Gestire una rete non è sempre un’operazione così banale. Abbiamo già visto diversi strumenti a supporto dei diversi ruoli o funzionalità ma, dal punto di vista di un amministratore di rete, dobbiamo capire come si possono gestire i diversi utenti e computer all’interno della stessa rete.
Le Group Policy o criteri di gruppo rappresentano esattamente lo strumento che consente di gestire in maniera centralizzata la configurazione relativa a utenti e computer in quegli ambienti di rete basati su Active Directory.
Il concetto di criteri di gruppo può essere applicato anche a quei client che non appartengono al dominio, ma chiaramente questo comporta la perdita dei vantaggi annessi alla centralizzazione della gestione e configurazione degli stessi.
Group Policy Management Console (GPMC)
Ci sono due aree principali di applicazione dei criteri di gruppo: user setting e computer setting. Ambedue influenzano delle sezioni del registro di sistema sul sistema operativo dove vengono applicate. Tutti gli aspetti delle Group Policy possono essere gestiti tramite la relativa console: la Group Policy Management Console (GPMC). Possiamo richiamare la console direttamente dal Server Manager del server Domain Controller cliccando sullo snap-in Gestione dei Criteri di Gruppo sotto il menu Strumenti.
Lo strumento che ci troviamo innanzi ci consentirà di andare a gestire e configurare tutte le policy di interesse per i nostri utenti e i nostri computer presenti sulla rete.
L’oggetto a grana più fine che possiamo trovare all’interno di questo strumento è il singolo Criterio, un “documento” nel quale sono espletate tutte le singole configurazioni da applicare agli altri oggetti del dominio, quali computer e utenti. Nella console di Gestione Criteri di Gruppo possiamo creare oggetti, cancellarli, spostarli ed esplorare i diversi insiemi esattamente come facciamo con Esplora Risorse.
Configurare le Group Policy
Nel momento della creazione di un singolo criterio possiamo, sia nel caso degli utenti sia nel caso dei computer, andare ad agire su specifiche aree:
- Impostazioni del software
- Impostazioni di Windows
- Modelli Amministrativi
In ognuna di queste aree possiamo andare a gestire migliaia di configurazioni diverse, la maggior parte di questi si possono trovare in tre stati distinti e mutuamente esclusivi:
- Non configurato (stato di default)
- Attivata
- Disattivata
Ereditarietà della policy
Un concetto importante da definire nella gestione dei criteri di gruppo è l’ereditarietà. La creazione di un oggetto ad un particolare livello dell’albero del dominio implica che le policy da esso specificate siano applicate a tutti gli oggetti compresi o discendenti da quel livello.
Se per esempio una policy è creata a livello del dominio, tutti gli oggetti ivi contenuti saranno affetti da quella policy.
Una nota importante e doverosa è dovuta all’applicazione di policy che possono essere in contrasto tra di loro a diversi livelli dell’albero del dominio. In questi casi bisogna rifarsi al motore di applicazione delle group policy secondo il quale l’ordine di precedenza nell’applicazione delle stesse è:
- Sito
- Dominio
- Unità Organizzativa
- Sotto unità organizzative figlie
In altre parole a parità di impostazione la regola che “vince” è quella più stringente: le unità organizzative figlie hanno una precedenza rispetto al genitore.
Per comprendere meglio questo possiamo pensare al seguente scenario. A livello di dominio nessun utente può accedere al pannello di controllo e alle sue impostazioni. Esiste una unità organizzativa, che chiameremo ITStaff, nella quale sono presenti tutti gli utenti che dovranno avere il potere di bypassare questa regola. Per questa unità organizzativa verrà creata una regola che esplicitamente autorizza gli utenti a vedere il contenuto del pannello di controllo.
Come creare una policy di gruppo
Fin qui abbiamo appreso che esistono degli oggetti criteri di gruppo amministrabili dalla console Gestione Criteri di Gruppo e che tra essi esiste una gerarchia secondo cui vengono stabilite delle precedenze di applicazione delle policy.
Dobbiamo ora capire come si crea una policy e qual è lo strumento da usare in questo processo. Per capire fino a fondo questo processo andiamo ad aprire una policy già esistente e cerchiamo anzitutto di capire cosa fa e come si modifica.
Scegliamo e clicchiamo, dalla console Gestione Criteri di Gruppo, la policy Default Domain Policy che viene creata contestualmente alla creazione di un dominio. Dalla scheda Impostazioni possiamo andare a vedere i singoli criteri che sono attivati o meno in questa policy, come le policy sulle password, sul blocco account e così via.
Tutte queste operazioni sono fatte sempre dalla stessa console, ma qualora dovessimo creare una nuova policy, o modificarne una esistente, dobbiamo usare l’Editor Gestione Criteri di Gruppo richiamabile, per esempio, cliccando con il destro del mouse su una policy e scegliendo dal menu la voce Modifica.
Come accennato precedentemente in questa console possiamo prendere visione di due livelli principali:
- Configurazione Computer : contiene tutte le impostazioni che vengono applicate a livello del computer
- Configurazione Utente : contiene le impostazioni che vengono applicate a livello utente.
In ognuna di queste due macro aree possiamo andare sui diversi Criteri o Policy o Preferenze. Nei primi, come avevamo poc’anzi detto, le impostazioni saranno applicate con dei criteri di gruppo su tre aree di interesse:
- Impostazioni del software
- Impostazioni di Windows
- Modelli Amministrativi
Preferenze in Gestione Criteri di Gruppo
Per quanto concerne invece le Preferenze, in queste cartelle troviamo tutte le impostazioni che possono essere applicate al registro di sistema. Queste preferenze ci consentono di espandere le potenzialità introdotte dalle group policy con delle impostazioni più granulari e mirate a specifiche esigenze. Potremmo pensare, ad esempio, di creare un oggetto policy nel quale andiamo ad impostare le impostazioni di risparmio energetico.
Per fare ciò creiamo dal menu Azione della console Gestione Criteri di Gruppo un oggetto Criteri di gruppo in questo dominio …
Diamo il nome al GPO (Group Policy Object) che vogliamo creare:
E cliccando con il destro del mouse sulla policy appena creata andiamo a modificarne le impostazioni.
Focalizziamo bene quanto vogliamo fare: vogliamo impostare la preferenza a livello di tutti i computer appartenenti al dominio per quanto concerne il risparmio energetico. Scegliamo quindi dalle varie cartelle l’opzione di Opzioni risparmio energia sotto Configurazione Computer / Preferenze / Impostazioni del Pannello di Controllo:
Creiamo una nuova combinazione di risparmio energia dedicata a Windows 7 che influenzerà tutti i nostri client il cui sistema operativo è superiore o uguale a Windows 7.
Impostiamo le opzioni desiderate, nel nostro caso abbiamo impostato le prestazioni elevate e la disattivazione del monitor dopo 5 minuti sia che il pc sia alimentato a batteria che rete elettrica e salviamo tutto.
A questo punto, tornando alla schermata della gestione dei criteri di gruppo troviamo la nostra preferenza impostata per la policy creata.
A questo è legittimo chiedersi: quando verranno applicati i criteri che abbiamo creato?. La risposta dipende soprattutto dalla natura del criterio stesso, se le impostazioni sono legate al computer allora questi criteri vengono applicati all’avio di Windows altrimenti, nel caso di impostazioni a livello utente, le impostazioni vengono applicate non appena questi effettua l’accesso.
Bisogna anche specificare che, per garantire l’applicazione dei nuovi criteri, anche in ambienti già in esercizio, esistono degli aggiornamenti automatici secondo i quali, nel caso standard, ogni 90 minuti vengono aggiornati tutti i client del dominio; per cui se facciamo delle modifiche ai nostri criteri possiamo esser sicuri che entro 90 minuti queste vengano applicate indipendentemente che venga ri-effettuato l’accesso al pc o il riavvio dello stesso.
Aggiornamento dei client
Altri due aspetti da considerare nella gestione dei criteri di gruppo:
- Collegamento di un criterio di gruppo
- Aggiornamento dei client
Per quanto concerne il primo punto in generale, come abbiamo visto, un criterio di gruppo ha un ambito di applicazione all’interno dell’albero del dominio. Un criterio può trovare la sua applicazione rispetto ad un sito, un dominio, un unità organizzativa o un figlio di questa. Dall’albero presente in Gestione Criteri di Gruppo possiamo così scegliere uno dei livelli interessati e, cliccando con il destro del mouse, scegliere di collegare un oggetto criteri di gruppo esistente.
Dalla finestra che compare scegliamo quale GPO vogliamo applicare e collegare all’unità in interesse.
A questo punto, sotto l’unità organizzativa scelta, troveremo collegata anche la GPO precedetemente selezionata.
Forzatura delle group policy
L’ultima nota riguarda la forzatura di applicazione delle policy sui computer client. Non sempre è possibile aspettare i 90 minuti di applicazione automatica delle policy pertanto possiamo usare un sistema di aggiornamento manuale che obbliga i client ad aggiornare i criteri di gruppo.
Andando sul client possiamo aprire una console a riga di comando e successivamente forzare l’aggiornamento digitando gpupdate /force obbligando così il sistema a prendere tutte le policy comprese quelle non aggiornate di recente.