Windows Server 2019: Installare software tramite i Criteri di gruppo (GPO)

Supponiamo di dover installare un software come il browser Google Chrome su tutti i computer appartenenti al dominio. In aziende con un numero medio/alto di computer l'installazione manuale è da escludere. In questo articolo verrà mostrato come procedere con l'installazione servendosi dei Criteri di gruppo.

Per l'installazione di un software tramite GPO bisogna predisporre il file di installazione in formato MSI (Microsoft Installer). Non tutti i software sono disponibili in tale formato e non tutti gli MSI supportano l'installazione tramite GPO. 

Predisposizione file di installazione del software

• Scaricare la versione di Chrome per le aziende dal link https://cloud.google.com/chrome-enterprise/browser/download . Tale versione supporta l'installazione tramite Criteri di gruppo. Disponendo di computer con sistema operativo a 64 bit scaricare Chrome per Windows a 64 bit.
  

  

  FIG 1 - Google Chrome per le aziende

• Copiare il file in una cartella condivisa. Ad es. all'interno della cartella \\SERVER1DC\Cartella condivisa creata nell'articolo Windows Server 2019: Introduzione alle Group Policy (GPO) e mapping cartella condivisa. 
• Cliccare, con il tasto destro del mouse, sulla cartella condivisa e selezionare Proprietà dal menu contestuale. Selezionare la scheda Condivisione quindi cliccare sul pulsante Condivisione avanzata.
  

  

  FIG 2 - Cartella condivisa, Condivisione avanzata

• Cliccare sul pulsante Autorizzazioni.
  

  

  FIG 3 - Cartella condivisa, Autorizzazioni

• Selezionare il gruppo Domain Users e assicurarsi che sia impostato il controllo completo quindi cliccare sul pulsante Aggiungi.
  

  

  FIG 4 - Aggiungi autorizzazioni per cartella condivisa

• Nella casella Immettere i nomi degli oggetti da selezionare, digitare Computer del dominio quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.
  

  

  FIG 5 - Seleziona Utenti, Computer, Account servizio o Gruppi

• Selezionare il gruppo Computer del dominio e fornire anche a tale gruppo il controllo completo ponendo il flag sulla relativa casella. Cliccare su OK quindi nuovamente su OK nelle finestra Condivisione avanzata e in fine su Chiudi.
  

  

  FIG 6 - Computer del dominio, controllo completo su cartella condivisa

• Scompattare il file zip scaricato precedentemente e contenente i file di installazione di Chrome all'interno della cartella (cliccarci su con il tasto destro del mouse e selezionare estrai tutto e successivamente sul pulsante Estrai). 
  

  

  FIG 7 - Estrai file ZIP

Creazione Criterio di gruppo per l'installazione di Google Chrome

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 8 - Server Manager

• Cliccare, con il tasto destro del mouse, sul dominio mycompany.local e selezionare Crea un oggetto Criteri di gruppo in questo domino e crea qui un collegamento. 
  

  

  FIG 9 - Crea un oggetto Criteri di gruppo

• Assegnare il nome al nuovo criterio di gruppo (ad es. GPO_ChromeSetup) e cliccare su OK.
  

  

  FIG 10 - Nome nuovo oggetto di Criteri di gruppo

• Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare Modifica.
• Posizionarsi su Configurazione computer->Criteri->Impostazioni del software->Installazione software. Sul lato destro della finestra cliccare con il tasto destro in uno spazio vuoto. Dal menu contestuale selezionare Nuovo quindi Pacchetto.
  

  

  FIG 11 - GPO Installazione software, Nuovo Pacchetto

• Digitare il percorso della cartella condivisa \\SERVER1DC\Cartella condivisa\GoogleChromeEnterpriseBundle64\Installers quindi il selezionare il file MSI da installare GoogleChromeStandaloneEnterprise64 e cliccare su Apri.
  

  

  FIG 12 - Selezione file MSI

• Nella schermata successiva selezionare l'opzione Assegnata per distribuire l'applicazione senza alcuna modifica e cliccare su OK.
  

  

  FIG 13 - Distribuisci applicazione

• Chiudere la finestra Editor Gestione Criteri di gruppo. Selezionare nuovamente il criterio di gruppo appena creato. Nella sezione Filtri di sicurezza cliccare sul pulsante Aggiungi.
  

  

  FIG 14 - GPO Filtri di sicurezza

• Nella casella Immettere i nomi degli oggetti da selezionare, digitare Computer del dominio quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.
  

  

  FIG 15 - Filtri di sicurezza, Computer del dominio

Eseguiamo il logon su una postazione del dominio e noteremo che Google Chrome è stato installato.

FIG 16 - Chrome installato mediante Criteri di gruppo

In questo articolo è stato preso in considerazione uno scenario ideale in cui tutte le postazioni del dominio dispongono della stessa versione di Windows a 64 bit. In un ambiente reale raramente ci troveremo in questa situazione, piuttosto avremo computer con diverse configurazioni hardware e software pertanto è sempre opportuno effettuare una verifica sulla compatibilità del software prima di installarlo tramite GPO. In un prossimo articolo verrà mostrato come eseguire diverse installazioni in base al sistema operativo presente sul computer e all'architettura.

Windows Server 2019: Inibire il logon su determinate workstation ad un gruppo di utenti tramite GPO

Nell'articolo Windows Server 2019: Limitare il logon degli account utente a determinate workstation abbiamo visto come, attraverso Active Directory, limitare il logon di un utente solo a determinate postazioni. In questo articolo vedremo come effettuare un'operazione analoga attraverso l'utilizzo dei Criteri di gruppo (GPO).

Nei nostri esempi precedenti abbiamo creato 2 unità organizzative (Direzione e Marketing) ciascuna con i suoi account utente e computer. Supponiamo di voler fare in modo che agli utenti appartenenti all'unità organizzativa Marketing venga inibito il logon sulle postazioni della OU Direzione. Il primo passo consiste nel creare un gruppo in Active Directory contenente tutti gli account utente dell'unità organizzativa Marketing. Chi ha seguito tutti articoli che sto pubblicando su Windows Server 2019 ricorderà che l'operazione è già stata eseguita all'interno dell'articolo Windows Server 2019: Creazione gruppi in Active Directory. Il nome che è stato assegnato al gruppo è GRP_Marketing. Il passo successivo consiste nella creazione del Criterio di gruppo:

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 1 - Server Manager

• Espandere il dominio mycompany.local quindi cliccare, con il tasto destro del mouse, sull'unità organizzativa Direzione e dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
  

  
  

  FIG 2 - Gestione Criteri di gruppo
  
  

• Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_Inibisci_Logon e cliccare su OK.
  

  

  FIG 3 - Nuovo oggetto Criteri di gruppo

• Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
  

  

  FIG 4 - Modifica Criterio di gruppo

• La policy dovrà essere applicata ai computer. All'interno della sezione Configurazione computer cliccare su Criteri, quindi su Impostazioni di Windows , Impostazioni sicurezza, Criteri locali, e successivamente su Assegnazione diritti utente.
  

  

  FIG 5 - GPO, Assegnazione diritti utente
  

• Eseguire un doppio click sul criterio Nega accesso locale.
  

  

  FIG 6 - Criterio di gruppo, Nega accesso locale

• Selezionare la casella Definisci le impostazioni relative ai criteri e cliccare sul pulsante Aggiungi utente o gruppo.
  

  

  FIG 7 - Proprietà Nega accesso locale

• Cliccare su Sfoglia.
  

  

  FIG 8 - Aggiungi utente o gruppo

• Digitare il nome del gruppo GRP_Marketing (o parte di esso) e cliccare sul pulsante Controlla nomi per assicurarsi di averlo digitato correttamente, quindi cliccare su OK.
  

  

  FIG 9 - Seleziona Utenti, Computer, Account servizio o Gruppi

• Nella finestra di dialogo Aggiungi utente o gruppo cliccare nuovamente su OK.
  

  

  FIG 10 - Aggiungi utente o gruppo

• Nella finestra Proprietà - Nega accesso locale cliccare su OK.
  

  

  FIG 11 - Proprietà Nega accesso locale

Ora non ci resta che testare il corretto funzionamento della nostra GPO. Provando ad eseguire il logon con un account utente appartenente all'unità organizzativa Marketing su una workstation dell'unità organizzativa Direzione verrà visualizzato un messaggio come quello mostrato in FIG 12.

FIG 12 - Logon inibito

Windows Server 2019: Configurare le stampanti sulle postazioni mediante GPO

In questo articolo verrà mostrato come configurare una stampante (condivisa o di rete) sulle postazioni del domino mediante l'utilizzo di un Criterio di gruppo. Per semplicità andremo ad installare una stampante generica sul server e a mapparla per tutti gli utenti del dominio.

Installazione stampante su server

• Dal menu Start avviare il Pannello di controllo.
  

  

  FIG 1 - Avvio Pannello di controllo

• Cliccare su Hardware.
  

  

  FIG 2 - Pannello di controllo, Hardware

• In Dispositivi e stampanti cliccare sul link Impostazioni avanzate stampante.
  

  

  FIG 3 - Impostazioni avanzate stampante

• Cliccare sul link La stampante che voglio non è elencata.
  

  

  FIG 4 - La stampante che voglio non è elencata

• Selezionare l'opzione Aggiungi stampante locale o di rete con impostazioni manuali e cliccare su Avanti.
  

  

  FIG 5 - Aggiungi stampante locale o di rete con impostazioni manuali

• Trattandosi solo di un esempio, lasciamo l'impostazione di default e clicchiamo su Avanti.
  

  

  FIG 6 - Imposta porta stampante

• Come produttore lasciamo Generic e come stampante selezioniamo Generic IBM Graphics 9pin, quindi click su Avanti per proseguire.
  

  

  FIG 7 - Generic IBM Graphics 9pin

• Come nome da assegnare alla stampante lasciamo quello proposto e proseguiamo cliccando su Avanti.
  

  

  FIG 8 - Nome stampante

• Nella schermata successiva lasciamo attiva l'opzione Condividi la stampante per consentire agli altri utenti della rete locale di trovarla e utilizzarla, prendiamo visione del Nome della condivisione e clicchiamo su Avanti.
  

  

  FIG 9 - Condivisione stampante

• Lasciare attiva l'opzione Imposta come stampante predefinita e cliccare su Fine.
  

  

  FIG 10 - Imposta come stampante predefinita

Per rendere più semplice la mappatura della stampante rendiamola visibile in Active Directory.

• Cliccare su Dispositivi e stampanti.
  

  

  FIG 11 - Dispositivi e stampanti

• Cliccare con il tasto destro del mouse sulla stampante e selezionare Proprietà stampante.
  

  

  FIG 12 - Proprietà stampante

• Selezionare la scheda Condivisione e spuntare la voce Pubblica nell'elenco in linea quindi cliccare su OK.
  

  

  FIG 13 - Pubblica nell'elenco in linea

Il prossimo passo consiste nel fare in modo che la stampante venga mappata dagli altri utenti.

Creazione GPO

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 14 - Server Manager

• Cliccare, con il tasto destro del mouse, sul dominio mycompany.local e selezionare Crea un oggetto Criteri di gruppo in questo domino e crea qui un collegamento.
  

  

  FIG 15 - Crea un oggetto Criteri di gruppo

• Nell'apposita casella digitare il nome da assegnare al nuovo criterio di gruppo GPO_Configurazione_Stampante e cliccare su OK.
  

  

  FIG 16 - Nuovo oggetto Criteri di gruppo

• Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare, dal menu contestuale, Modifica.
  

  

  FIG 17 - Modifica criterio di gruppo

• Posizionarsi su Configurazione utente->Preferenze->Impostazioni del Pannello di controllo->Stampanti.
  

  

  FIG 18 - GPO Stampanti

• Cliccare, con il tasto destro del mouse, in un punto vuoto sul pannello sulla destra della finestra. Dal menu contestuale selezionare Nuovo->Stampante condivisa.
  

  

  FIG 19 - GPO Stampante condivisa

• Nella finesra Nuove proprietà stampante condivisa, cliccare sul pulsante con i 3 puntini.
  

  

  FIG 20 - Nuove proprietà stampante condivisa

• Selezionare la stampante desiderata (nel caso siano presenti più stampanti la finestra ci consente di effettuare una ricerca in Active Directory) e cliccare su OK per ritornare alla schermata precedente.
  

  

  FIG 21 - Trova ricerca personalizzata

• Cliccare su OK per terminare la configurazione del criterio di gruppo.
  

  

  FIG 22 - Nuove proprietà stampante condivisa

Terminata la creazione del Criterio di gruppo, gli utenti che eseguiranno il logon su una postazione del dominio si ritroveranno la stampante configurata.