lunedì 6 luglio 2020

Windows Server 2019: Installare software tramite i Criteri di gruppo (GPO)

Supponiamo di dover installare un software come il browser Google Chrome su tutti i computer appartenenti al dominio. In aziende con un numero medio/alto di computer l'installazione manuale è da escludere. In questo articolo verrà mostrato come procedere con l'installazione servendosi dei Criteri di gruppo.

Per l'installazione di un software tramite GPO bisogna predisporre il file di installazione in formato MSI (Microsoft Installer). Non tutti i software sono disponibili in tale formato e non tutti gli MSI supportano l'installazione tramite GPO

Predisposizione file di installazione del software
  • Scaricare la versione di Chrome per le aziende dal link https://cloud.google.com/chrome-enterprise/browser/download . Tale versione supporta l'installazione tramite Criteri di gruppo. Disponendo di computer con sistema operativo a 64 bit scaricare Chrome per Windows a 64 bit.
    Google Chrome per le aziende
    FIG 1 - Google Chrome per le aziende
  • Copiare il file in una cartella condivisa. Ad es. all'interno della cartella \\SERVER1DC\Cartella condivisa creata nell'articolo Windows Server 2019: Introduzione alle Group Policy (GPO) e mapping cartella condivisa. 
  • Cliccare, con il tasto destro del mouse, sulla cartella condivisa e selezionare Proprietà dal menu contestuale. Selezionare la scheda Condivisione quindi cliccare sul pulsante Condivisione avanzata.
    Cartella condivisa, Condivisione avanzata
    FIG 2 - Cartella condivisa, Condivisione avanzata
  • Cliccare sul pulsante Autorizzazioni.
    Cartella condivisa, Autorizzazioni
    FIG 3 - Cartella condivisa, Autorizzazioni
  • Selezionare il gruppo Domain Users e assicurarsi che sia impostato il controllo completo quindi cliccare sul pulsante Aggiungi.
    Aggiungi autorizzazioni per cartella condivisa
    FIG 4 - Aggiungi autorizzazioni per cartella condivisa
  • Nella casella Immettere i nomi degli oggetti da selezionare, digitare Computer del dominio quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.
    Seleziona Utenti, Computer, Account servizio o Gruppi
    FIG 5 - Seleziona Utenti, Computer, Account servizio o Gruppi
  • Selezionare il gruppo Computer del dominio e fornire anche a tale gruppo il controllo completo ponendo il flag sulla relativa casella. Cliccare su OK quindi nuovamente su OK nelle finestra Condivisione avanzata e in fine su Chiudi.
    Computer del dominio, controllo completo su cartella condivisa
    FIG 6 - Computer del dominio, controllo completo su cartella condivisa
  • Scompattare il file zip scaricato precedentemente e contenente i file di installazione di Chrome all'interno della cartella (cliccarci su con il tasto destro del mouse e selezionare estrai tutto e successivamente sul pulsante Estrai). 
    Estrai file ZIP
    FIG 7 - Estrai file ZIP


Creazione Criterio di gruppo per l'installazione di Google Chrome
  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 8 - Server Manager
  • Cliccare, con il tasto destro del mouse, sul dominio mycompany.local e selezionare Crea un oggetto Criteri di gruppo in questo domino e crea qui un collegamento
    Crea un oggetto Criteri di gruppo
    FIG 9 - Crea un oggetto Criteri di gruppo
  • Assegnare il nome al nuovo criterio di gruppo (ad es. GPO_ChromeSetup) e cliccare su OK.
    Nome nuovo oggetto di Criteri di gruppo
    FIG 10 - Nome nuovo oggetto di Criteri di gruppo
  • Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare Modifica.
  • Posizionarsi su Configurazione computer->Criteri->Impostazioni del software->Installazione software. Sul lato destro della finestra cliccare con il tasto destro in uno spazio vuoto. Dal menu contestuale selezionare Nuovo quindi Pacchetto.
    GPO Installazione software, Nuovo Pacchetto
    FIG 11 - GPO Installazione software, Nuovo Pacchetto
  • Digitare il percorso della cartella condivisa \\SERVER1DC\Cartella condivisa\GoogleChromeEnterpriseBundle64\Installers quindi il selezionare il file MSI da installare GoogleChromeStandaloneEnterprise64 e cliccare su Apri.
    Selezione file MSI
    FIG 12 - Selezione file MSI
  • Nella schermata successiva selezionare l'opzione Assegnata per distribuire l'applicazione senza alcuna modifica e cliccare su OK.
    Distribuisci applicazione
    FIG 13 - Distribuisci applicazione
  • Chiudere la finestra Editor Gestione Criteri di gruppo. Selezionare nuovamente il criterio di gruppo appena creato. Nella sezione Filtri di sicurezza cliccare sul pulsante Aggiungi.
    GPO Filtri di sicurezza
    FIG 14 - GPO Filtri di sicurezza
  • Nella casella Immettere i nomi degli oggetti da selezionare, digitare Computer del dominio quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.
    Filtri di sicurezza Computer del dominio
    FIG 15 - Filtri di sicurezza, Computer del dominio



Eseguiamo il logon su una postazione del dominio e noteremo che Google Chrome è stato installato.
Chrome installato mediante Criteri di gruppo
FIG 16 - Chrome installato mediante Criteri di gruppo


In questo articolo è stato preso in considerazione uno scenario ideale in cui tutte le postazioni del dominio dispongono della stessa versione di Windows a 64 bit. In un ambiente reale raramente ci troveremo in questa situazione, piuttosto avremo computer con diverse configurazioni hardware e software pertanto è sempre opportuno effettuare una verifica sulla compatibilità del software prima di installarlo tramite GPO. In un prossimo articolo verrà mostrato come eseguire diverse installazioni in base al sistema operativo presente sul computer e all'architettura.










sabato 4 luglio 2020

Windows Server 2019: Inibire il logon su determinate workstation ad un gruppo di utenti tramite GPO

Nell'articolo Windows Server 2019: Limitare il logon degli account utente a determinate workstation abbiamo visto come, attraverso Active Directory, limitare il logon di un utente solo a determinate postazioni. In questo articolo vedremo come effettuare un'operazione analoga attraverso l'utilizzo dei Criteri di gruppo (GPO).
Nei nostri esempi precedenti abbiamo creato 2 unità organizzative (Direzione e Marketing) ciascuna con i suoi account utente e computer. Supponiamo di voler fare in modo che agli utenti appartenenti all'unità organizzativa Marketing venga inibito il logon sulle postazioni della OU Direzione. Il primo passo consiste nel creare un gruppo in Active Directory contenente tutti gli account utente dell'unità organizzativa Marketing. Chi ha seguito tutti articoli che sto pubblicando su Windows Server 2019 ricorderà che l'operazione è già stata eseguita all'interno dell'articolo Windows Server 2019: Creazione gruppi in Active Directory. Il nome che è stato assegnato al gruppo è GRP_Marketing. Il passo successivo consiste nella creazione del Criterio di gruppo:
  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 1 - Server Manager
  • Espandere il dominio mycompany.local quindi cliccare, con il tasto destro del mouse, sull'unità organizzativa Direzione e dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
    Gestione Criteri di gruppo
    FIG 2 - Gestione Criteri di gruppo

  • Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_Inibisci_Logon e cliccare su OK.
    Nuovo oggetto Criteri di gruppo
    FIG 3 - Nuovo oggetto Criteri di gruppo
  • Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
    Modifica Criterio di gruppo
    FIG 4 - Modifica Criterio di gruppo
  • La policy dovrà essere applicata ai computer. All'interno della sezione Configurazione computer cliccare su Criteri, quindi su Impostazioni di Windows , Impostazioni sicurezza, Criteri localie successivamente su Assegnazione diritti utente.
    GPO, Assegnazione diritti utente
    FIG 5 - GPO, Assegnazione diritti utente
  • Eseguire un doppio click sul criterio Nega accesso locale.
    Criterio di gruppo - Nega accesso locale
    FIG 6 - Criterio di gruppo, Nega accesso locale
  • Selezionare la casella Definisci le impostazioni relative ai criteri e cliccare sul pulsante Aggiungi utente o gruppo.
    Proprietà Nega accesso locale
    FIG 7 - Proprietà Nega accesso locale
  • Cliccare su Sfoglia.
    Aggiungi utente o gruppo
    FIG 8 - Aggiungi utente o gruppo
  • Digitare il nome del gruppo GRP_Marketing (o parte di esso) e cliccare sul pulsante Controlla nomi per assicurarsi di averlo digitato correttamente, quindi cliccare su OK.
    Seleziona Utenti, Computer, Account servizio o Gruppi
    FIG 9 - Seleziona Utenti, Computer, Account servizio o Gruppi
  • Nella finestra di dialogo Aggiungi utente o gruppo cliccare nuovamente su OK.
    Aggiungi utente o gruppo
    FIG 10 - Aggiungi utente o gruppo
  • Nella finestra Proprietà - Nega accesso locale cliccare su OK.
    Proprietà Nega accesso locale
    FIG 11 - Proprietà Nega accesso locale

Ora non ci resta che testare il corretto funzionamento della nostra GPO. Provando ad eseguire il logon con un account utente appartenente all'unità organizzativa Marketing su una workstation dell'unità organizzativa Direzione verrà visualizzato un messaggio come quello mostrato in FIG 12.
Logon inibito
FIG 12 - Logon inibito







mercoledì 1 luglio 2020

Windows Server 2019: Configurare le stampanti sulle postazioni mediante GPO

In questo articolo verrà mostrato come configurare una stampante (condivisa o di rete) sulle postazioni del domino mediante l'utilizzo di un Criterio di gruppo. Per semplicità andremo ad installare una stampante generica sul server e a mapparla per tutti gli utenti del dominio.

Installazione stampante su server
  • Dal menu Start avviare il Pannello di controllo.
    Avvio Pannello di controllo
    FIG 1 - Avvio Pannello di controllo
  • Cliccare su Hardware.
    Pannello di controllo, Hardware
    FIG 2 - Pannello di controllo, Hardware
  • In Dispositivi e stampanti cliccare sul link Impostazioni avanzate stampante.
    Impostazioni avanzate stampante
    FIG 3 - Impostazioni avanzate stampante
  • Cliccare sul link La stampante che voglio non è elencata.
    La stampante che voglio non è elencata
    FIG 4 - La stampante che voglio non è elencata
  • Selezionare l'opzione Aggiungi stampante locale o di rete con impostazioni manuali e cliccare su Avanti.
    Aggiungi stampante locale o di rete con impostazioni manuali
    FIG 5 - Aggiungi stampante locale o di rete con impostazioni manuali
  • Trattandosi solo di un esempio, lasciamo l'impostazione di default e clicchiamo su Avanti.
    Imposta porta stampante
    FIG 6 - Imposta porta stampante
  • Come produttore lasciamo Generic e come stampante selezioniamo Generic IBM Graphics 9pin, quindi click su Avanti per proseguire.
    Generic IBM Graphics 9pin
    FIG 7 - Generic IBM Graphics 9pin
  • Come nome da assegnare alla stampante lasciamo quello proposto e proseguiamo cliccando su Avanti.
    Nome stampante
    FIG 8 - Nome stampante
  • Nella schermata successiva lasciamo attiva l'opzione Condividi la stampante per consentire agli altri utenti della rete locale di trovarla e utilizzarla, prendiamo visione del Nome della condivisione e clicchiamo su Avanti.
    Condivisione stampante
    FIG 9 - Condivisione stampante
  • Lasciare attiva l'opzione Imposta come stampante predefinita e cliccare su Fine.
    Imposta come stampante predefinita
    FIG 10 - Imposta come stampante predefinita


Per rendere più semplice la mappatura della stampante rendiamola visibile in Active Directory.
  • Cliccare su Dispositivi e stampanti.
    Dispositivi e stampanti
    FIG 11 - Dispositivi e stampanti
  • Cliccare con il tasto destro del mouse sulla stampante e selezionare Proprietà stampante.
    Proprietà stampante
    FIG 12 - Proprietà stampante
  • Selezionare la scheda Condivisione e spuntare la voce Pubblica nell'elenco in linea quindi cliccare su OK.
    Pubblica nell'elenco in linea
    FIG 13 - Pubblica nell'elenco in linea

Il prossimo passo consiste nel fare in modo che la stampante venga mappata dagli altri utenti.


Creazione GPO
  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 14 - Server Manager
  • Cliccare, con il tasto destro del mouse, sul dominio mycompany.local e selezionare Crea un oggetto Criteri di gruppo in questo domino e crea qui un collegamento.
    Crea un oggetto Criteri di gruppo
    FIG 15 - Crea un oggetto Criteri di gruppo
  • Nell'apposita casella digitare il nome da assegnare al nuovo criterio di gruppo GPO_Configurazione_Stampante e cliccare su OK.
    Nuovo oggetto Criteri di gruppo
    FIG 16 - Nuovo oggetto Criteri di gruppo
  • Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare, dal menu contestuale, Modifica.
    Modifica criterio di gruppo
    FIG 17 - Modifica criterio di gruppo
  • Posizionarsi su Configurazione utente->Preferenze->Impostazioni del Pannello di controllo->Stampanti.
    GPO Stampanti
    FIG 18 - GPO Stampanti
  • Cliccare, con il tasto destro del mouse, in un punto vuoto sul pannello sulla destra della finestra. Dal menu contestuale selezionare Nuovo->Stampante condivisa.
    GPO Stampante condivisa
    FIG 19 - GPO Stampante condivisa
  • Nella finesra Nuove proprietà stampante condivisa, cliccare sul pulsante con i 3 puntini.
    Nuove proprietà stampante condivisa
    FIG 20 - Nuove proprietà stampante condivisa
  • Selezionare la stampante desiderata (nel caso siano presenti più stampanti la finestra ci consente di effettuare una ricerca in Active Directory) e cliccare su OK per ritornare alla schermata precedente.
    Trova ricerca personalizzata
    FIG 21 - Trova ricerca personalizzata
  • Cliccare su OK per terminare la configurazione del criterio di gruppo.
    Nuove proprietà stampante condivisa
    FIG 22 - Nuove proprietà stampante condivisa

Terminata la creazione del Criterio di gruppo, gli utenti che eseguiranno il logon su una postazione del dominio si ritroveranno la stampante configurata.





lunedì 29 giugno 2020

Windows Server 2019: Creare una cartella locale e copiare file tramite GPO

Via Group Policy è possibile creare una cartella su una workstation e copiarvi all'interno alcuni file. Tale operazione può essere utile, ad esempio, nel caso in cui sulle postazioni sia installato un software che richiede la presenza di alcuni file esterni per funzionare correttamente o semplicemente quando si intende mettere a disposizione degli utenti dei file in locale sulla postazione. Vediamo come creare la policy adatta al nostro scopo.
  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 1 - Server Manager
  • Cliccare, con il tasto destro del mouse, sull'unità organizzativa per la quale si intende creare la policy. Se si intende creare un'oggetto Group Policy che agisca su tutte le workstation, cliccare con il tasto destro del mouse sul dominio mycompany.local quindi, dal menu contestuale, selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
    Gestione Criteri di gruppo
    FIG 2 - Gestione Criteri di gruppo
  • Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_CopiaFile e cliccare su OK.
    Nuovo oggetto Criteri di gruppo
    FIG 3 - Nuovo oggetto Criteri di gruppo
  • Cliccare con il tasto destro del mouse, sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
    Modifica oggetto Criteri di gruppo
    FIG 4 - Modifica oggetto Criteri di gruppo
  • Posizionarsi su Configurazione utente\Preferenze\Impostazioni di Windows\Cartelle.
    GPO, Impostazioni di Windows, Cartelle
    FIG 5 - GPO, Impostazioni di Windows, Cartelle
  • Cliccare con il tasto destro del mouse in uno spazio vuoto della finestra e selezionare Nuovo quindi Cartella.
    GPO, Nuova cartella
    FIG 6 - GPO, Nuova cartella
  • Nella casella Azione selezionare Crea. In Percorso indicare il percorso e il nome della cartella che dovrà essere creata sulla postazione (ad es. C:\File) quindi cliccare su OK.
    GPO, Nuove proprietà cartella
    FIG 7 - GPO, Nuove proprietà cartella
  • Il prossimo passo consiste nello specificare quali file dovranno essere copiati all'interno della cartella. Cliccare su File.
    GPO, Impostazioni di Windows, File
    FIG 8 - GPO, Impostazioni di Windows, File
  • Cliccare con il tasto destro del mouse, in un punto vuoto della finestra, selezionare Nuovo quindi File.
    GPO, Nuovo file
    FIG 9 - GPO, Nuovo file
  • Anche in questo caso, all'interno della casella Azione, selezionare Crea. All'interno della casella File di origine specificare il nome del file che si intende copiare compreso il percorso (ad es. \\SERVER1DC\Direzione$\Documento.txt). In File di destinazione indicare la cartella locale sulla postazione in cui il file dovrà essere copiato e con quale nome (ad es. C:\File\Documento.txt). Cliccare su OK.
    GPO, Proprietà file
    FIG 10 - GPO, Proprietà file
    Editor Gestione Criteri di gruppo
    FIG 11 - Editor Gestione Criteri di gruppo
Assicurarsi che il file che abbiamo specificato (Documento.txt) sia effettivamente presente all'interno della cartella di origine (\\SERVER1DC\Direzione$) quindi eseguiamo il logon su una workstation appartenente al dominio. Come visibile in FIG 12 sul disco C:\ della postazione è stata creata la cartella con all'interno il file che abbiamo specificato.
Cartella creata e file copiato tramite oggetto Criteri di gruppo
FIG 12 - Cartella creata e file copiato tramite oggetto Criteri di gruppo