Un capitolo intitolato “Introduzione ai criteri di gruppo” nel Manuale di integrazione della rete Microsoft rischia di annoiare un amministratore avanzato, perché le definizioni dei termini e l’enumerazione delle possibilità offerte dai criteri di gruppo non gli forniscono nuovi spunti, ma semplicemente lo annoiano. Un nuovo arrivato, invece, sarà sopraffatto da un’introduzione di molte pagine alla teoria. Solo la gestione pratica dei criteri di gruppo gli farà capire a cosa servono i criteri di gruppo e perché sono adatti a semplificare immensamente l’amministrazione di una rete in Windows Server.
Parte 2 – Utilizzo dei criteri di gruppo di Windows XP
Parte 3 – Creare i propri file modello per i criteri di gruppo mancanti
Parte 4 – Microsoft Office in rete
| Questa serie di articoli è un estratto di “Integrationshandbuch Microsoft-Netzwerk” di Ulrich Schlüter. Data di pubblicazione: ottobre 2004 da Galileo Computing. (ISBN 3-89842-525-8) ed è stato reso disponibile in esclusiva per WinTotal in anteprima. |
Indice dei contenuti
Come affrontare l’argomento “politiche di gruppo
Sfogliate questo capitolo per passare il più rapidamente possibile alle esercitazioni pratiche con i criteri di gruppo contenute nei capitoli successivi. Soprattutto i principianti non dovrebbero nemmeno cercare di esaminare a fondo tutte le spiegazioni di questo capitolo introduttivo. Leggete questo capitolo introduttivo in modo più approfondito una seconda volta, quando avrete imparato ad applicare i criteri di gruppo attraverso gli esercizi pratici. La teoria grigia di questo capitolo introduttivo sarà allora molto più facile da comprendere con una conoscenza pratica di base. Una volta acquisita una comprensione di base dell’applicazione delle politiche di gruppo attraverso gli esercizi pratici, questo capitolo introduttivo è importante per poter collocare le conoscenze dettagliate sulle politiche di gruppo in un contesto mentale generale e per poter distinguere chiaramente i termini appartenenti all’argomento tra loro.
Analizzare e applicare le impostazioni dei criteri di gruppo di un’installazione di Small Business Server 2003:
È possibile ordinare online una versione di valutazione gratuita di 180 giorni di Windows Small Business Server 2003 presso Microsoft. L’installazione dell’edizione standard consiste nell’inserimento di quattro CD e viene eseguita automaticamente senza quasi alcun intervento da parte dell’utente. L’Active Directory creata e i servizi come DHCP o DNS sono successivamente preconfigurati in modo esemplare. Vengono creati ulteriori gruppi di sicurezza e di distribuzione, script e criteri di gruppo.
Per imparare qualcosa sul modo in cui gli esperti Microsoft strutturano e impostano i criteri di gruppo in modo simile a un modello, è necessario avviare lo snap-in Gestione criteri di gruppo su un SBS 2003 installato e creare un rapporto di tutti gli oggetti dei criteri di gruppo installati facendo clic con il pulsante destro del mouse sulle singole GPO e selezionando Crea rapporto.
 |
|
Crea rapporto |
I rapporti sono disponibili sul DVD del libro. Quindi analizzate quali permessi sono stati assegnati e quali criteri sono stati preimpostati e come. Sembra sensato pensare a quali di queste impostazioni dovrebbero essere adottate anche in un ambiente non-SBS 2003.
Cosa sono i criteri di gruppo?
I criteri di gruppo sono raccolte di impostazioni di configurazione dell’utente e del computer che vengono associate a computer, siti, domini o unità organizzative (UO) per controllare il comportamento del desktop dell’utente e anche per definire aspetti come le impostazioni di sicurezza, gli script di logon e logoff, gli script per l’avvio e lo spegnimento di un computer o per impostare, ad esempio, il reindirizzamento delle cartelle. I criteri di gruppo possono essere utilizzati per determinare il comportamento del sistema operativo e limitarne le opzioni. Tuttavia, esistono anche criteri di gruppo con i quali è possibile controllare il comportamento e le opzioni di applicazioni come Microsoft Office da una posizione centrale.
Cosa sono i Criteri di gruppo (GPO)?
Microsoft definisce un oggetto Criteri di gruppo come un insieme di impostazioni di Criteri di gruppo. La creazione di nuovi oggetti Criteri di gruppo avviene tramite le console di gestione dei Criteri di gruppo. Le GPO sono memorizzate a livello di dominio (non a livello di foresta di Active Directory) nei Group Policy Container (GPC ). Le GPO influiscono sui computer (o gruppi di computer) o sugli utenti (o gruppi di utenti) nei siti, nei singoli domini o nelle unità organizzative. Ciò significa, ad esempio, che è possibile creare un’unità organizzativa (OU) denominata Laptop, creare un nuovo oggetto Criteri di gruppo per questa OU e definire specificamente in questa GPO tutti i criteri che riguardano solo i laptop, ma non altri computer che hanno una connessione permanente alla rete. Le impostazioni dei criteri di questa GPO influenzeranno tutti gli oggetti computer spostati nell’unità organizzativa Laptops.
Inoltre, è possibile creare GPO anche per i computer autonomi, ossia per i computer che non sono o non sono permanentemente connessi a un dominio Active Directory, come i computer portatili o i tablet PC. In questo caso si parla di oggetti di criteri di gruppo locali.
È possibile applicare più GPO a un sito, a un dominio o a un’unità organizzativa. È inoltre possibile creare più GPO in un contenitore collettivo di Active Directory, ad esempio con il nome di oggetti dei criteri di gruppo inter-organizzativi. In seguito, ciascuno di questi GPO può essere assegnato a diversi altri contenitori (ad esempio, unità organizzative) tramite la funzione Group Policy Link.
Cosa sono i collegamenti dei Criteri di gruppo?
Un esempio dimostrerà il metodo di collegamento dei Criteri di gruppo: Si creano unità organizzative per i singoli reparti dell’azienda con i nomi di reparto Amministrazione, Vendite, Acquisti, Produzione, Sviluppo. In queste UO dipartimentali si creano gli oggetti utente.
Alcuni criteri di gruppo sono specifici per il reparto, mentre altri criteri di gruppo devono essere applicati a tutti i dipendenti dell’organizzazione. Le politiche che devono essere applicate a tutti i dipendenti vengono definite una sola volta in una GPO creata a questo scopo nell’unità organizzativa Oggetti dei criteri di gruppo interorganizzativi. Questa GPO viene poi collegata a tutte le UO dipartimentali. Se in seguito è necessario aggiungere o ridefinire un criterio interorganizzativo, la modifica viene effettuata comodamente in un punto centrale e non separatamente per ogni reparto. Il numero di GPO necessarie rimane quindi gestibile e il numero di possibili fonti di errore è ridotto al minimo.
Cosa sono i Group Policy Container (GPC)?
Il Group Policy Container (GPC) è un oggetto di Active Directory che memorizza le proprietà delle GPO e contiene sottocontenitori per le informazioni sui criteri di gruppo relative a computer e utenti. Il GPC contiene informazioni sulla versione per garantire che le informazioni contenute nel GPC siano sincronizzate con i modelli di Criteri di gruppo (GPT). Inoltre, la GPC contiene informazioni di stato che indicano se la GPO sottostante è attualmente abilitata o disabilitata. Il termine GPC è confuso e la sua distinzione dal termine GPT è difficile da comprendere. Per questo motivo, il termine GPC compare solo raramente e non è necessario averne sempre a portata di mano il significato.
Tuttavia, è importante notare che un oggetto dei criteri di gruppo può essere completamente disattivato temporaneamente. Se, ad esempio, si sospetta che un comportamento inspiegabile nell’interazione di diverse GPO sia causato dalle impostazioni di una certa GPO, è possibile disattivare temporaneamente questa GPO per verificare l’ipotesi. Se un nuovo GPO con linee guida diverse deve entrare in vigore solo in un secondo momento, create questo GPO con tutte le impostazioni in stato di disattivazione e attivate il nuovo GPO solo quando necessario.
Al più tardi a questo punto, un nuovo arrivato all’argomento dei criteri di gruppo si sente stordito e la lettura e la comprensione di termini e abbreviazioni diventa una prova di pazienza. Ricordo ancora la mia confusione e la frustrazione che si è creata studiando per la prima volta questo argomento complesso. Consapevole di ciò, all’inizio di questo capitolo ho già messo in guardia sulla noiosità di questo materiale teorico. Pertanto, ancora una volta un consiglio confortante: non è necessario comprendere queste nozioni teoriche di base al primo colpo. Non appena avremo giocato con i criteri di gruppo di Windows XP e Office 2003 nei capitoli successivi e al più tardi quando avremo creato i nostri file modello per i criteri di gruppo mancanti, la grigia teoria si riempirà di vita pratica e nascerà la gioia degli amministratori. Fino ad allora, il motto è tenere la testa bassa e perseverare. La vostra disciplina sarà ricompensata in seguito, ve lo assicuro.
Cosa sono i modelli di criteri di gruppo (GPT)?
Il modello di Criteri di gruppo (GPT) è una struttura di cartelle nella directory %systemroot%\SYSVOL\sysvol\Policies dei controller di dominio. Questa struttura di cartelle viene creata nel momento in cui un nuovo Oggetto Criteri di gruppo (GPO) viene creato dall’amministratore tramite la Console di gestione dei Criteri di gruppo. In essa sono memorizzati, sotto forma di diversi file di configurazione, i criteri di gruppo, ma anche, ad esempio, gli script di logon e logoff e gli script per l’avvio o lo spegnimento di un computer, se questi script sono definiti tramite un criterio di gruppo.
 |
|
Struttura delle cartelle |
È possibile vedere completamente questa struttura di cartelle in Esplora risorse solo se si è disattivata l’opzione Nascondi i file di sistema protetti e si sono attivate le opzioni Mostra il contenuto delle cartelle di sistema e Mostra tutti i file e le cartelle. Come amministratore, in genere si dovrebbero adottare queste impostazioni predefinite di Esplora risorse per tutte le cartelle, sia quando si lavora sul server sia quando si lavora su un client. Nelle spiegazioni successive di questo libro, si presume che siano state effettuate queste impostazioni predefinite in Esplora risorse e che quindi in futuro si vedranno tutti i file e le cartelle, cioè anche quelli che hanno l’attributo Nascosto o l’attributo Sistema. Allo stesso modo, l’opzione Nascondi estensioni per i tipi di file conosciuti deve essere disattivata almeno per gli amministratori e il personale dell’helpdesk. Questi membri del personale non solo devono conoscere il significato delle estensioni dei nomi dei file, ma devono anche essere in grado di manipolare le estensioni, se necessario.
Quando viene creato un oggetto Criteri di gruppo, la struttura di cartelle GPT corrispondente viene creata sul controller di dominio. Se ci sono più controller di dominio, questa nuova struttura di cartelle viene replicata agli altri controller di dominio. Il nome della cartella GPT è una combinazione di 36 cifre di colonne di numeri e lettere separate da trattini e corrisponde al GUID (Globally Unique Identifier) della GPO creata.
Nella directory principale di una struttura di cartelle GPT si trovano il file gpt.ini e le sottocartelle Adm, Machine e User. Queste cartelle principali contengono sottocartelle la cui struttura esatta dipende dai criteri definiti. Il file gpt.ini contiene le seguenti variabili e le relative assegnazioni:
displayName=Nuovo oggetto Criteri di gruppo: questa variabile non prende il nome della GPO, ma ha il nome predefinito “Nuovo oggetto Criteri di gruppo”.
version=Numero di versione: A una GPO appena creata viene assegnato il numero di versione 0. Ogni criterio modificato nella GPO aumenta questo valore. Se ci sono più controller di dominio, Active Directory determina su quale controller di dominio si trova la versione più recente di una GPO confrontando i livelli di versione e quindi la replica ai restanti controller di dominio.
Disabilitato=0 o 1. Questa riga è presente solo nelle GPO locali e definisce se la GPO è attualmente disabilitata. Per tutte le altre GPO, lo stato di abilitazione o disabilitazione è memorizzato nella GPC, che si trova nell’archivio di Active Directory.
Di seguito sono elencate le cartelle più importanti e il loro significato.
\Adm
Questa cartella contiene i file modello dei criteri di gruppo aggiunti nell’editor dei criteri di gruppo. I file modello dei criteri di gruppo si trovano nella directory %Systemroot%\inf o devono essere copiati qui. Hanno l’estensione del nome del file adm. Un Windows 2000 Server o Windows 2000 Professional installato ha file modello diversi da quelli di Windows XP Professional o Windows Server 2003.
I file modello di Microsoft Office 2003 non sono inclusi nel CD di Microsoft Office 2003. Vengono copiati nella directory %systemroot%\inf di un computer durante l’installazione di Office 2003 Resource Kit e devono poi essere copiati manualmente nella directory %systemroot%\inf del controller di dominio. Potete creare voi stessi dei file modello adm per scopi e applicazioni specifiche, copiarli nella directory %systemroot%\inf e quindi aggiungerli in un GPO. I dettagli sulla gestione dei file adm sono riportati nei capitoli successivi.
\Macchina
Questa cartella contiene il file Registry.pol. Il file Registry .pol contiene solo le impostazioni dei criteri che sono stati attivati o disattivati nella categoria Computer, ma non contiene alcun riferimento ai criteri che rimangono non configurati. Quando un computer viene avviato e si connette al suo dominio, il file Registry .pol viene valutato e aggiunto alla sezione HKEY_LOCAL_MACHINE del database del registro del computer. Il formato del file Registry .pol non è compatibile con l’omonimo file utilizzato in Windows 95, 98 o NT 4.0.
\´Macchina´Applicazioni
Questa cartella contiene i file di pubblicazione (file AAS) utilizzati da Windows Installer per installare i pacchetti MSI per i computer.
\´Machine´Documenti e impostazioni
Questa cartella contiene tutti i file che dovrebbero essere presenti sul desktop di ogni utente, indipendentemente dall’utente che si collega.
\Machine\Microsoft\Windows NT\SecEdit
Questa cartella contiene il file GptTmpl.ini dell’editor di sicurezza.
\Macchina/Scripts/Spegnimento
Script e file associati che vengono eseguiti quando il computer viene spento.
\Avviamento della macchina
Script e file associati che vengono eseguiti all’avvio del computer.
\Utente
Questa cartella contiene il file Registry .pol. Il file Registry .pol contiene solo le impostazioni dei criteri che sono stati attivati o disattivati nella categoria Utente, ma non contiene riferimenti ai criteri non configurati. Quando un utente si collega, il file Registry .pol viene valutato e aggiunto alla sezione HKEY_CURRENT_USER del database del registro del computer. Il formato del file Registry.pol non è compatibile con l’omonimo file usato in Windows 95, 98 o NT 4.0.
\UtenteApplicazione
Questa cartella contiene i file di pubblicazione (file AAS) utilizzati da Windows Installer per installare i pacchetti MSI per gli utenti.
\Documenti e impostazioni dell’utente
Tutti i file impostati come parte del desktop di un utente.
\Utente: Microsoft: installazione remota
Le autorizzazioni di cui dispone un utente quando reinstalla un computer utilizzando il Servizio di installazione remota.
\Accesso agli script
Gli script e i file associati per uno script di accesso assegnato.
\script di login
Gli script e i file associati per uno script di disconnessione assegnato.
Gli strumenti di gestione dei criteri di gruppo
I criteri di gruppo possono essere utilizzati anche per definire il comportamento e l’interfaccia utente di un singolo computer non collegato in rete. In Windows XP, avviare la voce di menu Criteri di sicurezza locali tramite Start – Impostazioni – Pannello di controllo – Strumenti di amministrazione. Un modo più rapido per farlo è lanciare il comando gpedit.msc tramite Start – Esegui.
 |
|
Strumenti amministrativi |
Con questo snap-in è possibile, ad esempio, proteggere un computer portatile in modo che l’utente possa in seguito modificare solo alcune impostazioni del computer e avviare solo applicazioni ben definite. Con queste restrizioni, si riduce al minimo l’impegno di assistenza per i computer autonomi.
Il campo di attività tipico degli amministratori di rete, tuttavia, non sono i criteri di gruppo locali, ma i criteri implementati a livello di rete in Active Directory e che riguardano interi domini, singole sedi o singole unità organizzative. Questi criteri di gruppo sono controllati tramite gli snap-in di Active Directory Users and Computers, Active Directory Sites and Services, Group Policies o tramite lo strumento di gestione GPMC.MSI.
Con lo snap-in Utenti e computer di Active Directory, si creano oggetti Criteri di gruppo (GPO) per un dominio o un’unità organizzativa. A tale scopo, fate clic con il pulsante destro del mouse sull’oggetto dominio o sull’oggetto unità organizzativa, selezionate Proprietà, aprite la scheda Criteri di gruppo e fate clic sul pulsante Nuovo.
 |
|
Strumenti amministrativi |
Selezionare quindi un nome per il nuovo oggetto Criteri di gruppo e fare clic su Modifica. In questo modo si avvia l’editor dei Criteri di gruppo ed è ora possibile definire i singoli criteri.
Utilizzate lo snap-in Active Directory Sites and Services per creare GPO per i singoli siti. La procedura è simile a quella dello snap-in Utenti e computer di Active Directory. Si fa clic con il pulsante destro del mouse sull’icona della sede, si seleziona Proprietà, si apre la scheda Criteri di gruppo e si fa clic sul pulsante Nuovo per creare un nuovo oggetto Criteri di gruppo per la sede selezionata e assegnargli un nome. Quindi si utilizza il pulsante Modifica per impostare i singoli criteri della GPO.
 |
|
Strumenti di gestione |
Gli oggetti Criteri di gruppo per siti hanno senso solo se un dominio si estende su più sedi (siti) e se ci sono criteri di gruppo le cui impostazioni devono essere diverse da sito a sito. Un esempio tipico è il criterio Reindirizzamento cartella che, tra le altre cose, consente di reindirizzare la cartella Documenti a una condivisione del server per ogni utente. Per i dipendenti della sede X, avrà senso reindirizzare la cartella Documenti a un server della sede X. D’altra parte, la cartella Documenti per il personale della sede Y deve essere reindirizzata a un server della sede Y.
Tramite Avvio – Amministrazione è possibile avviare anche lo snap-in Criteri di gruppo per definire tutti i criteri di gruppo in tutti gli oggetti Criteri di gruppo creati con l’editor dei criteri di gruppo.
Come si può vedere dalle illustrazioni precedenti, quando si fa clic sulla scheda Criteri di gruppo sul mio server di prova, appare il messaggio “È stato installato lo snap-in Gestione criteri di gruppo. Pertanto, questa scheda non è più utilizzata. Fare clic su Apri per aprire Gestione Criteri di gruppo”. I pulsanti Nuovo e Modifica per la creazione di un nuovo criterio di gruppo e per la modifica dei criteri di gruppo esistenti non appaiono più perché è stato installato anche lo strumento di gestione dei criteri di gruppo GPMC.MSI, disponibile gratuitamente su www.microsoft.com.
GPMC.MSI è l’acronimo di un nuovo snap-in Group Policy Management Console. Nella versione tedesca si chiama Group Policy Management Console. Questo strumento di gestione è stato sviluppato da Microsoft solo dopo il rilascio di Microsoft Windows Server 2003 ed è disponibile per il download gratuito in versioni linguistiche localizzate. Può essere utilizzato non solo con Windows Server 2003, ma anche per le reti con Windows 2000 Active Directory, ma deve essere installato su un client Windows XP.
 |
|
Strumenti di gestione |
Con il nuovo strumento di gestione dei criteri di gruppo GPMC.MSI, è ora possibile gestire tutte le attività amministrative relative ai criteri di gruppo, che in precedenza dovevano essere eseguite tramite diversi snap-in, attraverso uno strumento centrale. Include inoltre molte funzioni aggiuntive, come il set di risultati dei criteri di gruppo, il salvataggio, il ripristino e l’importazione di interi oggetti dei criteri di gruppo, compresi tutti i criteri in essi definiti e l’amministrazione dei filtri WMI. Non è più necessario installare strumenti aggiuntivi per analizzare il risultato di diversi criteri di gruppo su un oggetto utente o un oggetto computer e per trovare errori nell’interazione di molti criteri di gruppo. Il prezzo pagato soprattutto dai nuovi arrivati è uno strumento che sembra molto complesso, almeno a prima vista, con un’abbondanza di viste, comandi e opzioni il cui significato e i cui effetti possono sembrare schiaccianti.
Per i nuovi arrivati, quindi, il seguente consiglio: lavorate prima senza il nuovo strumento GPMC.MSI per iniziare più facilmente a usare i criteri di gruppo. Installate il nuovo strumento GPMC in un ambiente di prova separato, ad esempio in un ambiente virtuale aggiuntivo installato sul vostro computer con un software come Microsoft Virtual PC o VMware. È necessario essere consapevoli delle possibilità limitate senza GPMC.MSI installato solo per due motivi:
- Potreste dover fornire assistenza su una rete di terzi il cui server non ha installato la nuova console GPMC perché, ad esempio, è un server Windows 2000.
- Gli articoli della Knowledge Base, i white paper di Microsoft e gli articoli di terze parti di solito non presuppongono che il nuovo strumento GPMC.MSI sia installato. Per comprendere questi articoli, è necessario essere in grado di gestire i Criteri di gruppo in modo tradizionale, cioè senza GPMC installato.
Applicazione dei Criteri di gruppo
Prima di poter definire un criterio di gruppo, è necessario creare un oggetto Criteri di gruppo (GPO). Si decide se creare la GPO per un intero dominio, per una posizione (sito) o per un’unità organizzativa (OU). La GPO viene creata in una Console di gestione dei Criteri di gruppo. Nell’Editor oggetti Criteri di gruppo, ogni GPO ha due categorie, Configurazione computer e Configurazione utente. All’interno della categoria Configurazione computer, si definiscono le politiche che hanno effetto indipendentemente dall’utente che si collega successivamente. Nella categoria Configurazione utente, invece, si definiscono criteri che devono essere sempre applicati a determinati utenti, indipendentemente dal computer a cui si collegano.
Se una GPO contiene solo criteri configurati per gli utenti, la configurazione del computer deve essere disattivata. Questo accelera l’elaborazione della GPO, perché la configurazione del computer non viene più analizzata per le impostazioni effettuate. Al contrario, in una GPO che contiene solo criteri configurati per i computer, la configurazione utente deve essere disattivata.
Se il nuovo strumento GPMC.MSI non è installato, avviare lo snap-in Utenti e computer di Active Directory, fare clic con il pulsante destro del mouse sulle proprietà del contenitore contenente la GPO e selezionare la scheda Criteri di gruppo. Vengono elencate tutte le GPO create finora per il contenitore. Selezionate la GPO in questione e aprite le proprietà della GPO.
 |
|
Proprietà dell’oggetto |
Nelle proprietà della GPO si trovano l’opzione Disattiva impostazioni di configurazione del computer e l’opzione Disattiva impostazioni di configurazione definite dall’utente.
Se avete già installato il nuovo strumento GPMC.MSI, troverete le opzioni da disabilitare nella scheda Dettagli della categoria Oggetti Criteri di gruppo.
 |
|
Dettagli dell’oggetto |
Nella scheda Impostazioni di sicurezza (se GPMC.MSI è installato, selezionare la scheda Delega e poi fare clic sul pulsante Avanzate per visualizzare e modificare le autorizzazioni), specificare quali account di computer o account utente sono autorizzati a modificare, leggere e applicare la GPO.
Nota importante: un amministratore di Criteri di gruppo dovrebbe essere in grado di configurare una GPO e di impostare i criteri e per farlo ha bisogno delle autorizzazioni di lettura e modifica. Tuttavia, di norma non dovrebbe essere interessato dalla GPO, poiché le policy spesso limitano fortemente i diritti degli utenti interessati. Disattivando il diritto di sicurezza Prendi possesso del criterio di gruppo per gli amministratori, si evita che l’ambiente di lavoro dell’amministratore sia influenzato dalla GPO.
Per i gruppi di sicurezza Amministratori di dominio e Amministratori organizzativi, le autorizzazioni sono già opportunamente preimpostate in un GPO appena creato: I membri di questi gruppi di sicurezza sono autorizzati a modificare i criteri dell’OdG, ma non ne sono influenzati; l’autorizzazione “Adotta criteri di gruppo” è deselezionata per impostazione predefinita.
 |
|
Sicurezza |
Ordine di successione delle politiche
Se diversi contenitori sono annidati l’uno nell’altro, una politica di gruppo di un contenitore non riguarda solo gli oggetti computer o gli oggetti utente di questo contenitore, ma anche, per eredità, gli oggetti situati nei sottocontenitori di livello inferiore. Ad esempio, se è stata creata un’unità organizzativa Sede di Berlino con le unità organizzative Vendite di Berlino, Produzione di Berlino e Amministrazione di Berlino e sono state definite politiche di gruppo per l’unità organizzativa Sede di Berlino, queste politiche hanno effetto su tutti gli oggetti di tutte le UO di livello inferiore.
Se si crea una nuova GPO per la sotto-unità organizzativa Amministrazione Berlino e si imposta un criterio di gruppo diverso da quello del criterio di gruppo di livello superiore, l’impostazione del criterio di gruppo di livello inferiore ha la meglio. I criteri di entrambe le UO che non sono in contraddizione tra loro vengono adottati in modo cumulativo, ovvero si sommano in un insieme di unione in senso matematico.
Disattivare l’ereditarietà dei criteri
Con l’aiuto della casella di controllo Disattiva ereditarietà delle politiche, è possibile impedire che le politiche di una UO di livello superiore abbiano effetto per una UO di livello inferiore, oltre alle politiche impostate per questa UO. Questa opzione si trova nella scheda Generale. L’ereditarietà non può essere disattivata per le policy di ubicazione, perché queste ultime si trovano in cima alla gerarchia delle policy. Il primo passo consiste nel verificare se esiste un criterio di ubicazione. Se esiste, viene ereditato a meno che non ci sia un criterio di dominio diverso o un criterio di unità organizzativa diverso.
L’opzione “Nessuna precedenza” annulla la disattivazione dell’ereditarietà.
Oltre all’opzione Disattiva ereditarietà dei criteri, esiste l’opzione Nessuna precedenza che fa l’esatto contrario. Se si è attivata una politica di gruppo per l’OU della sede di Berlino e si attiva l’opzione Nessuna precedenza, la politica di gruppo avrà sempre effetto, anche se la stessa politica di gruppo è stata definita in modo esattamente opposto in un’OU di livello inferiore, come Sales Berlin, nel nostro esempio impostata su disattivata. Se l’opzione Nessuna precedenza è stata attivata nel contenitore padre, le impostazioni dei criteri di questo contenitore vengono applicate agli oggetti dei contenitori inferiori, anche se l’opzione Disattiva eredità dei criteri è stata attivata nei contenitori inferiori.
Impostazioni “Non configurate”, “Abilitate” e “Disabilitate
Se un criterio è impostato su Abilitato, verrà applicato a tutti gli oggetti del contenitore. Tuttavia, se un criterio è nello stato Non configurato, ciò non significa che il criterio non verrà applicato nel risultato finale. Se esiste un contenitore sovraordinato in cui è attivato esattamente questo criterio, questa impostazione influisce anche sugli oggetti dei contenitori subordinati, grazie all’ereditarietà. L’impostazione Non configurato correttamente significa che le impostazioni del criterio di livello superiore vengono adottate se esistono criteri di livello superiore. Pertanto, se questa impostazione è configurata in un criterio di livello superiore e non nel criterio corrente, l’impostazione Non configurato viene sovrascritta con l’impostazione applicata sopra.
Per evitare ciò, esiste un’impostazione Disabilitato. Ciò significa che questo criterio non viene applicato e che nemmeno un’impostazione di criterio superiore può sovrascriverlo. Tuttavia, esiste anche un’eccezione: Se nelle proprietà di un criterio di livello superiore è stata attivata l’impostazione Non sovrascrivere, tale criterio non può essere sovrascritto a un livello inferiore.
Il server DNS con record SRV è un requisito obbligatorio
Un DNS configurato senza errori è un prerequisito necessario per il corretto funzionamento dei criteri di gruppo. Tramite i record SRV del server DNS, il client trova la sua assegnazione in Active Directory: a quale OU (Unità Organizzativa) sono assegnati il computer e l’utente, quali criteri vi sono memorizzati, ecc. A causa di un servizio DNS non correttamente configurato, dell’assenza della voce del server DNS per i client o di una voce DNS errata, si verificano tempi di accesso estremamente lunghi, i criteri di gruppo non vengono adottati, si verificano problemi di risoluzione dei nomi o non viene eseguita la replica tra i controller di dominio.
Windows Server 2000/2003 con il servizio DNS installato soddisfa tutti i requisiti necessari per il funzionamento dei criteri di gruppo di Active Directory. Se BIND deve essere ancora utilizzato in un ambiente in cui il DNS era precedentemente fornito tramite Unix o Linux BIND, BIND deve essere aggiornato in modo che il DNS supporti i record SRV e sia un DNS dinamico (D-DNS). In questo caso, è consigliabile inserire un Windows Server 2000/2003 come server DNS per i client Windows e inserire Unix BIND come forwarder nel servizio DNS di Windows. Sui client Windows, il server DNS che detiene i record SRV deve essere inserito come primo DNS nelle proprietà TCP/IP.
I criteri di gruppo agiscono sugli oggetti utente o sugli oggetti computer, non sui gruppi di sicurezza.
Il termine criteri di gruppo è un po’ fuorviante. I criteri di gruppo agiscono solo sugli oggetti utente o sugli oggetti computer presenti nel contenitore associato, non sui gruppi di sicurezza. Se, ad esempio, si crea un’unità organizzativa denominata Laptop, si crea un oggetto Criteri di gruppo per questa UO e si configurano criteri speciali per i laptop in questa GPO, è necessario spostare tutti i laptop o tutti gli utenti di laptop in questa UO affinché i criteri abbiano effetto. Se invece si crea solo un gruppo di sicurezza Laptops nell’UO Laptops che contiene gli oggetti laptop come membri e gli oggetti laptop rimangono in un’altra UO che non è un sottocontenitore dell’UO Laptops, il criterio non avrà effetto.
Tuttavia, è possibile utilizzare i gruppi di sicurezza per controllare quali gruppi di utenti o gruppi di computer devono essere influenzati da una serie di criteri tramite le autorizzazioni dei Criteri di gruppo. Per dimostrarlo, modifichiamo l’esempio dei computer portatili: è stata creata un’unità organizzativa chiamata Clienti. Questa OU comprende tutti i computer tranne i server, cioè sia le workstation che i laptop o i tablet PC. Per questa OU, si crea una GPO in cui vengono configurati solo criteri specifici per i computer portatili e i tablet PC. Questa GPO deve avere effetto solo su tutti i laptop e tablet PC dell’OU Clienti, ma non sui client che sono sempre online. Per ottenere questo risultato, impostare un gruppo di sicurezza Laptops e Tablet PC e includere tutti i laptop e i tablet PC come membri di questo gruppo di sicurezza. Quindi modificate le autorizzazioni della GPO in modo che questa possa essere letta e adottata solo dal gruppo di sicurezza dei laptop e dei tablet PC, ma non dagli altri client.
Nelle spiegazioni successive sull’argomento dei criteri di gruppo, dimostreremo come sia possibile controllare le operazioni consentite agli utenti semplici e ai cosiddetti power user utilizzando solo due GPO. Nella prima GPO vengono effettuate le impostazioni dei criteri per l’utente standard, che sono molto restrittive. La seconda GPO può essere letta e adottata solo dal gruppo di sicurezza Poweruser. Il gruppo di sicurezza Poweruser comprende programmatori, personale di helpdesk e altri membri del personale che hanno bisogno di maggiore libertà sui loro computer. In questa seconda GPO, alcuni dei criteri che limitavano fortemente i diritti dell’utente standard nella prima GPO vengono ora sovrascritti nuovamente, assegnando ai criteri lo stato di disabilitazione. Con un modello semplice e di facile comprensione costituito da due GPO, è quindi possibile controllare quali dipendenti ricevono linee guida rigide e immutabili nel loro ambiente di lavoro e quali invece vengono nuovamente allentate in modo da non ostacolare il loro lavoro quotidiano.
I criteri configurati vengono inoltre salvati nel database di registrazione.
Dove e come vengono memorizzati i criteri di gruppo configurati per il computer o per l’utente collegato e come? Il modello dei criteri di gruppo (GPT) è una struttura di cartelle nella directory %systemroot%\SYSVOL\sysvol\Policies dei controller di dominio. Tuttavia, soprattutto le impostazioni effettuate in un criterio di gruppo in “Modelli amministrativi” vengono scritte anche nel registro del computer e degli oggetti utente a cui devono essere applicate. I criteri configurati devono avere effetto anche quando il client è offline e per questo motivo, tra le altre cose, devono essere memorizzati localmente e non solo in Active Directory.
A tale scopo, nel database del Registro di sistema sono presenti i seguenti rami:
HKEY_LOCAL_MACHINE\Software\Policies HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies HKEY_CURRENT_USER\Software\Policies HKEY_CURRENT_USER\Software\Microsoft\Windows\Versione corrente\Policies
Forzare l’aggiornamento senza ritardi
Se si modifica l’impostazione di un criterio, l’effetto sul client o sull’ID utente interessato sarà effettivo solo dopo un certo tempo. Le modifiche che riguardano il computer spesso hanno effetto solo dopo il riavvio del client. Le modifiche che riguardano un utente hanno effetto al più tardi dopo un nuovo accesso.
Tuttavia, esistono comandi da riga di comando che possono essere utilizzati per riapplicare immediatamente tutti i criteri di gruppo. In Windows 2000 si usa il comando secedit, con il quale si possono usare i parametri machine_policy e user_policy per specificare esplicitamente se devono essere riapplicati solo i criteri della categoria computer o della categoria utente:
secedit /refreshpolicy user_policy /enforce secedit /refreshpolicy machine_policy /enforce
In Windows XP, gpupdate sostituisce il precedente strumento secedit:
gpupdate /target:user /force /wait:0 gpupdate /obiettivo:computer /forza /attesa:0
Tuttavia, lo strumento gpupdate può essere utilizzato anche in Windows 2000 Professional. Deve essere installato nella directory %systemroot%\System32. Per ulteriori informazioni sul significato dei vari parametri, consultare la guida in linea dello strumento gpupdate. Il parametro /force assicura che tutte le impostazioni vengano applicate nuovamente, anche se il contatore dei criteri non è ancora stato aumentato.
Esiste anche un criterio che può essere utilizzato per impostare il ritardo predefinito dopo il quale i criteri di gruppo vengono riapplicati a un valore inferiore. Questa procedura è consigliata durante la fase di test.
Backup, copia e importazione delle impostazioni dei criteri
Immaginate di aver creato un criterio di gruppo nel vostro dominio di prova e di voler trasferire tutte le impostazioni in un ambiente di produzione. Come si può fare con il minimo sforzo?
Immaginate di voler creare un’altra unità organizzativa e di utilizzare per questa nuova UO criteri di gruppo identici o quasi identici a quelli già impostati per un’altra UO.
Nell’autunno 2003, Microsoft ha rilasciato la Group Policy Management Console GPMC , scaricabile gratuitamente. Questo snap-in consente di copiare o importare un oggetto Criteri di gruppo con tutti i criteri in esso configurati. La guida in linea fornisce informazioni più dettagliate:
La copia consente di trasferire le impostazioni da un oggetto Criteri di gruppo direttamente a un nuovo oggetto Criteri di gruppo. Durante il processo di copia, viene creato un nuovo oggetto Criteri di gruppo e gli viene assegnato un nuovo GUID (Globally Unique Identifier). In questo modo, le impostazioni possono essere trasferite a un nuovo oggetto Criteri di gruppo nello stesso dominio, in un altro dominio della stessa foresta o in un dominio di un’altra foresta. Poiché l’operazione di copia utilizza come origine un oggetto Criteri di gruppo esistente in Active Directory, deve esistere una relazione di fiducia tra il dominio di origine e quello di destinazione.
Le operazioni di copia sono adatte per trasferire i criteri di gruppo tra ambienti di produzione o tra un dominio di prova (o foresta di prova) e un dominio di produzione (o foresta di produzione). Il prerequisito è una relazione di fiducia tra il dominio di origine e quello di destinazione. Istruzioni dettagliate sono disponibili nella guida in linea di GPMC all’indirizzo .
La copia è simile a un backup seguito da un’importazione, con la differenza che il passaggio intermedio attraverso il file system viene omesso e il nuovo oggetto dei criteri di gruppo viene creato come parte del processo di copia. Per informazioni sul backup degli oggetti dei criteri di gruppo, consultare la guida in linea di GPMC alla voce di ricerca Backup.
Il processo di importazione, a differenza del processo di copia, non richiede la fiducia tra i domini. Per informazioni sul processo di importazione, consultare la Guida in linea con il termine di ricerca Importazione.
Le procedure per il backup, la copia o l’importazione delle GPO e le attività correlate possono essere eseguite anche con l’aiuto degli script di esempio che fanno parte dell’ambito di fornitura della gestione dei criteri di gruppo GPMC.
Una società di sistemi che realizza progetti con Windows 2000/2003 Active Directory per molti clienti può quindi comodamente continuare a utilizzare le politiche di gruppo di un ambiente di prova configurato in modo pulito, salvando le politiche di gruppo create nell’ambiente di prova come modelli, importandole nell’Active Directory appena configurata presso il cliente e quindi adattandole semplicemente.
Aggiungi un link ai criteri di gruppo
Tuttavia, se si desidera utilizzare un criterio di gruppo identico senza modifiche per diverse unità organizzative, è possibile farlo anche in modo diverso, ossia tramite un collegamento. Si crea il criterio di gruppo in un’unità organizzativa neutrale e lo si configura. Poi si creano collegamenti a questa politica di gruppo centrale in altre unità organizzative. Questo metodo ha il vantaggio che in seguito, se necessario, è possibile apportare modifiche a una politica di gruppo in un solo punto e tali modifiche diventano immediatamente efficaci per tutte le unità organizzative collegate alla politica di gruppo gestita a livello centrale.
Si aprono le proprietà dell’unità organizzativa e la scheda Criteri di gruppo. Questa volta, però, non si fa clic sul pulsante Nuovo, ma sul pulsante Aggiungi. Questo pulsante avrebbe dovuto essere etichettato più chiaramente come Connetti. Selezionare la scheda Tutti. Vengono elencati tutti i criteri di gruppo del dominio creati finora.
Per cosa si può utilizzare l’opzione per collegare i criteri di gruppo a diverse unità organizzative?
Se avete diverse sedi, ad esempio, e ci sono server in tutte le sedi, potete creare un’unità organizzativa centrale con il nome Criteri di gruppo dell’organizzazione. Qui si può generare, ad esempio, un criterio di gruppo Controllore di dominio, in cui sono definiti tutti i criteri di sicurezza importanti per i controllori di dominio. Dovrete poi creare una OU per ogni sito e all’interno di queste OU a loro volta delle sotto-OU per i controller di dominio, i server membri, i computer client, gli utenti, i gruppi di utenti e i contatti esterni. Nelle sotto-UO dei controllori di dominio che esistono in ogni OU del sito, si crea poi un criterio di gruppo creando un collegamento al criterio centrale dei controllori di dominio nell’unità centrale Criteri di gruppo dell ‘organizzazione.
Procedete allo stesso modo per altri tipi di server, come i server membri, i server Exchange e i server SQL. Sul server Web Microsoft è disponibile la “Guida alle operazioni di sicurezza di Windows Server” con il capitolo 4, “Protezione dei server in base ai loro ruoli”. Questo articolo descrive come proteggere diversi tipi di server utilizzando i criteri di gruppo.
Naturalmente, è possibile utilizzare le funzionalità di collegamento dei criteri di gruppo per i criteri che devono essere applicati a tutti gli utenti dell’intera organizzazione. A tale scopo, create un criterio di gruppo come Utente standard a livello di organizzazione e magari un altro criterio di gruppo come Utente potente a livello di organizzazione nell’unità centrale Criteri di gruppo dell’organizzazione. Il secondo criterio di gruppo è destinato ai power user (sviluppatori SW, personale dell’helpdesk, ecc.) per i quali l’ambiente non è limitato come per gli utenti standard. Le politiche di gruppo centrali vengono quindi collegate alle unità organizzative denominate utenti, create come sotto-unità organizzative nell’ambito delle varie UO del sito.
Tuttavia, in questi criteri di gruppo centrali si dovrebbero definire solo criteri che poi si applicano a tutti gli utenti dell’intera organizzazione. Il criterio di reindirizzamento delle cartelle, in cui è necessario specificare un server su cui si trova la directory di base dell’utente, è forse meno adatto a un criterio di gruppo centrale. Questo perché le directory di base (home directory degli utenti) di una grande organizzazione con diverse sedi si trovano su diversi file server. Anche in questo caso, però, esiste un trucco per gestire l’assegnazione a più server. Per maggiori dettagli, consultate il capitolo “Profili utente memorizzati sul server, cartelle di base e reindirizzamento delle cartelle”.
Eliminazione di un criterio di gruppo o di un suo collegamento
Se si elimina un’unità organizzativa senza aver prima eliminato i criteri di gruppo creati per quell’unità organizzativa, tali criteri di gruppo rimarranno in Active Directory e nella directory %SYSTEMROOT%\SYSVOL\sysvol\Company.local\Policies dei controller di dominio. Per verificarlo, create una nuova OU di prova e create un criterio di gruppo di prova per questa OU. Notate il nome univoco del criterio di gruppo, che viene visualizzato tramite il pulsante Proprietà. Ora eliminate l’OU di prova e verificate che la directory in %SYSTEMROOT%\SYSVOL\sysvol\Company.local\Policies creata al momento della creazione del criterio di gruppo sia stata eliminata automaticamente con l’eliminazione dell’OU. Esiste ancora.
Ora aprite le proprietà di un’altra OU e la scheda Criteri di gruppo. Questa volta non fate clic sul pulsante Nuovo, ma sul pulsante Aggiungi. Selezionare la scheda Tutti. Vengono elencati tutti i criteri di gruppo del dominio, compreso il criterio di gruppo di prova creato per l’OU di prova già eliminata.
Se si seleziona un oggetto della politica di gruppo con il mouse e si fa clic sul pulsante Elimina, appare una richiesta:
Rimuovere il collegamento dall’elenco fa sì che altri contenitori (sedi, domini, UO) possano ancora utilizzare il criterio. Viene eliminato solo il collegamento all’oggetto corrente.
Rimuovere il collegamento dall’elenco ed eliminare irrevocabilmente l’oggetto del criterio di gruppo significa che il criterio di gruppo stesso viene eliminato e completamente rimosso dopo questo processo. Non è possibile applicare questo criterio a un altro contenitore in un secondo momento.
Tuttavia, prima di eliminare irrevocabilmente un oggetto Criteri di gruppo, è necessario verificare la seguente impostazione: Selezionare il criterio desiderato e fare clic sul pulsante Proprietà. Nella scheda Collegamenti, selezionare il dominio da cercare per i collegamenti nel campo Dominio. Fare clic su Cerca. Questa procedura cerca tutti i contenitori a cui è collegato questo criterio. In questo modo, è possibile verificare se questo criterio ha ancora effetto su un altro contenitore in un altro dominio.
La procedura descritta si riferisce a un server senza Group Policy Management Console GPMC installato in aggiunta. Se questo strumento è installato, la procedura è simile. È opportuno conoscere anche la procedura senza GPMC installato, perché domani potreste già dover amministrare un server in cui GPMC è assente.
Ripristino dei criteri di dominio predefiniti con lo strumento da riga di comando
Per un dominio appena creato, vengono creati automaticamente i due oggetti Criteri di gruppo Criteri di dominio predefiniti e Criteri dei controller di dominio predefiniti. Se possibile, si dovrebbe evitare di modificare le impostazioni dei criteri in questi due oggetti Criteri di gruppo predefiniti o almeno documentarli esattamente. È meglio creare da soli nuovi oggetti Criteri di gruppo e fare lì le impostazioni desiderate. Se tuttavia sono state apportate modifiche ai criteri standard e si desidera ripristinare lo stato originale, in Windows Server 2003 è disponibile il comando da riga di comando dcgpofix. Lo strumento associato dcgpofix.exe si trova nella directory %systemroot%\system32. La guida in linea spiega come utilizzare lo strumento, i parametri associati e le restrizioni.
Specificando il parametro /ignoreschema, è possibile consentire a dcgpofix.exe di lavorare con diverse versioni di Active Directory. Tuttavia, gli oggetti dei criteri predefiniti potrebbero non essere ripristinati allo stato originale. Per garantire la compatibilità, è necessario utilizzare la versione di dcgpofix.exe installata con il sistema operativo corrente. L’esempio seguente mostra come utilizzare il comando dcgpofix per ripristinare l’oggetto di criterio di dominio predefinito:
dcgpofix /obiettivo: dominio
Per ulteriori informazioni, consultare gli articoli della Knowledge Base
- Ripristino dei diritti degli utenti nel criterio di gruppo predefinito di un dominio
- Ripristino dei diritti dell’utente nell’oggetto Criteri di gruppo predefinito del controller di dominio
Criteri di gruppo contro file reg
Molti criteri di gruppo vengono utilizzati per modificare i valori nel database del registro di sistema del client o del server. Ci si chiede se gli stessi obiettivi non possano essere raggiunti anche tramite i file reg, magari con meno sforzo. Oltre al comando Regedit, esistono sul mercato molti strumenti con cui è possibile effettuare impostazioni in Windows XP o Microsoft Office ed esportare le voci di registro associate direttamente in un file reg, ad esempio Registry System Wizard o RegShot. Questo file reg può quindi essere importato tramite uno script di accesso o uno script di avvio.
Sebbene Microsoft abbia ripetutamente enfatizzato lo strumento dei criteri di gruppo come strumento di amministrazione centrale per il controllo dei client dall’introduzione di Active Directory con Windows 2000 Server, finora non sono noti fornitori terzi, oltre a Microsoft, che offrano file di modelli di criteri di gruppo (file adm) in modo che anche i loro prodotti possano essere controllati da una posizione centrale tramite l’editor dei criteri di gruppo. Non esistono file adm né per SAP, Sage KHK, AutoCAD, CorelDraw né per i principali prodotti antivirus. Anche il prodotto commerciale Navision, che ora Microsoft distribuisce, non contiene file di modelli di criteri di gruppo per il controllo centrale dei client.
Tuttavia, oggi non esistono solo strumenti per convertire i file reg in file adm(Registry System Wizard, reg2adm, ptfe-PolicyTemplate File Editor) e articoli che descrivono in dettaglio come creare i propri file adm. Ci sono anche molte altre ragioni per occuparsi delle politiche di gruppo, perché con esse si può ottenere molto di più che manipolando il database del Registro di sistema:
- I criteri di gruppo possono essere utilizzati anche per manipolare i valori nell’area HKEY_LOCAL_MACHINE del registro di sistema. Tuttavia, l’utente semplice di solito non ha i diritti per farlo.
- Le applicazioni possono essere installate tramite i criteri di gruppo.
- I criteri di gruppo possono essere utilizzati per attivare script di avvio e spegnimento, ma anche script di disconnessione, il che offre molte più possibilità di un semplice script di accesso.
- I criteri di gruppo possono essere utilizzati per controllare centralmente strutture complesse di Active Directory costituite da più siti o addirittura da più domini.
- Con i criteri di gruppo, il comportamento dei singoli gruppi di clienti o di utenti può essere controllato individualmente. Ad esempio, è possibile creare un’unità organizzativa per ospitare tutti i computer portatili e i tablet e impostare criteri di gruppo specifici per questa OU per gestire le specifiche dei client che sono regolarmente offline.
Questi sono solo alcuni dei vantaggi che i criteri di gruppo offrono rispetto alla manipolazione del registro di sistema tramite i file reg. Il vantaggio principale dei criteri di gruppo è che l’amministratore può specificare a livello centrale l’aspetto di un client, quali applicazioni e funzioni sono abilitate o disabilitate e cosa l’utente può utilizzare e modificare. Queste impostazioni possono essere modificate in qualsiasi momento tramite i criteri di gruppo senza che l’utente debba appartenere al gruppo degli amministratori locali o degli utenti principali. Le impostazioni del database del registro controllate tramite i criteri di gruppo sono applicate con l’autorizzazione del gruppo SYSTEM interno al sistema operativo.
Con i criteri di gruppo gestiti centralmente, l’impegno amministrativo di una rete può essere drasticamente ridotto, così come il numero di possibili fonti di errore e di minacce alla sicurezza. In ogni caso, non c’è modo di evitare i criteri di gruppo. Perché un domani potreste dover gestire una rete in cui i criteri di gruppo sono utilizzati in modo intensivo.
Risoluzione dei problemi quando un criterio non funziona
In linea di massima, ci possono essere molte ragioni, da ambiente ad ambiente, se avete attivato un criterio di gruppo e questo criterio di gruppo non mostra il risultato desiderato sul client in questione o sotto l’identificatore in questione. Se un criterio di gruppo non funziona affatto, di solito ciò è dovuto a un DNS non correttamente configurato. Controllare quindi la configurazione DNS dei server DNS e le voci DNS del client. Controllare il registro degli eventi sul server.
Assicurarsi quindi che il computer client o l’ID utente in questione si trovi nella OU corretta a cui è applicato il criterio.
Verificare che le autorizzazioni dei Criteri di gruppo siano impostate correttamente in modo che il computer o l’utente possa leggere e applicare la GPO. È importante notare che il criterio non può essere applicato a un gruppo di sicurezza, ma solo agli oggetti che si trovano nel contenitore a cui si applica il criterio.
Controllare l’ordine di applicazione di più criteri per verificare se vi sono criteri ereditati dai contenitori padre. Uno strumento del Windows Server Resource Kit chiamato GPRESULT mostra anche il risultato ottenuto in Windows 2000 Professional quando più criteri di gruppo influiscono su un oggetto. Questo strumento è già integrato nel nuovo strumento di amministrazione GPMC.MSI.
Su un client Windows XP, è possibile utilizzare il comando da riga di comando gpresult per visualizzare il risultato di tutti i criteri di gruppo attivi. Il comando gpresult /? visualizza tutti i parametri, mentre il comando gpresult > c:\gpresult.txt reindirizza il risultato in un file di testo più facile da valutare. Con i parametri /u (per utente) e /s (per sistema) si può anche scoprire cosa succede quando un certo utente si collega a un altro computer: gpresult /u:username /s:computername
Strumenti, articoli e fonti sui criteri di gruppo
La prima fonte di ulteriori informazioni sull’argomento dei criteri di gruppo è il DVD del libro, che sarà arricchito da ulteriori articoli anche se questo capitolo è già impostato sulla stampante. Sul DVD del libro troverete una directory separata Politiche di gruppo con strumenti, white paper, articoli di know-how e link a siti web con ulteriori fonti. In un secondo momento, dovreste controllare il portale Internet dell’editore sulla pagina di aggiornamento di questo libro per vedere se ci sono nuovi contributi sul tema delle politiche di gruppo.
| Questa serie di articoli è un estratto del “Manuale di integrazione Microsoft Network” di Ulrich Schlüter. Data di pubblicazione: ottobre 2004 da Galileo Computing. (ISBN 3-89842-525-8) ed è stato reso disponibile in esclusiva per WinTotal in anteprima. |
Ulrich Schlüter