Ottenere la corretta precedenza dell'oggetto Criteri di gruppo

Group Policy è la tecnologia di gestione delle configurazioni inclusa in Microsoft Windows Server Active Directory. Se necessiti di un controllo granulare delle impostazioni di Windows e Windows Server, Group Policy è la soluzione ideale. Tuttavia, Group Policy può diventare rapidamente complicata poiché ogni Group Policy object (GPO) può avere centinaia di impostazioni sia per utenti che per computer, e più GPO con possibili impostazioni in conflitto possono essere collegati a un dato sito di Active Directory, dominio o unità organizzativa (OU).

In questo articolo, spiegheremo come determinare la precedenza dei Criteri di Gruppo, in modo che tu possa applicare correttamente i Criteri di Gruppo e garantire che le politiche di sicurezza richieste siano applicate.

Politica locale

Prima di iniziare a parlare di Criteri di gruppo, che danno agli amministratori di sistema la capacità di gestire centralmente le impostazioni di Windows, è utile sapere che tutti i dispositivi Windows hanno una politica locale. La politica locale è sempre sostituita dalle impostazioni negli oggetti Criteri di gruppo. Pertanto, in generale, la politica locale dovrebbe essere utilizzata solo per configurare le impostazioni per i dispositivi che non sono uniti a un dominio Active Directory.

Active Directory Group Policy

Gli oggetti Criteri di gruppo devono essere collegati a un sito, dominio o unità organizzativa di Active Directory prima di essere applicati a computer e utenti. I GPO vengono applicati all'oggetto a cui sono collegati e a tutti i suoi oggetti figlio. Ad esempio, un GPO collegato a un sito verrà applicato anche agli oggetti nei domini e nelle unità organizzative di quel sito. I GPO collegati a un'unità organizzativa verranno applicati a tutti gli oggetti in quella OU e a eventuali OU figlie.

Per visualizzare o modificare i GPO, utilizzare la Group Policy Management Console (GPMC) nel menu Strumenti di Server Manager. Le impostazioni degli oggetti Criteri di gruppo sono organizzate allo stesso modo dei criteri locali, ma una categoria aggiuntiva, chiamata Preferenze dei Criteri di gruppo, fornisce impostazioni extra che consentono agli amministratori di personalizzare l'ambiente degli utenti.

Applicazione dei Criteri di Gruppo ai siti

Se colleghi un GPO a un sito, le sue impostazioni si applicheranno a tutti gli oggetti in quel sito; si dice che gli oggetti rientrano nell'ambito di gestione del GPO. Più di un GPO può essere collegato a un dato sito, e questi GPO potrebbero avere impostazioni in conflitto. In questo caso, è necessario capire quali impostazioni verranno applicate. Ad esempio, se la stessa impostazione è configurata in modo diverso in due o più GPO tutti collegati a un dato sito, quale GPO avrà la precedenza? La risposta è il GPO con il numero di Ordine di Collegamento più piccolo. I numeri di Ordine di Collegamento mostrano la precedenza delle Direttive di Gruppo e governano l'ordine di elaborazione delle Direttive di Gruppo.

Per visualizzare il numero d'ordine dei Link dei GPO per un sito, apri GPMC ed espandi il tuo dominio di Active Directory. Poi segui i passaggi seguenti:

Passaggio #1. Fare clic con il tasto destro su Sites e cliccare Mostra siti…

Passaggio #2. Nella finestra di dialogo Mostra siti, seleziona i siti che vuoi visualizzare in GPMC e fai clic su OK.

Passaggio #3. Espandi Siti in GPMC. Vedrai tutti i siti che hai configurato in Active Directory. Il sito predefinito si chiama Default-First-Site-Name, anche se è possibile rinominarlo.

Passaggio #4. Fare clic su uno dei siti.

Figura 1. Verifica dell'ordine dei link.

Passaggio #5. Nella scheda Linked Group Policy Objects, vedrai un elenco di GPO collegati al sito. Potrebbe essere che non ci siano GPO collegati. Se ci sono dei GPO collegati, vedrai i loro numeri di Ordine di Collegamento, che mostrano l'ordine di precedenza. Più alto è il numero, minore è la precedenza del GPO. Ad esempio, le impostazioni in un GPO con un numero di Ordine di Collegamento di 2 hanno sempre la precedenza sulle impostazioni in un GPO con un numero di Ordine di Collegamento di 3.

Passaggio #6. Per cambiare il numero dell'ordine di collegamento di un GPO, clicca sul GPO e usa le frecce su e giù sulla sinistra per spostarlo nella posizione desiderata nella lista.

Applicazione dei Criteri di Gruppo a Domini e Unità Organizzative

I GPO possono essere collegati ai domini e alle OU allo stesso modo in cui possono essere collegati ai siti. La policy di dominio predefinita è collegata a ciascun dominio per impostazione predefinita. I GPO collegati alle unità organizzative hanno la massima precedenza, seguiti da quelli collegati ai domini. I GPO collegati ai siti hanno sempre la minore precedenza.

Per capire quali GPO sono collegati a un dominio o a un'OU, clicca sul dominio o sull'OU in GPMC e seleziona la scheda Linked Group Policy Objects. Per una visione più ampia, seleziona la scheda Group Policy Inheritance, che mostrerà anche i GPO collegati ai domini e alle OU genitori. I GPO con un numero di precedenza minore vengono elaborati per ultimi e hanno la precedenza sui GPO con numeri più alti.

Figura 2. Verifica della precedenza GPO per i GPO collegati a un dominio o a un'OU.

Non dimenticare che i GPO collegati ai siti si applicano anche agli oggetti figlio del sito e vengono applicati come parte dell'ordine di elaborazione. Tuttavia, i GPO collegati ai siti non sono visualizzati nella scheda Ereditarietà Criteri di Gruppo perché GPMC non sa quali oggetti utente e computer si trovano in un dato sito AD in un momento specifico.