In sistemi complessi e condivisi da utenti di varia natura, è fondamentale definire delle regole specifiche che gestiscano l’utilizzo delle risorse condivise e governare gli account e la loro attività. Le Group Policy di Windows forniscono una gestione e configurazione centralizzate dei sistemi operativi, applicazioni e impostazioni.

Group Policy

Similmente ai permessi Unix, queste policy definiscono ciò che ogni categoria di utenti può o non può fare su un sistema informatico. Utilizzate principalmente in ambienti aziendali, organizzativi e scolastici, limitano e gestiscono l’uso delle risorse anche per garantire protezione e limitare i rischi. Le policy sono organizzate in maniera gerarchica e formano i cosiddetti Group Policy Object, che identificano un insieme di regole e che possono essere combinati tra loro per creare nuovi livelli di sicurezza.

L’uso di queste regole e restrizioni è utile nel caso in cui, ad esempio, si voglia imporre un determinato livello di sicurezza da rispettare, nel caso di password o di file eseguibili. Per applicare le regole in ambiente distribuito, è necessario possedere Active Directory, un servizio che gestisce le directory in una rete, e comprende processi e servizi per gestire le risorse distribuite. Senza di esso, le policy sarebbero applicate solo localmente. Windows, di default, refresha le impostazioni ogni 90 minuti. Durante questa fase, vengono ricercate e applicate tutte le GP che devono essere applicate all’utente attualmente collegato, con l’immediata messa in atto di eventuali cambiamenti.

activedirectory

Windows Active Directory. Credits: redeszone.net

Poiché le policy possono essere specificate a diversi livelli, il sistema segue un preciso ordine per il processamento delle regole:

  1. Regole locali: le prime ad essere controllate sono le group policy definite localmente.
  2. Regole di sito: vengono considerate tutte le regole associate con il sito dell’Active Directory, dove con sito si intende il raggruppamento logico di computer che ne fanno parte, solitamente in prossimità fisica.
  3. Regole di dominio: tutte le regole associate con il dominio di Windows in cui si trova la macchina, ovvero la rete di computer in cui tutti gli account e dispositivi di vario genere sono registrati in uno stesso DB.
  4. Unità organizzativa: l’Active Directory può fare riferimento ad una organizational unit, un’unità di business più grande in cui risiedono utenti e computer.

Gestire le Group Policy locali

Su Windows, per accedere alla modifica delle Group Policy basta semplicemente aprire il menù di start, digitare gpedit.msc e cliccare invio. Attenzione: questa operazione è possibile solo per le versioni Professional, non Home. A questo punto si aprirà l’interfaccia per la modifica delle regole:

L'editor delle Group Policy

L’editor delle Group Policy. Credits: howtogeek.com

Le policy sono divise in due parti: la prima è per le computer configuration, che gestiscono le impostazioni relative al pc, la seconda invece riguarda le regole strettamente legate all’utente. Dato un setting, è possibile modificarlo cliccandoci due volte, selezionando una nuova opzione e confermando la nuova regola.

X