Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Comprensione di Group Policy & Group Policy Objects (GPOs)

Comprensione di Group Policy & Group Policy Objects (GPOs)

Feb 17, 2017

Scopri come gestire Group Policy e gli oggetti Group Policy (GPO) in ambienti locali e Active Directory per trovare il giusto equilibrio tra produttività degli utenti e sicurezza. Questa guida illustra la struttura delle GPO, l'ordine di applicazione, le preferenze e come un corretto collegamento delle GPO aiuti a mantenere l'integrità delle politiche e a ridurre la deriva della configurazione.

Qualsiasi configurazione di sicurezza efficace deve essere in grado di impedire agli utenti di esercitare troppo controllo su un server pur fornendo loro gli strumenti necessari per completare i loro compiti quotidiani.

Senza impostazioni di policy appropriate, gli utenti generali potrebbero essere in grado di installare software vulnerabile, modificare i controlli di sicurezza, visualizzare file confidenziali o indebolire la vostra postura di sicurezza, anche se involontariamente. Allo stesso tempo, restringere eccessivamente gli utenti può creare ostacoli non necessari nell'espletamento delle responsabilità quotidiane.

Per una protezione ottimale, è essenziale mettere in atto una configurazione che conceda agli utenti esattamente il livello di accesso necessario per il loro ruolo e niente di più.

I sistemi Microsoft dispongono di una soluzione pronta per questi problemi tramite Group Policy, uno strumento che consente agli amministratori di impostare restrizioni, regole e standard su più utenti e gruppi. Queste politiche sono poi raggruppate in collezioni chiamate Oggetti Criteri di Gruppo (GPO), che memorizzano le politiche correlate in nodi all'interno della Console di Gestione Criteri di Gruppo.

Configurando adeguatamente le numerose opzioni all'interno di Group Policy in base alle esigenze della tua organizzazione, puoi mantenere efficacemente la postura di sicurezza del tuo server pur fornendo agli utenti esattamente i privilegi di accesso di cui hanno bisogno per svolgere il lavoro quotidiano.

Richiedi una prova gratuita di Netwrix Endpoint Policy Manager

Cos'è Group Policy?

Group Policy è uno strumento di gestione delle policy che consente agli amministratori di impostare controlli su domini o sottocategorie più specifiche. Introdotto per la prima volta in Windows 2000 insieme ad Active Directory, Group Policy dispone di un numero enorme di controlli che possono essere attuati in modo tanto ampio quanto limitato, a seconda delle necessità.

Come alcuni esempi, la funzionalità Group Policy può essere utilizzata per:

  • Limitare o prevenire l'accesso a file sensibili
  • Imposta i requisiti per la password
  • Consenti o nega le applicazioni
  • Controlla le configurazioni di rete e firewall
  • Limitare l'accesso al Pannello di Controllo o alle impostazioni del registro

Questi sono solo alcuni dei migliaia di impostazioni disponibili all'interno dello strumento. Questa vasta gamma di opzioni consente agli amministratori di limitare l'accesso eccessivo pur supportando ancora le operazioni quotidiane essenziali.

Esplorazione di Active Directory Group Policy e Local Group Policy

Questo articolo riguarda principalmente Group Policy a livello di Active Directory, che può essere applicata su un'unità organizzativa (OU) o su un intero dominio. Tuttavia, Windows dispone anche di uno strumento chiamato Local Group Policy, una versione di Group Policy che offre molte delle stesse opzioni di AD Group Policy ma che influisce solo sulla workstation Windows locale.

Mentre la Criteri di Gruppo Locale è progettata per dispositivi singoli, è possibile utilizzare anche i Criteri di Gruppo di AD per assegnare diverse impostazioni a vari utenti sulla stessa macchina, ad esempio, un insieme di configurazioni per gli utenti aziendali e un altro per gli amministratori.

I GPO locali sono separati dai GPO di Active Directory e sono più utili quando Active Directory non è disponibile, come su macchine che non sono connesse a un dominio. L'Editor Criteri Computer Locale è utilizzato per modificare il Criterio di Gruppo Locale su un computer. Per aprirlo, è sufficiente fare clic sul pulsante Start e eseguire il comando GPEDIT.MSC.

Quali sono i vantaggi di Group Policy?

Come iniziano a illustrare gli esempi precedenti, Group Policy può offrire enormi vantaggi, dall'aumento della produttività e della sicurezza degli utenti alla riduzione del carico di lavoro IT. Ecco solo alcuni dei modi in cui l'utilizzo di Group Policy può giovare alla tua organizzazione:

  • Assicurati la disponibilità dei file e delle cartelle di un utente, insieme alle loro impostazioni personalizzate (come la posizione della barra delle applicazioni, la selezione dello sfondo e le icone del desktop) su tutti i dispositivi che utilizzano.
  • Rafforza la sicurezza richiedendo l'uso di protocolli di rete e autenticazione robusti.
  • Migliora la produttività dei dipendenti installando e aggiornando il software durante le ore non lavorative.

Inoltre, Group Policy consente un controllo abbastanza granulare, dal limitare il software che può essere installato al limitare strategicamente le impostazioni del Pannello di controllo che gli utenti possono modificare. Ad esempio, è possibile consentire agli utenti di regolare la risoluzione dello schermo in base alle loro esigenze, ma impedire loro di modificare le impostazioni VPN.

Cos'è un GPO (Group Policy Object)?

Un Oggetto Criterio di Gruppo (GPO) è un contenitore che memorizza e organizza molteplici Group Policy setting correlati. Ad esempio, un GPO può contenere impostazioni per la configurazione del desktop mentre un altro contiene impostazioni delle politiche di rete.

All'interno della Console di Gestione Criteri di Gruppo, i GPO sono raggruppati come nodi sotto una struttura ad albero standardizzata. Se gli amministratori preferiscono non utilizzare un'interfaccia grafica, è anche possibile configurare i GPO tramite PowerShell o altri strumenti da riga di comando.

Gli amministratori dovrebbero creare, nominare e organizzare i GPO in modo che siano facili da localizzare e aggiornare secondo necessità.

Come funziona un GPO?

Ogni GPO ha due parti:

  • Il Computer node, che contiene impostazioni di policy applicate solo ai computer, indipendentemente da chi sia loggato in un dato momento. Esempi includono script di avvio, script di spegnimento e impostazioni che controllano come dovrebbe essere configurato il firewall locale.
  • Il User node, che contiene le impostazioni delle policy che si applicano solo agli utenti. Queste impostazioni seguono l'utente su ogni macchina in cui effettua l'accesso. Esempi includono script di accesso, script di uscita e opzioni di accesso al Pannello di Controllo.

Entrambi i nodi Utente e Computer contengono tre sezioni principali: Impostazioni Software, Impostazioni Windows e Modelli Amministrativi. Tuttavia, ci sono differenze all'interno di queste divisioni. Ad esempio, la sezione Modelli Amministrativi del nodo Computer include Stampanti, ma quella del nodo Utente no; le sue opzioni includono Cartelle Condivise, Desktop, Menu Start e Barra delle applicazioni.

I GPO di Active Directory sono memorizzati sui controller di dominio (DC).

Utilizzo di Group Policy Management (GPM) per proteggere utenti e dispositivi

Anche se gli oggetti Criteri di gruppo semplificano la gestione delle impostazioni correlate, avere troppi GPO può introdurre complessità. Qui è dove lo strumento di gestione dei Criteri di gruppo è particolarmente efficace.

La gestione delle Criteri di Gruppo (GPM) è una funzionalità accessibile tramite la console di gestione Criteri di Gruppo (GPMC) trovata nel menu Strumenti del Gestore Server Windows. Utilizzando la console di gestione Criteri di Gruppo, gli amministratori possono gestire qualsiasi GPO direttamente in Active Directory, permettendo un modo centralizzato per controllare i Criteri di Gruppo senza la necessità di accedere direttamente a nessun Controller di Dominio.

All'interno di GPMC, gli amministratori possono creare, modificare o eliminare GPOs tramite un'interfaccia grafica chiara, oltre a collegare oggetti a domini, siti o unità organizzative (OU). I GPOs possono persino essere applicati a singoli computer o utenti attraverso la console, consentendo un insieme di controlli specifici come richiesto. Le impostazioni di ogni Group Policy sono facilmente accessibili nell'interfaccia, supportando la gestione centralizzata.

All'interno della console di gestione dei criteri di gruppo ci sono due categorie principali per i GPO: Computer Configuration e User Configuration. Queste sezioni si suddividono in Policies e Preferences come modo semplificato per controllare le impostazioni a livello amministrativo e quelle gestite dagli utenti, rispettivamente.

La gestione dei GPO all'interno di Group Policy Management Console è semplice: individua l'oggetto desiderato dal menu della foresta e selezionalo. Da lì, puoi:

  • Modifica il GPO
  • Modifica l'Active Directory a cui è collegato il GPO
  • Abilita o disabilita i collegamenti GPO
  • Importa le impostazioni predefinite dei GPO
  • Eseguire il backup dei GPO

Effettuare backup continui dei propri GPO è fondamentale per mantenere le protezioni della propria organizzazione in caso di attacco informatico o errori non intenzionali. Assicurati di eseguire backup regolarmente, specialmente ogni volta che vengono apportate modifiche importanti ai Group Policy o ai GPO, e conserva i backup in una posizione centralizzata per semplificare il ripristino. Mantenere uno storico dei backup renderà il processo di ripristino ancora più semplice e offrirà una maggiore tranquillità.

Collegare il tuo GPO al Contenitore giusto

La creazione di un Oggetto Criteri di Gruppo (GPO) lo rende disponibile all'interno del dominio Active Directory in cui è stato creato. Affinché un GPO abbia effetto, è necessario collegarlo a uno o più contenitori, come i seguenti:

  • Sito: Se un GPO è collegato a livello di sito, le sue impostazioni influenzano tutti gli account utente e gli account computer in quel sito, indipendentemente dal dominio o dall'OU in cui si trovano.
  • Dominio: Se un GPO è collegato a livello di dominio, influisce su tutti gli utenti e i computer nel dominio, così come su tutte le OU sottostanti.
  • Unità organizzativa: Se un GPO è collegato al livello OU, influisce su tutti gli utenti o computer in quella OU e su tutte le OU sottostanti (che vengono chiamate OU figlie o sub-OU).

Un determinato oggetto Criteri di gruppo può essere collegato a più contenitori, anche a livelli diversi. E un dato contenitore può avere più di un GPO collegato; in quel caso, è possibile specificare l'ordine in cui i GPO vengono applicati.

Le impostazioni dei Criteri di gruppo vengono applicate nel seguente ordine: locale, sito, dominio e poi unità organizzativa (OU). Quest'ordine è importante perché le impostazioni di due GPO potrebbero essere in conflitto; ad esempio, una policy a livello di dominio potrebbe specificare un'impostazione, mentre una policy a livello di OU ne specifica un'altra. Il risultato è semplice: le impostazioni più in basso nella catena alimentare hanno la precedenza. In caso di conflitto, le impostazioni applicate per ultime hanno la precedenza. Nel nostro esempio, l'impostazione a livello di OU avrebbe la precedenza su quella a livello di dominio. Anche se ciò potrebbe sembrare controintuitivo, la chiave è ricordare che la regola con i Criteri di gruppo è "chi scrive per ultimo vince."

Configurazione delle Preferenze dei Criteri di Gruppo

Le Preferenze dei Criteri di Gruppo (GPPrefs) sono un insieme di estensioni lato client che ampliano la portata e le capacità dei Criteri di Gruppo. Non sono politiche, ma piuttosto impostazioni configurabili che gli amministratori possono gestire all'interno della Console di Gestione dei Criteri di Gruppo (GPMC). Le Preferenze dei Criteri di Gruppo ti permettono di distribuire configurazioni predefinite a computer e utenti senza imporle: gli utenti possono ancora modificare le impostazioni se necessario. Ad esempio, puoi:

  • Imposta una variabile d'ambiente che permette agli utenti di accedere a determinati file senza dover inserire il percorso completo ogni volta.
  • Copia i file da un server alla macchina di un utente.
  • Elimina il contenuto di una cartella specifica ogni giorno.
  • Invia determinate impostazioni del registro a tutte le macchine client.
  • Creare o eliminare condivisioni su workstation o server.
  • Crea collegamenti sul desktop.
  • Mappare le unità di rete.
  • Modifica le associazioni dei file.
  • Configura le connessioni VPN e dial-up.
  • Modifica le opzioni di alimentazione, come il tempo di attesa prima che il monitor vada in modalità standby.
  • Gestisci le stampanti condivise.
  • Imposta le attività pianificate.
  • Apporta modifiche al menu Start.

Le preferenze possono essere personalizzate con condizioni che controllano quando e come vengono applicate. A differenza di AD Group Policy, le Group Policy Preferences possono anche essere impostate per applicarsi solo a specifici utenti o dispositivi tramite il targeting a livello di elemento. Un dato GPO può contenere tante o poche di queste preferenze quanto necessario.

Netwrix semplifica gli oggetti Group Policy e la gestione.

Gestire Group Policy può essere complesso, ma configurarlo correttamente è fondamentale: un solo GPO configurato in modo errato può influire sulla sicurezza e interrompere la continuità operativa. Per garantire che tu possa impostare, gestire e monitorare queste impostazioni in modo affidabile, Netwrix offre una gamma completa di soluzioni per controllare Group Policy, tra cui:

  • Netwrix Endpoint Policy Manager semplifica la gestione delle Group Policy pulendo e consolidando i GPO. Ridurre il numero di oggetti gestiti aiuta a migliorare i tempi di accesso, rafforzare la sicurezza, aumentare il tempo di attività e minimizzare gli errori di configurazione.
  • Netwrix Auditor consente di individuare tempestivamente modifiche indesiderate agli oggetti di Criteri di gruppo in modo da poterle rimediare prima di subire una violazione o altri problemi. I suoi report predefiniti vanno ben oltre gli strumenti nativi, fornendo dettagli completi su ogni modifica, inclusi quale GPO è stato interessato, chi ha effettuato la modifica, quando è stata fatta, da quale postazione è originata e i valori precedenti e successivi.

Come esempio concreto dell'uso di questi strumenti, il rivenditore di elettronica automobilistica Crutchfield aveva bisogno di un modo più efficiente per gestire le applicazioni richieste dagli utenti interni, come il browser Firefox. Tuttavia, il team IT dell'azienda ha avuto difficoltà a garantire che questo software fosse installato e aggiornato secondo le migliori pratiche di sicurezza.

Con Endpoint Policy Manager distribuito sui 750 dispositivi di Crutchfield, la sicurezza delle applicazioni è diventata un processo automatizzato e semplificato, sostituendo le revisioni manuali su decine di dispositivi. Ora, il reparto IT di Crutchfield è prontamente in grado di accettare quasi ogni richiesta di onboarding di nuove applicazioni mantenendo comunque una solida postura di sicurezza.

Scopri di più su come Netwrix può aiutare la tua organizzazione a sviluppare e gestire Group Policy per una sicurezza efficace e pronta per l'audit.

Domande frequenti sulla Group Policy

Cos'è la Group Policy in Active Directory?

Group Policy è una funzionalità di Windows che consente la gestione centralizzata di computer e account utente. Active Directory Group Policy consente la gestione dell'intero ambiente, mentre Local Group Policy consente una gestione granulare dei vari utenti su una particolare macchina.

A qualsiasi livello, Group Policy può controllare elementi chiave del tuo server come le impostazioni di rete e firewall, i controlli di accesso ai file, i requisiti per le password o quali impostazioni possono essere modificate nel Pannello di Controllo. Questo consente agli amministratori di stabilire più rapidamente e facilmente protezioni efficaci su tutti i dispositivi pur consentendo agli utenti individuali di accedere ai file, alle impostazioni e alle applicazioni necessarie per svolgere le attività quotidiane.

Cos'è un Group Policy Object (GPO)?

Un Oggetto Criterio di Gruppo (GPO) è una raccolta di controlli dei Criteri di Gruppo che si riferiscono tutti allo stesso componente, come la Configurazione del Desktop o la Configurazione di Rete. I GPO vengono creati dagli amministratori come modo per organizzare in maniera più chiara ed efficace varie configurazioni e per dimostrare meglio lo scopo di ogni politica.

Cos'è la gestione dei criteri di gruppo?

La gestione delle Criteri di gruppo è uno strumento che consente agli amministratori di visualizzare, modificare ed eliminare le impostazioni dei Criteri di gruppo. La funzionalità fornisce un'interfaccia grafica attraverso la quale i professionisti della sicurezza possono gestire i GPO con la specificità necessaria, inclusa la gestione della Configurazione del computer e della Configurazione utente così come le Politiche e le Preferenze per entrambi. Lo strumento offre anche una funzione di backup pronta all'uso per i GPO per garantire meglio la continuità delle impostazioni in caso di guasto del sistema.

Cos'è la Windows Group Policy?

Windows Group Policy è un termine talvolta utilizzato per riferirsi alla local Group Policy, o a un insieme di policy che si applicano solo a un computer specifico. I controlli in una local Group Policy sono effettivamente identici a quelli trovati in Active Directory Group Policy e sono quindi meglio utilizzati per macchine che non sono connesse a un dominio o altrimenti inaccessibili da Active Directory. Si noti, tuttavia, che i controlli specifici per computer possono ancora essere attuati e fatti rispettare utilizzando AD Group Policy.

Perché le organizzazioni hanno bisogno di Group Policy?

Group Policy offre un metodo semplice per configurare le impostazioni degli utenti e dei computer su computer uniti a un dominio senza la necessità di configurare manualmente ogni computer. Impostando i controlli di sicurezza all'interno di Group Policy e organizzando tali protocolli in GPO, i professionisti della sicurezza ottengono una piattaforma centralizzata da cui possono monitorare e gestire in modo completo la sicurezza su tutta la rete. Poiché Group Policy consente anche l'aggiunta di regole estensive, eccezioni e clausole, facilita anche l'adozione sicura di nuove applicazioni e aiuta a garantire che tutti i dipendenti abbiano esattamente il livello di accesso di cui hanno bisogno per svolgere le responsabilità quotidiane.

Gli amministratori possono controllare gli aggiornamenti automatici tramite Group Policy?

È possibile abilitare gli aggiornamenti automatici dei Criteri di gruppo utilizzando l'Editor dei Criteri di gruppo, che include un'opzione per ricevere automaticamente aggiornamenti dai Windows Server Update Services (WSUS). Espandere Configurazione computer > Modelli amministrativi > Componenti di Windows, e poi cliccare su Windows Update. Nella finestra Configura Aggiornamenti Automatici , selezionare la casella di controllo Abilitato, e scegliere l'opzione preferita per il download e l'installazione degli aggiornamenti. Queste opzioni sono descritte in dettaglio nella sezione Aiuto a destra. Gli amministratori possono ulteriormente personalizzare il modo in cui si ricevono gli aggiornamenti specificando se gli utenti ricevono notifiche di aggiornamento, ogni quanto controllare la presenza di aggiornamenti, se la rete può accettare aggiornamenti firmati da entità diverse da Microsoft e altro ancora

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Jonathan Blackwell

Responsabile dello Sviluppo Software

Dal 2012, Jonathan Blackwell, ingegnere e innovatore, ha fornito una leadership ingegneristica che ha posizionato Netwrix GroupID all'avanguardia nella gestione di gruppi e utenti per ambienti Active Directory e Azure AD. La sua esperienza nello sviluppo, nel marketing e nelle vendite permette a Jonathan di comprendere appieno il mercato dell'Identity Management e il modo di pensare degli acquirenti.

Scopri di più su questo argomento

Creare utenti AD in massa e inviare le loro credenziali tramite PowerShell

Come creare, modificare e testare le password utilizzando PowerShell

Come aggiungere e rimuovere gruppi AD e oggetti nei gruppi con PowerShell

Fiducie in Active Directory

Attacchi ransomware di Active Directory

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza