Tutorial: le gioie dei criteri di gruppo di Windows Server

Quando Microsoft ha introdotto gli oggetti Criteri di gruppo (GPO) insieme a Windows Server 2000 quasi 17 anni fa, rappresentavano un nuovo entusiasmante approccio alla gestione delle autorizzazioni utente e di sistema. Oggi fanno semplicemente parte del lavoro amministrativo e, di conseguenza, alcuni amministratori IT hanno dimenticato quanto possono essere potenti queste impostazioni e quando possono essere utilizzate per risolvere i problemi.

Quando Windows Server 2016 verrà rilasciato in autunno, conserverà quegli oggetti Criteri di gruppo così pratici, lasciandoli invariati ad eccezione dell'aggiunta di alcune impostazioni specifiche di Windows Server 2016 e Windows 10. Se non è rotto ...

Gli strumenti della Console di gestione dei criteri di gruppo vengono installati con Active Directory, ma è necessario che Active Directory Domain Services (ADFS) funzioni effettivamente. Per controllare i server o le workstation, devono essere collegati (ovvero "aggiunti") al dominio. Sebbene i criteri locali possano essere configurati per singoli PC (non aggiunti a un dominio), si tratta di uno scenario unico che non attinge al valore fondamentale dell'implementazione dei criteri di gruppo per controllare più sistemi e utenti contemporaneamente.

Esistono migliaia di potenziali impostazioni di configurazione e opzioni per gli oggetti Criteri di gruppo. Il modo più semplice per trovare la strada per un'impostazione è identificare il percorso della sua posizione nello strumento Console Gestione Criteri di gruppo (GPMC), come mostrato nella Figura 1. Il percorso della posizione mostra il percorso completo delle impostazioni che stai cercando, nella allo stesso modo potresti cercare un file che è sepolto in più cartelle.

Tre usi delle politiche di gruppo costituiscono un buon punto di partenza sia per l'amministratore principiante che per l'amministratore esperto che ha dato per scontate le politiche di gruppo e ha smesso di cercare modi per usarle per nuove esigenze. (Quando sei pronto per scavare più a fondo, Microsoft ha un buon tutorial dettagliato che entra nella complessità delle politiche di gruppo.)

Esempio 1 oggetto Criteri di gruppo: applica la complessità della password

Per creare un criterio di complessità della password che si applica a tutti gli utenti in un dominio, eseguire le seguenti operazioni:

  1. Apri la Console di gestione dei criteri di gruppo.
  2. Espandi il contenitore Domini e seleziona il tuo nome di dominio.
  3. Fare clic con il pulsante destro del mouse sul nome di dominio e scegliere l'opzione Crea un oggetto Criteri di gruppo in questo dominio e collegalo qui.
  4. Assegnare un nome al nuovo oggetto Criteri di gruppo (ad esempio, Criterio di complessità della password) e fare clic su OK.
  5. Una volta che la policy è visibile nel tuo dominio, fai clic con il pulsante destro del mouse sulla policy e scegli Modifica. Questo apre l'Editor Gestione Criteri di gruppo (GPME).
  6. Drill-down per il percorso della posizione in GPME, come mostrato in Figura 2: GPO_name\Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy.
  7. Fare clic con il pulsante destro del mouse sull'opzione La password deve soddisfare i requisiti di complessità e fare clic su Proprietà, come mostrato nella Figura 3.
  8. Seleziona la casella Definisci questa impostazione di criterio, seleziona Abilitato, quindi fai clic su OK. Nota: puoi anche fare clic sulla scheda Spiega per una spiegazione completa di ciò che fa questa impostazione.

Ci sono ovviamente altre impostazioni che puoi includere in questo GPO. Ad esempio, è possibile abilitare i requisiti di complessità e impostare la lunghezza minima della password, diciamo, otto caratteri.

GPO esempio 2: disabilitare le unità USB

Alcuni criteri devono essere applicati in base alla situazione (a un'unità organizzativa, nota anche come unità organizzativa), come la disabilitazione dei dispositivi USB. Ad esempio, potresti avere guerrieri della strada che necessitano dell'accesso USB sui loro laptop mentre potresti voler bloccare le porte USB dei PC interni.

Ecco come creare una tale politica situazionale:

  1. Nella Console Gestione Criteri di gruppo, espandere il nome di dominio e cercare il contenitore Oggetti Criteri di gruppo. In genere, ci sono due criteri predefiniti in quel contenitore (controller di dominio predefinito e criterio di dominio predefinito), ma se hai configurato il criterio di complessità delle password, verrà visualizzato anche.
  2. Fare clic con il pulsante destro del mouse sulla cartella Oggetti Criteri di gruppo e fare clic su Nuovo.
  3. Assegna al nuovo oggetto Criteri di gruppo un nome come USB Restriction e fai clic su OK.
  4. Seleziona il criterio e fai clic su Modifica per aprire l'Editor Gestione criteri di gruppo.
  5. Navigare a GPO_name\Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access, come mostra la Figura 4.
  6. Fare doppio clic sull'impostazione, selezionare Abilitato, quindi fare clic su OK o su Applica.

Come mostra la Figura 4, ci sono una varietà di impostazioni tra cui scegliere. Qui, ho scelto l'opzione All Removable Storage Classes: Deny All Access per configurare. È possibile visualizzare una descrizione di un'impostazione selezionata nel riquadro della descrizione se si fa clic sulla scheda Estesa.

Tieni presente che a questo punto hai creato solo l'impostazione dei criteri; non l'hai collegato a niente. Per collegarlo:

  1. Seleziona il dominio nella Console Gestione Criteri di gruppo o l'unità organizzativa che hai impostato.
  2. Fare clic con il pulsante destro del mouse sull'unità organizzativa (come mostrato nella figura 5) e selezionare Collega un oggetto Criteri di gruppo esistente.
  3. Selezionare l'oggetto Criteri di gruppo Restrizione USB e fare clic su OK.
  4. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che è ora collegato e selezionare l'opzione Applicato per applicarlo a quell'oggetto Criteri di gruppo.

L'applicazione dei criteri di gruppo a sistemi e utenti richiede del tempo, ma è possibile forzare l'applicazione delle modifiche aprendo un prompt dei comandi e digitando gpupdate /force.

Una volta applicato questo criterio, un utente che tenta di introdurre un dispositivo USB dovrebbe ricevere un messaggio di "accesso negato".

GPO esempio 3: disabilitare la creazione di file PST

Abbiamo tutti affrontato l'incubo della conformità derivante dall'utilizzo di file di cassette postali PST. Quindi come impedisci agli utenti di crearli? Con una politica di gruppo, ovviamente. (Sì, ci sono modifiche alla configurazione del registro che puoi usare per farlo, ma una politica di gruppo è molto più semplice e veloce.)

Per apportare le modifiche devi prima scaricare i modelli amministrativi dei criteri di gruppo per la versione di Office a cui stai imponendo le impostazioni. Una volta installati questi modelli (operazione che potrebbe richiedere qualche aggiustamento), si applicano impostazioni aggiuntive (mostrate nella Figura 6) per controllare quella versione di Office tramite criteri di gruppo.

Dopo aver scelto il sito, il dominio o il livello di unità organizzativa a cui applicare il criterio e aver aperto l'Editor Gestione criteri di gruppo, vai a GPO_name\User Configuration\Policies\Administrative Templates\Microsoft Outlook 2016\Miscellaneous\PST Settings.

Ci sono due impostazioni che potresti voler configurare. Il primo è Impedisci agli utenti di aggiungere nuovo contenuto ai file PST esistenti, che (come suggerisce il nome) impedisce agli utenti di aggiungere più email ai PST che già possiedono. La seconda impostazione è Impedisci agli utenti di aggiungere PST ai profili di Outlook e / o Impedisci l'utilizzo di PST esclusivi di condivisione, che blocca la creazione di nuovi file PST da parte degli utenti.