Esporta (0) Stampa
Espandi tutto

Distribuzione di Criteri di gruppo mediante Windows Vista

Si applica a: Windows Server 2008,Windows Vista

Con l'introduzione di Windows® Vista™ è ora possibile utilizzare Criteri di gruppo per gestire centralmente una maggiore quantità di funzionalità e di comportamenti dei componenti rispetto a quanto si era in grado di fare in Microsoft® Windows Server™ 2003. Il numero delle impostazioni di Criteri di gruppo è passato da circa 1.800 in Windows Server 2003 Service Pack 1 a circa 2.500 in Windows Vista e Windows Server® 2008. L'utente dispone quindi di oltre 700 nuovi criteri utili per gestire desktop, protezione e tutti gli altri aspetti che implicano l'utilizzo della rete. Le funzionalità nuove e aggiornate di Windows Vista vengono passate in rassegna nel presente documento, che include anche alcune procedure consigliate, utili per la distribuzione di Criteri di gruppo.

Introduzione a Criteri di gruppo

Criteri di gruppo consente di operare con maggiore efficienza grazie all'attivazione della gestione centralizzata del desktop che, a sua volta, consente di ridurre il TCO (Total Cost of Ownership, costo totale di proprietà). La mancanza di produttività dell'utente finale rappresenta uno dei costi più elevati quando il TCO viene calcolato in un ambiente di computer distribuito. Di seguito sono riportati gli elementi che contribuiscono alla perdita di produttività dell'utente finale:

  • Errore dell'utente: ad esempio la modifica dei file di sistema che rende il computer inutilizzabile.

  • Complessità: applicazioni e le funzionalità non essenziali presenti sul desktop che creano confusione in alcuni utenti o richiedono l'apprendimento di altre nozioni.

  • Applicazioni non approvate: applicazioni distribuite mediante posta elettronica, scaricate o trasferite da supporti rimovibili che potrebbero compromettere la rete aziendale.

Criteri di gruppo contribuisce a ridurre le perdite di produttività in quanto permette di definire le impostazioni dei criteri e le azioni consentite a utenti e computer. La combinazione delle impostazioni dei criteri consente di creare desktop adeguati alla responsabilità lavorativa e al livello di esperienza dell'utente.

Criteri di gruppo viene applicato non solo a utenti e computer client, ma anche ai server membri, controller di dominio e qualsiasi altro computer Microsoft Windows in ambito di gestione. Per impostazione predefinita, Criteri di gruppo applicato a un dominio (vale a dire, applicato al livello di dominio, appena al di sopra della radice di Utenti e computer di Active Directory) influisce su tutti i computer e utenti presenti nel dominio.

Utenti e computer di Active Directory fornisce inoltre un'unità organizzativa Controller di dominio, incorporata. Se gli account del controller di dominio vengono mantenuti in questa collocazione, è possibile utilizzare Criterio controller di dominio predefinito dell'oggetto Criteri di gruppo per gestire i controller di dominio separatamente da altri computer. Lo sviluppo delle basi stabilite in Windows Server 2003 e Windows XP ha migliorato Criteri di gruppo dotandolo di una maggiore copertura delle impostazioni e delle estensioni dei criteri, di una presenza e un'affidabilità superiori in rete nonché di un'amministrazione semplificata.

Definizione di Criteri di gruppo

Criteri di gruppo consente di definire configurazioni specifiche relative a gruppi di utenti e computer, mediante la creazione di apposite impostazioni. Le impostazioni vengono specificate attraverso l'Editor oggetti Criteri di gruppo (formalmente noto anche come GPedit) e sono contenute in un GPO (Group Policy Object, Oggetto Criteri di gruppo) che, a sua volta, è collegato a contenitori Active Directory, quali siti, domini o UO. In questo modo, le impostazioni di Criteri di gruppo vengono applicate agli utenti e ai computer di tali contenitori. È possibile configurare l'ambiente di lavoro degli utenti una sola volta, mentre l'applicazione dei criteri, nel modo definito, dipende dal sistema.

La conseguenza di tale approccio sarà l'applicazione delle impostazioni dei criteri a utenti e computer nei suddetti contenitori Active Directory. È possibile configurare l'ambiente di lavoro dell'utente una sola volta, mentre l'applicazione dei criteri, nel modo definito, dipende da Microsoft Windows Vista.

Funzionalità di Criteri di gruppo

È possibile creare impostazioni specifiche per i criteri che determinano il comportamento di Windows e mantengono protetti utenti e computer. Nelle sezioni seguenti vengono descritte le funzionalità principali di Criteri di gruppo.

Impostazioni dei criteri basate sul Registro di sistema

L'implementazione delle impostazioni dei criteri basate sul Registro di sistema è la forma più comune di impostazione dei criteri in Windows. È possibile definire tali impostazioni per applicazioni e Windows utilizzando l'Editor oggetti Criteri di gruppo. Può essere attivata, ad esempio, un'impostazione dei criteri che aggiunga il comando Esegui al menu Start per tutti gli utenti interessati, in Microsoft Windows Vista.

Impostazioni di protezione

Criteri di gruppo consente di impostare opzioni di protezione per computer e utenti nell'ambito di un GPO. È possibile specificare impostazioni di protezione per il computer locale, il dominio e la rete locale. Per una maggiore protezione, sono applicabili criteri di restrizione software che impediscono agli utenti di eseguire file basati su percorso, zona URL, hash o criteri dell'autore. La creazione di regole per un software specifico consente di creare eccezioni rispetto al livello di protezione predefinito.

Impostazioni dei criteri di restrizione software

Per difendersi da virus, applicazioni non desiderate e attacchi a computer che eseguono Windows XP e Windows Server 2003, in Criteri di gruppo sono disponibili nuove impostazioni dei criteri di restrizione. Le impostazioni dei criteri sono ora utilizzabili per identificare il software in esecuzione in un dominio e controllarne le capacità.

Distribuzione software

Con Criteri di gruppo è possibile gestire centralmente installazione di applicazioni, aggiornamenti e rimozione. Grazie alla possibilità di distribuire e gestire configurazioni desktop personalizzate, il supporto su base individuale degli utenti è meno dispendioso per le organizzazioni. È possibile assegnare il software a utenti o computer (distribuzione obbligatoria del software) o pubblicarlo per gli utenti, offrendo ad essi la possibilità di installare software mediante Installazione applicazioni nel Pannello di controllo. Gli utenti godono quindi della flessibilità necessaria per l'esecuzione dei processi evitando di perdere tempo configurando autonomamente il sistema.

È possibile utilizzare Criteri di gruppo per distribuire i pacchetti approvati. Ad esempio, in un ambiente desktop con gestione centralizzata forte in cui gli utenti non sono autorizzati a installare applicazioni, sarà il servizio Windows Installer a occuparsene per conto dell'utente. Inoltre, in caso di workstation con gestione centralizzata forte, Windows Installer si integra alle impostazioni dei criteri di restrizione software implementate mediante Criteri di gruppo per limitare le nuove installazioni a un elenco di software accettabili.

Computer e script utente

È possibile utilizzare script per automatizzare le attività all'avvio e all'arresto del computer nonché all'accesso e alla disconnessione dell'utente. Sono inclusi tutti i linguaggi supportati da Windows Script Host, tra cui i file batch VBScript, JavaScript, PERL e in formato MS-DOS® (BAT e CMD).

Reindirizzamento cartelle

Reindirizzamento cartelle consente di reindirizzare cartelle utente importanti, ad esempio Documenti e Utenti, a un percorso basato su server. Fornisce inoltre una gestione centralizzata di tali cartelle e la possibilità di eseguirne facilmente backup e ripristino per conto degli utenti.

Manutenzione di Internet Explorer

È possibile gestire e personalizzare la configurazione di Microsoft Internet Explorer su computer che supportano Criteri di gruppo. In Editor oggetti Criteri di gruppo è incluso il nodo Manutenzione di Internet Explorer, utilizzato per modificare aree di protezione, impostazioni della privacy e altri parametri di Internet Explorer in un computer che esegue Windows 2000 e versioni successive.

Novità in Criteri di gruppo di Windows Vista

In Microsoft Windows Vista, i miglioramenti apportati a Criteri di gruppo hanno aumentato in modo significativo la capacità di pianificare, effettuare un'installazione di appoggio, distribuire, gestire, risolvere i problemi e generare rapporti sulle implementazioni di Criteri di Gruppo. In questa sezione vengono descritte alcune tra le principali nuove funzionalità di Criteri di gruppo.

Integrazione della Console Gestione Criteri di gruppo

Console Gestione Criteri di gruppo è uno snap-in di MMC (Microsoft Management Console) configurabile tramite script che consente di gestire Criteri di gruppo all'interno dell'organizzazione tramite un singolo strumento di amministrazione. Inizialmente GPMC era fornito come componente di download separato per Microsoft Windows® XP e Windows Server 2003. Attualmente, invece, viene direttamente integrato nel sistema operativo e rappresenta lo strumento standard per la gestione di Criteri di gruppo insieme a Editor oggetti Criteri di gruppo.

Distribuzione delle impostazioni di risparmio energia

Tutte le impostazioni di risparmio energia sono state abilitate per Criteri di gruppo, consentendo risparmi significativi. Il controllo delle impostazioni di risparmio energia tramite Criteri di gruppo consente alle organizzazioni un notevole risparmio di denaro. È possibile modificare le impostazioni specifiche di risparmio energia tramite le singole impostazioni di Criteri di gruppo o la creazione di un piano di risparmio energia personalizzato che possa essere implementato mediante Criteri di gruppo.

Limitazione dell'accesso ai dispositivi

È possibile limitare a livello centrale l'installazione dei dispositivi sui computer dell'organizzazione. È ora possibile creare impostazioni dei criteri per controllare l'accesso a dispositivi quali, ad esempio, unità USB, unità CD-RW, unità DVD-RW e altri supporti rimovibili.

Miglioramenti delle impostazioni di protezione

Le impostazioni di Windows Firewall e di Criteri di gruppo IPsec sono associate in Windows Firewall con estensione di protezione avanzata per consentire di usufruire dei vantaggi offerti da entrambe le tecnologie, eliminando al contempo la necessità di creare e mantenere una funzionalità duplicata. Alcuni scenari supportati da queste impostazioni combinate dei criteri Windows Firewall e IPsec riguardano le comunicazioni da server a server protette su Internet, con accesso limitato alle risorse del dominio in base alle relazioni di trust o allo stato di un computer e protezione delle comunicazioni di dati a un server specifico allo scopo di soddisfare i requisiti normativi in materia di riservatezza e protezione dei dati.

Gestione ampliata delle impostazioni di Internet Explorer

È possibile aprire e modificare le impostazioni dei Criteri di gruppo di Internet Explorer senza il rischio di alterare inavvertitamente lo stato delle impostazioni dei criteri basato sulla configurazione della workstation amministrativa. Tale cambiamento sostituisce il precedente comportamento in base al quale alcune impostazioni dei criteri di Internet Explorer subirebbero una variazione in base alle impostazioni dei criteri abilitate sulla workstation amministrativa utilizzata per visualizzare le impostazioni.

Assegnazione di stampanti in base alla posizione

La possibilità di assegnare le stampanti in base alla posizione nell'organizzazione o alla posizione geografica è una nuova funzionalità disponibile in Windows Vista. Quando gli utenti mobili si spostano in una posizione differente, tramite Criteri di gruppo è possibile aggiornare le stampanti in base alla nuova posizione. Quando gli utenti mobili ritornano alla posizione originale, viene ripristinata la stampante predefinita abituale.

Delega dell'installazione del driver della stampante agli utenti

È possibile ora delegare agli utenti la possibilità di installare i driver della stampante tramite Criteri di gruppo. Questa funzionalità aiuta a mantenere la protezione limitando la distribuzione delle credenziali amministrative.

Riepilogo delle impostazioni nuove o ampliate di Criteri di gruppo

Per esaminare la tabella in cui sono riepilogate le categorie delle impostazioni nuove o ampliate di Criteri di gruppo, vedere http://go.microsoft.com/fwlink/?LinkId=54020 (informazioni in lingua inglese).

Ambito degli strumenti Criteri di gruppo

Editor oggetti Criteri di gruppo

Editor oggetti Criteri di gruppo è uno snap-in di MMC (Microsoft Management Console) utilizzato per configurare e modificare le impostazioni di Criteri di gruppi un singolo GPO.

Ciascun sistema operativo Windows Vista include uno o più oggetti LGPO (Local Group Policy Objects, Oggetti criteri di gruppo locale). Le impostazioni dei criteri vengono applicate manualmente a LGPO con l'Editor oggetti Criteri di gruppo o tramite script. Gli oggetti LGPO contengono un numero inferiore di impostazioni dei criteri rispetto agli oggetti GPO basati su dominio, in modo particolare nelle impostazioni di protezione. Gli oggetti LGPO non supportano Reindirizzamento cartelle, Servizi di installazione remota o Installazione software di Criteri di gruppo quando vengono configurati come computer client autonomi, tuttavia è possibile utilizzarli per garantire che l'ambiente operativo di tali computer sia protetto.

Anche gli amministratori devono essere in grado di modificare rapidamente le impostazioni di Criteri di gruppo per più utenti e computer in tutta la rete aziendale. L'Editor oggetti Criteri di gruppo fornisce una struttura gerarchica per configurare le impostazioni di Criteri di Gruppo in un GPO. È quindi possibile collegare il GPO a siti, domini e unità organizzative (UO) contenenti computer e oggetti utente. Vedere Figura 1.

Editor oggetti Criteri di gruppo è composto da due sezioni principali: Configurazione utente, contenente le impostazioni da applicare agli utenti (all'accesso e durante l'aggiornamento periodico in background) e Configurazione computer, contenente le impostazioni da applicare ai computer (all'avvio e durante l'aggiornamento periodico in background). Le sezioni sono ulteriormente suddivise nei diversi tipi di criteri che è possibile impostare, ad esempio Modelli amministrativi, Protezione o Reindirizzamento cartelle.

Per operare in modo efficace, è necessario disporre di accesso immediato alle informazioni relative alla funzione e allo scopo delle singole impostazioni dei criteri. Per le impostazioni del criterio Modelli amministrativi, Editor oggetti Criteri di gruppo fornisce informazioni relative a ogni impostazione direttamente nella visualizzazione Web della console. Tali informazioni sono denominate Testo esplicativo e contengono i requisiti del sistema operativo, definiscono l'impostazione del criterio e includono tutti i dettagli specifici sugli effetti che comporta l'attivare, il disattivare o il non configurare l'impostazione dei criteri.

Console Gestione Criteri di gruppo (GPMC)

GPMC (Group Policy Management Console, Console Gestione Criteri di gruppo) è uno strumento amministrativo completo per la gestione di Criteri di Gruppo che viene fornito con il sistema operativo Windows Vista.

Group Policy Management Console

GPMC integra la funzionalità Criteri di gruppo esistente delle pagine Proprietà negli strumenti di amministrazione di Active Directory in una console singola, unificata e dedicata alle attività di gestione di Criteri di gruppo. Le nuove funzionalità consentono un ulteriore ampliamento delle capacità di gestione. Sarà ancora possibile utilizzare gli strumenti di amministrazione di Active Directory per gestire Active Directory, tuttavia GPMC va a sostituire la funzionalità di gestione di Criteri di gruppo di tali strumenti con quella propria. Vedere Figura 2.

noteNota
Lo strumento GPMC è disponibile in due versioni.

  1. GPMC (versione 1.0) è stata resa disponibile per il download dal 2003 ed è progettata per la configurazione di Criteri di gruppo in ambiente Windows Server 2003 insieme a Windows XP.

  2. GPMC (versione 2.0) è incorporata in Windows Vista ed è progettata per la configurazione di Criteri di gruppo in tutti gli ambienti Windows.

ImportantImportante
Non scaricare o utilizzare la versione precedente di GPMC (v 1.0) in Windows Vista in quanto non è compatibile con Windows Vista.

Gestione dei desktop in ambiente misto

Gestione Criteri di gruppo in Vista

Microsoft Windows Vista introduce un nuovo formato per definire le impostazioni dei criteri basate sul Registro di sistema. Tali impostazioni (situate nella categoria Modelli amministrativi nell'Editor oggetti Criteri di gruppo) vengono definite da un formato file XML basato su standard, noto come file ADMX. I nuovi file sostituiscono i file ADM che utilizzano un proprio linguaggio di markup. Uno dei principali vantaggi dei file ADMX è offerto dal supporto di ambienti multilingue, di non facile implementazione con file ADM. Gli strumenti Criteri di gruppo, ovvero Editor oggetti Criteri di gruppo e Console Gestione Criteri di gruppo, restano in massima parte invariati tranne per il fatto che sono in grado di leggere i nuovi file ADMX. Nella maggior parte dei casi, la presenza di file ADMX durante le attività di amministrazione quotidiane di Criteri di gruppo passerà inosservata.

Alcune situazioni tuttavia richiedono la comprensione della struttura dei file ADMX e della posizione in cui sono archiviati. Gli strumenti Criteri di gruppo inclusi in Windows Vista o Windows Server 2008 riconosceranno sia i file ADMX che i file ADM, mentre quelli inclusi in Windows Server 2003 e versioni precedenti di Windows riconosceranno solo i file ADM.

A differenza dei file ADM, i file ADMX non vengono archiviati in GPO singoli. Per le organizzazioni basate su dominio, è possibile scegliere di creare una posizione di archiviazione centrale dei file ADMX, a cui potrà accedere chiunque disponga di autorizzazione per creare o modificare GPO. Gli strumenti Criteri di gruppo continueranno a riconoscere file ADM personalizzati, associati a GPO esistenti, ma ignoreranno eventuali file ADM sostituiti da file ADMX: System.adm, Inetres.adm, Conf.adm, Wmplayer.adm e Wuau.adm.

Editor oggetti Criteri di gruppo legge e visualizza automaticamente le impostazioni dei criteri di Modelli amministrativi basate su file ADMX archiviati localmente oppure nell'archivio centrale ADMX opzionale. Editor oggetti Criteri di gruppo visualizza in automatico le impostazioni dei criteri di Modelli amministrativi definite in file ADM personalizzati archiviati nel GPO. L'aggiunta o la rimozione di file ADM a/da un GPO è ancora possibile con l'opzione di menu Aggiunta/Rimozione modelli. Tutte le impostazioni di Criteri di gruppo attualmente contenute in ADM forniti da Windows Server 2003, Windows XP e Windows 2000 saranno disponibili anche nei file ADMX di Windows Vista e di Windows Server 2008.

Implicazioni dei file ADMX in un ambiente desktop misto

L'amministratore di un'organizzazione con ambiente desktop misto che esegue Windows Vista, Windows XP e Windows 2000, dovrà necessariamente conoscere le nuove impostazioni di Criteri di gruppo. Le impostazioni dei criteri di gruppo di Windows Vista funzionano solo in Windows Vista ma vengono ignorate nelle versioni precedenti di Windows.

  • Le nuove impostazioni dei criteri basate su Windows Vista o Windows Server 2008 possono essere gestite solo da computer amministrativi basati su Windows Vista o Windows Server 2008 che eseguono l'Editor oggetti Criteri di gruppo o la Console Gestione Criteri di gruppo. Tali impostazioni dei criteri sono definite solo in file ADMX e quindi non sono accessibili alle versioni di questi strumenti in Windows Server 2003, Windows XP o Windows 2000. Per configurare le nuove impostazioni di Criteri di gruppo basate su Microsoft Windows Vista, un amministratore dovrà utilizzare Editor oggetti Criteri di gruppo da un computer amministrativo basato su Windows Vista o Windows Server 2008.

  • Editor oggetti Criteri di gruppo sui computer con Windows Server 2003, Windows XP o Windows 2000 non visualizzerà correttamente le nuove impostazioni dei criteri di Modelli amministrativi di Microsoft Windows Vista che possono essere attivate o disattivate in un GPO. Al contrario, i valori del Registro di sistema associati a queste nuove impostazioni dei criteri verranno visualizzate in "Impostazioni del Registro di sistema addizionali" in Editor oggetti Criteri di gruppo.

  • La versione Windows Vista dell'Editor oggetti Criteri di gruppo e della Console Gestione Criteri di gruppo può essere utilizzata per gestire tutti i sistemi operativi che supportano Criteri di gruppo (Windows Vista, Windows Server 2008, Windows Server 2003, Windows XP e Windows 2000).

  • Le impostazioni dei criteri di Modelli amministrativi attualmente esistenti in file ADM di Windows Server 2003, Windows XP e Windows 2000 possono essere configurate da tutti i sistemi operativi che supportano Criteri di gruppo (Windows Vista, Windows Server 2003, Windows XP e Windows 2000).

  • La versione Windows Vista dell'Editor oggetti Criteri di gruppo e della Console Gestione Criteri di gruppo supporta l'interoperabilità con le versioni di tali strumenti su Windows Server 2003 e Windows XP. Ad esempio, i file ADM personalizzati archiviati nei GPO verranno utilizzati dall'Editor oggetti Criteri di gruppo e da GPMC su Windows Vista, Windows Server 2008, Windows Server 2003 e Windows XP. Vedere Tabella 1.

La versione Windows Vista di Editor oggetti Criteri di gruppo supporta l'interoperabilità con le versioni di Editor oggetti Criteri di gruppo su Windows Server 2000. Ad esempio, i file ADM personalizzati archiviati nei GPO verranno utilizzati da 'Editor oggetti Criteri di gruppo su Windows Vista, Windows Server 2008 e Windows 2000 (la Console Gestione Criteri di gruppo non può essere eseguita in Windows 2000).

Nei sistemi operativi precedenti, ogni volta che veniva creato un GPO, tutti i file di Modelli amministrativi predefiniti (file ADM) erano archiviati nel GPO. Il costo di archiviazione era di circa 4 MB per GPO. Il traffico di replica causava un blocco durante gli eventi e, di conseguenza, il cambiamento di tutti i GPO, ad esempio modificando le autorizzazioni nei GPO nel corso di un aggiornamento da un dominio Windows 2000 a un dominio Windows Server 2003. Da questa situazione scaturiva la replica contemporanea di tutti i file ADM negli oggetti Criteri di gruppo, con possibile impatto sulla disponibilità e le prestazioni della larghezza di banda della rete.

In Windows Vista e Windows Server 2008 il processo è sostituito da un archivio centrale su SYSVOL, contenente i nuovi file ADMX. A differenza delle versioni precedenti di Windows, i GPO creati tramite Windows Vista non contengono file ADMX e questo significa una minore replica di dati grazie alla maggiore efficacia del Servizio Replica DFS.

Finché tutti gli amministratori di Criteri di gruppo utilizzano il client Windows Vista, i nuovi GPO non conterranno file ADM o ADMX. Questa modifica comporta un risparmio di circa 4 MB per GPO. Dopo l'aggiornamento dell'organizzazione per l'utilizzo del nuovo Servizio DFS, le informazioni contenute nel GPO vengono replicate, utilizzando il Servizio Replica DFS che si limita a replicare le differenze dell'oggetto Criteri di gruppo. Le due modifiche consentiranno di ridurre notevolmente lo spazio di archiviazione e la larghezza di banda necessari dopo le variazioni apportate a un GPO da un amministratore.

Tabella 1 Comportamento della Console Gestione Criteri di gruppo di Windows Vista e download

Comportamento GPMC di Windows Vista Download di GPMC

È in grado di gestire Windows Server 2003, Windows XP e Windows 2000

È in grado di gestire Windows Vista e Windows Server 2008

No

Supporto multilingue

No

È in grado di leggere file ADM personalizzati

Posizione predefinita dei file

Locale

GPO

È in grado di utilizzare l'archivio centrale

No

Consente di evitare file duplicati nel GPO ("SYSVOL bloat")

No

Opzione che consente di aggiungere file specifici del GPO (Aggiunta/Rimozione modelli)

Solo file ADM

Solo file ADM

Confronto tra file

Numero versione

Timestamp

Procedure consigliate

Implementazione consigliata

In Windows Vista sono state introdotte oltre 800 nuove impostazioni di Criteri di gruppo nell'ambiente Windows. In questa sezione sono reperibili le informazioni necessarie per l'applicazione delle impostazioni di Criteri di gruppo da Windows XP a Windows Vista, vengono inoltre illustrati i concetti base dell'amministrazione nonché le procedure consigliate per amministrare i criteri di protezione.

 

Implementazione consigliata
  1. Aggiornare le workstation degli amministratori dei Criteri di gruppo a Windows Vista. La gestione complessiva di Criteri di gruppo ora viene eseguita dai computer che eseguono Windows Vista.                                                                                                              

  2. (Facoltativo) Creare un'archivio centrale su SYSVOL per ciascun PDC (Primary Domain Controller, Controller di dominio primario) in cui Criteri di gruppo è gestito da amministratori che eseguono Windows Vista. Popolare l'archivio centrale su ciascun PDC con file ADMX/ADML dalla workstation Windows Vista dell'amministratore di Criteri di gruppo. Leggere la Guida dettagliata sulla gestione dei file ASDMX di Criteri di gruppo all'indirizzo http://go.microsoft.com/fwlink/?LinkId=75124 (informazioni in lingua inglese).

  3. Creare nuovi GPO (o aggiornare i GPO esistenti) per includere le nuove impostazioni dei Criteri di gruppo di Windows Vista che si desidera utilizzare.

    Nota   È consigliabile collegare i GPO alle UO che conterranno nuove workstation appartenenti a un dominio Windows Vista.

    Nota   In rare occasioni, è possibile che si decida di ampliare lo schema AD per gestire le nuove impostazioni.

  4. Distribuire le workstation Windows Vista come da progetto.

    Nota   I GPO nuovi o aggiornati verranno applicati alle workstation di Windows Vista in base alle esigenze.                                                                                                         

Creare un archivio centrale

L'archivio centrale è una struttura della cartella creata nella directory SYSVOL dei controller di dominio di ogni dominio. Sarà necessario creare l'archivio centrale solo una volta in un unico controller di dominio per ogni dominio dell'organizzazione. Il servizio Replica file a questo punto consente di replicare l'archivio centrale in tutti i controller di dominio. È consigliabile creare l'archivio centrale nel controller di dominio che funge da ruolo FSMO (Flexible Single Master Operation) dell'emulatore PDC poiché la Console Gestione Criteri di gruppo e l'Editor gestione Criteri di gruppo sono collegati al dominio primario per impostazione predefinita.

L'archivio centrale consiste di una cartella a livello di radice contenente file ADMX indipendenti dalla lingua e sottocartelle contenenti file di risorse specifici della lingua.

noteNota
In assenza di un archivio centrale, Editor oggetti Criteri di gruppo legge le versioni locali dei file utilizzati dal GPO locale nel computer amministrativo di Windows Vista. Per eseguire questa procedura, è necessario essere membri del gruppo Domain Admins in Active Directory.

Per creare un archivio centrale
  1. Creare la cartella principale per l'archivio centrale %systemroot%\sysvol\domain\policies\PolicyDefinitions sul controller di dominio.

  2. Creare la sottocartella %systemroot%\sysvol\domain\policies\PolicyDefinitions per ogni lingua che sarà utilizzata dagli amministratori di Criteri di gruppo. Ogni sottocartella viene denominata secondo il nome delle impostazioni della lingua/cultura in formato ISO appropriato. Per un elenco dei nomi di impostazioni della lingua/cultura in formato ISO, vedere Valid Locale Identifiers (informazioni in lingua inglese). Ad esempio, per creare una sottocartella per la lingua italiana (Italia) creare la sottocartella: %systemroot%\sysvol\domain\policies\PolicyDefinitions\IT-IT.

Popolare l'archivio centrale con file ADMX

Non esiste un'interfaccia utente per popolare l'archivio centrale in Windows Vista. La procedura seguente consente di popolare l'archivio centrale utilizzando la sintassi della riga di comando dal controller di dominio.

Per popolare l'archivio centrale
  1. Aprire una finestra di comando: Fare clic su Start, quindi su Esegui, digitare cmd e premere INVIO.

  2. Per copiare tutti i file ADMX non dipendenti dalla lingua (con estensione admx) dalla workstation amministrativa di Windows Vista all'archivio centrale sul controller di dominio utilizzando il comando copy, digitare:

    copy %systemroot%\PolicyDefinitions\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\

  3. Per copiare tutti i file risorsa ADMX specifici della lingua (con estensione ADML) dalla workstation amministrativa di Windows Vista all'archivio centrale sul controller di dominio utilizzando il comando copy, digitare:

    copy %systemroot%\PolicyDefinitions\[MUIculture]\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\[MUIculture]\

Ad esempio, per copiare tutti i file ADML per la lingua italiana (Italia), digitare quanto segue:

copy %systemroot%\PolicyDefinitions\EN-US\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\IT-IT\

Explorer view of Central Store

Scaricare nuovi schemi

Windows Vista supporta miglioramenti che possono essere configurati mediante le impostazioni di Criteri di gruppo, a loro volta supportate dai controller di dominio che eseguono Windows Server 2008. Tali miglioramenti dovranno essere ampliati per l'ambiente del servizio Active Directory che consiste di controller di dominio che eseguono Windows Server 2003 o Windows Server 2003 R2. Per informazioni relative all'estensione dello schema Active Directory per le soluzioni Criteri di gruppo, cablate e wireless, per Windows Vista sono reperibili all'indirizzo http://go.microsoft.com/fwlink/?LinkId=70195 (informazioni in lingua inglese).

noteNota
L'estensione dello schema è necessaria solo se occorre utilizzare soluzioni cablate o wireless per Criteri di Gruppo o apportare miglioramenti a Criteri di gruppo in BitLocker.

Per le modifiche dello schema di BitLocker, consultare la guida all'installazione di Active Directory per BitLocker e TPM Backup nel kit di distribuzione di Active Directory per BitLocker.

Ulteriori procedure consigliate

Prima di iniziare l'implementazione delle impostazioni di Criteri di Gruppo di Windows Vista, accertarsi di aver letto queste istruzioni e la documentazione di Windows Vista, che forniscono le informazioni essenziali per configurare Criteri di gruppo.

  • Utilizzo della console GPMC per il backup e il ripristino di oggetti Criteri di gruppo basati su dominio (informazioni in lingua inglese)

    I backup salvati con la console GPMC di Windows Vista (versione 2.0) non sono compatibili con la versione di GPMC scaricata (versione 1.0). Inoltre la versione scaricata di GMPC non consente di eseguire il backup di tutte le impostazioni dei Criteri di gruppo di Windows Vista incluse in un oggetto Criteri di gruppo. Per ottenere risultati ottimali, utilizzare la GPMC di Windows Vista (versione 2.0) per eseguire il backup e il ripristino di tutti gli oggetti Criteri di gruppo.

  • Guide dettagliate su Windows Vista per professionisti IT

    Le guide dettagliate forniscono ai professionisti IT un supporto per l'esecuzione della distribuzione o della migrazione a Windows Vista e includono informazioni specifiche sul controllo dell'installazione dei dispositivi mediante DMI (Device Management and Installation) e sulla gestione dei file ADMX.

  • Laboratori virtuali di TechNet: impostazioni di Criteri di gruppo di Windows Vista

    I laboratori sono destinati a professionisti IT responsabili della gestione delle workstation Windows Vista in un dominio Active Directory e consentono di esplorare le impostazioni di Criteri di gruppo, nuove e ampliate.

  • Scenari comuni relativi a Criteri di Gruppo (informazioni in lingua inglese)

    In questo pacchetto è inclusa una serie di oggetti Criteri di gruppo con la descrizione di alcuni tra i più comuni scenari desktop, ovvero: a gestione centralizzata ridotta, per utenti mobili, chiosco e così via.

Script GPMC

La console GPMC comprende una serie di interfacce di script per l'automatizzazione di molte attività di gestione GPO comuni. L'utilizzo di tali interfacce consente di gestire l'ambiente di Criteri di gruppo, ad esempio la generazione di rapporti di impostazioni GPO, la creazione e la copia di GPO e la ricerca di GPO senza collegamenti. In Windows Vista non è incluso alcuno script. Per ulteriori informazioni sugli script GPMC, vedere http://go.microsoft.com/fwlink/?linkid=31191 (informazioni in lingua inglese).

Problemi relativi alla configurazione multilingue

In Windows Vista, le impostazioni di Modelli amministrativi si suddividono in indipendenti dalla lingua (file ADMX) e risorse specifiche della lingua (file ADML), disponibili per tutti gli amministratori di Criteri di gruppo. Questi file consentono agli strumenti di Criteri di gruppo di regolare l'interfaccia utente in base alla lingua configurata dell'amministratore. L'aggiunta di una lingua nuova a una serie di definizioni di criteri viene effettuata assicurandosi che sia disponibile il file delle risorse specifiche della lingua.

Ad esempio, un amministratore di Criteri di gruppo crea un GPO da una workstation amministrativa di Windows Vista configurata per la lingua inglese, quindi salva il GPO e lo collega al dominio distribuito in aree geografiche diverse. Un collega di Parigi esplora lo stesso dominio mediante console GPMC, seleziona il GPO creato in lingua inglese ed è in grado di visualizzare e modificare le impostazioni dei criteri in lingua francese. L'amministratore di Criteri di gruppo che ha creato in origine il GPO visualizzerà ancora tutte le impostazioni nella propria lingua, ovvero l'inglese, incluse le modifiche apportate dall'amministratore francese.

Modifiche di Criteri di gruppo dopo la migrazione o l'aggiornamento a Windows Vista

Dopo la migrazione o l'aggiornamento a Windows Vista, Criteri di gruppo viene nuovamente applicato come se l'operazione fosse stata eseguita su un'installazione pulita. Per i client presenti in un dominio Windows, Criteri di Gruppo verrà applicato come se il computer fosse stato appena aggiunto al dominio o se l'utente avesse eseguito l'accesso per la prima volta. Ogni estensione eseguirà la migrazione delle relative impostazioni dei criteri oppure le applicherà durante la prima applicazione di Criteri di gruppo nel dominio. Dopo l'aggiornamento, il motore di Criteri di gruppo elaborerà le impostazioni in modo analogo a un'installazione pulita, rigenererà tutti i dati relativi al gruppo di criteri risultante (RSoP) e imposterà tutti i valori memorizzati nella cache. Nella tabella che segue sono riportati i dettagli relativi all'aggiornamento o alla migrazione per ogni componente.

 

Componente Comportamento di aggiornamento Comportamento di migrazione

Motore GP

Migrazione di chiavi e valori delle preferenze correlati al motore GP di base (ad esempio la velocità del collegamento) eseguita.

Migrazione non eseguita.

Gruppo di criteri risultante

Al termine dell'aggiornamento, non è necessaria alcuna migrazione di dati RSoP poiché tutte le impostazioni verranno applicate di nuovo durante il primo riavvio.

Migrazione non eseguita.

GPO locale

  • Migrazione del GPO locale eseguita.

  • Migrazione dell'oggetto MLGPO del gruppo eseguita.

  • Migrazione dell'oggetto MLGPO dell'utente eseguita.

    Nota   La migrazione dei dati MLGPO viene eseguita durante l'aggiornamento delle diverse SKU (Stock Keeping Unit) di Windows Vista.

  • Migrazione del GPO locale eseguita.

  • Migrazione dell'oggetto MLGPO del gruppo eseguita.

Estensioni lato client

Le estensioni lato client consentono di mantenere i dati di registrazione nel Registro di sistema. Le chiavi del Registro di sistema delle estensioni si trovano in

HKLM\Software\

Microsoft\Windows NT\

CurrentVersion\Winlogon\

GPExtensions

Nota   Ogni estensione lato client prevede l'aggiornamento delle relative informazioni.

Migrazione non eseguita.

Modelli ADM

  • File ADM precedentemente forniti sostituiti da file ADMX.

  • File ADM personalizzati mantenuti durante l'aggiornamento.

Migrazione non eseguita.

Impostazioni dei criteri basate sul Registro di sistema

  • Migrazione di tutte le impostazioni e i valori relativi ai criteri nella chiave del Registro di sistema Software\Policy eseguita.

  • Migrazione delle impostazioni relative alle preferenze non eseguita.

  • Tutte le impostazioni dei criteri applicate nuovamente dal dominio al primo riavvio dopo il primo accesso.

Migrazione non eseguita.

Installazione software

  • Migrazione automatica di tutte le applicazioni installate mediante Criteri di gruppo eseguita.

  • Migrazione automatica di tutti i file in %windir%\system32 \appmgmt eseguita.

  • Migrazione di tutte le chiavi e i valori eseguita in:

    • HKLM|HKCU Software \Microsoft\Windows \CurrentVersion\ Group Policy\Appmgmt

    • Valore appmgmtdebuglevel in HKLM\Software\ Microsoft\Windows NT \CurrentVersion\ Diagnostics

Migrazione non eseguita.

GPMC e GPEdit

  • Versioni precedenti di GPMC rimosse.

    • Cartella degli script mantenuta dopo l'aggiornamento, inclusi eventuali script GPMC installati con la versione precedente di GPMC.

  • Migrazione dei dati di configurazione GPMC seguenti:

    • Informazioni attualmente archiviate direttamente nel file della console (msc), ad esempio l'ultima connessione di dominio o foresta

    • Chiavi del Registro di sistema e preferenze dello strumento (percorso cartella di backup, opzioni file ADM e così via).

  • Per GPEdit, viene eseguita la migrazione di tutte le chiavi delle preferenze, ad esempio il nome del GPO predefinito.

Migrazione non eseguita.

noteNota
Per l'elenco di chiavi del Registro di sistema spostate mediante migrazione, vedere l'Appendice B.

Verifica delle impostazioni di Criteri di Gruppo - RSoP (Resultant Set of Policy, Gruppo di criteri risultante)

Tutte le informazioni sull'elaborazione di Criteri di gruppo vengono raccolte e archiviate in un database CIMOM (Common Information Model Object Management) situato nel computer locale. Tali informazioni, ad esempio elenco, contenuto e dettagli relativi alla registrazione e all'elaborazione di ciascun GPO, diventano a questo punto accessibili mediante WMI (Windows Management Instrumentation, Strumentazione gestione Windows).

In modalità di registrazione (Rapporti Criteri di gruppo), RSoP interroga il database CIMOM del computer di destinazione, riceve informazioni sui criteri e le visualizza in GPMC. In modalità di pianificazione (Modellazione Criteri di gruppo), RSoP simula l'applicazione dei criteri utilizzando il servizio GPDAS (Group Policy Directory Access Service) in un controller di dominio. GPDAS simula l'applicazione dei GPO e li passa a estensioni lato client virtuali sul controller di dominio. I risultati della simulazione vengono archiviati in un database CIMOM locale sul controller di dominio prima che le informazioni passino nuovamente alla console Gestione Criteri di gruppo per essere visualizzati.

RSoP mediante console Gestione Criteri di gruppo

La console Gestione Criteri di gruppo viene utilizzata dall'amministratore per gestire Criteri di gruppo in ambiente Active Directory. La console offre all'amministratore una visualizzazione permanente dell'ambiente Criteri di gruppo in rete, includendo GPO, collegamenti a GPO, siti, domini e unità organizzative (UO) nella foresta selezionata. Con la console Gestione Criteri di gruppo, un amministratore è in grado di eseguire tutte le attività che in precedenza erano disponibili solo nella scheda Criteri di gruppo degli strumenti di amministrazione di Active Directory.

La console può anche essere utilizzata per generare dati RSoP che prevedono l'effetto cumulativo dei GPO sulla rete o segnalano tale effetto su un determinato utente o computer. Inoltre, l'amministratore può utilizzare la console Gestione Criteri di gruppo per eseguire operazioni GPO prima non consentite, quali il backup, il ripristino e la copia di un GPO o addirittura la migrazione di un GPO in un'altra foresta. L'utilizzo di script WMI consente anche di leggere o generare rapporti HTML o XML di impostazioni GPO.

L'utilizzo della console Gestione Criteri di gruppo implica alcune limitazioni dal momento che non è possibile recuperare il gruppo di criteri risultante per oggetti gli MLGPO (Multiple Local Group Policy Objects) e i rapporti generati dalla console non visualizzano Windows Firewall con le impostazioni di protezione avanzate.

Verifica delle impostazioni dei criteri attualmente attive

Lo snap-in RSoP è uno strumento MMC (Microsoft Management Console). Gli amministratori possono utilizzarlo per segnalare e pianificare gli effetti cumulativi degli oggetti Criteri di gruppo. Nonostante ciò, le funzionalità dello snap-in sono state incluse per la maggior parte nella console Gestione Criteri di gruppo, che garantisce risultati notevolmente migliori all'amministratore di rete. I limiti dello snap-in RSoP sono dovuti alla segnalazione incompleta delle impostazioni (ad esempio molte delle nuove impostazioni di Windows Vista) e all'impossibilità di recuperare il gruppo di criteri risultante per un computer remoto. L'utilizzo di questo snap-in non è consigliabile anche se in Windows Vista continua a essere disponibile per la raccolta di dati RSoP per le estensioni di Criteri di gruppo di terze parti.

I rapporti della console Gestione Criteri di gruppo sono lo strumento consigliato per determinare se l'applicazione dei criteri riguarda un utente o un computer, tuttavia la console non funziona con gli oggetti MLGPO. Sebbene non sia possibile utilizzare i rapporti della console Gestione Criteri di gruppo per MLGPO, tali informazioni sono visualizzabili nel registro operativo di Criteri di gruppo.

Utilizzo delle impostazioni di Windows Vista

La funzionalità Controllo dell'account utente può determinare la mancata riuscita degli script di Criteri di gruppo

L'obiettivo principale del Controllo dell'account utente (UAC) è ridurre la superficie di esposizione e di attacco del sistema operativo, imponendo a tutti gli utenti l'esecuzione in modalità utente standard. Questa limitazione consente di ridurre al minimo la possibilità per gli utenti di apportare modifiche che potrebbero destabilizzare i computer o esporre inavvertitamente la rete a virus attraverso software dannoso (noto anche come malware) non rilevato che ha infettato il computer.

Il Controllo dell'account utente consente di eseguire la maggior parte di applicazioni, componenti e processi con un privilegio limitato, disponendo tuttavia di "potenziale elevazione" per attività amministrative e funzioni applicative specifiche. L'operazione viene eseguita in Windows mediante l'uso di due token di accesso per ogni utente, un token di accesso limitato e uno di accesso elevato. I token di accesso identificano l'utente, i gruppi cui appartiene e i privilegi di cui dispone. Il sistema utilizza i token di accesso per controllare l'accesso agli oggetti a protezione diretta e la capacità dell'utente di eseguire diverse operazioni correlate al sistema nel computer locale.

Il token elevato di un amministratore locale include tutti i privilegi amministrativi e li attiva. Il Controllo dell'account utente richiede che gli amministratori locali utilizzino token elevati quando tentano di eseguire attività solo a livello di sistema o amministrative. Il token limitato di un amministratore locale include tutti i privilegi amministrativi, tuttavia tali privilegi sono disabilitati. Ciò consente a Windows di visualizzare sia l'utente con privilegi amministrativi che un utente normale, con l'opzione di elevarne i privilegi.

Per impostazione predefinita, tutti gli utenti che accedono a Windows Vista, per elaborare Criteri di gruppo e script di accesso utilizzano il token completo mentre per caricare il desktop e tutti i successivi processi si servono del token limitato. I token non amministrativi, sia limitati che elevati, per quanto concerne privilegi e gruppi, sono in larga misura identici e pertanto, un processo iniziato con un token non amministrativo limitato è in grado di visualizzare i processi avviati con un token non amministrativo ma elevato. Windows lo consente in quanto l'applicazione non richiede alcuna elevazione per visualizzare il processo avviato con il token elevato.

L'elaborazione da parte di Windows di un accesso locale eseguito come amministratore avviene allo stesso modo. Criteri di gruppo e gli script di accesso utilizzano il token utente elevato, mentre il dektop e tutti i successivi processi utilizzano il token limitato. Esiste comunque una differenza di privilegio tra il token utente limitato e il token utente elevato, pertanto, per i processi avviati con un token limitato Windows limita la possibilità di condividere informazioni con processi avviati con il token elevato.

È possibile che il Controllo dell'account utente impedisca agli script di accesso di Criteri di gruppo di funzionare correttamente. Ad esempio, un ambiente di dominio contiene un oggetto Criteri di gruppo che include uno script di accesso per mappare le unità di rete. Un utente senza privilegi amministrativi accede al dominio da un computer Windows Vista. Completato il caricamento del desktop da parte di Windows Vista, l'utente senza privilegi amministrativi avvia Esplora risorse e visualizza le unità mappate. Nello stesso ambiente, un utente con privilegi amministrativi accede al dominio da un computer Windows Vista. Completato il caricamento del desktop da parte di Windows Vista, l'utente con privilegi amministrativi avvia Esplora risorse ma non visualizza le unità mappate.

Quando l'utente con privilegi amministrativi effettua l'accesso, Windows elabora gli script di accesso con il token elevato. Benché lo script funzioni correttamente e consenta la mappatura dell'unità, Windows blocca la visualizzazione delle unità di rete mappate poiché il desktop utilizza il token limitato mentre le unità sono state mappate con il token elevato.

Per risolvere il problema, gli utenti con privilegi amministrativi devono mappare le unità di rete con il token utente limitato. Ciò è possibile utilizzando lo script launchapp.wsf riportato in Appendice A, il cui funzionamento comporta la pianificazione dei comandi mediante l'apposita utilità. Lo script con token amministrativo completo viene avviato dall'Utilità di pianificazione, consentendo in tal modo a Esplora risorse, ad altri processi con token limitato e al processo con token elevato di visualizzare le unità di rete mappate.

Per configurare launchapp.wsf in modo che l'esecuzione di uno script di accesso venga rinviata
  1. Copiare lo script di accesso e lo script launchapp.wsf in una condivisione di rete.

  2. Avviare GPMC (Group Policy Management Console). In GPMC, fare clic con il pulsante destro del mouse sul GPO che si desidera modificare e quindi scegliere Modifica.

  3. Nel nodo Configurazione utente espandere Impostazioni di Windows e quindi fare clic su Script.

  4. Fare clic con il pulsante destro del mouse su Accesso e quindi scegliere Proprietà.

  5. Nella finestra di dialogo Proprietà di accesso fare clic su Aggiungi.

  6. Nella casella Nome script, digitare launchapp.wsf

  7. Nella casella Parametri script, digitare il percorso completo e il nome del file logon.bat

Configuring launchapp.wsf

Impossibilità di interruzione del servizio Criteri di gruppo

In Windows Vista, Criteri di gruppo viene rimosso dal processo Winlogon ed eseguito come servizio separato. Il client Criteri di gruppo è responsabile dell'applicazione delle impostazioni configurate dagli amministratori per computer e utenti attraverso il componente Criteri di gruppo. Nello snap-in Servizi le opzioni che consentono di arrestare, interrompere e ripristinare il client di Criteri di gruppo non sono disponibili. Ciò avviene poiché nel caso in cui il servizio client sia arrestato o disattivato, le impostazioni non verranno applicate e applicazioni e componenti non potranno essere gestiti tramite Criteri di gruppo. Eventuali componenti o applicazioni dipendenti dal componente Criteri di gruppo potrebbero non funzionare in caso di arresto o disattivazione del servizio client.

Impostazioni dei criteri che richiedono riavvio o accesso

Le impostazioni di Criteri di gruppo basate sul Registro di sistema, se attivate, richiedono un riavvio o un accesso. Gli elementi puntati di questa sezione contengono il nome dell'impostazione di Criteri di gruppo seguito dalla relativa funzione.

Accesso
  • Non consentire animazioni delle finestre: consente di controllare l'aspetto delle animazioni delle finestre, ad esempio quelle rilevate durante il ripristino, la riduzione a icona e l'ingrandimento delle finestre.

  • Non consentire composizione del desktop: consente di controllare il modo in cui viene eseguito il rendering di alcuni elementi grafici e di facilitare altre funzionalità, tra cui Scorrimento finestre, Scorrimento finestre 3D e Anteprime della barra delle applicazioni.

  • Non consentire la chiamata Scorrimento finestre 3D: consente di disattivare la selezione delle finestre tridimensionali.

  • Specifica un colore predefinito: consente di controllare il colore predefinito dei bordi delle finestre quando l'utente non specifica un colore.

  • Non consentire modifiche dei colori: consente di controllare la possibilità di modificare il colore dei bordi delle finestre.

  • Messaggi di stato dettagliati e normali: consente di indicare al sistema di visualizzare messaggi di stato molto dettagliati.

  • Imposta l'operazione da eseguire allo scadere dell'orario di accesso: consente di controllare l'operazione da eseguire nel momento in cui scade l'orario di accesso per l'utente connesso.

  • Imposta l'operazione da eseguire allo scadere dell'orario di accesso: consente di controllare l'operazione da eseguire nel momento in cui scade l'orario di accesso per l'utente connesso. Tra le operazioni sono incluse il blocco della workstation e la disconnessione completa dell'utente.

  • Segnala quando il server di accesso non è disponibile durante l'accesso dell'utente: consente di controllare se occorre informare l'utente connesso qualora sia impossibile contattare il server durante l'accesso e se la connessione dell'utente è avvenuta utilizzando informazioni sull'account archiviate in precedenza.

  • Interfaccia utente personalizzata: consente di specificare un'interfaccia utente alternativa.

Riavvio
  • Disattiva input tocco del Tablet PC: consente di disattivare l'input tocco mediante il quale l'utente riesce a interagire con il computer usando le dita.

  • Disattiva Windows Defender: consente di disattivare la protezione in tempo reale di Windows Defender, indicando che non sono pianificate altre analisi.

  • Disattiva interfaccia di arresto remota legacy: consente di controllare l'interfaccia di arresto (pipe) remota precedente. La "pipe remota" è necessaria per arrestare il sistema in uso da un sistema Windows Server 2003 o Windows XP remoto.

Interoperabilità di Reindirizzamento cartelle

Windows Vista offre molti vantaggi quando è in combinazione con profili utente mobili e Reindirizzamento cartelle. Il reindirizzamento dei dati utente in una posizione di rete centrale riduce le dimensioni del profilo utente, rende i dati utente immediatamente disponibili e migliora le prestazioni di accesso e disconnessione dell'utente grazie al trasferimento di un minor numero di dati. La combinazione di Reindirizzamento cartelle con i profili utente mobili consente a un utente di condividere i dati mobili tra computer Windows Vista e Windows XP.

I computer che eseguono Windows Vista non sono in grado di leggere i profili utente mobili creati da Windows XP. Si tratta di un problema per gli utenti che dispongono di un profilo utente mobile ma che devono muoversi tra computer Windows Vista e Windows XP. Il problema viene risolto da Reindirizzamento cartelle di Windows Vista.

Reindirizzamento cartelle consente di reindirizzare tutte le cartelle note fornite con un profilo utente di Windows Vista. Questa capacità consente di condividere una cartella nel profilo utente di Windows XP con una cartella del profilo di Windows Vista. Ad esempio, è possibile condividere la cartella Preferiti tra Windows Vista e Windows XP. La cartella Preferiti di Windows Vista viene reindirizzata allo stesso percorso in cui Windows XP sincronizza tale cartella nel profilo utente mobile.

Utilizzare lo scenario 3 incluso nel white paper seguente per creare uno o più criteri di Reindirizzamento cartelle e consentire agli utenti di condividere dati utenti mobili con Windows Vista e Windows XP. Il percorso di condivisione nel white paper è quello della cartella utente mobile dell'utente.

Per ulteriori informazioni, vedere http://go.microsoft.com/fwlink/?LinkId=73435 (informazioni in lingua inglese).

Protezione accesso alla rete e Riconoscimento presenza in rete

NAP (Network Access Protection, Protezione accesso alla rete) è una piattaforma di imposizione criteri per Windows Vista, Windows Server 2008 (versione beta in fase di test) e Windows XP che consente una migliore protezione delle risorse di rete con l'imposizione della conformità ai requisiti di integrità del sistema, ad esempio garantendo che nel client siano installati l'ultimo sistema operativo e gli aggiornamenti antivirus. Grazie a NAP è possibile creare criteri personalizzati per convalidare l'integrità del computer prima di consentire l'accesso o la comunicazione, aggiornare automaticamente i computer per garantirne la conformità costante e, se necessario, confinare i computer non conformi in una rete con restrizioni finché non acquisiscono la conformità richiesta.

Quando un computer client tenta di accedere alla rete, deve dimostrare lo stato di integrità del sistema. In caso contrario, l'accesso in rete sarà limitato a un segmento di rete con restrizioni contenente risorse server in modo da porre rimedio ai problemi di conformità. Dopo aver installato gli aggiornamenti, il computer client richiede nuovamente l'accesso alla rete che sarà concesso in modo illimitato se dimostra di essere conforme.

Tenere presente che NAP non è una soluzione di protezione. È progettata per impedire ai computer con configurazioni non sicure di connettersi a una rete, ma non per proteggere le reti da utenti malintenzionati provvisti di una serie valida di credenziali e computer che soddisfano i requisiti di integrità correnti.

Nei computer client, la funzionalità NLA (Network Location Awareness, Riconoscimento presenza in rete) consente al sistema di ricevere notifiche quando viene stabilita la connettività al controller di dominio e il servizio Criteri di gruppo determina se le impostazioni dei criteri siano applicabili per quell'evento. NLA tuttavia non riconosce la transizione da un ambiente di quarantena (vale a dire un ambiente NAP) a un ambiente aziendale, pertanto non fornirà notifiche di rete a Criteri di gruppo quando il computer esce dalla quarantena.

Per ovviare all'inconveniente viene utilizzata la soluzione che segue. Il componente NAP registra un evento nei file di registro. L'amministratore deve creare uno script che rileverà tale evento, il quale chiama il comando gpupdate per accertarsi che Criteri di gruppo venga aggiornato durante una connessione VPN riuscita.

Sfruttando NLA, Windows Vista si rivela maggiormente reattivo alle modifiche di rete e quel ritardo che arrivava fino a 90 minuti prima dell'aggiornamento di Criteri di gruppo non esiste più. In caso di omissione o mancata riuscita del ciclo di applicazione delle impostazioni dei criteri precedente, Criteri di gruppo esegue un ulteriore tentativo quando la connettività di rete al controller di dominio è disponibile. Si tratta di un miglioramento importante rispetto alle versioni precedenti di Criteri di gruppo in quanto la dipendenza di quest'ultimo da ICMP (Internet Control Message Protocol) viene rimossa.

Gestione delle funzionalità di Windows Vista mediante Criteri di gruppo

Windows Vista presenta molte nuove funzionalità gestibili mediante Criteri di gruppo, tra cui impostazioni di risparmio energia, installazione e utilizzo di dispositivi e impostazioni di protezione. Di seguito è riportato un elenco di guide dettagliate utili per la configurazione di tali funzionalità (informazioni in lingua inglese).

Elenco di impostazioni dei criteri

Nel foglio di calcolo cui viene fatto riferimento nel collegamento che segue sono elencate le impostazioni dei criteri per computer e configurazioni utente incluse nei file del modello amministrativo (admx/adml) fornite con Windows Vista RC1. Le impostazioni contenute nel foglio di calcolo riguardano Windows Vista RC1, Microsoft Windows Server 2003, Windows XP Professional e Windows 2000. I file sono utilizzati per esporre le impostazioni quando gli oggetti GPO vengono modificati mediante Editor oggetti Criteri di gruppo (noto anche come GPEdit).

http://go.microsoft.com/fwlink/?linkid=54020 (informazioni in lingua inglese)

Risoluzione dei problemi relativi a Criteri di gruppo

Per risolvere i problemi relativi a Criteri di gruppo, è necessario comprendere l'interazione tra Criteri di Gruppo e tecnologie di supporto, ad esempio il servizio di directory Microsoft® Active Directory® e il servizio FRS (File Replication Service, Replica file), nonché le modalità con cui gli oggetti stessi vengono gestiti, distribuiti e applicati. Una volta chiarita la situazione, è possibile specificare gli strumenti per trovare le risposte che contribuiranno all'identificazione e alla risoluzione dei problemi.

L'infrastruttura di Criteri di gruppo in Windows Vista appare notevolmente cambiata. L'elaborazione di Criteri di gruppo non è più presente nel processo Winlogon bensì è ospitata come servizio proprio, inoltre, il motore di Criteri di gruppo non si basa più sulla registrazione traccia rilevata in userenv.dll. e, di conseguenza, non esiste più un file registro userenv.

Gran parte delle risoluzioni dei problemi relativi a Criteri di gruppo fornite per le versioni precedenti di Windows erano basate sulla registrazione durante l'abilitazione nel componente userenv.dll e questo creava un file di registro denominato userenv.log nella cartella %WINDIR%\Debug\Usermode. In tale file erano contenute istruzioni di analisi della funzione con dati di supporto. Le funzioni di caricamento e scaricamento dei profili inoltre condividevano il file di registro, rendendo talvolta maggiormente complessa la diagnosi del registro. Il file, utilizzato unitamente alla console RSoP MMC (Resultant Set of Policy Microsoft Management Console) rappresentava il primo metodo di diagnosi e risoluzione dei problemi relativi a Criteri di gruppo.

In Windows Vista, Criteri di gruppo è considerato come componente proprio con un nuovo servizio autonomo in esecuzione nel processo Svchost allo scopo di leggere e applicare Criteri di gruppo. Il nuovo servizio include modifiche con segnalazione di eventi. I messaggi di eventi di Criteri di gruppo, prima venivano visualizzati nel registro applicazioni, ora invece nel registro di sistema. Questi nuovi messaggi sono elencati nel visualizzatore eventi con un'origine evento di Microsoft-Windows-GroupPolicy. Il registro operativo di Criteri di gruppo sostituisce la registrazione userenv precedente. Il registro operativo degli eventi ha migliorato i messaggi di eventi specifici per l'elaborazione di Criteri di gruppo.

Per ulteriori suggerimenti per la risoluzione dei problemi, consultare Windows Vista Group Policy Troubleshooting Guide all'indirizzo:

http://go.microsoft.com/fwlink/?LinkId=74139

Collegamenti correlati

Appendice A: Launchapp.wsf

<job>

<script language="VBScript">

'---------------------------------------------------------

' In questo esempio, l'applicazione viene avviata utilizzando l'account Utente interattivo.

'---------------------------------------------------------

' Costante che specifica un'attivazione di registrazione.

const TriggerTypeRegistration = 7

' Costante che specifica un'azione eseguibile.

const ActionTypeExecutable = 0

' Costante che specifica il flag in RegisterTaskDefinition.

const FlagTaskCreate = 2

' Costante che specifica un'azione eseguibile.

const LogonTypeInteractive = 3

If WScript.Arguments.Length <> 1 Then

WScript.Echo "Uso: cscript launchapp.wsf <PercorsoApplicazione>"

WScript.Quit

End If

strAppPath = WScript.Arguments(0)

'********************************************************

' Creazione dell'oggetto TaskService.

'********************************************************

Set service = CreateObject("Schedule.Service")

call service.Connect()

strTaskName = "Avvio applicazione con account Utente interattivo"

'********************************************************

' Definizione della cartella in cui creare la definizione dell'attività.

'********************************************************

Dim rootFolder

Set rootFolder = service.GetFolder("\")

'Eliminazione dell'attività, se già presente

On Error Resume Next

call rootFolder.DeleteTask(strTaskName, 0)

Err.Clear

'********************************************************

' Creazione della nuova attività

'********************************************************

Dim taskDefinition

Set taskDefinition = service.NewTask(0)

'********************************************************

' Creazione dell'attivazione di registrazione.

'********************************************************

Dim triggers

Set triggers = taskDefinition.Triggers

Dim trigger

Set trigger = triggers.Create(TriggerTypeRegistration)

'***********************************************************

' Creazione dell'azione che l'attività deve eseguire.

'***********************************************************

' Aggiunta di un'azione all'attività. L'azione esegue l'applicazione.

Dim Action

Set Action = taskDefinition.Actions.Create( ActionTypeExecutable )

Action.Path = strAppPath

WScript.Echo "Definizione attività creata. Invio dell'attività in corso..."

'***********************************************************

' Registrazione (creazione) dell'attività.

'***********************************************************

call rootFolder.RegisterTaskDefinition( _

strTaskName, taskDefinition, FlagTaskCreate, _

,, LogonTypeInteractive)

WScript.Echo "Attività inviata."

</script>

</job>

Appendice B: elenco di chiavi del Registro di sistema, valori e file spostati tramite migrazione

Dopo la migrazione a Windows Vista, Criteri di gruppo viene nuovamente applicato come se l'operazione fosse stata eseguita su un'installazione pulita. Per i client presenti in un dominio Windows, Criteri di gruppo verrà applicato come se il computer fosse stato appena aggiunto al dominio e questo vale anche per le estensioni lato client. Ogni estensione eseguirà la migrazione delle reletive impostazioni oppure le applicherà durante la prima applicazione di Criteri di gruppo nel dominio. Dopo l'aggiornamento, dal motore verranno elaborate le impostazioni come se fosse un'installazione pulita, rigenerati tutti i dati relativi al gruppi di criteri risultanti e impostati tutti i valori della cache. Nell'elenco seguente sono riportate le chiavi del Registro di sistema di cui è stata eseguita la migrazione mediante Windows Vista.

GPedit

            <pattern type="Registry">HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Editor\* [*]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GPEditDebugLevel]</pattern>

GPBase

            <pattern type="File">%windir%\system32\GroupPolicy\*[*]</pattern>

            <pattern type="File">%windir%\system32\GroupPolicyUsers\*[*]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideStartupScripts]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideShutdownScripts]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RunStartupScriptSync]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GpNetworkStartTimeoutPolicyValue]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DenyUsersFromMachGP]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DisableBkGndGroupPolicy]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [SyncForegroundPolicy]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DisableLGPOProcessing]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DenyRsopToInteractiveUser]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RSoPGarbageCollectionInterval]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GroupPolicyMinTransferRate]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [WaitForNetwork]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [UserenvDebugLevel]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RsopDebugLevel]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [gpsvcDebugLevel]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [RunDiagnosticLoggingGlobal]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [RunDiagnosticLoggingGroupPolicy]</pattern>

            <pattern type="Registry">HKLM\Software\Policies\* [*]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\* [*]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideLogonScripts]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideLogoffScripts]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RunLogonScriptSync]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GroupPolicyMinTransferRate]</pattern>

            <pattern type="Registry">HKCU\Software\Policies\* [*]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\* [*]</pattern>

GPMC

            <pattern type="Registry">HKCU\Software\Microsoft\Group Policy Management Console\* [*]</pattern>

          <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [gpmgmttracelevel]</pattern>

          <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [gprsoptracelevel]</pattern>

Installazione software

           <pattern type="File">%windir%\system32\appmgmt\*[*]</pattern>

    <pattern type="Registry">HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\Appmgmt\* [*]</pattern>

           <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [appmgmtdebuglevel]</pattern>

           <pattern type="Registry">HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\Appmgmt\* [*]</pattern>

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft