domenica 18 febbraio 2024

Windows Server 2022: Mappare automaticamente una cartella condivisa

In un’azienda, è fondamentale che gli utenti possano condividere informazioni e documenti tra loro. Una soluzione comune consiste nel creare una cartella pubblica condivisa a cui gli utenti del dominio possono accedere. In questo articolo verrà mostrato come creare una cartella condivisa e fornire a tutti gli utenti del dominio le abilitazioni per scrivere e cancellare file all’interno della stessa. Per rendere l’utilizzo di tale cartella il più semplice possibile per gli utenti, questa verrà automaticamente mappata dal sistema al logon.
Si tratta di un semplice esempio che può andare bene all'interno delle piccole aziende ma non è adatto in ambiente Enterprise. Andremo a creare una cartella all'interno del disco C:\ del server (anche questa operazione è generalmente sconsigliata e si preferisce creare cartelle contenenti dati su un disco diverso, o quantomeno su una partizione diversa, da quello utilizzato dal sistema operativo) per poi abilitare gli utenti del dominio.

Creazione cartella condivisa e abilitazione degli account utente appartenenti al dominio

Sul server, creare una nuova cartella sul disco C: e rinominarla utilizzando possibilmente un nome mnemonico (ad es. Cartella condivisa).
Cliccare, con il tasto destro del mouse, sulla nuova cartella e selezionare, dal menu contestuale, la voce Proprietà.
Nella finestra Proprietà, selezionare la scheda Condivisione e cliccare sul pulsante Condivisione avanzata.
Proprietà, Condivisione
FIG 1 - Proprietà, Condivisione

Abilitare la casella Condividi la cartella. In questa finestra è possibile modificare il nome con cui la cartella condivisa appare agli utenti, impostare un limite massimo di utenti che possono accedere simultaneamente alla condivisione e aggiungere un commento. Lasciare i valori di default e cliccare sul pulsante Autorizzazioni.
Condivisione avanzata
FIG 2 - Condivisione avanzata
Come visibile dalla FIG 3, sulla cartella è abilitato il gruppo Everyone con i permessi in lettura, ciò significa che chiunque può visualizzare il contenuto della cartella. Nei prossimi passi faremo in modo che solo gli utenti appartenenti al dominio possono accedere alla cartella, visualizzare e modificare il contenuto.
Selezionare il gruppo Everyone e cliccare sul pulsante Rimuovi.
Rimozione gruppo Everyone
FIG 3 - Rimozione gruppo Everyone
Una volta rimosso il gruppo Everyone, cliccare sul pulsante Aggiungi.
Aggiungi autorizzazioni
FIG 4 - Aggiungi autorizzazioni
All'interno della casella Immettere i nomi degli oggetti da selezionare, digitare Domain e cliccare sul pulsante Controlla nomi.
FIG 5 - Seleziona Utenti, Computer, Account servizio o Gruppi

Selezionare il gruppo Domain Users e cliccare su OK.
Autorizzazioni Domain Users
FIG 6 - Autorizzazioni Domain Users

Selezionare il gruppo Domain Users e cliccare su OK.
Autorizzazioni Domain Users
FIG 7 - Autorizzazioni Domain Users

Nella finestra di dialogo Seleziona Utenti, Computer, Account servizio o Gruppo cliccare su OK.
Conferma Autorizzazione a Domain Users
FIG 8 - Conferma Autorizzazione a Domain Users

All'interno della finestra Autorizzazioni per Cartella condivisa assicurarsi che il gruppo Domain Users sia selezionato quindi, in Autorizzazioni per Domain Users, selezionare la casella Controllo completo e cliccare su OK per applicare la modifica.
Domain Users, Controllo completo
FIG 9 - Domain Users, Controllo completo

Cliccare su OK all'interno della finestra Condivisione avanzata
Condivisione avanzata
FIG 10 - Condivisione avanzata

All'interno della finestra Proprietà - Cartella condivisa noteremo che adesso viene mostrato il percorso di rete \\SERVERDC2\Cartella condivisa attraverso il quale gli utenti potranno accedere alla cartella. Cliccare su Chiudi.
Proprietà Cartella condivisa, Percorso di rete
FIG 11 -  Proprietà Cartella condivisa, Percorso di rete

Il prossimo passo consiste nel fare in modo che agli utenti abilitati questa condivisione venga mappata automaticamente. Per eseguire l'operazione su un gran numero di account utente si utilizzano le group policy. Nel nostro caso, trattandosi di un gruppo ristretto di utenti, agiremo manualmente sugli account in Active Directory. Vedremo come eseguire la stessa operazione tramite group policy in un prossimo articolo. 


Mappare automaticamente una cartella condivisa tramite Utenti e computer di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
Server Manager
FIG 12 - Server Manager

Selezionare gli utenti da abilitare (ad esempio quelli presenti nell'unità organizzativa mycompany.local\Direzione\Utenti) quindi cliccarci sul con il tasto destro del mouse e selezionare Proprietà.
Proprietà account utente
FIG 13 - Proprietà account utente

All'interno della scheda Profilo e attivare l'opzione Home directory. Nel gruppo Home directory è possibile impostare un percorso locale o un percorso mappato. Selezionare l'opzione Connetti quindi specificare la lettera con la quale si intende mappare la condivisione e, nell'apposita casella, specificare il percorso di rete della cartella condivisa (\\SERVERDC2\Cartella condivisa). Al termine cliccare su OK.
Home directory, connessione automatica Percorso di rete
FIG 14 - Home directory, connessione automatica Percorso di rete

Un messaggio di avviso ci informa che la directory specificata esiste già e di assicurarsi che tutti gli utenti dispongano delle opportune abilitazione per accedere/gestire il contenuto della cartella. Cliccare su OK.
Avviso verifica permessi su cartella condivisa
FIG 15 - Avviso verifica permessi su cartella condivisa

Da questo momento, gli utenti abilitati, si ritroveranno la cartella \\SERVERDC2\Cartella condivisa automaticamente mappata al logon con la lettera di unità impostata (Z:).


Eseguendo il logon su un client del dominio (Windows 10/Windows 11) con uno degli account abilitati alla share e aprendo Esplora file, verrà visualizzata la cartella condivisa mappata con la lettera di unità specificata nei passaggi precedenti.
Creando/copiando un file in tale cartella sarà visibile anche agli altri utenti abilitati.

Windows 11, Cartella condivisa mappata con la lettera di unità specificata
FIG 16 - Windows 11, Cartella condivisa mappata con la lettera di unità specificata


Mappare automaticamente una cartella condivisa tramite Centro di amministrazione di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
Server Manager
FIG 17 - Server Manager

Selezionare gli utenti da abilitare (ad esempio quelli presenti nell'unità organizzativa mycompany.local\Direzione\Utenti) quindi cliccare su Proprietà presente nel riquadro Attività.
Centro di amministrazione di Active Directory, Proprietà account utente
FIG 18 - Centro di amministrazione di Active Directory, Proprietà account utente

Nella nuova finestra, cliccare sulla sezione ProfiloSelezionare la casella Home directory quindi l'opzione Connetti. Specificare la lettera con cui si intende mappare la cartella condivisa e nella relativa casella inserire il relativo percorso di rete \\SERVERDC2\Cartella condivisa quindi cliccare su OK.
Home directory
FIG 19 - Home directory



Mappare automaticamente una cartella condivisa tramite Powershell

La stessa operazione può essere eseguita, per ogni utente, tramite PowerShell e l'utilizzo del cmdlet Set-ADUSer. Una volta avviato Windows PowerShell (amministratore) basta eseguire il comando

Set-ADUser -HomeDirectory:"\\SERVERDC2\Cartella condivisa" -HomeDrive:"Z:" -Identity:"CN=Foghorn Leghorn,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -Server:"ServerDC2.mycompany.local"

in cui il parametro
-HomeDirectory consente di specificare il percorso di rete della cartella condivisa.
-HomeDrive permette di specificare la lettera di unità con la quale la cartella viene mappata.
-Identity specifica l'utente, nel formato Distinguished Name (DN), a cui mappare la cartella condivisa.
-Server specifica l'istanza AD DS a cui connettersi per eseguire l'operazione.








martedì 6 febbraio 2024

Windows: Verificare il supporto di DirectStorage

DirectStorage è una tecnologia introdotta da Microsoft che mira a migliorare i tempi di caricamento nei videogiochi sui dispositivi compatibili. Questa tecnologia, inizialmente incorporata nelle console Xbox Series X/S, è stata successivamente resa disponibile per Windows 11 e Windows 10

DirectStorage è un'API all'interno della famiglia DirectX (precisamente le DirectX 12 Ultimate) che permette di bypassare quasi completamente la CPU, mettendo in comunicazione diretta lo storage moderno, ossia gli SSD NVMe, con la GPU e la memoria a bordo della scheda video.

In genere, le risorse dei giochi devono essere caricate dall'unità SSD, inviate alla RAM e quindi decompresse dalla CPU prima di passare alla scheda grafica per il rendering. Questo comporta un carico sulla CPU e un rallentamento del sistema che si traduce in un'esperienza scadente.
L'API DirectStorage cambia le cose spostando il carico di decompressione dalla CPU alla GPU. Questo accelera il processo in quanto i file decompressi dalla GPU si trovano già sulla scheda grafica. L'API, inoltre, suddivide le risorse in batch, consentendo l'esecuzione di più richieste di elaborazione contemporaneamente.

Microsoft ha dichiarato che questo potrebbe ridurre il carico sulla CPU fino al 40%, il che potrebbe migliorare l'esperienza complessiva del gioco.

Per sfruttare DirectStorage è necessario disporre di un’unità Ssd Nvme con interfaccia PCIe 3.0 (o superiore) e una scheda grafica compatibile con DirectX 12 Ultimate. In passato, veniva richiesto anche un'unità Nvme da 1 terabyte, ma questo requisito è stato eliminato dalle specifiche ufficiali di DirectStorage, aprendo alla possibilità di utilizzare unità di archiviazione di capacità inferiore.


Per verificare se il proprio PC Windows supporta DirectStorage:
  • Premere la combinazione di tasti WIN+G per aprire la Xbox Game Bar.
  • Cliccare sull'icona delle impostazioni (l'icona a forma di ingranaggio).
  • Nella finestra Impostazioni selezionare Funzionalità di gioco e controllare le informazioni relative al supporto DirectStorage da parte della Gpu, del sistema operativo e delle unità di storage.
DirectStorage
FIG 1 - DirectStorage

Windows non offre un’opzione per attivare o disattivare DirectStorage: se il PC e i giochi soddisfano i requisiti, la funzione sarà attivata automaticamente. Al momento solo un numero limitato di giochi supporta DirectStorage.






mercoledì 31 gennaio 2024

Windows Server 2022: Restore di un oggetto cancellato dal Cestino di Active Directory tramite PowerShell

Nell'articolo precedente Windows Server 2022: Restore di un oggetto cancellato dal Cestino di Active Directory abbiamo visto come recuperare, tramite GUI, un oggetto di AD eliminato e presente nel Cestino di Active Directory. In questo articolo vedremo come eseguire l'operazione mediante PowerShell.

La prima operazione da eseguire consiste nell'individuare gli oggetti cancellati presenti nel cestino di Active Directory (container Deleted Objects). Per farlo, è possibile utilizzare il cmdlet Get-ADObject con il parametro IncludeDeletedObjects. Il comando sarà simile a:
Get-ADObject -Filter 'isDeleted -eq $True -and -not (isRecycled -eq $True) -and name -ne "Deleted Objects"' -IncludeDeletedObjects 

Individuare gli oggetti cancellati presenti nel cestino di AD
FIG 1 - Individuare gli oggetti cancellati presenti nel cestino di AD

Se si conosce il tipo di oggetto da recuperare (user, computer, site, ecc) è possibile specificarlo all'interno del filtro. Ad esempio, volendo elencare i computer presenti nel cestino di AD potremmo utilizzare il seguente comando:
Get-ADObject -Filter 'objectClass -eq "computer" -and isDeleted -eq $True -and -not (isRecycled -eq $True) -and name -ne "Deleted Objects"' -IncludeDeletedObjects 
Individuare gli oggetti computer cancellati presenti nel cestino di AD
FIG 2 - Individuare gli oggetti computer cancellati presenti nel cestino di AD

Per ripristinare un oggetto cancellato presente all'interno del cestino di Active directory si utilizza il cmdlet Restore-ADObject. Al parametro -Identity è possibile passare la stringa ObjectGUID recuperata con il comando precedente Get-ADObject. Il comando sarà simile a:
Restore-ADObject -Confirm:$false -Identity:"d77006e7-4109-48dc-97a8-6b75140877c7"
Ripristino oggetto cancellato
FIG 3 - Ripristino oggetto cancellato





martedì 30 gennaio 2024

Google: Scaricare un Apk dal Play Store

Gli utenti di dispositivi Android possono scaricare e installare le app in diversi modi. Il metodo più comune è attraverso il Google Play Store, che offre un'ampia selezione di app verificate e sicure. Tuttavia, è anche possibile scaricare app da altri siti (store alternativi) o eseguendo, direttamente sullo smartphone, gli installer in formato Apk (disabilitando, almeno temporaneamente, le funzioni di protezione e sicurezza integrate nel sistema operativo).

I file APK possono essere scaricati da portali alternativi o dai siti Web degli sviluppatori che li mettono a disposizione ma possono essere ottenuti anche dal Google Play Store tramite strumenti di terze parti. Scaricare i file .apk può essere utile per poter effettuare l'installazione manualmente, magari in un secondo momento o semplicemente per installare l'app su un dispositivo non connesso ad Internet.

Il primo passo per scaricare un file APK dal Google Play Store consiste nell'individuare l’indirizzo Url della pagina relativa all’app desiderata: aprire l’indirizzo https://play.google.com in un browser Web e cercare l’app o il gioco desiderato.
Google Play Store
FIG 1 - Google Play Store

Copiare l’Url dalla barra degli indirizzi, accedere alla pagina https://apkcombo.com/downloader e incollare l’indirizzo Url nella casella di testo in alto.
Apkcombo downloader
FIG 2 - Apkcombo downloader

Nelle caselle sottostanti è possibile specificare il tipo di device (Phone, Tablet, Tv), l'architettura (armeabi-v7a, arm64-v8a,x86, x86_64) e la versione di Android. Solitamente non è necessario specificare tale impostazioni avanzate ma può tornare utile nel caso l'APK scaricato non dovesse funzionare correttamente.
Apkcombo downloader, Android Device Configuration
FIG 3 - Apkcombo downloader, Android Device Configuration

Cliccare su Generate Download Link. Una volta completata la generazione del link non resta che cliccare sull’icona della freccia verso il basso per avviare il download dell'APK.
Apkcombo downloader, Download
FIG 4 - Apkcombo downloader, Download






lunedì 29 gennaio 2024

Windows Server 2022: Restore di un oggetto cancellato dal Cestino di Active Directory

Un oggetto in AD eliminato può essere recuperato velocemente se nella propria infrastruttura è stato abilitato il cestino di Active Directory (si veda articolo Windows Server 2022: Abilitare il cestino di Active Directory).

Per procedere al restore di un oggetto eliminato:
Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
Server Manager
FIG 1 - Server Manager

Dal navigation pane (sul lato sinistro della finestra) selezionare il proprio dominio quindi eseguire un doppio click sul container Deleted Objects.
Centro di amministrazione di Active Directory, container Deleted Objects
FIG 2 - Centro di amministrazione di Active Directory, container Deleted Objects

Cliccare, con il tasto destro del mouse, sull'oggetto che si intende recuperare e, dal menu contestuale, selezionare l'opzione RipristinaL'oggetto sarà ripristinato all'interno del container/OU da cui era stato eliminato. Selezionando Ripristina in, sarà possibile selezionare manualmente il container nel quale l'oggetto sarà ripristinato (FIG 4).
Centro di amministrazione di Active Directory, ripristina oggetto eliminato
FIG 3 - Centro di amministrazione di Active Directory, ripristina oggetto eliminato


Ripristina in
FIG 4 - Ripristina in








domenica 28 gennaio 2024

Windows Server 2022: Abilitare il cestino di Active Directory

Per default tutti gli oggetti che vengono cancellati in Active Directory non possono essere recuperati. Chi ha avuto la sfortuna di cancellare accidentalmente un oggetto in AD e dovuto recuperarlo da un backup del server, sa bene che si tratta di un'operazione tutt'altro che semplice e veloce. Fortunatamente, a partire da Windows Server 2008 R2, Microsoft ha introdotto il cestino per Active Directory che permette il recupero degli oggetti cancellati in modo analogo a quanto avviene con il cestino di Windows per file e cartelle. Tale funzionalità è disattivata per default e va attivata manualmente. La procedura per abilitare il cestino di Active Directory è la stessa vista per Windows Server 2019.
Prima di attivare la funzione è necessario che siano rispettati alcuni prerequisiti e bisogna tenere in considerazione alcuni limiti.


Prerequisiti Cestino di Active Directory

  • Almeno un Domain Controller deve avere Windows Server 2012 R2 con Centro di amministrazione di Active Directory.
  • Tutti gli altri Domain Controller all'interno del dominio devono avere almeno Windows Server 2008 R2 o superiore.
  • Il livello funzionale della foresta deve essere Windows Server 2008 R2 o superiore.

In Windows Server 2008 R2 il cestino di Active Directory poteva essere gestito solamente tramite PowerShell. A partire da Windows Server 2012 R2 il cestino può essere gestito tramite interfaccia grafica del Centro di amministrazione di Active Directory rendendo più semplice l'operazione di recupero degli oggetti cancellati.
Quando non è abilitato il cestino di Active Directory e si cancella un oggetto, questo viene contrassegnato per la cancellazione (tombstoned). Tali oggetti vengono definitivamente eliminati solo quando verrà eseguito il processo di garbacecollection.

Con il cestino di Active Directory abilitato, quando si cancella un oggetto questo viene contrassegnato come oggetto cancellato per l'arco di tempo specificato dalla proprietà msDS-DeletedObjectLifetime in Active Directory Domain Services (di default è nulla). Scaduto il tempo indicato in msDS-DeletedObjectLifetime  l'oggetto viene contrassegnato come recycled e i suoi attributi vengono rimossi. L'oggetto risiede ancora nel cestino e può essere recuperato per la durata della sua vita definita dall'attributo tombstoneLifetime in Active Directory DS. Quando viene abilitato il cestino di Active Directory, gli oggetti preesistenti e contrassegnati per la cancellazione (tombstoned) vengono convertiti in oggetti recycled tuttavia non potranno essere recuperati come qualsiasi altro oggetto recycled.



Limiti

Il Centro di amministrazione di Active Directory è in grado di gestire solo partizioni di dominio pertanto non è possibile ripristinare oggetti eliminati dalle partizioni di configurazione, DNS del dominio o DNS della foresta (non è possibile eliminare oggetti dalla partizione dello schema). Per ripristinare gli oggetti da partizioni non di dominio, è possibile usare il cmdlet Restore-ADObject di PowerShell.

Nel Centro di amministrazione di Active Directory non è possibile ripristinare sottoalberi di oggetti in un'unica operazione. Se ad esempio si elimina un'unità organizzativa con unità amministrative, utenti, gruppi e computer annidati, il ripristino dell'unità organizzativa di base non ripristina gli oggetti figlio.

Il Cestino di Active Directory comporta un aumento delle dimensioni del database di Active Directory (NTDS.DIT) in ogni controller di dominio della foresta. Lo spazio su disco usato dal cestino continua ad aumentare nel tempo, in quanto conserva gli oggetti e tutti i dati degli attributi.



Abilitare il cestino di Active Directory tramite Centro di amministrazione di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
Server Manager
FIG 1 - Server Manager

Selezionare il proprio dominio quindi, sul pannello delle Attività presente sulla destra della finestra, cliccare su Abilita Cestino....
Centro di amministrazione di Active Directory
FIG 2 - Centro di amministrazione di Active Directory

Una finestra di dialogo ci avvisa che l'operazione non è reversibile: una volta abilitato il cestino di Active Directory non potrà essere più disabilitato. Confermare cliccando su OK per proseguire.
Conferma abilitazione cestino AD
FIG 3 - Conferma abilitazione cestino AD

Una nuova finestra di dialogo avvisa l'utente che il cestino non sarà disponibile finché l'abilitazione non verrà replicata a tutti i Domain Controller della foresta e non verrà aggiornato il Centro di amministrazione di Active Directory. Cliccare su OK.
Abilitazione cestino AD
FIG 4 - Abilitazione cestino AD

Terminata la replica dell'abilitazione basta cliccare sull'apposto link per aggiornare le informazioni visualizzate nella finestra del Centro di amministrazione di Active Directory e vedremo apparire un nuovo container nominato Deleted Objects. Da questo momento gli oggetti eliminati da AD potranno essere recuperati all'interno di tale container.
Centro di amministrazione di Active Directory, Container Deleted Objects
FIG 5 - Centro di amministrazione di Active Directory, Container Deleted Objects


Abilitare il cestino di Active Directory tramite PowerShell

In alternativa al Centro di amministrazione di Active Directory è possibile abilitare il cestino di AD tramite PowerShell e l'utilizzo del cmdlet Enable-ADOptionalFeature
Da Windows PowerShell avviato come amministratore eseguire il comando 
Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=mycompany,DC=local' –Scope ForestOrConfigurationSet –Target 'mycompany.local'
Rispondere affermativamente alla richiesta di esecuzione dell'operazione.
Abilitazione del cestino di Active Directory mediante PowerShell
FIG 6 - Abilitazione del cestino di Active Directory mediante PowerShell

Dopo aver atteso i tempi di replica dal Centro di amministrazione di Active Directory sarà visibile il nuovo container Deleted Objects.






giovedì 25 gennaio 2024

Windows Server 2022: Introduzione alle Group Policy (GPO)

In aziende medio-grandi, la modifica manuale delle impostazioni sui singoli computer diventa un compito impossibile. È qui che entrano in gioco le Group Policy (Criteri di gruppo).
I Criteri di gruppo consentono di creare un criterio e di indirizzarlo agli utenti o ai sistemi all'interno di unità organizzative (OU), gruppi di sicurezza o persino su base individuale. 

Le Group Policy sono un insieme di regole che controllano l'ambiente di lavoro degli utenti e dei computer fornendo una gestione centralizzata e consentendo la configurazione dei sistemi operativi, impostazioni degli utenti e applicazioni in un ambiente Active Directory. In pratica le Group Policy stabiliscono, in parte, cosa l'utente può e non può fare su un computer del dominio e possono essere utilizzate, ad esempio, per bloccare l'accesso al pannello di controllo/gestione attività, impedire/autorizzare l'accesso a cartelle condivise, disabilitare il download di file eseguibili, consentire l'installazione automatica di software, implementare restrizioni su quote disco, sulla lunghezza della password, gestire le impostazioni di BitLocker e tanto altro. Le Group policy vengono gestite tramite lo strumento Gestione Criteri di gruppo (Group Policy Management Console o GPMC) e create/modificate tramite l'Editor Gestione Criteri di gruppo (Group Policy Management Editor o GPME).

Prima di mostrare come creare le Group Policy è bene chiarire e approfondire alcuni concetti basilari.

Le Group Policy vengono configurate e distribuite dagli amministratori di dominio mediante la creazione di oggetti Criteri di gruppo (Group Policy Object o GPO). Gli oggetti Criteri di gruppo sono container per gruppi di impostazioni (policy settings) che possono essere applicate agli account utente, agli account computer o ad entrambi attraverso Active Directory. Tali oggetti vengono creati utilizzando l'Editor Gestione Criteri di gruppo (GPME) che viene invocato quando si modifica un GPO all'interno dello strumento Gestione Criteri di gruppo (GPMC). 
Contrariamente a quanto possa far credere il nome, gli oggetti Criteri di gruppo non sono affatto orientati al gruppo: non è possibile applicarli direttamente ai gruppi. Possono essere applicati a livello locale, a siti, ai domini e alle OU (Microsoft li abbrevia con LSDOU: Locale, Sito, Dominio, OU) all'interno di una data foresta. 
Le Group Policy applicano le impostazioni nel seguente ordine prestabilito:
  1. Criteri locali (impostati da gpedit.msc)
  2. Criteri del sito
  3. Criteri di dominio
  4. Criteri delle OU
Si tratta di un approccio all'elaborazione dall'alto verso il basso: dopo l'applicazione dei criteri locali, le GPO del sito sono le più ampie, seguite dalle GPO del dominio e quindi dalle GPO dell'OU. La maggior parte degli amministratori di sistema ha esperienza nella gestione delle GPO a livello di dominio e OU. Un problema comune che si verifica è quando un amministratore di sistema apporta una modifica a un criterio a livello di dominio, ma la modifica non sembra essere applicata. La causa più comune è un criterio a livello di OU che sovrascrive l'impostazione del criterio di dominio.

L'assegnazione delle policy viene anche chiamata linking. Il rapporto tra GPO e LSDOU può essere del tipo molti a uno (ad es. più GPO assegnati ad un sola OU) o di uno a molti (ad es. una sola GPO assegnata a più OU). Quando viene assegnato un oggetto Group Policy ad un'unità organizzativa questo agisce su tutti gli account in essa contenuti e sulle OU sottostanti.  

Affermare che i Criteri di Gruppo/GPO vengono memorizzati all'interno di Active Directory non è del tutto corretto. Gli oggetti Criteri di gruppo vengono memorizzati in due posti distinti: all'interno di un container di Group Policy (Group Policy Container o GPC) e all'interno di un Group Policy Template (GPT). Il GPC è memorizzato all'interno del database Active Directory e contiene informazioni sulla proprietà, versione, stato e una lista dei componenti. Il GPT, invece, viene conservato all'interno della cartella Windows\SYSVOL\sysvol\<Nome del dominio>\Policies\GUID\ dove GUID rappresenta il Global Unique Identifier dell'oggetto Criteri di gruppo. Tale cartella contiene impostazioni amministrative, impostazioni di sicurezza, informazioni sulle applicazioni disponibili, impostazioni del registro di sistema, script e altro.

Anche se una Group Policy può contenere numerose impostazioni è buona norma configurarne solo un numero ristretto. Le Group Policy sono cumulative e supportano l'ereditarietà (possono essere ereditate dai container superiori in Active Directory). Le policy vengono applicate in background. Generalmente il computer effettua un refresh delle policy ogni 90 minuti ma è possibile forzarne la sincronizzazione tramite il comando gpupdate /force dal Prompt dei comandi. I domain controller, a differenza dei normali computer, eseguono il refresh delle Group Policy ogni 5 minuti. Un eccezione alla regola viene fatta per le policy che includono il reindirizzamento di cartelle, l'installazione del software, l'applicazione di script, impostazioni Stampanti e dischi di rete mappati. Tali policy, infatti, vengono applicate solo al logon dell'utente (per gli account utente) o all'avvio del sistema (per gli account computer).
Le Group Policy vengono replicate automaticamente. L'Active Directory viene replicato utilizzando AD Replication (controllato da Knowledge Consistency Checker e Intersite Topology Generator) ed è controllato dal servizio File Replication o dal servizio Distributed File Replication.
Le impostazioni specificate all'interno di un oggetto Group Policy vengono scritte all'interno del registro di sistema e vengono eliminate quando l'impostazione della policy viene eliminata o l'oggetto Group Policy viene cancellato. Tale comportamento previene l'effetto "tattooing", un tempo presente, che costringeva gli amministratori a creare un nuovo GPO per annullare le impostazioni di un GPO cancellato. 


Nell'Editor Gestione Criteri di gruppo le impostazioni, sia per il computer che per l'utente, possono essere configurate con Criteri e Preferenze. Le principali differenze tra i due tipi di configurazioni sono riportate nella seguente tabella.

Criteri Preferenze
Quando un criterio dei Criteri di gruppo non è più applicabile, l'impostazione viene rimossa e viene ripristinato il valore originale.
Quando una preferenza dei Criteri di gruppo non è più applicabile, l'impostazione rimane nel registro.
Quando un criterio dei Criteri di gruppo è impostato su un determinato valore per un'applicazione, quest'ultima utilizza il valore impostato dal criterio. Se il criterio viene rimosso, l'applicazione utilizzerà il valore originale.
Quando una preferenza dei Criteri di gruppo è impostata su un determinato valore per un'applicazione, sovrascrive il valore predefinito dell'applicazione. Se la preferenza viene rimossa, il valore dell'applicazione rimane invariato.
Quando un criterio dei Criteri di gruppo viene utilizzato per applicare le impostazioni, gli utenti visualizzano opzioni in grigio per informarli che l'impostazione è gestita dai loro amministratori.
Quando una preferenza dei Criteri di gruppo viene utilizzata per applicare le impostazioni, gli utenti possono modificarle manualmente. Criteri di gruppo non riapplicherà il valore configurato dopo la prima applicazione.


Editor Gestione Criteri di gruppo
FIG 1 - Editor Gestione Criteri di gruppo

Fin dal rilascio di Windows Server 2000, le Group Policy hanno permesso agli amministratori di rete di poter configurare in maniera centralizzata i computer della propria organizzazione. Tuttavia esiste un modo più recente di configurare i sistemi: PowerShell Desired State Configuration (DSC).
Per evitare conflitti tra i due metodi, i Criteri di gruppo e PowerShell DSC non devono essere utilizzati contemporaneamente per settare impostazioni sugli stessi sistemi. In un ambiente aziendale che utilizza già i Criteri di gruppo,  è consigliabile proseguire con tale metodo. Se, invece, si sta configurando un ambiente da zero, allora PowerShell DSC potrebbe essere la scelta migliore. 

Nei prossimi articoli approfondirò il discorso sui Criteri di gruppo mentre Powershell DSC è un argomento che tratterò più avanti.