In sistemi complessi e condivisi da utenti di varia natura, è fondamentale definire delle regole specifiche che gestiscano l’utilizzo delle risorse condivise e governare gli account e la loro attività. Le Group Policy forniscono una gestione e configurazione centralizzate dei sistemi operativi, applicazioni e impostazioni.

Group Policy

Similmente ai permessi Unix, queste policy definiscono ciò che ogni categoria di utenti può o non può fare su un sistema informatico. Utilizzate principalmente in ambienti aziendali, organizzativi e scolastici, limitano e gestiscono l’uso delle risorse anche per garantire protezione e limitare i rischi. Le policy sono organizzate in maniera gerarchica e formano i cosiddetti Group Policy Object, che identificano un insieme di regole e che possono essere combinati tra loro per creare nuovi livelli di sicurezza.

Le GPO (acronimo di Group Policy Object) che tradotto in italiano diventano Criteri di gruppo rappresentano una funzionalità di Microsoft Windows Active Directory che permette di aggiungere controlli aggiuntivi agli account utente e computer. I criteri di gruppo forniscono configurazioni centralizzate di gestione e sistemi operativi degli ambienti informatici dell’utente. I criteri di gruppo sono un altro metodo per proteggere i computer degli utenti da infiltrazioni e violazioni dei dati.

Per gestire la sicurezza dei dati è necessario comprendere i criteri di gruppo: gli amministratori di sistema utilizzano le GPO per proteggere, configurare e bloccare computer e account utente. L’uso di queste regole e restrizioni è utile nel caso in cui, ad esempio, si voglia imporre un determinato livello di sicurezza da rispettare, nel caso di password o di file eseguibili. Per applicare le regole in ambiente distribuito, è necessario possedere Active Directory, un servizio che gestisce le directory in una rete, e comprende processi e servizi per gestire le risorse distribuite. Senza di esso, le policy sarebbero applicate solo localmente. Windows, di default, refresha le impostazioni ogni 90 minuti. Durante questa fase, vengono ricercate e applicate tutte le GP che devono essere applicate all’utente attualmente collegato, con l’immediata messa in atto di eventuali cambiamenti.

activedirectory

Poiché le policy possono essere specificate a diversi livelli, il sistema segue un preciso ordine per il processamento delle regole:

  1. Group Policy locali: le prime ad essere controllate sono le group policy definite localmente.
  2. Group Policy a livello sito: vengono considerate tutte le regole associate con il sito dell’Active Directory, dove con sito si intende il raggruppamento logico di computer che ne fanno parte, solitamente in prossimità fisica.
  3. Group Policy di dominio: tutte le regole associate con il dominio di Windows in cui si trova la macchina, ovvero la rete di computer in cui tutti gli account e dispositivi di vario genere sono registrati in uno stesso DB.
  4. GPO a livello OU Unità organizzativa: l’Active Directory può fare riferimento ad una organizational unit, un’unità di business più grande in cui risiedono utenti e computer.

Gestire le Group Policy locali

Su Windows, per accedere alla modifica delle Group Policy basta semplicemente aprire il menù di start, digitare gpedit.msc e cliccare invio. Attenzione: questa operazione è possibile solo per le versioni Professional, non Home. A questo punto si aprirà l’interfaccia per la modifica delle regole:

L'editor delle Group Policy

L’editor delle Group Policy.

Le policy sono divise in due parti: la prima è per le computer configuration, che gestiscono le impostazioni relative al pc, la seconda invece riguarda le regole strettamente legate all’utente. Per ciascun rispettivo setting, è possibile modificarlo cliccandoci due volte, selezionando una nuova opzione e confermando la nuova regola.

Gestire le Group Policy di dominio

Per la gestione delle group policy a livello di dominio è necessario utilizzare la Group Policy Management Console, installata di default su qualsiasi server con il ruolo Domain Controller. Tramite il comando “gpmc.msc” verrà eseguito lo snap-in dove troveremo tutte le funzionalità per creare, modificare e linkare una GPO ad un contenitore specifico.

Group policy management console

Con le group policy a livello dominio, ad esempio sarà possibile configurare:

  • un ambiente standardizzato a ogni nuovo utente e computer che si unisce al dominio, risparmiando molte ore di configurazione.
  • distribuzione di software .MSI e patch in maniera centralizzata
  • impostare una politica sulla gestione delle password degli utenti
  • reindirizzare la cartelle del profilo utente in una locazione centralizzata, in modo da ottenere un ambiente consistente per tutti gli utenti
  • creare mappature di rete
  • installare stampanti automaticamente a livello utente o a livello computer
  • eseguire scripts per automatizzare diverse operazioni

Desideri approfondire e capire in dettaglio come funzionano le GPO e quali potenzialità ti offrono? Scopri il nostro corso di approfondimento sull’amministrazione delle Group Policy.

X