Come Utilizzare l’Editor Criteri di Gruppo Locale di Windows

Questa guida ha lo scopo di aiutarti a comprendere come navigare e utilizzare l’Editor Criteri di Gruppo Locale di Windows (LGPE) per migliorare la sicurezza, le prestazioni e l’usabilità del tuo ambiente desktop Windows.

Cosa è l’Editor Criteri di Gruppo Locale?

L’Editor Criteri di Gruppo Locale di Windows è un componente aggiuntivo della Microsoft Management Console (MMC) che consente di gestire e modificare Oggetti Criteri di Gruppo (GPO) sul computer locale. Le modifiche ai criteri riflettono cambiamenti a specifiche chiavi nel Registro di sistema di Windows.

In aziende di medie e grandi dimensioni, le impostazioni dei Criteri di Gruppo sono gestite tramite controller di dominio Active Directory e vengono trasferite agli endpoint. LGPE offre agli utenti avanzati e ai professionisti IT un’opzione di risoluzione dei problemi per determinare perché specifiche impostazioni non funzionano come previsto. Inoltre, per i computer che non sono gestiti centralmente da Active Directory (AD), l’LGPE consente ai professionisti IT di apportare modifiche di configurazione ai PC Windows.

Come accedere all’Editor Criteri di Gruppo Locale

Ci sono diversi metodi per aprire l’LGPE. L’unico prerequisito è che non sia installato o supportato su Windows 10/11 Home Edition.

Ecco i metodi più comuni per lanciare lo strumento.

• Sulla tua tastiera, clicca sul pulsante Start e sul tasto R per aprire la finestra di dialogo ‘Esegui’. Digita ‘gpedit.msc‘ e premi Invio.
  • Puoi anche aprire la casella di ricerca e digitare ‘gpedit.msc‘.

• Clicca sul pulsante Start menu in Windows, digita ‘local group‘, e seleziona ‘Edit group policy—Control Panel‘ dal menu Start.

• PowerShell – Esegui questo comando nel Terminale di Windows per avviare – ‘Start-Process gpedit.msc‘.
  • Puoi anche aprire un prompt dei comandi ed eseguire gpedit.msc.

• Strumenti di amministrazione – Clicca sul pulsante Start, clicca su ‘Tutti >‘ nell’angolo in alto a destra, scorri verso il basso fino a Strumenti di Windows, aprilo, quindi fai doppio clic su ‘Group Policy Management‘.
  • Nota speciale – Se sei connesso a un computer che ha installati gli strumenti di amministrazione remota del server Active Directory Remote Server Administration Tools (RSAT), questo aprirà lo strumento centrale ‘Group Policy Management‘ che gestisce le GPO nella tua azienda, NON le politiche locali.

Navigare nell’interfaccia utente LGPE

L’LGPE è diviso in due pannelli:

1. A sinistra ci sono i due principali alberi di configurazione (Configurazione Computer e Configurazione Utente).
2. A destra, tutte le politiche sono visualizzate. Man mano che esplori uno degli alberi, scoprirai tutte le varie politiche che possono essere modificate.

Configurazione computer

La Configurazione Computer contiene tutte le impostazioni delle politiche che influenzano l’oggetto computer, indipendentemente dal fatto che un utente sia connesso o meno. Cambiare queste impostazioni influenzerà, per impostazione predefinita, ogni utente che accede a questo computer. Tipicamente, quando il computer si avvia e si avvia in Windows, queste politiche verranno applicate.

Configurazione utente

Nella sezione Configurazione Utente, troverai impostazioni che influenzano specificamente gli utenti. Queste impostazioni vengono generalmente eseguite quando un utente accede al computer. Se desideri che uno script di accesso venga eseguito quando un utente accede, qui è dove configurerai le modifiche alle politiche.

Esplorare e modificare le impostazioni delle politiche

Man mano che esplori le varie sezioni delle politiche, alla fine vedrai Impostazioni. Queste sono le singole politiche che puoi visualizzare e modificare.

Quando clicchi su una delle impostazioni e la modalità di visualizzazione è impostata su ‘Estesa‘ nella parte inferiore della finestra, vedrai i Requisiti e la Descrizione dell’impostazione a sinistra.

Qui sopra ho cliccato su ‘Rimuovi proprietà dal menu contestuale del Cestino.’ I Requisiti mostrano che questa impostazione influenzerà solo Windows Server 2003 e Windows XP o versioni più recenti. Quindi, qualsiasi versione supportata di Windows client e server al giorno d’oggi. 🙂 La Descrizione mostra le basi di ciò che l’impostazione influenzerà.

Come modificare le politiche utilizzando l’Editor dei Criteri di Gruppo Locale

Per apportare modifiche a un’impostazione, puoi cliccare sul link ‘Modifica impostazione politica‘ nel riquadro Esteso di cui ho appena parlato. Tuttavia, probabilmente è più semplice fare doppio clic sul nome dell’impostazione.

Tutte le informazioni necessarie per apportare una modifica informata sono qui. Per la maggior parte delle impostazioni, scegli ‘Non configurato‘, ‘Abilitato‘ o ‘Disabilitato.’ In questo esempio, se clicco Abilitato e clicco OK, quella modifica avverrà immediatamente. Lasciami mostrarti.

Poiché non mi sono disconnesso e riconnesso, il link Proprietà era ancora visibile, ma come puoi vedere, non è disponibile.

Comprendere i criteri di gruppo locali vs dominio

Ho affermato sopra che c’è una differenza tra l’utilizzo dell’Editor Criteri di Gruppo Locale per modificare la configurazione del computer locale e l’utilizzo di Gestione Criteri di Gruppo per gestire i tuoi Oggetti Criteri di Gruppo (GPO) aziendali.

Utilizzerai lo stesso tipo di strumento per entrambi, ma la modalità di visualizzazione delle politiche è diversa. Lo strumento di Gestione Criteri di Gruppo mostrerà il tuo bosco AD e i domini e elencherà l’intera struttura delle Unità Organizzative (OU) del dominio – questo è il modo in cui vengono applicate.

I modelli amministrativi dei Criteri di Gruppo

I file dei modelli amministrativi (file ADML e ADMX) determinano le impostazioni e le politiche che vengono visualizzate. I modelli amministrativi vengono rilasciati e aggiornati periodicamente da Microsoft quando vengono rilasciate nuove funzionalità e nuove versioni di Windows (Aggiornamenti delle funzionalità) diventano generalmente disponibili.

I file ADMX memorizzano le definizioni delle impostazioni, e i file ADML ‘en-US’ (o in altre lingue) contengono le descrizioni delle politiche specifiche per la lingua. I modelli amministrativi possono essere scaricati da Microsoft da varie posizioni.

Politiche di sicurezza comuni

Alcune impostazioni di sicurezza utili e di routine possono essere rapidamente impostate utilizzando questo strumento. Ecco alcuni esempi:

• Politiche sulle password – Naviga su Configurazione computer -> Impostazioni di Windows -> Impostazioni di sicurezza -> Politiche account -> Politiche password.
  • Troverai impostazioni come Età massima della password, Lunghezza minima della password e La password deve soddisfare i requisiti di complessità.
• Politica di blocco account – Naviga alla stessa posizione – troverai ‘Politica di blocco account’ proprio sotto la cartella Politiche password.
  • Qui troverai la Durata del blocco account, Soglia del blocco account e quanto tempo per Reimpostare il contatore del blocco account dopo.
• Politiche locali – Proprio sotto l’ultima cartella, troverai Politiche locali. Sotto questa, puoi fare clic su Assegnazione diritti utente.
  • Molte impostazioni di sicurezza si trovano qui – Consentire l’accesso in locale, Negare l’accesso come servizio e Aggiungere postazioni di lavoro al dominio.

Esportazione e importazione delle impostazioni LGPO

Nascosto all’interno del Microsoft Security Compliance Toolkit 1.0, l’utilità LGPO ti permette di esportare le impostazioni dell’Editor delle impostazioni di gruppo locali e importarle su un’altra macchina.

• Scarica l’Utility LGPO e esegui questo comando da una finestra amministrativa in Windows Terminal per esportare la tua configurazione locale.

LGPO.exe /b c:\Path\To\Backup\To

Puoi quindi eseguire questo comando su una nuova macchina per importare la configurazione precedente.

LGPO.exe /g c:\Your\New\Path

Grazie per aver letto il mio post sull’utilizzo dell’Editor Criteri di Gruppo Locale. Ti prego di lasciare un commento o una domanda qui sotto.