Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Guida definitiva alla Group Policy Management in Active Directory

Guida definitiva alla Group Policy Management in Active Directory

Apr 16, 2024

Introduzione alla Group Policy Management

Group Policy è una funzionalità dei sistemi operativi Microsoft Windows che aiuta gli amministratori a gestire e proteggere utenti e computer in ambienti Active Directory. Le impostazioni di Group Policy settings sono raggruppate in oggetti Group Policy (GPOs) e applicate agli oggetti computer e utente nell'ambito del GPO.

Ad esempio, gli oggetti Criteri di gruppo possono essere utilizzati per gestire:

  • Configurazioni, come impostazioni del desktop, script di avvio e script di accesso/disconnessione
  • Sicurezza, inclusi i criteri di password di Active Directory (AD) policies di blocco account, impostazioni del firewall
  • Access to network resources like shared folders, printers and applications
  • Distribuzione del software, inclusa l'installazione del software su macchine selezionate e la pianificazione di patch e aggiornamenti.

Questa guida spiega gli elementi chiave della gestione di Group Policy.

Strumento di gestione dei criteri di gruppo

Per gestire i GPO, gli amministratori utilizzano la Console di Gestione Criteri di Gruppo (GPMC). È possibile accedere a questo editor di Criteri di Gruppo del dominio dal menu Strumenti di Windows Server Manager.

È possibile visualizzare tutti i GPO in un dominio facendo clic sul contenitore degli oggetti Criteri di gruppo nel riquadro sinistro della console di gestione dei criteri di gruppo. Qui sotto, puoi vedere che il dominio AD domain ad.contoso.com ha un solo GPO, Default Domain Policy:

Image

La Console di Gestione Criteri di Gruppo include un Editor di Criteri di Gruppo, come mostrato qui:

Image

Tipi di impostazioni dei criteri di gruppo

Il pannello sinistro dello screenshot sottostante mostra i tipi di impostazioni in un GPO:

Image

Come puoi vedere, ci sono due categorie principali: Computer Configuration e User Configuration.

Ognuno di questi ha delle Policies e delle Preferences, che puoi espandere per configurare:

  • Impostazioni del software
  • Impostazioni di Windows
  • Modelli amministrativi

Politiche vs Preferenze

Le policy e le preferenze possono essere entrambe utilizzate per gestire le impostazioni degli oggetti computer e utente di Active Directory. La differenza principale è la seguente:

  • Le policy non possono essere modificate dagli utenti. Di conseguenza, le impostazioni relative alla sicurezza e alla conformità normativa dovrebbero essere effettuate nelle policy. Esempi includono le policy delle password, le policy di blocco account, le policy dei firewall e le policy di restrizione del software.
  • Le preferenze possono essere modificate dagli utenti, quindi dovrebbero essere utilizzate solo per le impostazioni dell'esperienza utente e dell'ambiente. Ad esempio, potresti fornire un insieme standard di unità di rete mappate, stampanti o collegamenti sul desktop, ma stabilirli tramite le Preferenze permetterà agli utenti di adattarli alle proprie esigenze.

Installazione della console di gestione Criteri di gruppo su Windows Server

Per installare la Console di Gestione Criteri di Gruppo su Windows Server, segui questi passaggi:

  • Avvia Server Manager facendo clic sul menu Start e selezionando Server Manager.
  • In Server Manager, fai clic su Manage dal menu in alto e poi seleziona Add Roles and Features.
Image
  • Scegli l'installazione basata sui ruoli o sulle funzionalità e fai clic su Avanti.
Image
  • Seleziona il server dove vuoi installare GPMC e clicca su Avanti.
Image
  • Nella pagina “Select Server Roles” clicca su Next, poiché non stiamo aggiungendo un ruolo.
  • Scorri verso il basso, trova “Group Policy Management” e seleziona la casella accanto.
Image
  • Fai clic su “Avanti” per qualsiasi messaggio di conferma una volta completata l'installazione. Fai clic su “Chiudi” per uscire dalla procedura guidata.
Image

Installazione della Console di Gestione Criteri di Gruppo su Windows

Se stai utilizzando la versione 1809 di Windows 10 o successive, puoi installare GPMC utilizzando l'app Impostazioni:

  1. Apri Impostazioni premendo WIN+I.
  2. Cerca funzionalità opzionali.
  3. Fai clic + Aggiungi una funzionalità.
  4. Clicca su RSAT: Group Policy Management Tools e poi clicca su Installa.
Image

Se stai utilizzando una versione più vecchia di Windows, dovrai scaricare la versione corretta di RSAT dal sito web di Microsoft.

Come creare un GPO

Per creare un nuovo oggetto Criteri di gruppo:

• Apri Server Manager, fai clic su Tools nell'angolo in alto a destra e seleziona Group Policy Management dal menu a discesa.

Image
  • Nella Console di gestione Criteri di gruppo, espandere la foresta e il dominio dove si desidera collegare l'oggetto Criteri di gruppo (GPO).
  • Fare clic con il pulsante destro del mouse sull'OU, dominio o sito dove si desidera collegare il GPO e selezionare l'opzione corrispondente Crea, come Crea un GPO in questo dominio e collegarlo qui...
Image

• Inserisci un nome descrittivo per il nuovo GPO e clicca su OK.

Image

Come modificare un GPO

Per modificare Criteri di gruppo nella Console di gestione Criteri di gruppo, seguire i seguenti passaggi:

  • Espandi la foresta e il dominio a cui appartiene il GPO.
  • Naviga all'OU, dominio o sito dove è collegato il GPO.
  • Fare clic con il pulsante destro del mouse sul GPO che si desidera modificare e selezionare Modifica.
Image
  • Nell'Editor di Gestione Criteri di Gruppo, fai doppio clic sull'impostazione della policy desiderata e modificala secondo le tue esigenze.

Le impostazioni del computer vengono applicate all'avvio di Windows, e le impostazioni utente vengono utilizzate quando un utente effettua l'accesso. L'elaborazione in background dei Criteri di gruppo applica le impostazioni periodicamente se è stato modificato un Oggetto Criteri di Gruppo (GPO).

Come collegare un GPO

Per avere effetto, un GPO deve essere collegato ad almeno un contenitore di Active Directory, come un'OU, un dominio o un sito. Per collegare un GPO, seguire i seguenti passaggi:

  • Nella console di gestione Criteri di gruppo, espandi la foresta e il dominio dove desideri collegare l'oggetto Criteri di gruppo (GPO).
  • Fare clic con il pulsante destro del mouse sull'OU, dominio o sito dove si desidera collegare il GPO e selezionare Link an Existing GPO.
Image

• Scegli il GPO che vuoi collegare dall'elenco dei GPO disponibili e fai clic su OK.

Image

Come abilitare o disabilitare un collegamento GPO

Quando un collegamento GPO è disabilitato, le sue impostazioni non verranno applicate agli oggetti nel contenitore collegato. Ecco come abilitare o disabilitare un collegamento GPO:

  • Nella console di gestione Criteri di gruppo, espandere la foresta e il dominio di Active Directory a cui appartiene il GPO collegato.
  • Espandere il contenitore in cui è collegato il GPO e fare clic con il tasto destro sul GPO.
  • Nel menu contestuale, seleziona Link Enabled per attivare il collegamento o deselezionalo per disattivarlo.
Image

Come importare le impostazioni GPO

È possibile configurare un GPO importando le impostazioni da un GPO di backup o da un file modello. Ecco come si fa:

  • Nella Console di Gestione Criteri di Gruppo, naviga verso l'OU, dominio o sito con il GPO in cui desideri importare le impostazioni.
  • Fai clic con il pulsante destro del mouse sul GPO di destinazione e seleziona Importa impostazioni…
  • Scegli il file di backup o template (.admx o .adml) contenente le impostazioni GPO desiderate e clicca su Open.
  • Poiché le posizioni di backup possono contenere più GPO, seleziona quello da cui desideri importare le impostazioni.
Image
  • Fai clic su Next due volte, controlla il riepilogo e fai clic su Finish per completare il processo di importazione.
Image

Ereditarietà e precedenza dei GPO

L'ereditarietà e la precedenza dei Criteri di gruppo determinano come gli oggetti Criteri di gruppo vengono applicati agli oggetti.

Ereditarietà

L'ereditarietà dei Criteri di gruppo segue la struttura gerarchica dei domini AD e delle OU. I criteri a livello di dominio si applicano a tutti gli oggetti (utenti, computer, gruppi) nel dominio. I criteri a livello di OU si applicano agli oggetti all'interno di una specifica OU. I criteri applicati a un livello superiore nella gerarchia vengono ereditati dagli oggetti figli, quindi i GPO a livello di dominio sono ereditati da tutte le OU nel dominio, e una politica collegata a una OU viene ereditata da tutte le sub-OU annidate sotto quella OU.

Tuttavia, è possibile utilizzare l'impostazione Blocca Ereditarietà su un sito, dominio o OU per impedire l'applicazione degli oggetti GPO collegati agli oggetti padre agli oggetti figlio. Impostare il flag Enforced su singoli GPO ha la precedenza sull'impostazione Blocca Ereditarietà.

Per visualizzare i GPO che un oggetto eredita dagli oggetti genitori, clicca sull'oggetto in GPMC e vai alla scheda Group Policy Inheritance.

Precedenza

Un dato dominio, sito o OU può avere più GPO collegati ad esso, e tali policy potrebbero avere impostazioni in conflitto. La precedenza delle Group Policy controlla l'ordine in cui i GPO vengono applicati e quindi quale impostazione ha effetto. Più tardi un GPO viene applicato nella sequenza, maggiore è la sua precedenza.

L'ordine in cui vengono applicate le politiche è il seguente:

  • Criteri di Gruppo Locale
  • Criteri di gruppo a livello di sito
  • Criteri di gruppo a livello di dominio
  • GPO a livello di OU

Per visualizzare i GPO collegati a un oggetto, clicca sull'oggetto in GPMC e vai alla scheda Linked Group Policy Objects. I GPO con un numero di Link Order più alto hanno la priorità su quelli con un numero inferiore. Puoi cambiare il numero di Link Order cliccando su un GPO e utilizzando le frecce a sinistra per spostarlo su o giù.

Image

Estensibilità dei Criteri di Gruppo

È possibile estendere le funzionalità di Group Policy integrando funzionalità aggiuntive, impostazioni personalizzate o componenti di terze parti. Ecco alcuni aspetti dell'estensibilità di Group Policy:

  • Modelli amministrativi (file .admx) — Gli amministratori possono creare modelli personalizzati per gestire impostazioni aggiuntive o configurare criteri personalizzati.
  • Preferenze di Criteri di Gruppo Personalizzate — Puoi creare elementi di Preferenza personalizzati utilizzando file XML o script. Questi ti permettono di gestire cose come unità mappate, stampanti, impostazioni del registro, file e collegamenti sui computer client.
  • Estensioni client delle Criteri di gruppo (CSE) — Puoi creare CSE personalizzate per aggiungere impostazioni extra, criteri o compiti di gestione.
  • Filtri dei Criteri di gruppo e filtri WMI — È possibile creare filtri per indirizzare le impostazioni dei Group Policy in base a criteri specifici, come attributi utente o computer.
  • Strumenti di Group Policy di terze parti — Le soluzioni di terze parti offrono capacità di gestione aggiuntive, funzionalità di reporting, strumenti di auditing e modelli di policy.

Eseguire il backup dei GPO

Create regolari backup dei vostri GPO per assicurarvi di avere una copia recente in caso di cancellazione accidentale o malevola, corruzione o cattiva configurazione. Dovreste anche eseguire il backup dei GPO dopo aver apportato modifiche significative o prima di eseguire operazioni di manutenzione che potrebbero influenzare le impostazioni di Group Policy.

Stabilire una posizione centralizzata per l'archiviazione dei backup dei GPO per garantire un facile accesso e gestione. Prendere in considerazione l'organizzazione dei file di backup per dominio, data o scopo per facilitare il recupero e il ripristino. Utilizzare convenzioni di denominazione descrittive o metadati per identificare le versioni di backup e le modifiche associate. Implementare pratiche di controllo delle versioni per tracciare le modifiche ai GPO nel tempo e mantenere una cronologia dei backup.

Modellazione delle modifiche alle impostazioni dei criteri di gruppo

La modellazione delle Criteri di gruppo è una funzionalità di GPMC che consente agli amministratori di simulare il comportamento delle impostazioni dei Criteri di gruppo per utenti e computer in un ambiente Active Directory. Fornisce un modo per prevedere il risultato dell'applicazione di specifiche impostazioni dei Criteri di gruppo senza implementarle.

Advanced Group Policy Management

Advanced Group Policy Management (AGPM) è un componente del Microsoft Desktop Optimization Pack (MDOP) che migliora la gestione, la delega, il controllo delle versioni e l'audit degli oggetti Group Policy.

A differenza di GPMC, AGPM è un'applicazione client/server. Il componente server memorizza i GPO e la loro cronologia offline. I GPO gestiti da AGPM sono chiamati GPO controllati. Gli amministratori possono effettuare il check-in e il check-out, similmente a come si gestiscono file o codice su GitHub o un sistema di gestione documentale.

AGPM offre un maggiore controllo sui GPO rispetto a GPMC. Oltre al controllo delle versioni, è possibile assegnare ruoli come Revisore, Editore e Approvatore agli amministratori dei Group Policy. Questo facilita un rigido controllo delle modifiche durante l'intero ciclo di vita del GPO. L'audit di AGPM fornisce anche una visione più approfondita delle modifiche nella Group Policy.

Come Netwrix può aiutare

Netwrix Auditor estende la tradizionale gestione dei Group Policy con funzionalità avanzate di visibilità, auditing, controllo delle modifiche e reporting che migliorano la sicurezza e la conformità. Ad esempio, gli amministratori ottengono una visione dettagliata di cosa è stato modificato, chi lo ha modificato e quando è avvenuta l'azione. Da un'interfaccia intuitiva, possono facilmente confrontare diverse versioni di GPO, identificare modifiche specifiche e persino annullare modifiche indesiderate.

Questa maggiore trasparenza consente agli amministratori di assicurare che le impostazioni dei Criteri di gruppo siano in linea con le politiche organizzative, gli standard di sicurezza e i requisiti normativi. Integrando Netwrix Auditor nella loro strategia di gestione dei Criteri di gruppo, le organizzazioni possono ottenere un'infrastruttura IT più sicura, conforme e gestita in modo efficiente.

Domande Frequenti

Cos'è la gestione di Active Directory Group Policy?

Group Policy è una funzionalità di Active Directory che consente agli amministratori di controllare le impostazioni di configurazione di utenti e computer. La gestione di Group Policy è il processo di creazione e mantenimento delle impostazioni di Group Policy che impongono la sicurezza, distribuiscono software, gestiscono configurazioni desktop e altro.

Come si apre la console di gestione delle Criteri di gruppo?

Per aprire la console di gestione delle Criteri di gruppo di Active Directory:

  1. Premi il tasto Windows + R sulla tua tastiera.
  2. Nella finestra di dialogo Esegui che appare, digitare gpmc. msc e premere Invio oppure fare clic su OK.

Come posso installare la Console di Gestione Criteri di Gruppo?

Per installare GPMC su un server Windows, segui questi passaggi:

  1. Avvia Server Manager. Di solito lo trovi nella barra delle applicazioni, oppure puoi localizzarlo nel menu Start.
  2. In Server Manager, fai clic su Manage nell'angolo in alto a destra e poi seleziona Add Roles and Features.
  3. Nella schermata “Prima di iniziare”, clicca su Next.
  4. Nella schermata “Seleziona il tipo di installazione”, scegli Role-based or feature-based installation e poi clicca su Next.
  5. Seleziona il server dove vuoi installare la funzionalità GPMC e fai clic su Avanti.
  6. Nella schermata “Seleziona funzionalità”, spunta la casella accanto a Group Policy Management. Clicca su Avanti.
  7. Rivedi le tue selezioni e fai clic su Install.
  8. Attendere il completamento del processo di installazione. Una volta visualizzato un messaggio di conferma, chiudere Server Manager.

Quali utenti ricevono automaticamente i permessi per eseguire compiti di gestione dei Group Policy?

Il gruppo Group Policy Creator Owners viene creato automaticamente quando viene creato un forest di Active Directory. I membri del gruppo possono creare, modificare e gestire oggetti Group Policy a livello di dominio. Questo gruppo è tipicamente utilizzato quando gli amministratori desiderano delegare il controllo su Group Policy senza concedere pieni privilegi amministrativi. Per impostazione predefinita, solo l'amministratore del dominio è membro di questo gruppo.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Russell Smith

Consulente IT

Consulente IT e autore specializzato in tecnologie di gestione e sicurezza. Russell ha più di 15 anni di esperienza nel settore IT, ha scritto un libro sulla sicurezza di Windows e ha coautore di un testo per la serie Microsoft’s Official Academic Course (MOAC).

Scopri di più su questo argomento

Creare utenti AD in massa e inviare le loro credenziali tramite PowerShell

Come creare, modificare e testare le password utilizzando PowerShell

Come aggiungere e rimuovere gruppi AD e oggetti nei gruppi con PowerShell

Fiducie in Active Directory

Attacchi ransomware di Active Directory

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza