Che cos'è Criteri di gruppo?
Criteri di gruppo è uno strumento disponibile per gli amministratori che eseguono un dominio Active Directory Windows 2000 o successivo . Consente la gestione centralizzata delle impostazioni su computer client e server uniti al dominio, oltre a fornire un modo rudimentale di distribuire software.
Le impostazioni sono raggruppate in oggetti chiamati oggetti Criteri di gruppo (GPO). Gli oggetti Criteri di gruppo sono collegati a un'unità organizzativa (OU) di Active Directory e possono essere applicati a utenti e computer. Gli oggetti Criteri di gruppo non possono essere applicati direttamente ai gruppi, sebbene sia possibile utilizzare il filtro di sicurezza o il targeting a livello di elemento per filtrare l'applicazione della politica in base all'appartenenza al gruppo.
È bello, cosa può fare?
Nulla.
Seriamente, puoi fare tutto ciò che vuoi agli utenti o ai computer nel tuo dominio. Esistono centinaia di impostazioni predefinite per cose come il reindirizzamento delle cartelle, la complessità della password, le impostazioni di risparmio energia, i mapping dell'unità, la crittografia dell'unità, Windows Update e così via. Tutto ciò che non è possibile configurare tramite un'impostazione predefinita che è possibile controllare tramite script. Gli script Batch e VBScript sono supportati su tutti i client supportati e gli script PowerShell possono essere eseguiti su host Windows 7.
Suggerimento professionale: puoi effettivamente eseguire script di avvio di PowerShell su host Windows XP e Windows Vista, purché abbiano installato PowerShell 2.0. È possibile creare un file batch che chiama lo script con questa sintassi:
powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted
La prima riga consente l'esecuzione di script non firmati da condivisioni remote su quell'host e la seconda riga chiama lo script dal file batch. La terza riga imposta il criterio su limitato (impostazione predefinita) per la massima sicurezza.
Come vengono applicati gli oggetti Criteri di gruppo?
Gli oggetti Criteri di gruppo vengono applicati in un ordine prevedibile. Le politiche locali vengono applicate per prime. Esistono politiche impostate sul computer locale tramite gpedit.msc. Le politiche del sito vengono applicate in secondo luogo. I criteri di dominio vengono applicati in terzo luogo e i criteri OU vengono applicati in quarto luogo. Se un oggetto è nidificato all'interno di più unità organizzative, gli oggetti Criteri di gruppo vengono applicati prima nelle unità organizzative più vicine alla radice.
Tenere presente che in caso di conflitto, l' ultimo oggetto Criteri di gruppo applicato "vince". Ciò significa, ad esempio, che la politica collegata all'unità organizzativa in cui risiede un computer vincerà se si verifica un conflitto tra un'impostazione in quell'oggetto Criteri di gruppo e una collegata in un'unità organizzativa principale.
Gli script di accesso e di avvio sembrano interessanti, come funzionano?
Uno script di accesso o di avvio può risiedere su qualsiasi condivisione di rete purché i gruppi Domain Users
e Domain Computers
abbiano accesso in lettura alla condivisione in cui si trovano. Tradizionalmente, risiedono \\domain.tld\sysvol
, ma questo non è un requisito.
Gli script di avvio vengono eseguiti all'avvio del computer. Vengono eseguiti come account SYSTEM sul computer locale. Ciò significa che accedono alle risorse di rete come account del computer. Ad esempio, se si voleva uno script di avvio di avere accesso a una risorsa di rete in una condivisione che ha l'UNC del \\server01\share1
e il nome del computer era WORKSTATION01
si avrebbe bisogno di fare in modo che WORKSTATION01$
ha avuto accesso a tale condivisione. Poiché questo script viene eseguito come sistema, può fare cose come installare software, modificare sezioni privilegiate del registro e modificare la maggior parte dei file sul computer locale.
Gli script di accesso vengono eseguiti nel contesto di sicurezza dell'utente connesso localmente. Si spera che i tuoi utenti non siano amministratori, quindi ciò significa che non sarai in grado di utilizzarli per installare software o modificare le impostazioni di registro protette.
Gli script di accesso e di avvio sono stati una pietra miliare di Windows 2003 e domini precedenti, ma la loro utilità è stata ridotta nelle versioni successive di Windows Server. Preferenze di Criteri di gruppo offre agli amministratori un modo molto migliore di gestire mappature di unità e stampanti, collegamenti, file, voci di registro, appartenenza a gruppi locali e molte altre cose che possono essere eseguite solo in uno script di avvio o di accesso. Se stai pensando che potrebbe essere necessario utilizzare uno script per un'attività semplice, è probabile invece che sia presente un criterio di gruppo o una preferenza. Oggi su domini con client Windows 7 (o successivi), solo attività complesse richiedono script di avvio o di accesso.
Ho trovato un oggetto Criteri di gruppo interessante, ma si applica agli utenti, voglio che si applichi ai computer!
Si lo so. Ci sono stato. Ciò è particolarmente diffuso nel laboratorio accademico o in altri scenari di computer condivisi in cui si desidera che alcuni dei criteri utente per stampanti o risorse simili siano basati sul computer, non sull'utente. Indovina, sei fortunato! Si desidera abilitare l'impostazione dell'oggetto Criteri di gruppo per la modalità di loopback di criteri di gruppo .
Prego.
Hai detto che posso usarlo per installare il software, giusto?
Sì, puoi. Ci sono alcuni avvertimenti, però. Il software deve essere in formato MSI e qualsiasi modifica apportata deve essere in un file MST . Puoi creare un MST con software come ORCA o qualsiasi altro editor MSI. Se non si effettua una trasformazione, il risultato finale sarà lo stesso della corsamsiexec /i <path to software> /q
Inoltre, il software viene installato solo all'avvio, quindi non è un modo molto veloce di distribuire il software, ma è gratuito. In un ambiente di laboratorio a basso budget, ho eseguito un'attività pianificata (tramite GPO) che riavvierà ogni computer di laboratorio a mezzanotte con un offset casuale di 30 minuti. Ciò garantirà che il software non sia aggiornato al massimo un giorno in quei laboratori. Tuttavia, sono preferibili software come SCCM , LANDesk , Altaris o qualsiasi altra cosa in grado di "spingere" il software su richiesta.
Quanto spesso viene applicato?
I client aggiornano gli oggetti Criteri di gruppo ogni 90 minuti con una randomizzazione di 30 minuti. Ciò significa che, per impostazione predefinita, è possibile attendere fino a 120 minuti. Inoltre, alcune impostazioni, come i mapping delle unità, il reindirizzamento delle cartelle e le preferenze dei file, vengono applicate solo all'avvio o all'accesso. Criteri di gruppo è destinato alla gestione pianificata a lungo termine, non a situazioni di soluzione rapida istantanea.
I controller di dominio aggiornano i loro criteri ogni cinque minuti.