Group Policy. È un servizio che quasi tutti gli amministratori di Windows conoscono. Ma cos’è Group Policy? Group Policy è un modo comune per applicare le impostazioni di configurazione, installare software, eseguire script e altro ancora su migliaia di computer connessi al dominio Active Directory (AD).
Estendi la funzionalità di Group Policy e semplifica la gestione delle politiche di password dettagliate. Indirizza qualsiasi livello di GPO, gruppo, utente o computer con impostazioni di dizionario e passphrase con Specops Password Policy. Provalo gratuitamente!
Group policy è composto da molti servizi e flussi di lavoro diversi. La maggior parte degli amministratori probabilmente non sa nemmeno come funziona internamente! In questo articolo, vogliamo cambiare questa situazione.
Se sei interessato a sapere cos’è Group Policy e come funziona, rimani sintonizzato perché non lasceremo nulla di intentato!
Cosa sono gli oggetti Group Policy (GPO)
I GPO sono il fulcro di Group Policy. I GPO sono politiche individuali che contengono molte impostazioni diverse da eseguire su un computer connesso al dominio.
In Windows 10/2019 Server ci sono oltre cinquemila impostazioni che coprono tutti gli aspetti rilevanti di Windows. Inoltre, è possibile importare altre impostazioni per applicazioni specifiche: Office, Microsoft Edge, Google Chrome, LAPS-E sono solo alcune di esse. È anche possibile crearne di proprie.
Pensa a una GPO come a una singola politica; è un manifesto che contiene istruzioni per eseguire compiti come impostare uno script di accesso, cambiare la scrivania di un utente, installare software e migliaia di altri compiti.
Active Directory memorizza le GPO nel database di Active Directory che vengono replicate tra i controller di dominio (DC).
Le GPO hanno due “categorie” di impostazioni; una per il computer e una per l’utente. Queste “categorie” definiscono come le impostazioni all’interno della GPO verranno applicate al computer. Ad esempio, se è necessario cambiare lo sfondo di un utente, queste sarebbero impostazioni utente. Se è necessario installare un software a livello di sistema, questa sarebbe un’impostazione del computer.
Dopo aver creato una GPO, viene quindi indirizzata quella GPO a un insieme di computer o utenti all’interno di un’OU. Il computer cerca periodicamente nuove GPO e applica tali impostazioni (ne parleremo più avanti).
Cos’è un modello di Group Policy
Se una GPO è il componente principale di Group Policy, il Modello di Group Policy (GPT) è il concetto successivo importante. Il GPT va di pari passo con la GPO.
Active Directory archivia le GPO in SYSVOL, che è una condivisione di file sui DC per distribuire i file. I GPT sono composti da impostazioni del registro, file di sicurezza, applicazioni, script e installatori, collegamenti, file XML, file grafici e così via, a seconda del tipo di impostazioni che si definiscono nella GPO corrispondente.
Gestire le Group Policy con GPMC
Le Group Policy sono controllate tramite la Group Policy Management Console (GPMC). Questa console è installata su tutti i controller di dominio e fa parte del Remote Server Administration Toolkit (RSAT). Il GPMC si connette al controller di dominio che detiene il ruolo di Primary Domain Controller Emulator (PDCe) per apportare modifiche alle Group Policy.
All’interno del GPMC è possibile creare e assegnare gli oggetti delle Group Policy (GPO) alle unità organizzative (OU) di Active Directory, ai siti di Active Directory e altro ancora.
Come funziona la replica delle Group Policy.
Come accennato in precedenza, GPO e GPT fanno parte di AD. Pertanto, fanno parte del processo di replica tipico di Active Directory.
A specific workflow kicks off when you create/update a new GPO and target it to an Active Directory OU.
- Una volta che una GPO viene modificata tramite GPMC, GPMC si connette a PDCe DC.
- Successivamente, GPMC crea o modifica la GPO all’interno dei database di Active Directory e crea/aggiorna la GPT in SYSVOL.
- Una volta modificati, la replica di AD prende il controllo e replica sia la GPO che la GPT al resto dei DC in base alla pianificazione di replica di AD. La replica di solito richiede fino a 5 minuti se il DC “locale” e il PDCE si trovano nello stesso sito o più tempo se si trovano in siti diversi.
I DC replicano anche le GPT in SYSVOL una volta create con il GPMC, ma lo fanno tramite un meccanismo di replica separato chiamato DFS-R. La pianificazione di replica per SYSVOL è la stessa della pianificazione di replica per il database di AD. Entrambi i componenti di una GP dovrebbero arrivare approssimativamente allo stesso tempo sul tuo DC locale.
Come vengono applicate le GPO
Quindi, GPMC ha creato la GPO/GPT e sono state replicate su tutti i DC dell’ambiente AD. E adesso? Adesso spetta al client verificare sul DC le nuove/politiche modificate.
I clienti si attengono al loro intervallo di aggiornamento della Policy di Gruppo definita. Questo è l’intervallo in cui controllano regolarmente le modifiche con il loro DC. Di default, l’intervallo di aggiornamento è impostato su 90 minuti, più un offset casuale tra 0 e 30 minuti.
Se un DC viene preso di mira da una policy, l’intervallo di aggiornamento di default è di soli cinque minuti.
Una volta scaduto l’intervallo di aggiornamento, il servizio Client Policy di Gruppo sul client controllerà con il DC la presenza di nuove o modificate policy. Se trovate, le scaricherà e inizierà ad eseguire le istruzioni sul computer client.
Il servizio Client Policy di Gruppo potrebbe non applicare immediatamente le nuove impostazioni. Alcune impostazioni non possono essere applicate immediatamente, ad esempio al successivo accesso, cartelle reindirizzate, dopo il riavvio successivo, ecc.
Ci sono GP che si applicano anche se non ci sono modifiche rispetto all’ultima volta in cui sono stati applicati. Un buon esempio sono le impostazioni di sicurezza, che vengono riapplicate all’avvio del computer e ogni 16 ore se il computer non è stato riavviato nel frattempo. Questo è importante: se qualcuno ha apportato modifiche a una configurazione di sicurezza specifica, queste verranno ripristinate al successivo aggiornamento (pensare alle porte del firewall aperte nel firewall di Windows, o ai membri aggiunti/rimossi dai Gruppi Limitati sul computer locale).
Altre impostazioni possono essere configurate per essere riapplicate anche se il GP non è cambiato. Puoi controllare il comportamento del client GP per un determinato tipo di impostazione tramite il registro o, come hai indovinato, tramite GP.
Imponi requisiti di conformità, blocca oltre 3 miliardi di password compromesse e aiuta gli utenti a creare password più sicure in Active Directory con un feedback dinamico per gli utenti finali. Contattaci oggi stesso per informazioni su Specops Password Policy!
Conclusion
Se ti sei mai chiesto “Cos’è il Group Policy?”, spero che questo tutorial abbia potuto rispondere a questa domanda. Il Group Policy è un sistema che esiste da molto tempo ed è ancora utilizzato oggi da migliaia di organizzazioni. È un elemento essenziale per molti che hanno bisogno di applicare modifiche nel proprio ambiente informatico Windows.
Se hai bisogno di apportare una modifica su uno, dieci o 1.000 computer connessi al dominio, assicurati di sapere cos’è il Group Policy.