Come creare e collegare un GPO in Active Directory (Passo dopo passo)

Tutorial

Come Creare e Collegare un GPO in Active Directory (Passo per Passo). Nel dinamico ambiente della gestione di Active Directory, padroneggiare l’arte degli Oggetti di Criteri di Gruppo (GPOs) è una competenza cruciale per qualsiasi amministratore. Questa guida passo passo svela il processo fluido di creazione e collegamento di GPOs, fornendo una roadmap completa per navigare nelle complessità di Active Directory. Questo articolo garantisce che non solo acquisiamo i fondamentali ma anche guadagniamo la fiducia di utilizzare efficacemente GPOs nel nostro percorso di amministrazione di rete.

Leggi anche Utilizzo dei Criteri di Gruppo per Migliorare la Sicurezza di Active Directory

Come Creare e Collegare un GPO in Active Directory (Passo per Passo)

Panoramica Breve degli Oggetti di Criteri di Gruppo

Group Policy Objects (GPO) sono la colonna vertebrale della gestione centralizzata negli ambienti Windows Active Directory. Fondamentalmente, i GPO sono un insieme di regole, configurazioni e impostazioni che gli amministratori definiscono per governare il comportamento degli utenti e dei computer all’interno di una rete. Implementando i GPO, gli amministratori applicano politiche di sicurezza, regolano le impostazioni di sistema, distribuiscono software e semplificano vari aspetti della gestione di rete.

Questo potente strumento non solo migliora l’efficienza organizzativa, ma garantisce anche un ambiente informatico coerente e sicuro consentendo agli amministratori di esercitare il controllo e applicare politiche su una moltitudine di dispositivi e utenti.

Leggi anche Prova InfraSOS Active Directory GPO Reports

Lavorare con gli oggetti Group Policy

I GPO sono gestiti in due modi diversi: o su una macchina locale utilizzando l’Editor delle impostazioni di sicurezza localio sul nostro sistema aziendale utilizzando la Console di gestione delle policy di gruppo (GPMC). Per mantenere e creare un ambiente resiliente, ci concentriamo sullo scenario aziendale in questo articolo poiché le policy locali vengono elaborate per prime (prima delle policy di dominio).

Installazione dello strumento RSAT delle policy di gruppo

Uno dei componenti del classico Strumento di amministrazione server remoto (RSAT) è la Console di gestione delle policy di gruppo. Possiamo installare questa soluzione basata su MMC (Microsoft Management Console) su Windows utilizzando l’attuale app Impostazioni di Windows.

Manteniamo le impostazioni delle policy di gruppo nella cartella condivisa ‘SYSVOL‘ su un controller di dominio (DC) e, se necessario, replichiamo queste impostazioni su ogni altro DC nel dominio e nel bosco. Questo processo descrive la ridondanza integrata dell’infrastruttura delle policy di gruppo.

Per procedere, mostriamo come installare lo strumento Console Gestione Criteri di Gruppo

  • Innanzitutto, fare clic sul pulsante Start e cercare con la parola chiave ” facoltativo“. 
  • Fare clic su ” Gestisci funzionalità facoltative” e sul pulsante ” + Aggiungi una funzionalità” in alto.
  • Scorrere verso il basso, selezionare la casella di controllo ” RSAT: Strumenti di gestione Criteri di gruppo” e fare clic su Installa.

Da questo punto in poi, la Console Gestione Criteri di gruppo è accessibile. Per aprire la Console Gestione Criteri di gruppo (GPMC), seguire questi passaggi:

  1. Utilizzo della finestra di dialogo Esegui:
  • Premi
    • il Windows + R

      •  per aprire la finestra di dialogo Esegui.

  • Digita gpmc.msc e premi Invio.

2. Tramite il menu Start:

    • Fai clic sul pulsante Start.
  • Digita “Console di gestione delle policy di gruppo” nella barra di ricerca.
  • Fai clic sul risultato pertinente che appare.

3. Attraverso Server Manager (Windows Server):

    • Se usiamo un Windows Server, apriamo il Server Manager.
    • All’interno della finestra del Server Manager, fai clic su “Strumenti” nell’angolo in alto a destra.
    • Seleziona “Gestione criteri di gruppo” dall’elenco.

Ora vediamo la console di Gestione criteri di gruppo. Qui, spieghiamo come organizziamo il Criterio di gruppo e come miriamo a entità logiche specifiche nella nostra organizzazione.

Con la Console di Gestione criteri di gruppo, eseguiamo diverse funzioni seguenti. Ad esempio, modifichiamo gli Oggetti Criterio di gruppo (GPO) preesistenti, generiamo nuovi GPO, regoliamo le impostazioni di filtraggio di GPO specifici a livello di gruppo e utilizziamo il Filtraggio WMI per individuare computer specifici. Nella sezione successiva, iniziamo creando un nuovo GPO.

Leggi anche Scopri lo strumento di reportistica di Active Directory di InfraSOS

Creazione di un nuovo oggetto di criteri di gruppo

Proviamo ora a creare un nuovo oggetto di criteri di gruppo:

  1. Fai clic con il pulsante destro su ‘Computer Windows del dominio‘ e seleziona ‘Crea un GPO nel dominio e collegalo qui…

2. Chiamiamolo ‘Pulizia del menu Start‘ e fai clic suOK.

3. Modifica il GPO: Fai clic con il pulsante destro sul GPO collegato e seleziona Modifica.

4. Passa alla impostazione della policy:

    • Nell’Editor della gestione dei criteri di gruppo, passa a questi menu:
    • Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Diritti utente.

5. Modificare l’impostazione della Policy:

    • Cercare la policy desiderata, come nell’esempio seguente: 
    • Fare doppio clic sulla policy, selezionare “Definisci queste impostazioni di policy,” e scegliere “Abilitato.”

6. Salvare e Chiudere:

    • Cliccare su “OK” per applicare le modifiche.
    • Chiudere l’Editor di Gestione delle Policy di Gruppo.

Leggi ancheCrea report di criteri di gruppo di Active Directory con PowerShell (GPO)

Forza l’aggiornamento o attendi che vengano applicati i criteri di gruppo

Si noti che questa impostazione è attiva nell’ambiente; al successivo aggiornamento, tutti gli oggetti computer all’interno di tale OU la vedono. I criteri di gruppo vengono elaborati dai PC e server di dominio di default ogni 90 minuti con uno scostamento casuale di 30 minuti. Tuttavia, il comando gpresult è uno strumento prezioso per test e risoluzione dei problemi.

Utilizzando il nostro terminale o shell preferito, utilizziamo il comando gpupdate per obbligare il computer ad aggiornare i criteri di gruppo nel sistema. Questo comando gestisce tutte le modifiche ai criteri di gruppo per il computer e l’utente loggato. Senza richiedere autorizzazione, le modifiche che possiamo imporre utilizzando l’opzione ‘/force‘.

gpupdate /force

Per verificare, osserviamo che il nostro sistema ora nasconde gli oggetti facendo clic con il tasto destro del mouse sul Pulsante di avvio e selezionando il menu Arresta o Disconnetti.

Preveniamo gli utenti dal riavviare o spegnere le loro macchine con questa modifica relativamente semplice. Questi tipi di impostazioni hanno molte variabili e applicazioni.

Collegamento di un Oggetto di criteri di gruppo

  1. Collegare il GPO a un’Unità organizzativa (OU) o Dominio:
    • Navigare fino all’OU o al dominio di destinazione in cui vogliamo collegare il GPO.
    • Fare clic con il tasto destro sull’OU o sul dominio, selezionare “Collega un GPO esistente” e scegliere “Blocco sicurezza controller di dominio.”

2. Confermare il collegamento:

    • A dialog box appears. Confirm our selection by clicking “Yes.”

3. Verifica il collegamento:

    • Nel GPMC, sotto l’OU o dominio di destinazione, conferma che il GPO “Domain Controller Security Lockdown” è ora elencato come collegato.

4. Forza l’aggiornamento o attendi che la policy di gruppo venga applicata:

    • Forza un aggiornamento della policy di gruppo sui domain controllers utilizzando gpupdate /force nel prompt dei comandi o attendi che la policy venga applicata durante il prossimo aggiornamento.

Ora che i GPO e i domain controller sono collegati. I nostri DC gestiscono le impostazioni in quel GPO la prossima volta che controllano le modifiche alle Policy di Gruppo. Dopo aver creato e elaborato una serie di impostazioni una volta, collegale rapidamente o distribuiscile in un contenitore all’interno del nostro ambiente.

Leggi anche Come configurare Active Directory su Windows Server 2022

Modifica un Oggetto di Policy di Gruppo Esistente

Prevediamo di trovare centinaia o migliaia di GPO in un singolo dominio nelle grandi aziende. Gestire le OUs figlie, i GPO locali e le policy locali nel mix, così come l’ingegnosità di ereditare GPO specifici e utilizzare WMI per indirizzare sistemi operativi particolari è intimidatorio. Inoltre, ci sono penalità generali sulle prestazioni quando i PC si avviano e gli utenti accedono a causa della grande quantità di GPO nel nostro dominio.

Ambito dell’Oggetto di Policy di Gruppo

La radice del dominio è dove troviamo la maggior parte dei nostri GPO. A causa di questa procedura, ogni macchina e oggetto server all’interno del dominio visualizza e utilizza questo GPO per impostazione predefinita. Ancora una volta, ci sono tecniche per escludere persone particolari, macchine, unità organizzative e gruppi di sicurezza.

Questo processo ci consente di visualizzare il gruppo Utenti Autenticati nella sezione Filtraggio di Sicurezza. Questo filtraggio dice efficacemente, “Tutti“: questo GPO è visibile a qualsiasi account autenticato con il dominio.

Modifica dell’Oggetto di Policy di Gruppo

Ora, proviamo a modificare un GPO attuale:

  • Fai clic con il pulsante destro del mouse sul GPO mirato e seleziona ‘Modifica’ per avviare il processo di modifica.
  • Navigare attraverso la struttura logica, che include il Configurazione del computer e il Configurazione utente alberi.
  • Per individuare e modificare le impostazioni di WSUS all’interno di Configurazione del computer, espandere -> Criteri -> Modelli amministrativi -> Componenti di Windows -> Windows Update.
  • Identificare l’impostazione specifica che vogliamo modificare, come ad esempio ‘Configura Aggiornamenti automatici.’
  • Indagare le proprietà dell’impostazione scelta per accedere e analizzare le opzioni di configurazione.
  • Effettuare le necessarie modifiche per allineare il GPO con le nostre modifiche desiderate della politica.

Questo processo è una configurazione più impegnativa. Queste sono le impostazioni per come aggiorniamo gli aggiornamenti di Windows al mio dominio. Ma il punto qui è che gestiamo tutti i nostri computer (o un sottoinsieme) in modo centralizzato.

Questo processo illustra come gli Oggetti delle Policy di Gruppo (GPO) impongono restrizioni sulle impostazioni del computer. Supponiamo di esaminare le opzioni avanzate in Windows Update su questa postazione di lavoro. In tal caso, osserviamo che l’impostazione iniziale, ‘Ricevi aggiornamenti per altri prodotti Microsoft quando aggiorniamo Windows,’ è ora regolata dalla Policy di Gruppo.

Tecnicamente, si afferma che applichiamo alcune Policy di Gruppo a questo computer, ma non possiamo regolare queste impostazioni.

Leggi anche Come Implementare Politiche di Conformità e Governance per Windows Server

Gestione degli Oggetti delle Policy di Gruppo

Al momento della creazione di un nuovo dominio, il nostro Windows Server genera due GPO come configurazione predefinita – ovvero, la ‘Politica predefinita del dominio’ e la ‘Politica predefinita dei controller di dominio.’ Questi GPO, almeno, determinano i parametri per le politiche delle password di dominio, le politiche di blocco dell’account, le politiche di Kerberos, le opzioni di sicurezza fondamentali e varie altre configurazioni di sicurezza di rete.

Da decenni, c’è una pratica che non dovremmo modificare queste due politiche – dovremmo invece creare nuovi GPO. Ci sono diverse ragioni per questo, ma la più fondamentale è che quando risolviamo i problemi nel nostro dominio, dobbiamo sapere che non dovremmo modificare queste configurazioni predefinite.

Disabilitare un Oggetto delle Policy di Gruppo

Per disattivare una GPO e bloccare le sue impostazioni dal influenzare i computer futuri, fare clic destro sulla GPO e selezionare Disabilita collegamento. Questa azione staccherà il collegamento e trasformerà la GPO in inattiva o dormiente.

Eliminare un Oggetto di criteri di gruppo

Nel corso delle attività di pulizia e risoluzione dei problemi, rimuovere una GPO si realizza facendo clic destro su di essa e selezionando Elimina. Per un approccio completo e snello, navigare alla vista degli Oggetti di criteri di gruppo nell’albero e avviare il processo di eliminazione.

Grazie per aver letto Come Creare e Collegare una GPO in Active Directory (Passo dopo Passo). Concluderemo l’articolo.

Leggi anche Trova Gruppi Nidificati e Membri in Active Directory con PowerShell

Come Creare e Collegare una GPO in Active Directory Conclusione

In conclusione, padroneggiare la creazione e il collegamento degli Oggetti di criteri di gruppo (GPO) in Active Directory è una competenza indispensabile per gli amministratori che si muovono nel complesso panorama della gestione di rete. Questa guida passo dopo passo ci ha fornito la conoscenza e la fiducia per implementare senza intoppi le GPO, offrendo un approccio pratico che demistifica il processo. Mentre intraprendiamo il nostro viaggio nell’amministrazione di Active Directory, la capacità di utilizzare efficacemente le GPO non solo ottimizza le configurazioni di sistema, ma ci permette anche di mantenere un ambiente informatico sicuro in tutta la nostra rete.

Source:
https://infrasos.com/how-to-create-and-link-a-gpo-in-active-directory/