccanismi indipendenti.

  • Il sistema di replica predefinito controlla la replica di AD. Per impostazione predefinita, la replica richiede in genere meno di un minuto tra i controller di dominio all'interno dello stesso sito. Questo processo può essere più lento se la rete è più lenta di una LAN.

  • Replica DFSR (Distributed File System Replication) controlla la replica della cartella SYSVOL. All'interno dei siti, la replica viene eseguita ogni 15 minuti. Se i controller di dominio si trovano in siti diversi, il processo di replica viene eseguito a intervalli impostati in base alla topologia e alla pianificazione del sito, l'intervallo più basso è di 15 minuti.

Avviare l'aggiornamento dei criteri di gruppo

Se necessario, è possibile attivare manualmente un aggiornamento di Criteri di gruppo nei modi seguenti:

  • Da un computer locale immettere gpupdate.exe dalla riga di comando. L'esecuzione gpupdate.exe attiva un aggiornamento dei criteri per il computer in cui viene eseguito il comando.

  • Usare il cmdlet di PowerShell Invoke-GPUpdate. È possibile usare questo cmdlet per attivare un aggiornamento del computer locale o per attivare un aggiornamento di un computer remoto.

  • Usare Console Gestione Criteri di gruppo per attivare un aggiornamento dei criteri di gruppo a livello di unità organizzativa facendo clic con il pulsante destro del mouse sull'unità organizzativa e selezionando Aggiornamento Criteri di gruppo.

Ottimizzare l'elaborazione GPO

Per ridurre la quantità di tempo necessaria per elaborare un GPO (oggetto Criteri di gruppo), è consigliabile utilizzare i seguenti suggerimenti.

  • Quando un oggetto Criteri di gruppo contiene solo impostazioni di configurazione del computer o dell'utente, disabilitare la parte del criterio di gruppo che non si applica. Con questa ottimizzazione, il computer di destinazione non analizza le sezioni di una GPO che hai disabilitato, riducendo così il tempo di elaborazione.

  • Combinare oggetti di Criteri di Gruppo più piccoli per formare un oggetto di Criteri di Gruppo consolidato. Questa ottimizzazione riduce il numero di GPO (oggetti Criteri di gruppo) applicati a un utente o a un computer. L'applicazione di un numero minore di GPO a un utente o a un computer può ridurre i tempi di avvio o accesso e semplificare la risoluzione dei problemi della struttura dei criteri di gruppo.