Esporta (0) Stampa
Espandi tutto

Pianificazione dei criteri di gruppo quando si utilizza Windows Intune

Aggiornamento: novembre 2013

Si applica a: Windows Intune

Poiché alcune configurazioni gestite da Windows Intune sono gestite anche da Criteri di gruppo, possono verificarsi conflitti nell'applicazione dei criteri nei computer che rappresentano una destinazione per entrambi i sistemi. In questo argomento vengono descritti i metodi consigliati per evitare conflitti tra i criteri.

Pianificazione della distribuzione nelle imprese gestite mediante Criteri di gruppo

Windows Intune offre funzionalità di gestione dei criteri nell'area di lavoro Criterio. La gestione dei criteri implementata in questo rilascio di Windows Intune non è collegata a Criteri di gruppo. Sebbene i due sistemi di gestione dei criteri perseguano lo stesso obiettivo, si discostano per ambito di gestione e, in questo rilascio di Windows Intune, operano indipendentemente.

I criteri di gruppo a livello di dominio hanno generalmente la precedenza sui criteri di Windows Intune, a meno che un computer client appartenente a un dominio non sia in grado di connettersi con il controller di dominio. In assenza di connettività con il controller di dominio, al computer client viene applicato il criterio di Windows Intune.

ImportantImportante
Per garantire che i computer Windows Intune ricevano gli aggiornamenti approvati dall'amministratore nella Console di amministrazione di Windows Intune, non si devono applicare le impostazioni per i criteri di gruppo di Windows Server Update Services (WSUS) Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet ai computer registrati con Windows Intune.

Per evitare i conflitti che possono verificarsi tra i criteri nel caso di sistemi di gestione dei criteri concorrenti, si consiglia agli amministratori che distribuiscono il software client di Windows Intune di assicurarsi che i computer client gestiti con il criterio di Windows Intune non ricevano direttive relative alle stesse impostazioni di configurazione anche da Criteri di gruppo.

Le tre opzioni di distribuzione seguenti consentono di evitare problemi di gestione dei criteri nei computer client che si desidera gestire mediante Windows Intune.

Opzione 1: isolare da Criteri di gruppo i computer iscritti per il servizio spostandoli in una nuova unità organizzativa

Se è possibile, ristrutturare la gerarchia delle unità organizzative per isolare i computer iscritti in Windows Intune in una o più unità organizzative distinte, non modificabili da impostazioni di Criteri di gruppo in conflitto. In tal modo è possibile semplificare la gestione dei criteri affinché le unità organizzative di Windows Intune siano una destinazione solo per specifiche impostazioni criterio.

Prima di installare il software client di Windows Intune nell'azienda, creare o spostare i computer client che si desidera gestire mediante Windows Intune in un'unità organizzativa che soddisfi le condizioni descritte in questa sezione.

Per ulteriori informazioni sulla creazione di un'unità organizzativa nei controller di dominio in cui viene eseguito Windows Server 2003, vedere Creare una nuova unità organizzativa nel sito Web Microsoft. Per ulteriori informazioni sulla creazione di un'unità organizzativa nei controller di dominio in cui viene eseguito Windows Server 2008, vedere Creare una nuova unità organizzativa nel sito Web Microsoft.

Bloccare l'ereditarietà di Criteri di gruppo nelle unità organizzative che includono computer iscritti in Windows Intune ai quali non si desidera vengano applicate le impostazioni di Criteri di gruppo. Assicurarsi, quindi, che l'impostazione Imponi sia disabilitata per gli oggetti Criteri di gruppo (GPO) dell'unità organizzativa o del dominio padre.

Per bloccare l'ereditarietà dei Criteri di gruppo in un'unità organizzativa

  1. Aprire la Console Gestione Criteri di gruppo.

  2. Nell'albero della console, espandere la foresta contenente l'unità organizzativa cui appartengono i computer client che si desidera gestire mediante Windows Intune.

  3. Espandere il dominio e gli eventuali altri nodi subordinati per individuare l'unità organizzativa.

  4. Fare clic con il pulsante destro del mouse sull'unità organizzativa, quindi scegliere Blocca eredità.

Opzione 2: filtrare gli oggetti Criteri di gruppo esistenti per evitare conflitti con i computer iscritti al servizio

Individuare gli oggetti Criteri di gruppo le cui impostazioni possano determinare conflitti con Windows Intune e utilizzare uno dei seguenti metodi filtro per limitare tali oggetti ai soli computer non gestiti mediante Windows Intune.

  • Utilizzare filtri WMI. I filtri WMI consentono di applicare selettivamente oggetti Criteri di gruppo ai computer che soddisfino le condizioni di una query. Per applicare un filtro WMI, distribuire un'istanza di classe WMI a tutti i computer aziendali prima della loro iscrizione nel servizio Windows Intune.

    Per applicare i filtri WMI a un oggetto Criteri di gruppo

    1. Creare un file oggetto di gestione copiando e incollando quanto indicato di seguito in un file di testo e salvarlo nel percorso desiderato come WIT.mof. Il file contiene l'istanza di classe WMI distribuita ai computer che si desidera iscrivere nel servizio Windows Intune.

      //Beginning of MOF file.
      #pragma classflags("forceupdate")
      #pragma namespace ("\\\\.\\Root")
      instance of __Namespace
      {
         Name = "WindowsIntune";
      };
      
      #pragma namespace ("\\\\.\\Root\\WindowsIntune")
      [ 
         Description("This class defines Windows Intune common properties")
      ]
      class WindowsIntune_ManagedNode
      {
         [ read, Description("This defines whether Windows Intune Policy is enabled"): DisableOverride ToSubClass ]
         boolean WindowsIntunePolicyEnabled;
         [ read, key, Description("This property defines the version." "Example: 1.0"): ToSubClass ]
         string Version;
      };
      
      instance of WindowsIntune_ManagedNode
      {
         Version = "1.0";
         WindowsIntunePolicyEnabled = 1;
      };
      
    2. Distribuire il file utilizzando uno script di avvio o Criteri di gruppo. Di seguito viene indicato il comando di distribuzione dello script di avvio. Il comando MOFCOMP si trova generalmente in C:/Windows/System32/Wbem. Prima di iscrivere i computer client nel servizio Windows Intune è necessario distribuire l'istanza di classe WMI.

      MOFCOMP <percorso del file MOF>\wit.mof

    3. Per creare i filtri WMI, eseguire uno dei comandi indicati di seguito, in base al fatto che l'oggetto Criteri di gruppo da filtrare venga applicato ai computer gestiti mediante Windows Intune oppure a quelli non gestiti mediante Windows Intune.

      • Per gli oggetti Criteri di gruppo applicati ai computer non gestiti mediante Windows Intune, utilizzare il comando riportato di seguito:

        Namespace:root\WindowsIntune
        Query:  SELECT WindowsIntunePolicyEnabled FROM WindowsIntune_ManagedNode WHERE WindowsIntunePolicyEnabled=0
        
      • Per gli oggetti Criteri di gruppo applicati ai computer gestiti mediante Windows Intune, utilizzare il comando riportato di seguito:

        Namespace:root\WindowsIntune
        Query:  SELECT WindowsIntunePolicyEnabled FROM WindowsIntune_ManagedNode WHERE WindowsIntunePolicyEnabled=1
        
    4. Nella console di Gestione Criteri di gruppo, modificare l'oggetto Criteri di gruppo da applicare al filtro WMI creato nel passaggio precedente.

      • Per gli oggetti Criteri di gruppo da applicare solo ai computer da gestire mediante Windows Intune, applicare il filtro WindowsIntunePolicyEnabled=1.

      • Per gli oggetti Criteri di gruppo da applicare solo ai computer che non si desidera gestire mediante Windows Intune, applicare il filtro WindowsIntunePolicyEnabled=0.

    Per ulteriori informazioni sull'applicazione dei filtri WMI in Criteri di gruppo, consultare Security Filtering, WMI Filtering, and Item-level Targeting in Group Policy Preferences (Filtri di sicurezza, filtri WMI e destinazioni a livello di elemento nelle preferenze dei Criteri di gruppo).

  • Utilizzare filtri dei gruppi di sicurezza. Con Criteri di gruppo è possibile applicare oggetti Criteri di gruppo ai soli gruppi di sicurezza specificati nell'area Filtri di sicurezza della console di Gestione Criteri di gruppo per l'oggetto selezionato. Per impostazione predefinita, gli oggetti Criteri di gruppo vengono applicati ai membri del gruppo Authenticated Users. Nello snap-in Utenti e computer di Active Directory, creare un nuovo gruppo di sicurezza contenente i computer e gli account utente che non si desidera gestire mediante Windows Intune. Il gruppo può essere denominato, ad esempio, Escluso da Windows Intune. Nella console di gestione dei criteri di gruppo, nella scheda Delega relativa all'oggetto Criteri di gruppo selezionato, fare clic con il pulsante destro del mouse sul nuovo gruppo di sicurezza per delegare le appropriate autorizzazioni Lettura e Applica Criteri di gruppo sia agli utenti che ai computer del gruppo di sicurezza. (Le autorizzazioni Applica Criteri di gruppo si trovano nella finestra di dialogo Avanzate. Quindi, applicare il filtro del nuovo gruppo di sicurezza all'oggetto Criteri di gruppo selezionato e rimuovere il filtro predefinito Authenticated Users. È necessario gestire la registrazione del nuovo gruppo di sicurezza in seguito a modifiche del servizio Windows Intune.

Opzione 3: modificare gli oggetti Criteri di gruppo esistenti per rimuovere le impostazioni in conflitto

Anziché isolare i computer registrati in Windows Intune, creando nuovi oggetti Criteri di gruppo oppure filtrando questi ultimi, è possibile disabilitare manualmente specifici oggetti Criteri di gruppo o impostazioni al loro interno che determinano conflitti con le impostazioni del criterio di Windows Intune. Impostare gli oggetti Criteri di gruppo in conflitto con impostazioni applicate ai computer gestiti mediante Windows Intune su Non configurato. Quindi, definire e distribuire il criterio Windows Intune per gli oggetti Criteri di gruppo impostati su Non configurata.

noteNota
Se i conflitti tra criteri vengono gestiti mediante questa opzione, per evitare conflitti è necessario analizzare gli oggetti Criteri di gruppo e apportare frequenti modifiche.

Vedere anche

 
Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2014 Microsoft