Windows Server 2022: Gestione Criteri di gruppo. Configurazione computer e Criteri controllo

L'Editor Gestione Criteri di gruppo è uno strumento fondamentale per gli amministratori di sistema che desiderano gestire le impostazioni di sicurezza e configurazione sui sistemi Windows all'interno di un ambiente di rete. 

All'interno della finestra Gestione Criteri di gruppo notiamo due sezioni: Configurazione computer e Configurazione utente.

FIG 1 - Editor Gestione Criteri di gruppo

La sezione Configurazione computer contiene le impostazioni che si applicano a livello di macchina. Queste impostazioni influenzano il comportamento del computer indipendentemente dall'utente che vi accede. Esempi comuni di configurazioni di computer includono le politiche di sicurezza, le impostazioni di rete, le restrizioni di accesso e le configurazioni del sistema operativo.

Ad esempio, tramite la Configurazione computer è possibile definire le impostazioni di password complesse, limitare l'accesso a determinati programmi, configurare le opzioni di risparmio energetico e altro ancora. Queste impostazioni sono applicate globalmente a tutti gli utenti che accedono a quel particolare computer.

D'altra parte, la sezione Configurazione utente contiene le impostazioni che si applicano specificamente agli utenti che accedono al sistema. Queste impostazioni riguardano principalmente l'interfaccia utente, le preferenze personali e le restrizioni dell'account utente.

Le impostazioni della Configurazione utente possono includere la configurazione del desktop, le impostazioni del browser, le restrizioni sull'utilizzo di dispositivi di archiviazione esterni e molto altro ancora. Queste impostazioni sono specifiche per ogni utente e si applicano solo quando un utente specifico accede al sistema.

In sintesi le impostazioni della Configurazione computer tendono a riguardare principalmente aspetti sistemici e di sicurezza, mentre quelle della Configurazione utente riguardano l'interfaccia utente e le preferenze personali.

In questo articolo e in quelli successivi verranno trattate prima alcune delle impostazioni della sezione Configurazione computer e, successivamente, verranno mostrate quelle relative alla sezione Configurazione utente. 

La sezione Impostazioni di Windows presente in Configurazione computer consente di modificare alcune aree della configurazione del sistema. È possibile configurare le impostazioni del Domain Name System (DNS), impostare gli script di avvio e spegnimento, configurare le stampanti e le impostazioni di sicurezza.

Di seguito verrà mostrato come configurare alcune delle impostazioni di sicurezza di base per un computer utilizzando i Criteri controllo.

Da Server Manager cliccare su Strumenti e selezionare Gestione Criteri di gruppo (Group policy management).

FIG 2 - Server Manager

Espandere la foresta cliccando su mycompany.local. Cliccare con il tasto destro del mouse sul nome della foresta (mycompany.local) e selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento. In questo modo andremo a creare un'oggetto Criteri di gruppo che verrà applicato all'intero dominio. Le policy applicate al dominio agiscono su tutte le unità organizzative mentre quelle applicate ad un'unità organizzativa agiscono esclusivamente su quest'ultima e su quelle sottostanti.

FIG 3 - Gestione Criteri di gruppo

Assegnare un nome all'oggetto Criteri di gruppo (ad es. Audit_eventi_sistema). Lasciare vuoto Oggetto Criteri di gruppo Starter di origine e fare clic su OK.

Se si desidera creare modelli di GPO per attività amministrative comuni, è possibile crearli nella cartella Oggetti Criteri di gruppo Starter invece che nella cartella degli Oggetti Criteri di gruppo. Ciò consente di sceglierli come origine quando si crea una nuova GPO e di copiare automaticamente le loro impostazioni nella nuova GPO.

FIG 4 - Nuovo oggetto Criteri di gruppo

Selezionare il criterio di gruppo appena creato e cliccare sul pulsante Aggiungi presente nella sezione Filtri di sicurezza.

FIG 5 - GPO Filtri di sicurezza

Nella finestra di dialogo Selezione Utente, Computer o Gruppo cliccare su Tipi di oggetto.

FIG 6 - Selezione Utente, Computer o Gruppo

Selezionare la casella Computer e cliccare su OK.

FIG 7 - Tipi di oggetto

Nella casella Immettere i nomi degli oggetti da selezionare, digitare il nome dei computer o dei server a cui si intende applicare il criterio di gruppo (ad es. ServerDC2), quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.

FIG 8 - Filtri di sicurezza, Computer

Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare Modifica.

FIG 9 - Modifica GPO

Posizionarsi su Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri controllo ed eseguire un doppio click su Controlla eventi di sistema.

FIG 10 - Criteri controllo

Selezionare Definisci le impostazioni relative ai criteri, quindi selezionare le caselle Operazioni riuscite e Operazioni non riuscite e cliccare su OK.

FIG 11 - Proprietà, Controlla eventi di sistema

Ripetere i passaggi per i restanti Criteri controllo. Alla fine delle operazioni lo stato dei Criteri controllo sarà quello mostrato in FIG 12.

FIG 12 - Criteri controllo

Criteri controllo

I criteri di controllo permettono di configurare le impostazioni di sicurezza di base. Vediamo in dettaglio a cosa serve ciascun criterio.

Controlla accesso agli oggetti

Questa impostazione di sicurezza specifica se il sistema operativo controlla i tentativi di accesso a oggetti non Active Directory. Il controllo viene generato solo per gli oggetti per cui sono stati specificati elenchi di controllo di accesso di sistema (SACL) e solo se il tipo di accesso richiesto, ad esempio in scrittura, lettura o modifica, e l'account che effettua la richiesta corrispondono alle impostazioni definite nell'elenco di controllo di accesso di sistema.   

L'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, entrambi i tipi di eventi oppure di non eseguire alcun controllo.  

Se viene attivato il controllo delle operazioni riuscite, verrà generata una voce di controllo per ogni accesso riuscito a un oggetto non Active Directory dotato di un elenco di controllo di accesso di sistema corrispondente.  

Se viene attivato il controllo delle operazioni non riuscite, verrà generata una voce di controllo per ogni tentativo di accesso non riuscito a un oggetto non Active Directory dotato di un elenco di controllo di accesso di sistema corrispondente.

Si noti che è possibile impostare un elenco di controllo di accesso di sistema su un oggetto del file system utilizzando la scheda Sicurezza della finestra di dialogo Proprietà dell'oggetto.

Impostazione predefinita: Nessun controllo.

Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969.

Controlla accesso al servizio directory

Questa impostazione di sicurezza specifica se il sistema operativo controlla i tentativi di accesso agli oggetti Active Directory. Il controllo viene generato solo per gli oggetti per cui sono stati specificati elenchi di controllo di accesso di sistema (SACL) e solo se il tipo di accesso richiesto, ad esempio in scrittura, lettura o modifica, e l'account che effettua la richiesta corrispondono alle impostazioni definite nell'elenco di controllo di accesso di sistema.  

L'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, entrambi i tipi di eventi oppure di non eseguire alcun controllo.  

Se viene attivato il controllo delle operazioni riuscite, verrà generata una voce di controllo per ogni accesso riuscito a un oggetto Active Directory dotato di un elenco di controllo di accesso di sistema corrispondente.  

Se viene attivato il controllo delle operazioni non riuscite, verrà generata una voce di controllo per ogni tentativo di accesso non riuscito a un oggetto Active Directory dotato di un elenco di controllo di accesso di sistema corrispondente.

Valori predefiniti nelle edizioni client:

  Accesso al servizio directory: Nessun controllo

  Modifiche servizio directory: Nessun controllo

  Replica servizio directory: Nessun controllo

  Replica dettagliata servizio directory: Nessun controllo

Valori predefiniti nelle edizioni server:

  Accesso al servizio directory: Operazioni riuscite

  Modifiche servizio directory: Nessun controllo

  Replica servizio directory: Nessun controllo

  Replica dettagliata servizio directory: Nessun controllo

Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969. 

Controlla eventi accesso account

Questa impostazione di sicurezza specifica se il sistema operativo controlla o meno gli eventi di convalida delle credenziali di un account nel computer in uso.

Gli eventi di accesso account vengono generati ogni volta che un computer convalida le credenziali di un account per cui viene considerato autorevole. I membri di dominio e i computer non aggiunti al dominio sono autorevoli per i rispettivi account locali, mentre i controller di dominio sono tutti autorevoli per gli account del dominio. La convalida delle credenziali può essere effettuata per supportare un accesso locale oppure, nel caso di un account di dominio Active Directory in un controller di dominio, per supportare un accesso a un altro computer. Poiché la convalida delle credenziali è senza stato, per gli eventi di accesso account non è disponibile alcun evento di fine sessione corrispondente. 

Se questa impostazione è definita, l'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, gli eventi con entrambi gli esiti oppure di non eseguire alcun controllo.

Valori predefiniti nelle edizioni client:

  Convalida credenziali: Nessun controllo

  Operazioni ticket di servizio Kerberos: Nessun controllo

  Altri eventi di accesso account: Nessun controllo

  Servizio di autenticazione Kerberos: Nessun controllo

Valori predefiniti nelle edizioni server:

  Convalida credenziali: Operazioni riuscite

  Operazioni ticket di servizio Kerberos: Operazioni riuscite

  Altri eventi di accesso account: Nessun controllo

  Servizio di autenticazione Kerberos: Operazioni riuscite

Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969.

Controlla eventi di accesso

Questa impostazione di sicurezza determina se il sistema operativo controlla o meno ogni singolo evento di accesso o fine sessione nel computer in uso.  

Gli eventi di fine sessione vengono generati ogni volta che la sessione di accesso di un account utente connesso viene terminata. Se questa impostazione è definita, l'amministratore potrà specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, entrambi i tipi di eventi oppure di non eseguire alcun controllo.

Valori predefiniti nelle edizioni client:

  Accesso: Operazioni riuscite

  Fine sessione: Operazioni riuscite

  Blocco account: Operazioni riuscite

  Modalità principale IPsec: Nessun controllo

  Modalità rapida IPsec: Nessun controllo

  Modalità estesa IPsec: Nessun controllo

  Accesso speciale: Operazioni riuscite

  Altri eventi di accesso/fine sessione: Nessun controllo

  Server dei criteri di rete: Operazioni riuscite e non riuscite

Valori predefiniti nelle edizioni server:

  Accesso: Operazioni riuscite e non riuscite

  Fine sessione: Operazioni riuscite

  Blocco account: Operazioni riuscite

  Modalità principale IPsec: Nessun controllo

  Modalità rapida IPsec: Nessun controllo

  Modalità estesa IPsec: Nessun controllo

  Accesso speciale: Operazioni riuscite

  Altri eventi di accesso/fine sessione: Nessun controllo

  Server dei criteri di rete: Operazioni riuscite e non riuscite

Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969.

Controlla eventi di sistema

Questa impostazione di sicurezza specifica se il sistema operativo controlla uno degli eventi seguenti: 

• Tentativo di modifica dell'ora di sistema

• Tentativo di avvio o arresto del sistema di sicurezza

• Tentativo di caricare componenti di autenticazione estendibili

• Perdita di eventi controllati a causa di un errore del sistema di controllo

• Dimensione del registro di sicurezza superiore a un livello soglia di avviso configurabile.

Se questa impostazione è definita, l'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, gli eventi con entrambi gli esiti oppure di non eseguire alcun controllo. 

Se viene attivato il controllo delle operazioni riuscite, verrà generata una voce di controllo ogni volta che il sistema operativo esegue una di queste attività. 

Se viene attivato il controllo delle operazioni non riuscite, verrà generata una voce di controllo ogni volta che il sistema operativo non è in grado di eseguire una di queste attività..

Impostazioni predefinite:

Modifica stato sicurezza  Operazioni riuscite

Estensione stato sicurezza  Nessun controllo

Integrità sistema  Operazioni riuscite e non riuscite

Driver IPsec Driver  Nessun controllo

Altri eventi di sistema  Operazioni riuscite e non riuscite

Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969.

Controlla gestione degli account

Questa impostazione di sicurezza specifica se è necessario controllare ogni singolo evento di gestione degli account in un computer. Esempi di eventi di gestione degli account:

Creazione, modifica o eliminazione di un account utente o di un gruppo.

Ridenominazione, attivazione o disattivazione di un account utente.

Impostazione o modifica di una password.

Se si definisce questa impostazione, sarà possibile specificare se controllare o meno l'esito di un determinato tipo di evento. Se si specifica il controllo delle operazioni riuscite, verrà generata una voce di controllo ogni volta che un evento di gestione degli account riesce. Se si specifica il controllo delle operazioni non riuscite, verrà generata una voce di controllo ogni volta che un evento di gestione degli account non riesce. Per impostare il valore Nessun controllo, nella finestra di dialogo Proprietà di questa impostazione selezionare la casella di controllo Definisci le impostazioni relative ai criteri e deselezionare le caselle di controllo Operazioni riuscite e Operazioni non riuscite.

Valori predefiniti nelle edizioni client:

  Gestione account utente: Operazioni riuscite

  Gestione account computer: Nessun controllo

  Gestione gruppi di sicurezza: Operazioni riuscite

  Gestione gruppi di distribuzione: Nessun controllo

  Gestione gruppi di applicazioni: Nessun controllo

  Altri eventi di gestione account: Nessun controllo

Valori predefiniti nelle edizioni server:

  Gestione account utente: Operazioni riuscite

  Gestione account computer: Operazioni riuscite

  Gestione gruppi di sicurezza: Operazioni riuscite

  Gestione gruppi di distribuzione: Nessun controllo

  Gestione gruppi di applicazioni: Nessun controllo

  Altri eventi di gestione account: Nessun controllo

Importante: per un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969.

Controlla modifica ai criteri

Questa impostazione di sicurezza determina se il sistema operativo controlla o meno ogni singolo tentativo di modifica dei criteri di assegnazione dei diritti utente, dei criteri di controllo, dei criteri degli account o dei criteri di attendibilità. 

L'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, gli eventi con entrambi gli esiti oppure di non eseguire alcun controllo. 

Se viene attivato il controllo delle operazioni riuscite, verrà generata una voce di controllo per ogni tentativo riuscito di modifica dei criteri di assegnazione dei diritti utente, dei criteri di controllo, dei criteri degli account o dei criteri di attendibilità. 

Se viene attivato il controllo delle operazioni non riuscite, verrà generata una voce di controllo per ogni tentativo di modifica dei criteri di assegnazione dei diritti utente, dei criteri di controllo, dei criteri degli account o dei criteri di attendibilità effettuato da un account non autorizzato a eseguire la modifica richiesta.

Impostazioni predefinite:

  Modifica del criterio di controllo: Operazioni riuscite

  Modifica criteri di autenticazione: Operazioni riuscite

  Modifica criteri di autorizzazione: Nessun controllo

  Modifica criteri a livello di regola MPSSVC: Nessun controllo

  Modifica criteri Piattaforma filtro Windows: Nessun controllo

  Altri eventi di modifica criteri: Nessun controllo

Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969.

Controlla esito processi

Questa impostazione di sicurezza determina se il sistema operativo controlla o meno gli eventi correlati ai processi, ad esempio la creazione e la chiusura di un processo, la duplicazione degli handle e l'accesso indiretto agli oggetti. 

Se questa impostazione è definita, l'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, gli eventi con entrambi gli esiti oppure di non eseguire alcun controllo. 

Se viene attivato il controllo delle operazioni riuscite, verrà generata una voce di controllo ogni volta che il sistema operativo esegue una di queste attività correlate ai processi. 

Se viene attivato il controllo delle operazioni non riuscite, verrà generata una voce di controllo ogni volta che il sistema operativo non è in grado di eseguire una di queste attività.

Impostazione predefinita: Nessun controllo

Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969.

Controlla uso dei privilegi

Questa impostazione di sicurezza specifica se controllare o meno ogni singolo evento di utilizzo di un diritto utente da parte di un utente.

Se si definisce questa impostazione, sarà possibile specificare se controllare o meno l'esito di un determinato tipo di evento. Se si specifica il controllo delle operazioni riuscite, verrà generata una voce di controllo a ogni tentativo riuscito di utilizzare un diritto utente. Se si specifica il controllo delle operazioni non riuscite, verrà generata una voce di controllo a ogni tentativo non riuscito di utilizzare un diritto utente.

Per impostare il valore Nessun controllo, nella finestra di dialogo Proprietà di questa impostazione selezionare la casella di controllo Definisci le impostazioni relative ai criteri e deselezionare le caselle di controllo Operazioni riuscite e Operazioni non riuscite.

Impostazione predefinita: Nessun controllo

Non vengono generate voci di controllo per l'utilizzo dei diritti utente seguenti, anche se per Controlla uso dei privilegi è specificato il controllo delle operazioni riuscite o non riuscite. L'attivazione del controllo di questi diritti utente spesso provoca la generazione di numerosi eventi nel registro di sicurezza, determinando un calo di prestazioni del computer. Per controllare i diritti utente seguenti, attivare la chiave FullPrivilegeAuditing del Registro di sistema.

Ignorare controllo incrociato

Debug di programmi

Creazione di oggetti token

Sostituzione di token a livello di processo

Generazione di controlli di sicurezza

Backup di file e directory

Ripristino di file e directory

Attenzione

La modifica non corretta del Registro di sistema può danneggiare gravemente il sistema. Prima di apportare modifiche al Registro di sistema, è consigliabile eseguire il backup di tutti i dati rilevanti presenti nel computer

Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969.

 

Windows Server 2019: Installare software tramite i Criteri di gruppo (GPO)

Supponiamo di dover installare un software come il browser Google Chrome su tutti i computer appartenenti al dominio. In aziende con un numero medio/alto di computer l'installazione manuale è da escludere. In questo articolo verrà mostrato come procedere con l'installazione servendosi dei Criteri di gruppo.

Per l'installazione di un software tramite GPO bisogna predisporre il file di installazione in formato MSI (Microsoft Installer). Non tutti i software sono disponibili in tale formato e non tutti gli MSI supportano l'installazione tramite GPO. 

Predisposizione file di installazione del software

• Scaricare la versione di Chrome per le aziende dal link https://cloud.google.com/chrome-enterprise/browser/download . Tale versione supporta l'installazione tramite Criteri di gruppo. Disponendo di computer con sistema operativo a 64 bit scaricare Chrome per Windows a 64 bit.
  

  

  FIG 1 - Google Chrome per le aziende

• Copiare il file in una cartella condivisa. Ad es. all'interno della cartella \\SERVER1DC\Cartella condivisa creata nell'articolo Windows Server 2019: Introduzione alle Group Policy (GPO) e mapping cartella condivisa. 
• Cliccare, con il tasto destro del mouse, sulla cartella condivisa e selezionare Proprietà dal menu contestuale. Selezionare la scheda Condivisione quindi cliccare sul pulsante Condivisione avanzata.
  

  

  FIG 2 - Cartella condivisa, Condivisione avanzata

• Cliccare sul pulsante Autorizzazioni.
  

  

  FIG 3 - Cartella condivisa, Autorizzazioni

• Selezionare il gruppo Domain Users e assicurarsi che sia impostato il controllo completo quindi cliccare sul pulsante Aggiungi.
  

  

  FIG 4 - Aggiungi autorizzazioni per cartella condivisa

• Nella casella Immettere i nomi degli oggetti da selezionare, digitare Computer del dominio quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.
  

  

  FIG 5 - Seleziona Utenti, Computer, Account servizio o Gruppi

• Selezionare il gruppo Computer del dominio e fornire anche a tale gruppo il controllo completo ponendo il flag sulla relativa casella. Cliccare su OK quindi nuovamente su OK nelle finestra Condivisione avanzata e in fine su Chiudi.
  

  

  FIG 6 - Computer del dominio, controllo completo su cartella condivisa

• Scompattare il file zip scaricato precedentemente e contenente i file di installazione di Chrome all'interno della cartella (cliccarci su con il tasto destro del mouse e selezionare estrai tutto e successivamente sul pulsante Estrai). 
  

  

  FIG 7 - Estrai file ZIP

Creazione Criterio di gruppo per l'installazione di Google Chrome

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 8 - Server Manager

• Cliccare, con il tasto destro del mouse, sul dominio mycompany.local e selezionare Crea un oggetto Criteri di gruppo in questo domino e crea qui un collegamento. 
  

  

  FIG 9 - Crea un oggetto Criteri di gruppo

• Assegnare il nome al nuovo criterio di gruppo (ad es. GPO_ChromeSetup) e cliccare su OK.
  

  

  FIG 10 - Nome nuovo oggetto di Criteri di gruppo

• Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare Modifica.
• Posizionarsi su Configurazione computer->Criteri->Impostazioni del software->Installazione software. Sul lato destro della finestra cliccare con il tasto destro in uno spazio vuoto. Dal menu contestuale selezionare Nuovo quindi Pacchetto.
  

  

  FIG 11 - GPO Installazione software, Nuovo Pacchetto

• Digitare il percorso della cartella condivisa \\SERVER1DC\Cartella condivisa\GoogleChromeEnterpriseBundle64\Installers quindi il selezionare il file MSI da installare GoogleChromeStandaloneEnterprise64 e cliccare su Apri.
  

  

  FIG 12 - Selezione file MSI

• Nella schermata successiva selezionare l'opzione Assegnata per distribuire l'applicazione senza alcuna modifica e cliccare su OK.
  

  

  FIG 13 - Distribuisci applicazione

• Chiudere la finestra Editor Gestione Criteri di gruppo. Selezionare nuovamente il criterio di gruppo appena creato. Nella sezione Filtri di sicurezza cliccare sul pulsante Aggiungi.
  

  

  FIG 14 - GPO Filtri di sicurezza

• Nella casella Immettere i nomi degli oggetti da selezionare, digitare Computer del dominio quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.
  

  

  FIG 15 - Filtri di sicurezza, Computer del dominio

Eseguiamo il logon su una postazione del dominio e noteremo che Google Chrome è stato installato.

FIG 16 - Chrome installato mediante Criteri di gruppo

In questo articolo è stato preso in considerazione uno scenario ideale in cui tutte le postazioni del dominio dispongono della stessa versione di Windows a 64 bit. In un ambiente reale raramente ci troveremo in questa situazione, piuttosto avremo computer con diverse configurazioni hardware e software pertanto è sempre opportuno effettuare una verifica sulla compatibilità del software prima di installarlo tramite GPO. In un prossimo articolo verrà mostrato come eseguire diverse installazioni in base al sistema operativo presente sul computer e all'architettura.

Windows Server 2019: Creare una cartella locale e copiare file tramite GPO

Via Group Policy è possibile creare una cartella su una workstation e copiarvi all'interno alcuni file. Tale operazione può essere utile, ad esempio, nel caso in cui sulle postazioni sia installato un software che richiede la presenza di alcuni file esterni per funzionare correttamente o semplicemente quando si intende mettere a disposizione degli utenti dei file in locale sulla postazione. Vediamo come creare la policy adatta al nostro scopo.

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 1 - Server Manager

• Cliccare, con il tasto destro del mouse, sull'unità organizzativa per la quale si intende creare la policy. Se si intende creare un'oggetto Group Policy che agisca su tutte le workstation, cliccare con il tasto destro del mouse sul dominio mycompany.local quindi, dal menu contestuale, selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
  

  

  FIG 2 - Gestione Criteri di gruppo

• Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_CopiaFile e cliccare su OK.
  

  

  FIG 3 - Nuovo oggetto Criteri di gruppo

• Cliccare con il tasto destro del mouse, sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
  

  

  FIG 4 - Modifica oggetto Criteri di gruppo

• Posizionarsi su Configurazione utente\Preferenze\Impostazioni di Windows\Cartelle.
  

  

  FIG 5 - GPO, Impostazioni di Windows, Cartelle

• Cliccare con il tasto destro del mouse in uno spazio vuoto della finestra e selezionare Nuovo quindi Cartella.
  

  

  FIG 6 - GPO, Nuova cartella

• Nella casella Azione selezionare Crea. In Percorso indicare il percorso e il nome della cartella che dovrà essere creata sulla postazione (ad es. C:\File) quindi cliccare su OK.
  

  

  FIG 7 - GPO, Nuove proprietà cartella

• Il prossimo passo consiste nello specificare quali file dovranno essere copiati all'interno della cartella. Cliccare su File.
  

  

  FIG 8 - GPO, Impostazioni di Windows, File

• Cliccare con il tasto destro del mouse, in un punto vuoto della finestra, selezionare Nuovo quindi File.
  

  

  FIG 9 - GPO, Nuovo file

• Anche in questo caso, all'interno della casella Azione, selezionare Crea. All'interno della casella File di origine specificare il nome del file che si intende copiare compreso il percorso (ad es. \\SERVER1DC\Direzione$\Documento.txt). In File di destinazione indicare la cartella locale sulla postazione in cui il file dovrà essere copiato e con quale nome (ad es. C:\File\Documento.txt). Cliccare su OK.
  

  

  FIG 10 - GPO, Proprietà file

  

  FIG 11 - Editor Gestione Criteri di gruppo

Assicurarsi che il file che abbiamo specificato (Documento.txt) sia effettivamente presente all'interno della cartella di origine (\\SERVER1DC\Direzione$) quindi eseguiamo il logon su una workstation appartenente al dominio. Come visibile in FIG 12 sul disco C:\ della postazione è stata creata la cartella con all'interno il file che abbiamo specificato.

FIG 12 - Cartella creata e file copiato tramite oggetto Criteri di gruppo

Windows Server 2019: Impostare lo sfondo di Windows tramite GPO

Come anticipato negli articoli precedenti, tramite i Criteri di gruppo è possibile  personalizzare anche le impostazioni del sistema operativo sui computer del dominio. In questo articolo verranno mostrati i passaggi per la creazione di un oggetto Criteri di gruppo che imposti uno sfondo prestabilito (wallpaper) di Windows su tutte le postazioni che appartengono al dominio. La prima operazione da effettuare consiste nel copiare il file contenente l'immagine da mettere come sfondo in una cartella condivisa sul server. Nel nostro caso il file World-Wallpaper.jpg, contenente l'immagine, è stato copiato nella share \\SERVER1DC\Cartella condivisa creata nell'articolo Windows Server 2019: Mappare automaticamente una cartella condivisa.

FIG 1 - File contenente l'immagine di sfondo all'interno della cartella condivisa

La fase successiva consiste nella creazione dell'oggetto Criteri di gruppo:

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 2 - Server Manager

• Cliccare, con il tasto destro del mouse, sul dominio mycompany.local quindi dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
  

  

  FIG 3 - Gestione Criteri di gruppo

• Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_Wallpaper e cliccare su OK.
  

  

  FIG 4 - Nuovo oggetto Criteri di gruppo

• Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
  

  

  FIG 5 - Modifica oggetto Criteri di gruppo

• All'interno della sezione Configurazione utente cliccare su Criteri, quindi su Modelli Amministrativi, Desktop e in fine su Active Desktop.
  

  

  FIG 6 - Editor Gestione Criteri di gruppo

• Cliccare due volte su Sfondo del desktop.
  

  

  FIG 7 - Oggetto Criteri di gruppo, Sfondo del desktop

• Nella finestra Sfondo del desktop selezionare l'opzione Attivata e all'interno della casella Nome sfondo indicare il percorso e il nome del file contenente l'immagine di sfondo (nel nostro caso \\SERVER1DC\Cartella condivisa\World-Wallpaper.jpg) quindi cliccare su OK.
  

  

  FIG 8 - Impostazione sfondo desktop tramite Criteri di gruppo

Eseguendo il logon su una postazione appartenente al domino visualizzeremo il nuovo sfondo.

FIG 9 - Nuovo sfondo impostato tramite GPO su una postazione appartenente al dominio