Windows Server 2019: Inibire il logon su determinate workstation ad un gruppo di utenti tramite GPO

Nell'articolo Windows Server 2019: Limitare il logon degli account utente a determinate workstation abbiamo visto come, attraverso Active Directory, limitare il logon di un utente solo a determinate postazioni. In questo articolo vedremo come effettuare un'operazione analoga attraverso l'utilizzo dei Criteri di gruppo (GPO).

Nei nostri esempi precedenti abbiamo creato 2 unità organizzative (Direzione e Marketing) ciascuna con i suoi account utente e computer. Supponiamo di voler fare in modo che agli utenti appartenenti all'unità organizzativa Marketing venga inibito il logon sulle postazioni della OU Direzione. Il primo passo consiste nel creare un gruppo in Active Directory contenente tutti gli account utente dell'unità organizzativa Marketing. Chi ha seguito tutti articoli che sto pubblicando su Windows Server 2019 ricorderà che l'operazione è già stata eseguita all'interno dell'articolo Windows Server 2019: Creazione gruppi in Active Directory. Il nome che è stato assegnato al gruppo è GRP_Marketing. Il passo successivo consiste nella creazione del Criterio di gruppo:

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 1 - Server Manager

• Espandere il dominio mycompany.local quindi cliccare, con il tasto destro del mouse, sull'unità organizzativa Direzione e dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
  

  
  

  FIG 2 - Gestione Criteri di gruppo
  
  

• Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_Inibisci_Logon e cliccare su OK.
  

  

  FIG 3 - Nuovo oggetto Criteri di gruppo

• Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
  

  

  FIG 4 - Modifica Criterio di gruppo

• La policy dovrà essere applicata ai computer. All'interno della sezione Configurazione computer cliccare su Criteri, quindi su Impostazioni di Windows , Impostazioni sicurezza, Criteri locali, e successivamente su Assegnazione diritti utente.
  

  

  FIG 5 - GPO, Assegnazione diritti utente
  

• Eseguire un doppio click sul criterio Nega accesso locale.
  

  

  FIG 6 - Criterio di gruppo, Nega accesso locale

• Selezionare la casella Definisci le impostazioni relative ai criteri e cliccare sul pulsante Aggiungi utente o gruppo.
  

  

  FIG 7 - Proprietà Nega accesso locale

• Cliccare su Sfoglia.
  

  

  FIG 8 - Aggiungi utente o gruppo

• Digitare il nome del gruppo GRP_Marketing (o parte di esso) e cliccare sul pulsante Controlla nomi per assicurarsi di averlo digitato correttamente, quindi cliccare su OK.
  

  

  FIG 9 - Seleziona Utenti, Computer, Account servizio o Gruppi

• Nella finestra di dialogo Aggiungi utente o gruppo cliccare nuovamente su OK.
  

  

  FIG 10 - Aggiungi utente o gruppo

• Nella finestra Proprietà - Nega accesso locale cliccare su OK.
  

  

  FIG 11 - Proprietà Nega accesso locale

Ora non ci resta che testare il corretto funzionamento della nostra GPO. Provando ad eseguire il logon con un account utente appartenente all'unità organizzativa Marketing su una workstation dell'unità organizzativa Direzione verrà visualizzato un messaggio come quello mostrato in FIG 12.

FIG 12 - Logon inibito

Windows Server 2019: Configurare le stampanti sulle postazioni mediante GPO

In questo articolo verrà mostrato come configurare una stampante (condivisa o di rete) sulle postazioni del domino mediante l'utilizzo di un Criterio di gruppo. Per semplicità andremo ad installare una stampante generica sul server e a mapparla per tutti gli utenti del dominio.

Installazione stampante su server

• Dal menu Start avviare il Pannello di controllo.
  

  

  FIG 1 - Avvio Pannello di controllo

• Cliccare su Hardware.
  

  

  FIG 2 - Pannello di controllo, Hardware

• In Dispositivi e stampanti cliccare sul link Impostazioni avanzate stampante.
  

  

  FIG 3 - Impostazioni avanzate stampante

• Cliccare sul link La stampante che voglio non è elencata.
  

  

  FIG 4 - La stampante che voglio non è elencata

• Selezionare l'opzione Aggiungi stampante locale o di rete con impostazioni manuali e cliccare su Avanti.
  

  

  FIG 5 - Aggiungi stampante locale o di rete con impostazioni manuali

• Trattandosi solo di un esempio, lasciamo l'impostazione di default e clicchiamo su Avanti.
  

  

  FIG 6 - Imposta porta stampante

• Come produttore lasciamo Generic e come stampante selezioniamo Generic IBM Graphics 9pin, quindi click su Avanti per proseguire.
  

  

  FIG 7 - Generic IBM Graphics 9pin

• Come nome da assegnare alla stampante lasciamo quello proposto e proseguiamo cliccando su Avanti.
  

  

  FIG 8 - Nome stampante

• Nella schermata successiva lasciamo attiva l'opzione Condividi la stampante per consentire agli altri utenti della rete locale di trovarla e utilizzarla, prendiamo visione del Nome della condivisione e clicchiamo su Avanti.
  

  

  FIG 9 - Condivisione stampante

• Lasciare attiva l'opzione Imposta come stampante predefinita e cliccare su Fine.
  

  

  FIG 10 - Imposta come stampante predefinita

Per rendere più semplice la mappatura della stampante rendiamola visibile in Active Directory.

• Cliccare su Dispositivi e stampanti.
  

  

  FIG 11 - Dispositivi e stampanti

• Cliccare con il tasto destro del mouse sulla stampante e selezionare Proprietà stampante.
  

  

  FIG 12 - Proprietà stampante

• Selezionare la scheda Condivisione e spuntare la voce Pubblica nell'elenco in linea quindi cliccare su OK.
  

  

  FIG 13 - Pubblica nell'elenco in linea

Il prossimo passo consiste nel fare in modo che la stampante venga mappata dagli altri utenti.

Creazione GPO

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 14 - Server Manager

• Cliccare, con il tasto destro del mouse, sul dominio mycompany.local e selezionare Crea un oggetto Criteri di gruppo in questo domino e crea qui un collegamento.
  

  

  FIG 15 - Crea un oggetto Criteri di gruppo

• Nell'apposita casella digitare il nome da assegnare al nuovo criterio di gruppo GPO_Configurazione_Stampante e cliccare su OK.
  

  

  FIG 16 - Nuovo oggetto Criteri di gruppo

• Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare, dal menu contestuale, Modifica.
  

  

  FIG 17 - Modifica criterio di gruppo

• Posizionarsi su Configurazione utente->Preferenze->Impostazioni del Pannello di controllo->Stampanti.
  

  

  FIG 18 - GPO Stampanti

• Cliccare, con il tasto destro del mouse, in un punto vuoto sul pannello sulla destra della finestra. Dal menu contestuale selezionare Nuovo->Stampante condivisa.
  

  

  FIG 19 - GPO Stampante condivisa

• Nella finesra Nuove proprietà stampante condivisa, cliccare sul pulsante con i 3 puntini.
  

  

  FIG 20 - Nuove proprietà stampante condivisa

• Selezionare la stampante desiderata (nel caso siano presenti più stampanti la finestra ci consente di effettuare una ricerca in Active Directory) e cliccare su OK per ritornare alla schermata precedente.
  

  

  FIG 21 - Trova ricerca personalizzata

• Cliccare su OK per terminare la configurazione del criterio di gruppo.
  

  

  FIG 22 - Nuove proprietà stampante condivisa

Terminata la creazione del Criterio di gruppo, gli utenti che eseguiranno il logon su una postazione del dominio si ritroveranno la stampante configurata.

Windows Server 2019: Usare le Group Policy per impostare le password e blocco account

Un elemento fondamentale per la sicurezza di un sistema è la gestione delle credenziali di autenticazione. Lasciare eccessiva libertà agli utenti nella scelta della password da utilizzare non è una buona idea. E' sempre opportuno adottare un'adeguata politica restrittiva che definisca le caratteristiche che la password utente debba possedere per essere accettata (lunghezza minima, caratteri obbligatori, validità minima e massima, divieto di usare una password già utilizzata in precedenza, ecc) inoltre è opportuno prevedere anche il blocco temporaneo dell'account a seguito di diversi tentativi di accesso con credenziali errate (che potrebbero indicare che l'account è sotto attacco da parte di un malintenzionato).
Nell'articolo Windows Server 2019: Impostare la complessità della password tramite Password Settings Object abbiamo visto come fare in modo che la password scelta dagli utenti rispetti alcuni criteri di complessità. Attraverso l'utilizzo dei criteri granulari per le password (FINE-GRAINED password policy) è possibile fare in modo che gli utenti di un dominio abbiano policy relative alle password diverse. In altri termini, è possibile fare in modo, ad esempio, che gli utenti che appartengono al gruppo amministratori di dominio o del reparto IT di un azienda siano obbligati ad usare password più complesse e/o più lunghe degli altri utenti.

In questo articolo vedremo come gestire le password e blocchi degli account del Dominio tramite i Criteri di gruppo.

Per default, in un dominio Windows Server 2012 R2 o successivi, Le impostazioni di default delle password e criteri di gruppo locali sono già impostati all'interno del GPO Default Domain Policy. Vediamo come modificare le impostazioni di default.

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 1 - Server Manager

• Espandere il dominio mycompany.local quindi cliccare, con il tasto destro del mouse, su Default Domain Policy e dal menu contestuale selezionare Modifica.
  

  

  FIG 2 - Gestione Criteri di gruppo

• Le impostazioni relative alle password degli account e le policy locali sono memorizzate all'interno della sezione Configurazione computer. Questo significa che indipendentemente da quale utente esegue il logon sul computer, la policy verrà sempre applicata. Posizionarsi su Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni sicurezza\Criteri account (FIG 3). Le due impostazioni che ci interessano in questo articolo sono Criteri password e Criterio di blocco account. Iniziamo con il primo. Cliccare su Criteri password.
  

  

  FIG 3 - Criteri Default Domain Policy

  

  FIG 4 - Criteri password

  
  
  In Criteri password troviamo diverse impostazioni (FIG 4).
  
  Archivia password mediante crittografia reversibile
  Le password sono normalmente memorizzate in una crittografia hash a senso unico. Questo criterio, se attivato, comporta un decadimento della sicurezza e fa in modo che la cifratura sia reversibile. L'impostazione predefinita prevede che il criterio sia disattivato e, generalmente, è sconsigliabile attivarlo tuttavia è necessario attivarlo nel caso in cui si utilizza l'autenticazione Challenge-Handshake Authentication Protocol (CHAP) tramite una connessione di accesso remoto o Servizio autenticazione Internet (IAS, Internet Authentication Service), nonché quando si utilizza l'autenticazione del digest in Internet Information Services (IIS).
  
  Imponi cronologia delle password
  Questo criterio consente di migliorare la sicurezza garantendo che le vecchie password non vengano riutilizzate continuamente. Il criterio consente di specificare il numero delle nuove password univoche che devono essere associate a un account utente prima che sia possibile riutilizzare una vecchia password. Il valore deve essere compreso tra 0 e 24 (24 è il valore di default nei controller di dominio).
  
  Le password devono essere conformi ai requisiti di complessità
  Consente di specificare se le password devono essere conformi ai requisiti di complessità.I requisiti di complessità vengono verificati al momento della creazione o della modifica delle password. Se tale criterio è attivato, le password devono soddisfare i seguenti requisiti minimi:
  - Non possono contenere più di due caratteri consecutivi del nome completo dell'utente o del nome dell'account utente.
  - Devono includere almeno sei caratteri.
  - Devono contenere caratteri appartenenti ad almeno tre delle quattro categorie seguenti:
  1. Caratteri maiuscoli dell'alfabeto inglese (A-Z)
  2. Caratteri minuscoli dell'alfabeto inglese (a-z)
  3. Cifre decimali (0-9)
  4. Caratteri non alfabetici, ad esempio !, $, #, % 
  
  Lunghezza minima password
  Questa impostazione di sicurezza consente di specificare il numero minimo di caratteri delle password per gli account utente. È possibile impostare un valore da 1 a 20 oppure impostare su 0 il numero dei caratteri, per specificare che non è richiesta alcuna password. L'impostazione predefinita nei controller di dominio prevede che la password abbia una lunghezza minima di 7 caratteri.
  
  Validità massima password
  Questa impostazione di sicurezza specifica il periodo di tempo (in giorni) per cui è possibile utilizzare una password prima che il sistema richieda all'utente di modificarla. È possibile impostare un periodo di validità da 1 a 999 giorni oppure impostare su 0 il numero dei giorni per specificare che le password non hanno scadenza. Se per Validità massima password si specifica un numero da 1 a 999 giorni, il valore di Validità minima password dovrà essere inferiore. Se Validità massima password è 0, per Validità minima password sarà possibile specificare qualsiasi valore compreso tra 0 e 998 giorni. Generalmente si consiglia di utilizzare password con scadenza da 30 a 90 giorni. L'impostazione predefinita prevede la scadenza dopo 42 giorni.
  
  Validità minima password
  Tale criterio permette di specificare il periodo di tempo (in giorni) per cui è necessario utilizzare una password prima che sia possibile modificarla. È possibile impostare un valore da 1 a 998 giorni oppure impostare su 0 il numero dei giorni per consentire la modifica immediata. Il valore di Validità minima password deve essere minore di quello di Validità massima password, a meno che quest'ultimo non sia impostato su 0 per specificare che le password non hanno scadenza. Se Validità massima password è 0, per Validità minima password sarà possibile specificare qualsiasi valore compreso tra 0 e 998 giorni. Per garantire l'efficacia dell'impostazione Imponi cronologia delle password, impostare Validità minima password su un valore maggiore di 0. Se la validità minima delle password non è configurata, infatti, gli utenti potranno modificare ripetutamente le password finché non potranno riutilizzare le proprie vecchie password preferite. Per default nei controller di dominio il valore è impostato a 1.


• Cliccare due volte su Validità massima password, nella casella La password scadrà tra inserire 30 giorni (in alternativa indicare il numero di giorni desiderato) e cliccare su OK.
  

  

  FIG 5 - Validità massima password

• Posizionarsi su Criterio di blocco account (Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni sicurezza\Criteri account\Criterio di blocco account).
  

  

  FIG 6 - Criterio di blocco account

• In Criterio di blocco account troviamo 3 impostazioni
  
  Blocca account per
  L'impostazione Blocca account per specifica il numero di minuti per cui un account bloccato deve rimanere bloccato prima di essere sbloccato automaticamente. È possibile impostare un intervallo da 0 a 99.999 minuti. Se la durata del blocco dell'account viene impostata su 0, l'account rimarrà bloccato finché non verrà esplicitamente sbloccato da un amministratore. Se viene definita l'impostazione Soglia di blocchi dell'account, la durata del blocco dell'account dovrà essere maggiore o uguale all'intervallo di reimpostazione del contatore. Per default l'impostazione non è definita.
  
  Reimposta contatore blocco account dopo
  Questa impostazione di sicurezza specifica il numero di minuti che deve trascorrere dopo un tentativo di accesso non riuscito prima che il contatore dei tentativi di accesso non riusciti venga reimpostato su 0. È possibile impostare un intervallo da 1 a 99.999 minuti. Se viene definita l'impostazione Soglia di blocchi dell'account, l'intervallo per la reimpostazione deve essere minore o uguale al valore di Durata blocco account. Anche in questo caso l'impostazione, per default, non è definita.
  
  Soglia di blocchi dell'account
  Tale impostazioni permette di specificare il numero di tentativi di accesso non riusciti dopo il quale l'account verrà bloccato. Un account bloccato non può essere utilizzato finché non viene ripristinato da un amministratore oppure fino alla scadenza della durata del blocco per l'account. È possibile impostare da 0 a 999 tentativi di accesso non riusciti. Se viene impostato il valore 0, l'account non verrà mai bloccato. Il valore di default di tale impostazione è 0.


• Cliccare due volte su Blocca account per, selezionare l'opzione Definisci le impostazioni relative al criterio e, nella casella L'account è bloccato per, impostare 30 minuti quindi cliccare su OK.
  

  

  FIG 7 - Blocca account per 30 minuti

• Nella finestra di dialogo Cambiamenti ai valori suggeriti, cliccare su OK per valorizzare anche i valori dei criteri Soglia di blocchi dell'account e Reimposta contatori blocco account come indicato nel messaggio.
  

  

  FIG 8 - Cambimenti ai valori suggeriti

• Cliccare due volte su Soglia di blocchi dell'account  (dopo al modifica precedente anche tale valore risulta modificato da 0 a 5). Assicurarsi che  l'opzione Definisci le impostazioni relative al criterio sia flaggata e che nella casella L'account verrà bloccato dopo sia inserito il valore 5 (o specificare il valore desiderato) come mostrato in figura, quindi cliccare su OK.
  

  

  FIG 9 - Soglia di blocchi dell'account

• Cliccare due volte su Reimposta contatore blocco account dopo (dopo al modifica precedente anche tale criterio viene attivato e impostato a 30 minuti). Assicurarsi che  l'opzione Definisci le impostazioni relative al criterio sia flaggata e che nella casella Reimposta contatore blocco account dopo sia indicato 30 minuti (o specificare il valore desiderato) come mostrato in figura, quindi cliccare su OK.
  

  

  FIG 10 - Reimposta contatore blocco account

Con le impostazioni sopra indicate, se un utente sbaglia per 5 volte l'inserimento della password durante il logon (o sblocco) su un PC del dominio, verrà visualizzato il messaggio mostrato in FIG 11 e l'account utente verrà bloccato per 30 minuti. Lo sblocco può essere comunque forzato da un amministratore di dominio ma questo verrà illustrato nel prossimo articolo.

FIG 11 - Account bloccato

Windows Server 2019: Introduzione alle Group Policy (GPO) e mapping cartella condivisa

Quando si parla di Active Directory non si può fare a meno di parlare anche delle Group Policy (Criteri di gruppo). Le Group Policy sono un insieme di regole che controllano l'ambiente di lavoro degli utenti e dei computer fornendo una gestione centralizzata e consentendo la configurazione dei sistemi operativi, impostazioni degli utenti e applicazioni in un ambiente Active Directory. In pratica le Group Policy stabiliscono, in parte, cosa l'utente può e non può fare su un computer del dominio e possono essere utilizzate, ad esempio, per bloccare l'accesso al pannello di controllo/gestione attività, impedire/autorizzare l'accesso a cartelle condivise, disabilitare il download di file eseguibili, consentire l'installazione automatica di software, implementare restrizioni su quote disco, sulla lunghezza della password e altro. Le Group policy vengono gestite tramite lo strumento Gestione Criteri di gruppo (Group Policy Management Console o GPMC) e create/modificate tramite l'Editor Gestione Criteri di gruppo (Group Policy Management Editor o GPME).
Prima di mostrare come creare le Group Policy è bene chiarire e approfondire alcuni concetti basilari.

Le Group Policy vengono configurate e distribuite dagli amministratori di dominio mediante la creazione di oggetti Criteri di gruppo(Group Policy Object o GPO). Gli oggetti Criteri di gruppo sono container per gruppi di impostazioni (policy settings) che possono essere applicate agli account utente, agli account computer o ad entrambi attraverso Active Directory. Tali oggetti vengono creati utilizzando l'Editor Gestione Criteri di gruppo (GPME) che viene invocato quando si modifica un GPO all'interno dello strumento Gestione Criteri di gruppo (GPMC). 
Contrariamente a quanto possa far credere il nome, gli oggetti Criteri di gruppo non sono affatto orientati al gruppo: non è possibile applicarli direttamente ai gruppi. Possono essere applicati a livello locale, a siti, ai domini e alle UO (Microsoft li abbrevia con LSDOU: Locale, Sito, Dominio, OU) all'interno di una data foresta. L'assegnazione delle policy viene anche chiamata linking.
Il rapporto tra GPO e LSDOU può essere del tipo molti a uno (ad es. più GPO assegnati ad un sola UO) o di uno a molti (ad es. una sola GPO assegnata a più UO). Quando viene assegnato un oggetto Group Policy ad un'unità organizzativa questo agisce su tutti gli account in essa contenuti e sulle UO sottostanti.  

Affermare che i Criteri di Gruppo/GPO vengono memorizzati all'interno di Active Directory non è del tutto corretto. Gli oggetti Criteri di gruppo vengono memorizzati in due posti distinti: all'interno di un container di Group Policy (Group Policy Container o GPC) e all'interno di un Group Policy Template (GPT). Il GPC è memorizzato all'interno del database Active Directory e contiene informazioni sulla proprietà, versione, stato e una lista dei componenti. Il GPT, invece, viene conservato all'interno della cartella Windows\SYSVOL\sysvol\<Nome del dominio>\Policies\GUID\ dove GUID rappresenta il Global Unique Identifier dell'oggetto Criteri di gruppo. Tale cartella contiene impostazioni amministrative, impostazioni di sicurezza, informazioni sulle applicazioni disponibili, impostazioni del registro di sistema, script e altro.

Anche se una Group Policy può contenere numerose impostazioni è buona norma configurarne solo un numero ristretto. Le Group Policy sono cumulative e supportano l'ereditarietà (possono essere ereditate dai container superiori in Active Directory). Le policy vengono applicate in background. Generalmente il computer effettua un refresh delle policy ogni 90 minuti ma è possible forzarne la sincronizzazione tramite il comando gpupdate /force dal Prompt dei comandi. I domain controller, a differenza dei normali computer, eseguono il refresh delle Group Policy ogni 5 minuti. Un eccezione alla regola viene fatta per le policy che includono il reindirizzamento di cartelle, l'installazione del software, l'applicazione di script, impostazioni Stampanti e dischi di rete mappati. Tali policy, infatti, vengono applicate solo al logon dell'utente (per gli account utente) o all'avvio del sistema (per gli account computer).
Le Group Policy vengono replicate automaticamente. L'Active Directory viene replicato utilizzando AD Replication (controllato da Knowledge Consistency Checker e Intersite Topology Generator) ed è controllato dal servizio File Replication o dal servizio Distributed File Replication.
Le impostazioni specificate all'interno di un oggetto Group Policy vengono scritte all'interno del registro di sistema e vengono eliminate quando l'impostazione della policy viene eliminata o l'oggetto Group Policy viene cancellato. Tale comportamento previene l'effetto "tattooing", un tempo presente, che costringeva gli amministratori a creare un nuovo GPO per annullare le impostazioni di un GPO cancellato. 

Creare una Group Policy che mappa una cartella condivisa

Di seguito vengono mostrati i passaggi per creare una Group Policy che esegue il mapping di una cartella condivisa assegnando una specifica lettera di unità.

• Da Server Manager cliccare su Strumenti e selezionare Gestione Criteri di gruppo (Group policy management).
  

  

  FIG 1 - Windows Server 2019,  Server Manager

• Espandere la foresta cliccando su mycompany.local.
• Cliccare con il tasto destro del mouse sul nome della foresta (mycompany.local) e selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento. In questo modo andremo a creare un'oggetto Criteri di gruppo che verrà applicato all'intero dominio. Le policy applicate al dominio agiscono su tutte le unità organizzative mentre quelle applicate ad un'unità organizzativa agiscono esclusivamente su quest'ultima e su quelle sottostanti.
  

  

  FIG 2 - Windows Server 2019, Gestione Criteri di gruppo

• Assegnare un nome all'oggetto Criteri di gruppo (ad es. Mapping Cartella Condivisa) e cliccare su OK.
  

  

  FIG 3 - Windows Server 2019, Nuovo oggetto Criteri d gruppo

• Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
  

  

  FIG 4 - Windows Server 2019, Modifica oggetto Criteri di gruppo

• Nell'Editor Gestione Criteri di gruppo notiamo la separazione tra due sezioni: Configurazione computer e Configurazione utente. Ambedue, sul sistema operativo a cui vengono applicate, agiscono sul registro di sistema. Come già accennato, le policy possono essere applicate ai computer, agli utenti o ad entrambi. In questo articolo la policy che andremo a creare verrà applicata agli account utente. Ciò significa che la policy verrà applicata nel momento in cui l'utente effettuerà il logon su una qualsiasi postazione del dominio. All'interno di Configurazione utente cliccare su Preferenze per espanderla.
  

  

  FIG 5 - Editor Gestione Criteri di gruppo, Configurazione utente

• Cliccare su Impostazioni di Windows quindi su Mapping unità.
  

  

  FIG 6 - Editor Gestione Criteri di gruppo, Configurazione utente, Preferenze

• Cliccare, con il tasto destro del mouse, su una parte vuota sul lato destro della finestra e, dal menu contestuale, selezionare Nuovo e successivamente su Unità mappata.
  

  

  FIG 7 - Editor Gestione Criteri di gruppo, Mapping unità

• Nel campo Azione è necessario specificare cosa andrà a fare la Group policy. Selezionare Aggiorna in modo che la cartella verrà sempre mappata. All'interno della casella Percorso indicare il path della cartella da mappare (ad es. \\SERVER1DC\Cartella condivisa che abbiamo creato nell'articolo Windows Server 2019: Mappare automaticamente una cartella condivisa).
  

  

  FIG 8 - Mapping unità, Nuove proprietà unità

• Selezionare l'opzione Riconnetti, in questo modo la cartella verrà riconnessa non appena disponibile.
• In Etichetta specificare il nome con cui si intende mappare la cartella (ad es. Share1).
• Alla cartella mappata possiamo assegnare la prima lettera disponibile o, attivando l'opzione Usa, specificare una precisa lettera di unità. In questo esempio attiviamo l'opzione Usa, selezioniamo la lettera P: e clicchiamo su OK.
  

  

  FIG 9 - Mapping unità, Nuove proprietà unità

• Chiudere la finestra.
• Spostarsi su una postazione appartenente al dominio e verificare, dopo il logon, che la group policy appena creata funziona e che la cartella condivisa sia stata mappata con la lettera di unità specificata. Possiamo forzare l'applicazione delle group policy tramite il comando gpupdate /force eseguito dal Prompt dei comandi della workstation.
  

  

  FIG 10 - Unità mappata dopo il logon su una workstation del dominio