• Articolo

Criteri di gruppo

Approfondimento su Gestione avanzata Criteri di gruppo

Derek Melber

 

Panoramica:

  • Architettura e installazione di Gestione avanzata Criteri di gruppo
  • Modifica non in linea degli oggetti Criteri di gruppo
  • Gestione delle modifiche con Gestione avanzata Criteri di gruppo
  • Ripristino di emergenza

Microsoft ha recentemente acquisito DesktopStandard, una società che ha creato un prodotto che consente la gestione completa degli oggetti Criteri di gruppo.Secondo il mio parere, ogni azienda che utilizza Active Directory dovrebbe eseguire questo strumento, Gestione avanzata Criteri di gruppo.

AGPM consente la modifica non in linea degli oggetti Criteri di gruppo, la gestione delle modifiche, il flusso di lavoro per l'aggiornamento dei criteri, la delega e molto altro ancora.Nel presente articolo, viene approfondito il funzionamento interno e viene fornita una panoramica dettagliata su questo divertente e utilissimo strumento.

Iniziamo con una breve introduzione.AGPM era precedentemente noto come GPOVault.Dopo aver acquisito DesktopStandard, Microsoft l'ha ridenominato AGPM e l'ha inserito in Microsoft® Desktop Optimization Pack (MDOP).Al momento, è possibile ottenere MDOP solo se si dispone di licenze desktop per Windows Vista® coperte da Microsoft Software Assurance.

In base alla mia esperienza con gli strumenti inclusi, ritengo che MDOP sia una delle offerte più strabilianti fatte da Microsoft finora.MDOP viene rilasciato con cinque diversi strumenti che presi singolarmente sono già molto utili, ma che insieme costituiscono un set di strumenti tra i più notevoli e preziosi.Per ulteriori informazioni su MDOP, consultare il sito Web di MDOP all'indirizzo:windowsvista.com/optimizeddesktop.

Architettura e installazione di Gestione avanzata Criteri di gruppo

L'installazione di AGPM è stata progettata in modo da essere molto rapida e semplice: consiste in un componente server e un componente client (amministrativo).Il componente server deve essere installato su un server membro all'interno del dominio, non altera Active Directory®, lo schema o qualsiasi altro servizio directory.AGPM può essere installato su un controller di dominio, se necessario.

L'installazione del server esegue l'installazione di un servizio che richiede un account di servizio basato sul dominio da cui AGPM accede alla produzione diretta degli oggetti Criteri di gruppo per conto degli utenti.L'installazione richiede anche la presenza di un amministratore AGPM che controlli tutte le impostazioni all'interno di AGPM, tra cui la delega e la gestione del GPO iniziale.

Il client deve essere installato su un computer con Windows Vista che esegue già le normali funzioni amministrative, presumibilmente sul computer desktop degli amministratori di rete e di Active Directory.Il client deve ora indicare le impostazioni di AGPM sul server AGPM e la connessione all'archivio sarà eseguita.Il client AGPM utilizza l'interfaccia di Console Gestione Criteri di gruppo (GPMC) e viene indicato come il nodo di controllo modifiche, come illustrato nella Figura 1.

Figura 1 AGPM è completamente integrata nella GPMC per facilità di utilizzo

Figura 1** AGPM è completamente integrata nella GPMC per facilità di utilizzo **(Fare clic sull'immagine per ingrandirla)

I file a cui accede AGPM sono archiviati in formato file di base sul server AGPM.Questo è il metodo più semplice per archiviare tali file e per semplificare l'esecuzione del backup dell'intero archivio AGPM.La maggior parte delle funzionalità di AGPM utilizza le API GPMC integrate, il che consente un'integrazione e un utilizzo ottimali del prodotto.AGPM non utilizza un database, ma archivia i GPO in un'unica cartella mentre un manifesto controlla la correlazione di tutti gli oggetti Criteri di gruppo con il GPO padre all'interno dell'archivio.Ciò garantisce che tutti i GPO dispongano di un unico GUID; tuttavia, durante la fase di produzione, il GUID corretto viene associato al GPO in distribuzione.

Modifica non in linea di AGPM

La funzionalità fondamentale di AGPM consiste nella possibilità di effettuare la modifica dei GPO non in linea, fuori dall'ambiente di produzione.È noto che la modifica dei GPO effettuata tramite la GPMC predefinita può provocare l'immediato inserimento di impostazioni non corrette nell'ambiente di produzione, causando potenzialmente risultati disastrosi.

APGM gestisce la modifica dei GPO non in linea "controllando" i GPO.Un GPO controllato, come mostrato nella Figura 2, può essere modificato non in linea senza provocare alcuna intrusione nell'ambiente di produzione.

Figura 2 I GPO controllati si trovano nell'archivio AGPM e possono essere modificati non in linea

Figura 2** I GPO controllati si trovano nell'archivio AGPM e possono essere modificati non in linea **(Fare clic sull'immagine per ingrandirla)

Il controllo di un GPO è molto semplice.I GPO non controllati, come mostrato nella Figura 3, sono i GPO non ancora associati all'archivio AGPM.Facendo clic con il pulsante destro del mouse su uno di questi GPO, viene visualizzato un menu che contiene l'opzione per il controllo.Selezionando l'opzione di menu per il controllo, il GPO viene copiato dalla posizione di produzione (il volume di sistema o SYSVOL, condivisione sul controller di dominio) e posizionato nell'archivio AGPM.È possibile controllare diversi GPO; è sufficiente tenere premuto il tasto MAIUSC o CTRL durante la selezione dei GPO per ottenere l'elenco corretto di GPO che si desidera controllare e quindi fare clic con il pulsante destro del mouse per accedere all'opzione di menu per il controllo.I GPO controllati vengono modificati tramite l'Editor oggetti Criteri di gruppo (GPOE).Questo è solo un altro modo in cui AGPM è stata completamente integrata nella console GPMC.

Figura 3 I GPO non controllati vengono posizionati nell'archivio selezionando l'opzione di menu per il controllo

Figura 3** I GPO non controllati vengono posizionati nell'archivio selezionando l'opzione di menu per il controllo **(Fare clic sull'immagine per ingrandirla)

Delega della gestione di AGPM

Vediamo come AGPM gestisce la delega esaminando innanzitutto come è possibile delegare la gestione di GPO tramite la console GPMC.Nella console GPMC, esistono cinque diverse attività di delega che è possibile concedere a un utente:la creazione, il collegamento, la gestione e la lettura degli oggetti Criteri di gruppo.

Tutte le deleghe vengono completate all'interno dell'interfaccia GPMC.Sono tutte controllate dagli utenti e dai gruppi elencati nelle schede relative alla delega associate ai diversi nodi nella console GPMC.Le deleghe in questione sono quelle che consentono la creazione di nuovi GPO, come pure la modifica e la gestione dei GPO esistenti.

La creazione dei GPO nella console GPMC è gestita dalla scheda relativa alle deleghe associata al nodo oggetti Criteri di gruppo, come mostrato nella Figura 4.Una volta installata AGPM, sarà possibile rimuovere tutti gli utenti e i gruppi dall'elenco di coloro che hanno accesso alla creazione dei GPO.Per creare GPO, non è necessario rimuovere il sistema, i computer o i gruppi di computer dalla scheda relativa alle deleghe.La creazione di GPO a questo punto viene gestita dall'account di servizio che controlla il servizio di AGPM.A questo account viene concessa la delega per creare GPO per conto di tutti gli utenti e gruppi che dispongono delle deleghe per la creazione e la distribuzione di GPO da AGPM.

Figura 4 La creazione di GPO è controllata dall'elenco di account nella scheda relativa alle deleghe sul nodo oggetti Criteri di gruppo, nella console GPMC

Figura 4** La creazione di GPO è controllata dall'elenco di account nella scheda relativa alle deleghe sul nodo oggetti Criteri di gruppo, nella console GPMC **(Fare clic sull'immagine per ingrandirla)

Questa nuova capacità di creare GPO consente la divisione del lavoro e protegge la rete di produzione.In teoria, i GPO vengono creati, configurati e verificati prima che siano distribuiti dall'ambiente AGPM alla produzione.Ciò riduce la possibilità che si verifichino configurazioni non corrette come succede oggi senza AGPM.

Per la delega relativa alla modifica o alla gestione di GPO, la questione è analoga.Nella console GPMC, queste deleghe sono configurate sulla scheda relativa alle deleghe associata a ogni GPO, come mostrato nella Figura 5.

Figura 5 La modifica e la gestione di GPO sono associate individualmente ai GPO

Figura 5** La modifica e la gestione di GPO sono associate individualmente ai GPO **(Fare clic sull'immagine per ingrandirla)

Una volta installata AGPM, queste deleghe devono essere rimosse da ogni GPO elencato nel nodo oggetti Criteri di gruppo.Questo impedirà a tutti gli amministratori di modificare i GPO dall'esterno di AGPM.In sostanza, questo incanala tutta la gestione dei GPO in AGPM, dove sono possibili attività quali la modifica non in linea, la gestione delle modifiche e il ripristino di emergenza.

La rimozione degli utenti e dei gruppi dalla modifica di GPO dall'esterno di AGPM è un processo manuale.L'installazione e la configurazione di AGPM non rimuove alcun utente o gruppo dalla modifica dei GPO nell'ambiente di produzione.Poiché l'account di servizio che controlla il servizio di AGPM esegue le azioni per conto degli utenti che modificano i GPO di produzione da AGPM, non è necessario che utenti o gruppi di utenti siano elencati nella scheda delle deleghe per ogni GPO.Computer e gruppi di computer non devono essere rimossi dalle schede delle deleghe.

Dopo aver rimosso tutte le deleghe per la modifica di un GPO nella console GPMC, a nessun amministratore sarà consentito modificare un GPO dalla console GPMC, come mostrato nella Figura 6.

Figura 6 Gli amministratori non possono modificare i GPO dalla console GPMC una volta che viene loro negata la delega per questa azione

Figura 6** Gli amministratori non possono modificare i GPO dalla console GPMC una volta che viene loro negata la delega per questa azione **(Fare clic sull'immagine per ingrandirla)

Per finalizzare la configurazione, tutti gli amministratori che devono modificare i GPO devono essere aggiunti agli elenchi di controllo di accesso (ACL) appropriati in AGPM.Se un amministratore deve poter modificare tutti i GPO che si trovano nell'archivio, è necessario aggiungerne l'account utente a un gruppo a cui siano state concesse capacità di modifica a livello di dominio in AGPM, come mostrato nella Figura 7.Se un amministratore deve avere delle restrizioni relative alla modifica di alcuni GPO nell'archivio di AGPM, questa configurazione deve essere uguale per tutti i GPO (vedere la Figura 8).

Figura 7 La scheda delle deleghe di dominio consente la configurazione della modifica di tutti i GPO nell'archivio

Figura 7** La scheda delle deleghe di dominio consente la configurazione della modifica di tutti i GPO nell'archivio **(Fare clic sull'immagine per ingrandirla)

Figura 8 La modifica dei singoli GPO deve essere configurata sugli elenchi ACL del GPO

Figura 8** La modifica dei singoli GPO deve essere configurata sugli elenchi ACL del GPO **(Fare clic sull'immagine per ingrandirla)

Gestione delle modifiche di GPO di AGPM

Uno dei maggiori vantaggi di AGPM consiste nella possibilità di registrare tutte le modifiche effettuate sui GPO nell'archivio.Poiché questo è un processo automatizzato, non è necessario impostarlo, configurarlo o gestirlo.La registrazione di tutte le modifiche avviene in background, quando i GPO vengono gestiti tramite l'interfaccia client AGPM.

Questo costituisce un miglioramento significativo in relazione al modo in cui la console GPMC predefinita gestisce l'amministrazione dei GPO.Nella console GPMC predefinita, non esistono funzionalità automatizzate o incorporate per la registrazione delle modifiche sui GPO.Questo è stato uno dei principali problemi della maggior parte degli amministratori di Criteri di gruppo negli anni passati e adesso è stato eliminato.

La funzionalità di gestione delle modifiche di AGPM registra tutte le modifiche fondamentali che si verificano su un GPO.Oltre alle modifiche effettuate sul GPO, il sistema di gestione delle modifiche è utile anche in una situazione di registrazione di amministrazione completa o di controllo.Il sistema di gestione delle modifiche monitora, registra e documenta i seguenti valori per ogni modifica del GPO:la data e l'ora della modifica del GPO, l'utente che ha effettuato la modifica, le impostazioni originali del GPO e le modifiche apportate alle impostazioni del GPO.

Poiché la registrazione di tutte le modifiche è automatica, è importante sapere quali azioni hanno avviato la registrazione automatizzata.Nell'interfaccia client AGPM, è possibile fare clic con il pulsante destro del mouse su un GPO nella scheda relativa ai GPO controllati e selezionare l'opzione di menu per l'estrazione, come mostrato nella Figura 9.

Figura 9 L'estrazione di un GPO attiva il processo automatizzato di registrazione delle modifiche

Figura 9** L'estrazione di un GPO attiva il processo automatizzato di registrazione delle modifiche **(Fare clic sull'immagine per ingrandirla)

Per modificare il GPO, è necessario seguire questa procedura, che verrà illustrata nella sezione successiva.Anche se un GPO viene estratto e immediatamente riarchiviato senza alcuna modifica, verrà creato un archivio di questa azione.Dato che i GPO sono parte integrante dell'azienda, lo strumento registra anche la possibilità che venga effettuata una modifica.

La procedura di estrazione è obbligatoria all'interno di AGPM poiché è necessario un meccanismo che segnali le modifiche dei GPO all'amministratore che ha effettuato la modifica.Due amministratori non possono estrarre contemporaneamente lo stesso GPO.Se un amministratore estrae il GPO senza riuscire poi a riarchiviarlo correttamente, esiste un meccanismo integrato che consente all'amministratore AGPM di riportarlo in archivio.

Modifica dei GPO di AGPM

Quando il client AGPM è installato, è possibile accedere all'archivio di AGPM.Una volta concessa la delega per la modifica o il controllo completo nello strumento AGPM, sarà possibile modificare i GPO archiviati.Dopo aver estratto un GPO, è possibile modificarlo facendo clic su di esso con il pulsante destro del mouse e selezionando l'opzione di menu per la modifica.Nota:se è possibile modificare solo alcuni GPO nell'archivio di AGPM, è possibile che siano state concesse funzionalità di delega solo per alcuni GPO, ma non per tutti i GPO nell'archivio.

Con l'acquisizione di DesktopStandard, Microsoft ha acquisito anche PolicyMaker, adesso ridenominato Preferenze di Criteri di gruppo.Questa serie di funzionalità di Criteri di gruppo è inclusa nella console GPMC, fornita con Windows Server® 2008. Le Preferenze di Criteri di gruppo consentono all'amministratore di configurare le applicazioni o i componenti di Windows, non configurabili normalmente tramite Criteri di gruppo, così come applicarli a determinati utenti o computer, in base a numerose regole di assegnazione.Le Preferenze di Criteri di gruppo sono completamente integrate in GPMC e AGPM in Windows Server 2008.

Distribuzione di GPO di AGPM

AGPM è stato progettato considerando l'efficienza e il flusso di lavoro.Poiché la gestione dei GPO adesso è più stabile e controllata tramite AGPM, è sensato che gli amministratori dispongano solo della capacità di modificare un GPO, ma non di distribuirlo in produzione.In AGPM, questa operazione viene controllata senza problemi attraverso l'interfaccia, le finestre di dialogo e le procedure di lavoro.Se, ad esempio, un amministratore che dispone esclusivamente di diritti di modifica tenta di distribuire un GPO, il sistema lo blocca.All'amministratore viene quindi mostrata una finestra di dialogo che consente di comunicare con un amministratore a cui sia stata delegata l'autorizzazione per la distribuzione.Questa funzionalità del flusso di lavoro consente di inviare un messaggio di posta elettronica ai destinatari specificati nei campi A:e Cc:e di impostare il GPO su uno stato univoco.Questo stato si trova nella scheda degli elementi in sospeso dell'interfaccia di AGPM.Qui il GPO viene indicato come distribuzione in sospeso, il che consente agli amministratori di visualizzare rapidamente lo stato di tutti i GPO su cui sono state eseguite azioni.

Per distribuire un GPO in sospeso, un amministratore di AGPM che dispone della delega per la distribuzione può semplicemente fare clic con il pulsante destro del mouse sul GPO e selezionare l'opzione di menu per l'approvazione.Se il GPO che deve essere distribuito si trova nella scheda dei GPO controllati invece che dei GPO in sospeso, è sufficiente che lo stesso amministratore faccia clic con il pulsante destro del mouse sul GPO e selezioni l'opzione per la distribuzione.Poiché questa autorizzazione delegata è già stata concessa, il GPO verrà immediatamente distribuito in produzione.

Confronti e report delle impostazioni di GPO di AGPM

L'interfaccia della console GPMC dispone di una finestra di dialogo delle impostazioni a cui è possibile accedere tramite una scheda con lo stesso nome.La finestra di dialogo delle impostazioni fornisce una visuale approfondita di tutte le impostazioni configurate nel GPO, che consente di comprendere quali delle quasi 3000 impostazioni dei criteri di gruppo siano state configurate.

Poiché AGPM fornisce un archivio dei GPO modificati, la scheda delle impostazioni della console GPMC non consente di visualizzare le impostazioni configurate nei GPO modificati.Invece, l'interfaccia di AGPM fornisce una soluzione alternativa a questa funzionalità.

Per visualizzare le impostazioni nei GPO, è opportuno vedere prima l'elenco cronologico di tutte le modifiche.Per farlo, fare doppio clic su un qualsiasi GPO nella scheda dei GPO controllati in AGPM.Da questa interfaccia, è possibile fare clic con il pulsante destro del mouse su qualsiasi versione di GPO e selezionare l'opzione del report delle impostazioni.Questo crea un report di tutte le impostazioni configurate in quella versione del GPO.Il report è un file HTML descrittivo, ma può essere creato anche in formato XML.

Sebbene questo sia utile, è ancora più pratico poter confrontare due versioni dello stesso GPO.Con questa funzionalità, è possibile vedere cosa è cambiato da una versione all'altra o confrontare due versioni completamente diverse dello stesso GPO.Questo è molto utile anche nel caso della distribuzione in sospeso di un GPO perché consente di vedere le differenze tra il GPO in sospeso e il GPO in distribuzione.Per visualizzare questo report, evidenziare due diversi GPO nella visualizzazione della cronologia, quindi fare clic con il pulsante destro del mouse su uno dei due.

La codifica con colori nel report delle differenze è molto utile, specialmente quando si desidera verificare cosa è stato modificato in un GPO in sospeso, prima di distribuirlo.Le impostazioni evidenziate in rosso sono state eliminate dal GPO in produzione e non sono più disponibili nel GPO in sospeso.Le impostazioni di colore blu sono state modificate e quelle di colore verde sono nuove modifiche effettuate nel GPO in sospeso, ma non nel GPO in produzione.

Questa funzionalità di AGPM consente di risparmiare molte ore di lavoro necessarie per i confronti manuali delle impostazioni del GPO.È anche un ottimo metodo per documentare il GPO nel tempo; è possibile stampare e creare report di tutte le versioni.

Ripristino di emergenza dei GPO di AGPM

Una singola modifica apportata a un GPO può creare problemi a uno o più computer della rete.Con la console GPMC predefinita, questo tipo di configurazione può essere corretta, a condizione che vengano prese le appropriate misure manuali per eseguire i backup dei GPO sia prima che dopo che le modifiche vengano apportate al GPO in produzione.Se non vengono eseguiti backup, il ripristino da questo tipo di emergenza non è così semplice come si pensa.

AGPM gestisce la questione in modo semplice.Poiché esistono backup completi di tutti i GPO nella cronologia dei GPO, è possibile aprire semplicemente tale cronologia e selezionare quale versione del GPO si desidera ridistribuire.

Con AGPM, la gestione di Criteri di gruppo diventa quasi perfetta.Per anni, gli amministratori hanno desiderato di poter controllare e gestire i GPO non in linea.AGPM fornisce questa funzionalità con grazia ed eleganza.AGPM offre anche una soluzione di gestione delle modifiche molto valida che non solo registra le aree principali di un GPO modificato, ma fornisce anche confronti tra GPO e ripristino di emergenza.Il modello di delega incorporato in AGPM consente di incanalare tutte le attività amministrative in AGPM per tutte le modifiche apportate ai GPO, fornendo l'esecuzione automatizzata dei backup delle modifiche dei GPO ed eliminando tutti i problemi del GPO in produzione.Questo servizio offre così tante funzionalità che sarebbe impossibile illustrarle tutte adesso, ma il manuale di AGMP fornisce molte informazioni su modelli, ripristino del collegamento dei nodi, configurazione SMTP e molto altro ancora.

Derek Melber è un consulente indipendente, istruttore e autore.La funzione di Derek consiste nel promuovere e fornire una formazione adeguata nell'ambito della tecnologia Microsoft, con particolare attenzione ad Active Directory, a Criteri di gruppo, alla protezione e alla gestione dei desktop.Derek partecipa regolarmente alla stesura di pubblicazioni cartacee e in linea ed è autore di oltre 10 manuali sulla tecnologia, tra cui Microsoft Windows Group Policy Guide (Microsoft Press, 2005).È possibile contattare Derek all'indirizzo derekm@braincore.net.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.