• Articolo

Windows Vista

Criteri di gruppo più efficaci in Windows Vista

Jeremy Moskowitz

 

Panoramica:

  • Infrastruttura di Criteri di gruppo
  • Funzionalità di riconoscimento della presenza in rete migliorata
  • Funzionalità aggiuntive di Criteri di gruppo

In Windows Vista viene apportato un aggiornamento sostanziale all'infrastruttura di Criteri di gruppo. È possibile tuttavia che, durante la distribuzione di Windows Vista all'interno delle organizzazioni, in tutto il mondo, la maggior parte degli amministratori non rilevi differenze nella modalità di funzionamento, in quanto le numerose modifiche apportate alle funzioni di Criteri di gruppo

vengono tutte effettuate all'interno del sistema. La caratteristica che tuttavia risulterà immediatamente evidente agli amministratori è la maggiore potenza di Criteri di gruppo di Windows Vista™ rispetto alle versioni precedenti.

Prima del rilascio di Windows Vista, l'elaborazione di Criteri di gruppo veniva eseguita all'interno di un processo denominato Winlogon. Winlogon adempiva a numerose funzioni, tra cui consentire agli utenti di accedere ai relativi desktop o gestire le diverse attività correlate a Criteri di gruppo. Criteri di gruppo dispone ora del proprio servizio Windows®. È inoltre protetto, il che significa che non può essere arrestato e che un amministratore non può assumere la proprietà delle autorizzazioni per Criteri di gruppo allo scopo di disattivarlo. Tali modifiche consentono di migliorare l'affidabilità globale del modulo Criteri di gruppo.

Finora è stata tuttavia fornita solo una panoramica generale delle novità introdotte. Di seguito verranno esaminate in maggiore dettaglio alcune delle principali modifiche apportate al nuovo Criteri di gruppo.

Funzionalità di riconoscimento della presenza in rete migliorata

Prima del rilascio di Windows Vista, il modulo Criteri di gruppo tentava di capire se un utente stabiliva la connessione attraverso un collegamento lento o veloce e utilizzava tali informazioni per stabilire quali impostazioni dei criteri applicare. In caso di utilizzo di un collegamento lento, Criteri di gruppo non inviava tutte le impostazioni dei criteri al sistema in quanto il relativo download avrebbe richiesto molto tempo. Questo tipo di servizio non è stato rimosso dal nuovo Criteri di gruppo. È stata tuttavia modificata la modalità di calcolo della larghezza di banda corrente.

Per determinare la velocità di connessione venivano inviati pacchetti ping ICMP (Internet Control Message Protocol) ai controller di dominio. Questo approccio presentava numerosi problemi in scenari reali: innanzitutto, molti amministratori disattivavano il protocollo ICMP sui relativi router. In secondo luogo, se la connessione veniva eseguita attraverso collegamenti con latenza elevata (come nel caso di collegamenti satellitari), i calcoli risultavano poco affidabili. In queste situazioni il modulo Criteri di gruppo non offriva alcun metodo efficace per determinare l'effettiva velocità del collegamento.

Il modulo Criteri di gruppo non era inoltre in grado di riconoscere se il computer era stato ripristinato dalla modalità di sospensione o standby, né di rilevare se l'utente eseguiva improvvisamente una connessione dopo sei mesi di assenza dalla rete. Un utente, utilizzando un computer con Windows XP o Windows 2000, era in grado di connettersi, controllare i messaggi di posta elettronica e disconnettersi, senza che venisse eseguito l'aggiornamento di Criteri di gruppo. La maggior parte degli amministratori eseguirebbe un aggiornamento di Criteri di gruppo, se necessario, su un sistema ripristinato dalla modalità di sospensione o standby o su un computer che si connette dopo una lunga assenza.

Il modulo Criteri di gruppo di Windows Vista aggiornato è in grado di rilevare la connettività di rete in tempo reale. La principale modifica introdotta prevede la capacità del modulo Criteri di gruppo di utilizzare il gestore NLA 2.0 (Network Location Awareness) in Windows Vista. Il servizio NLA invia semplicemente un avviso al modulo Criteri di gruppo ogni volta che è disponibile un controller di dominio. In tal caso viene eseguito, se necessario, un aggiornamento di Criteri di gruppo.

Oggetti Criteri di gruppo locali multipli

Prima del rilascio di Windows Vista, veniva fornito il supporto per un unico oggetto Criteri di gruppo locale. Se si digitava GPEDIT.MSC al prompt dei comandi e si apportavano alcune modifiche alle impostazioni, tali modifiche avrebbero interessato tutti gli utenti e amministratori che utilizzavano quel computer. Questo poteva rappresentare un problema se, ad esempio, si desiderava rimuovere il comando Esegui dal menu Start per gli utenti tipici, ma renderlo disponibile agli amministratori.

Il supporto per più oggetti Criteri di gruppo locali consente di risolvere questo problema mediante l'uso dei livelli degli oggetti Criteri di gruppo. Questa funzionalità verrà probabilmente utilizzata principalmente sui sistemi che non fanno parte di un dominio Active Directory e potrebbe rivelarsi particolarmente utile anche per gli utenti aziendali.

La nuova funzionalità per il supporto di più oggetti Criteri di gruppo locali, basata su livelli, può risultare piuttosto complicata (vedere la Figura 1). È disponibile tuttavia un oggetto Criteri di gruppo locale predefinito, che si applica al contesto del computer locale e ha effetto su tutti gli utenti del sistema. L'oggetto Criteri di gruppo definisce le impostazioni del computer e le impostazioni utente.

Figura 1 Criterio di gruppo locale del totale degli utenti

Figura 1** Criterio di gruppo locale del totale degli utenti **

Il secondo livello ha effetto sui membri del gruppo Administrators o del gruppo di utenti non amministratori del sistema locale. Un account utente, per definizione, non può essere membro di entrambi i gruppi. Il livello determina se l'utente è un amministratore del sistema locale o un utente comune e applica quindi l'oggetto Criteri di gruppo appropriato (amministratori o utenti non amministratori). Il terzo livello ha effetto su un account utente del sistema locale con un nome specifico.

Si tratta pertanto di tre potenziali oggetti Criteri di gruppo locali che potrebbero influire su qualsiasi utente che utilizza il computer. È ad esempio possibile utilizzare i tre livelli per fornire impostazioni a tutti gli utenti di uno specifico computer, ulteriori impostazioni che hanno effetto solo sugli utenti non amministratori del computer e, infine, impostazioni che riguardano solo un singolo utente del computer.

Se, naturalmente, il sistema è stato aggiunto a un dominio Active Directory®, gli oggetti Criteri di gruppo di Active Directory hanno la precedenza sui criteri locali. Gli amministratori di dominio hanno inoltre la possibilità di disattivare l'elaborazione di tutti gli oggetti Criteri di gruppo locali per Windows Vista.

Messaggi di errore e risoluzione dei problemi

In Windows Vista è disponibile un registro eventi completamente nuovo. Il modulo Criteri di gruppo utilizza il nuovo sistema di gestione degli eventi Windows Eventing 6.0 (noto anche come Registro eventi) e suddivide gli eventi in due registri specifici. Il noto registro eventi di sistema, considerato ora un registro di amministrazione, contiene i problemi correlati a Criteri di gruppo. Se si verifica un errore nel modulo Criteri di gruppo, l'errore verrà visualizzato nel registro eventi di sistema, elencato come errore proveniente dal servizio Criteri di gruppo (non dal processo Userenv).

Un nuovo registro di applicazioni e servizi, che costituisce un registro operativo, è stato specificamente progettato per Criteri di gruppo ed è possibile archiviarvi eventi operativi. Questo registro sostituisce sostanzialmente il complesso file per la risoluzione dei problemi userenv.log e contiene tutte le operazioni eseguite dal modulo Criteri di gruppo, in modo da semplificarne la lettura.

ADM e ADMX

Già all'epoca di Windows NT® 4.0, i file ADM costituivano i modelli di definizioni sottostanti relativi alle potenzialità di Criteri di gruppo. I file ADM, benché non consentano di controllare tutti i meccanismi alla base del funzionamento del modulo Criteri di gruppo, sono tuttavia responsabili di tutte le funzionalità utili disponibili in Configurazione utente | Modelli amministrativi oltre che in Configurazione computer | Modelli amministrativi.

Dal punto di vista funzionale, i file ADM presentano alcuni punti deboli. Nelle versioni di Windows precedenti a Windows Vista, la creazione di un nuovo oggetto Criteri di gruppo comporta la copia di una quantità di file ADM nella cartella di ogni oggetto Criteri di gruppo (che risiede in SYSVOL), con l'impiego di circa 5 MB per ciascun oggetto Criteri di gruppo. La presenza di molti oggetti Criteri di gruppo comporta un elevato numero di file modello di sistemi duplicati in SYSVOL, con la conseguenza di numerose repliche di ciascun oggetto da 5 MB.

I file ADM inoltre non sono indipendenti dalla lingua. Un file ADM viene creato in una lingua specifica e gli utenti che impiegano tale file dovranno utilizzare esclusivamente quella lingua.

Criteri di gruppo in Windows Vista fa fronte a questi problemi grazie all'introduzione di un nuovo formato basato su XML per i file di definizione dei criteri denominati ADMX. I file ADMX sono indipendenti dalla lingua, ma devono essere accompagnati da un file ADM specifico per la lingua. È possibile aggiungere facilmente altre lingue utilizzando semplicemente più file ADM di supporto al file ADMX.

Il formato ADMX supporta un archivio centrale e questo consente di eliminare tutte le repliche delle informazioni duplicate e semplificare l'aggiornamento di un file ADMX. In caso di aggiornamento di un file ADMX, ad esempio da un service pack, è sufficiente posizionare il file aggiornato nell'archivio centrale. Tutti gli amministratori di Criteri di gruppo del dominio che utilizzano workstation Windows Vista potranno accedere al file ADMX aggiornato. In precedenza era necessario garantire che il computer di ciascun amministratore disponesse della copia corretta di ogni file ADM aggiornato: un'operazione piuttosto impegnativa.

Un amministratore di dominio deve creare l'archivio centrale in SYSVOL manualmente, una volta per ogni dominio Active Directory. Una volta creato, l'archivio centrale verrà utilizzato automaticamente da tutti gli amministratori che utilizzano i computer Windows Vista per creare e gestire gli oggetti Criteri di gruppo. Si tratta di una funzionalità specifica di Windows Vista e la verifica della presenza di un archivio centrale viene eseguita dal computer Windows Vista aggiunto a un dominio Active Directory. Non è necessario attendere la versione successiva di Windows Server®, il cui nome in codice è "Longhorn", né convertire i computer degli utenti finali in Windows Vista. Questo avviene indipendentemente dal sistema operativo su cui è basato il dominio: Windows Server Longhorn, Windows Server 2003 o Windows 2000. Per sfruttare i vantaggi offerti dall'archivio centrale, è sufficiente creare l'archivio centrale e utilizzare i computer Windows Vista per creare o gestire gli oggetti Criteri di gruppo.

Come illustrato in precedenza, i file ADMX e ADML sono basati su XML. Il principale vantaggio del formato XML è rappresentato dall'utilizzo di un linguaggio standard. Occorre tuttavia tenere presente che non esiste un editor grafico ADMX né Microsoft prevede di rilasciarne uno, così come non è disponibile alcuno strumento di conversione da ADM in ADMX per gli eventuali modelli ADM personalizzati già a disposizione degli utenti.

Windows Vista verrà rilasciato con circa 130 file ADMX che sostituiscono i 6-8 file ADM forniti con le versioni precedenti di Windows. I file risiedono nella directory \Windows\PolicyDefinitions, come illustrato nella Figura 2. È opportuno ricordare che i file ADML sono memorizzati in sottodirectory specifiche per le lingue, come la directory en-US per la lingua inglese (Stati Uniti).

Figura 2 File ADMX nella directory \Windows\PolicyDefinitions

Figura 2** File ADMX nella directory \Windows\PolicyDefinitions **(Fare clic sull'immagine per ingrandirla)

Console Gestione Criteri di gruppo

La console Gestione Criteri di gruppo o GPMC (Group Policy Management Console) era disponibile come download per Windows XP e Windows Server 2003. GPMC, una console MMC (Microsoft Management Console) configurabile tramite script, offriva un unico strumento di amministrazione per la gestione di Criteri di gruppo.

GPMC ora è integrato in Windows Vista. Di conseguenza, ogni volta che si desidera creare o modificare oggetti Criteri di gruppo, sarà possibile accedere facilmente allo strumento più appropriato per l'attività da eseguire. È sufficiente digitare GPMC.MSC al prompt dei comandi visualizzato mediante Start | Cerca di Windows Vista.

Nuove funzioni da controllare

Windows Vista rende disponibili circa 800 nuove impostazioni dei criteri, raggruppati in più categorie, molte delle quali sono già note e ampiamente utilizzate. Windows Vista introduce tuttavia anche alcune nuove e utili categorie, nuove in quanto non disponibili in precedenza o perché diverse da quelle precedenti che non disponevano di alcun controllo di Criteri di gruppo.

Tra le aree migliorate in Criteri di gruppo figurano i criteri per reti cablate e senza fili, Windows Firewall e IPsec nonché le funzionalità di gestione stampa, shell per desktop, assistenza remota e Tablet PC. I criteri per reti cablate e senza fili possono richiedere un aggiornamento dello schema a livello di insieme di strutture. Per ulteriori informazioni in proposito, visitare il sito Web all'indirizzo microsoft.com/technet/itsolutions/network/wifi/vista_ad_ext.mspx (in inglese).

Le nuove aree di Criteri di gruppo di Windows Vista includono le funzionalità Gestione archivi rimovibili, Risparmio energia, Controllo dell'account utente, Segnalazione errori di Windows, Protezione accesso alla rete e Windows Defender.

Per controllare le aree che influiscono in modo specifico sui computer Windows Vista, è necessario utilizzare un computer Windows Vista (o un computer Windows Server "Longhorn") durante la creazione o la modifica degli oggetti Criteri di gruppo. Il motivo va ricercato nel mancato riconoscimento da parte dei sistemi operativi precedenti delle nuove impostazioni specifiche per Windows Vista.

La trattazione approfondita di ciascuna di queste aree richiederebbe un intero articolo e lo spazio per il presente documento è limitato. Le funzionalità Gestione archivi rimovibili e Risparmio energia (illustrate nella Figura 3) sono particolarmente importanti. Si tratta di funzionalità che si riveleranno particolarmente utili per gli amministratori. In breve queste aree offrono un livello di controllo più preciso sui tipi di dispositivi che è possibile collegare a Windows Vista e sul tipo di impostazioni di risparmio energia di computer portatili, desktop e monitor che promettono alle aziende un risparmio non indifferente.

Figura 3 Applicazione della funzionalità di Risparmio energia tramite Criteri di gruppo

Figura 3** Applicazione della funzionalità di Risparmio energia tramite Criteri di gruppo **(Fare clic sull'immagine per ingrandirla)

Grazie all'aggiunta di nuove impostazioni di Risparmio energia in Windows Vista, un amministratore ha la possibilità di scegliere se disattivare o impostare un monitor video inattivo in modalità di sospensione a basso consumo. Gli studi pubblicati sul sito Web Energy Star dell'EPA (Environmental Protection Agency) hanno dimostrato che il controllo dell'energia utilizzata da un monitor può determinare ogni anno un risparmio compreso tra i 10 e i 30 dollari per monitor. Si tratta di un risparmio significativo per aziende in cui si utilizzano centinaia o migliaia di monitor.

Per apprezzare la funzionalità Gestione archivi rimovibili, si può immaginare il seguente scenario: un amministratore desidera consentire agli studenti di utilizzare le relative unità memoria flash USB per accedere a elaborati del corso universitario, ai compiti o ad altri documenti su qualsiasi workstation situata in un chiosco multimediale dell'università. È consigliabile, tuttavia, considerato l'utilizzo potenzialmente non corretto di tali dispositivi e i potenziali rischi per la protezione, che gli studenti non dispongano dell'accesso in scrittura alle unità USB della workstation del chiosco multimediale dell'università, a meno che non di tratti di un'unità USB approvata dall'istituzione scolastica. Questo livello di granularità nella gestione dei dispositivi è reso possibile grazie all'utilizzo delle impostazioni di Criteri di gruppo di Windows Vista.

Conclusione

Come è facile notare, i miglioramenti apportati alla gestione di Windows Vista lavorano all'interno del sistema. Gli amministratori noteranno che il modulo Criteri di gruppo di Windows Vista garantisce una gestione della configurazione potente e flessibile, con un significativo aumento del numero di impostazioni configurabili e l'aggiunta di nuove risorse per migliorare la protezione del sistema (e ridurre potenzialmente i costi).

Evoluzione futura di Criteri di gruppo

Le funzionalità descritte nel presente articolo rappresentano più o meno i miglioramenti di cui sarà possibile usufruire quando Windows Vista verrà distribuito. Il team per Criteri di gruppo tuttavia sta già pensando ad altre novità all'orizzonte. Le funzionalità aggiuntive di Criteri di gruppo verranno probabilmente rese disponibili entro il periodo di tempo previsto per il rilascio di Windows Server "Longhorn". Queste funzionalità non verranno fornite immediatamente dopo la distribuzione iniziale di Windows Vista, ma è probabile che vengano rese disponibili per Windows Vista tramite un service pack o un altro meccanismo. Pertanto, sebbene queste funzionalità disponibili a breve siano soggette a modifica, per il futuro sono previste tre principali aree verso cui indirizzare i miglioramenti. Nessuna di queste funzionalità dovrebbe richiedere l'utilizzo di Windows Server "Longhorn".

Commenti Una funzionalità molto richiesta è la possibilità di aggiungere commenti sulla funzione di ciascun oggetto Criteri di gruppo e sul tipo di utilizzo a cui è destinata ogni specifica impostazione di Criteri di gruppo. Attualmente, l'unico modo per creare commenti consiste nel tenere traccia degli oggetti Criteri di gruppo e delle impostazioni in un foglio di calcolo a cui è possibile aggiungere commenti. La possibilità di aggiungere commenti sarà una funzionalità accolta con grande entusiasmo.

Modelli Talvolta un amministratore desidera offrire ad altri amministratori un punto di partenza per la creazione di oggetti Criteri di gruppo personalizzati. Questa capacità è resa possibile dai modelli di Criteri di gruppo. Con l'utilizzo di un modello come punto di partenza, un amministratore sarà in grado di creare oggetti Criteri di gruppo personalizzati. Microsoft aggiungerà probabilmente scenari comuni all'insieme iniziale di modelli, offrendo indicazioni specifiche sulla modalità di controllo dei diversi tipi di computer. Per ulteriori informazioni in proposito, visitare la pagina Web Common Scenarios documentation and files (in inglese).

Funzioni di ricerca e filtro Data la notevole quantità di impostazioni dei criteri, a volte risulta difficile individuare l'impostazione di uno specifico criterio. Per fortuna le funzionalità di ricerca, disponibili a breve, consentiranno di semplificare la ricerca di elementi all'interno di titolo, testo esplicativo e commenti relativi alle impostazioni dei criteri. Sarà inoltre possibile sapere rapidamente quali impostazioni dei criteri sono attivate o disattivate all'interno di un oggetto Criteri di gruppo, il che consentirà di apportare modifiche a un oggetto Criteri di gruppo anomalo in modo rapido e semplice.

Per inviare ulteriori richieste in relazione alle funzionalità di Criteri di gruppo, visitare il portale relativo a commenti e suggerimenti di Windows Server all'indirizzo windowsserverfeedback.com (in inglese).

Jeremy Moskowitz, MCSE e MVP per Criteri di gruppo, gestisce GPanswers.com, il forum della comunità su Criteri di gruppo. Tiene inoltre un corso di formazione intensivo su Criteri di gruppo della durata di due giorni. Il suo ultimo libro è intitolato Group Policy, Profiles and Intelli­Mirror, Third Edition (Sybex, 2005). È possibile contattare Jeremy all'indirizzo www.GPanswers.com. Un ringraziamento a Mark Lawrence del team Criteri di gruppo di Microsoft per il contributo che ha apportato alla redazione del presente articolo.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.