Gestire gli oggetti di criteri di gruppo: Creare GPO, Collegare GPO e Modificare GPO

Se sei un professionista IT che lavora con Active Directory, puoi utilizzare Group Policy per configurare gli ambienti Windows dei computer degli utenti e dei server aziendali utilizzando gli Oggetti Group Policy (GPO). Tuttavia, la lotta per raggiungere un ambiente intuitivo e sicuro è reale. In questo articolo, spiegherò come creare un GPO e come collegarli, eliminarli e disabilitarli. Quando avremo finito, dovresti comprendere meglio le sfumature del meravigliosamente complesso mondo della Group Policy.

Lavorare con i GPO

Ci sono due modi per lavorare con i GPO: puoi utilizzare l’Editor della Policy di Gruppo Locale per regolare le policy su un computer locale o utilizzare la Console di Gestione delle Policy di Gruppo (GPMC) per lavorare nel tuo ambiente aziendale. Poiché le policy locali vengono elaborate per prime (prima delle policy di dominio) e per sostenere e progettare un ambiente robusto, ci concentreremo sullo scenario aziendale in questo articolo.

Installazione dello Strumento Group Policy RSAT

Il Console di gestione delle policy di gruppo fa parte del tradizionale Strumento di amministrazione del server remoto (RSAT). È uno strumento basato su MMC (Microsoft Management Console) che viene installato con l’app Impostazioni di Windows moderna in Windows. Ti mostrerò come installarlo di seguito.

Su un controller di dominio (DC), le impostazioni delle policy di gruppo sono memorizzate nella cartella condivisa ‘SYSVOL’ e replicate su tutti gli altri DC nel dominio (e foresta, se è stato configurato in questo modo). Questo descrive la ridondanza integrata dell’infrastruttura delle policy di gruppo.

Per mostrarti come installare lo strumento Console di gestione delle policy di gruppo, userò il mio laboratorio Hyper-V che esegue un dominio Active Directory Windows Server 2022. Ho effettuato l’accesso alla mia postazione di lavoro Windows 10 versione 22H2, quindi cominciamo:

• Innanzitutto, clicca sul pulsante Start e digita ‘ opzionale‘.

• Clicca su ‘ Gestisci funzionalità facoltative‘ e clicca sul pulsante ‘ + Aggiungi una funzionalità‘ in alto.
• Scorri verso il basso e metti un segno di spunta su ‘ RSAT: Strumenti di gestione delle policy di gruppo‘ e clicca Installa.

• Dopo che è completo, clicca su Start e apri ‘ Strumenti di amministrazione di Windows‘.
• Fai doppio clic su ‘ Gestione delle policy di gruppo‘.

Ora vediamo la console di gestione delle policy di gruppo. Qui, ti verrà presentata la struttura generale di come sono organizzate le policy di gruppo e come puoi indirizzare entità logiche specifiche nella tua organizzazione.

A questo punto, i professionisti IT, con la consulenza dei loro team di sicurezza e conformità, possono fare una qualsiasi delle seguenti azioni:

• Modificare le GPO esistenti
• Creare nuove GPO
• Modificare il filtraggio di specifiche GPO a livello di gruppo
• Usa il Filtro WMI per indirizzare computer specifici
• Utilizza la Modellazione delle Policy di Gruppo e i risultati per testare o eseguire scenari di “Cosa succederebbe se”

Successivamente, inizieremo creando una nuova GPO.

Crea GPO

Creiamo una nuova impostazione che dimostrerà come modificare i computer degli utenti in un altro modo.

• Prima, faremo clic con il tasto destro su ‘Computer Windows di Dominio‘ e faremo clic su ‘Crea una GPO in questo dominio e collegala qui…‘

• I will name it ‘Start Menu Cleanup‘ and click OK.

• Quindi, faremo clic con il tasto destro sulla nuova GPO e faremo clic su Modifica.

• Andiamo su Configurazione Computer -> Criteri -> Modelli Amministrativi -> Menu Start e Barra delle applicazioni.

• Qui, faremo doppio clic su Rimuovi e impedisce l’accesso ai comandi Arresta, Riavvia, Sospendi e Iberna.

• Dopo aver letto l’Aiuto, attiveremo Abilitato e faremo clic su OK.

Ora, sii avvisato, questa impostazione è ora attiva nell’ambiente. Ogni oggetto computer in quella OU vedrà queste impostazioni durante il prossimo aggiornamento. Per impostazione predefinita, i computer di dominio e i server elaboreranno la policy di gruppo ogni 90 minuti con uno scostamento casuale di 30 minuti. Tuttavia, durante i test (e la risoluzione dei problemi), il comando gpresult è il tuo amico.

Puoi anche forzare l’aggiornamento della policy di gruppo sul computer eseguendo il seguente comando gpupdate nel tuo terminale/shell preferito. Questo elaborerà tutti i cambiamenti della policy di gruppo per il computer e l’utente connesso. Lo switch ‘/force’ forza i cambiamenti senza richiesta di approvazione.

gpupdate /force

Ora, i cambiamenti sono stati elaborati. Permettimi di fare clic destro sul pulsante Start e andare al menu Arresta o disconnetti, e… funziona! Gli elementi che abbiamo impostato per rimuovere sono ora nascosti.

Questa modifica piuttosto semplice impedisce ai tuoi utenti di riavviare o spegnere i loro computer. Ovviamente, ci sono molte variabili e casi d’uso per impostazioni come questa. È ideale in alcune situazioni e doloroso in altre. Questo è l’equilibrio che attraverserai come professionista IT per decidere cosa funziona meglio per la tua organizzazione.

Collega GPO

Permettimi di mostrarti come collegare un GPO esistente a una posizione specifica in Active Directory. In una vita precedente, ho creato un GPO chiamato ‘Blocco sicurezza controller di dominio’. Le impostazioni in questo GPO contengono standard di conformità alla sicurezza per i controller di dominio secondo le linee guida della nostra azienda. Posso facilmente collegare queste nuove impostazioni ai DC nel mio dominio – reinders.local.

• Innanzitutto, faccio clic destro sull’OU Controller di dominio e seleziono Collega un GPO esistente.

• Successivamente, sceglierò Blocco sicurezza controller di dominio dalla lista e clicco su OK.

Ora puoi vedere che il GPO è collegato ai controller di dominio. La prossima volta che i nostri DC controllano gli aggiornamenti delle policy di gruppo, elaboreranno le impostazioni in quel GPO. Questa è la bellezza del controllo centralizzato che hai. Crea e crea un gruppo di impostazioni una volta, quindi distribuiscilo (collegalo) facilmente a un contenitore nel tuo ambiente. Sei fatto!

Modifica un GPO esistente

Diamo un’occhiata al mio dominio – reinders.local – e vediamo cosa abbiamo.

Questo è un laboratorio piuttosto di base, quasi primitivo. Nelle grandi imprese, non è raro scoprire centinaia o migliaia di GPO in un singolo dominio. La complessità dell’ereditarietà di alcuni GPO, utilizzando WMI per mirare a sistemi operativi specifici, gestendo GPO locali, unità organizzative figlio e criteri locali nel mix – tutto ciò può essere piuttosto scoraggiante.

A proposito, il semplice numero di GPO nel tuo dominio inizierà a determinare delle penalità sulle prestazioni complessive quando i computer si avviano e gli utenti effettuano l’accesso. Questo è probabilmente il più grande dibattito di oggi: Crei un mucchio di GPO e includi solo un’impostazione in ognuno di essi per facilità di gestione? Oppure crei un pugno di GPO con le modifiche delle tue politiche per ridurre i tempi di elaborazione? Questo potrebbe essere un articolo a sé stante!

Scopo del GPO

I previously installed Windows Server Update Services (WSUS) – there’s my GPO for the setup – ‘WSUS_Config_01’. If I click on it, you’ll see the scope defined.

La posizione è alla radice del dominio (reinders.local). Questo significa che, per impostazione predefinita, OGNI computer e oggetto server nel dominio vedrà e implementerà questo GPO. Di nuovo, ci sono modi per filtrare utenti specifici, computer, unità organizzative e gruppi di sicurezza. Più avanti su questo.

Qui, la sezione Filtraggio di sicurezza mostra il gruppo Utenti autenticati. Questo è quasi come dire ‘Tutti’: Qualsiasi account che si è autenticato al dominio vedrà questo GPO.

Filtraggio WMI

L’impostazione Filtraggio WMI qui sotto è dove puoi mirare a SKU specifici. Ad esempio, potresti mirare a un’installazione WSUS specifica per toccare solo i computer Windows 10 versione 21H2 e 22H2.

Modifica GPO

Lascia che ti mostri come modificare un GPO.

• Prima, fai clic con il pulsante destro del mouse sul GPO che desideri modificare e fai clic su ‘Modifica…‘

• A new window will open showing you the logical layout – Computer Configuration and User Configuration trees.
• Per individuare le impostazioni WSUS, espandi Configurazione computer -> Criteri -> Modelli amministrativi -> Componenti di Windows -> Aggiornamento di Windows.
• Qui, puoi vedere che ci sono due impostazioni ‘Abilitato’ o configurato. Apriamo Configura gli aggiornamenti automatici.

Questa è un’impostazione più complessa, ma capisci il concetto. Queste sono le impostazioni su come vengono applicati gli aggiornamenti di Windows al mio dominio. Piuttosto dettagliate, non trovi? Ma, il punto è che puoi gestire tutti i tuoi computer (o un sottoinsieme) centralmente qui.

Ecco un esempio di come le GPO “bloccano” le impostazioni sui computer. Hai notato l’opzione ‘Installare aggiornamenti per altri prodotti Microsoft‘ spuntata in basso? Se controllo Aggiornamento di Windows -> Opzioni avanzate su questa postazione di lavoro, nota che la prima impostazione, ‘Ricevi aggiornamenti per altri prodotti Microsoft quando aggiorni Windows’, è ora controllata dalla Group Policy. È contrassegnata come Attiva e è disattivata.

Questo è esattamente ciò che significa il testo “Alcune impostazioni sono gestite dalla tua organizzazione” in alto. Tecnicamente, indica che alcune Group Policy sono state applicate a questo computer e non puoi regolare l’impostazione.

Gestione delle GPO predefinite

Vengono create due GPO quando viene creato un nuovo dominio – ‘Policy predefinita del dominio’ e ‘Policy predefinita dei controller di dominio’. Al minimo, queste detteranno le politiche sulla password del dominio, le politiche di blocco dell’account, le politiche di Kerberos, le opzioni di sicurezza di base e altre opzioni di sicurezza di rete.

Da decenni si sostiene fermamente che, come professionista IT, NON dovresti modificare queste 2 politiche – dovresti invece creare nuove GPO. Ci sono diverse ragioni per questo, ma credo che la più fondamentale sia che, quando risolvi i problemi nel tuo dominio, sai che questa configurazione predefinita non è stata modificata.

Questa è spesso la prima domanda posta dal Supporto Tecnico di Microsoft quando ho lavorato con loro nel corso degli anni su problemi relativi ad Active Directory/Group Policy. Conoscono quelle impostazioni di base e devono partire da lì, dal fondo dell’oceano, per assicurarsi che la loro base intrinseca sia accurata.

Quindi, questa è anche la mia raccomandazione su come gestire i GPO predefiniti – NON FARLO!

Disabilita un GPO

Se vuoi disabilitare un GPO e impedire che le sue impostazioni si applichino ai computer futuri, basta fare clic con il tasto destro del mouse sul GPO e fare clic su Abilita collegamento. Ciò rimuoverà il collegamento e imposterà il GPO in uno stato “dormiente”.

Elimina un GPO

Se stai eseguendo una pulizia e/o risoluzione dei problemi, puoi eliminare un GPO facendo clic con il tasto destro del mouse su di esso e cliccando su Elimina. Per essere approfonditi ed efficienti, ti consiglio di andare alla visualizzazione Oggetti criteri di gruppo nell’albero e eliminarlo da lì.

Conclusioni

Implementare i criteri di gruppo è ingannevolmente semplice… all’inizio. È piuttosto facile organizzare la tua infrastruttura degli Oggetti criteri di gruppo. Confermare, convalidare e successivamente risolvere il motivo per cui le installazioni di Office di computer specifici si aggiornano da sole e altre richiedono l’intervento dell’utente… ecco dove comincia il divertimento.

Tutto sommato, la morale della storia è piuttosto semplice: Testa, testa, testa! Più puoi convalidare e ottenere la conformità fin dall’inizio, più efficiente e snella sarà la tua infrastruttura. Più facile per la risoluzione dei problemi e l’abilitazione di nuove policy.

Si prega di lasciare un commento qui sotto se avete domande!