Amministrazione di Windows

Guida alla risoluzione dei problemi di Criteri di gruppo

Derek Melber

Panoramica:

• Problemi comuni degli Oggetti Criteri di gruppo
• Regole di Criteri di gruppo
• Risoluzione dei problemi degli Oggetti Criteri di gruppo
• Strumenti per la risoluzione dei problemi

Microsoft Active Directory è diventato un componente fondamentale di molte infrastrutture IT. Una delle funzionalità più importanti di Active Directory è Criteri di gruppo, che consente agli amministratori di centralizzare la gestione di controller di dominio, server membri e desktop.

Nonostante Criteri di gruppo fornisca chiaramente molti vantaggi, presenta un piccolo problema. La sua progettazione e implementazione all'interno di una grande organizzazione può risultare complicato. Ancora più problematico può apparire la risoluzione dei problemi quando qualcosa va storto. In questo articolo, esaminerò la struttura di Criteri di gruppo e mostrerò come risolverne i problemi. Alla fine, avrete tutto il necessario per affrontare praticamente qualunque problema di Criteri di gruppo.

Impostazioni problematiche

Ci sono molte parti mobili in Criteri di gruppo, soprattutto in relazione al modo in cui si interfaccia con la progettazione e l'implementazione complessiva di Active Directory®. Durante la risoluzione di problemi di vario genere relativi all'accesso e alla rete, la ricerca di una soluzione dovrebbe includere sempre Active Directory e gli elementi essenziali dell'implementazione di Criteri di gruppo. Per iniziare il processo di risoluzione dei problemi, osserviamo le impostazioni di Criteri di gruppo che possono essere configurate in modo non corretto, per poi passare ad argomenti più complessi che potrebbero causare il malfunzionamento di Criteri di gruppo.

Le impostazioni di Criteri di gruppo vengono consultate dagli amministratori di Active Directory utilizzando i file modello amministrativo (file ADM o ADMX) e l'Editor oggetti Criteri di gruppo, o GPEdit (avviato eseguendo gpedit.msc). Utilizzando GPEdit, l'amministratore crea i file Oggetto Criteri di Gruppo, o GPO. Gli Oggetti Criteri di gruppo sono configurati in modo da poter essere applicati (o meno) ai computer e agli utenti entro la struttura di Active Directory. Ci sono numerose regole che gli oggetti Criteri di gruppo devono seguire per funzionare correttamente. Vediamo quali sono.

Un Oggetto Criteri di gruppo deve essere collegato Quando viene creato un nuovo Oggetto Criteri di gruppo, può non essere collegato a qualunque nodo in Active Directory. Anche se l'Oggetto Criteri di gruppo può essere modificato e cambiato, non influirà su altri oggetti finché non viene collegato a un nodo. Per assicurarsi che l'Oggetto Criteri di gruppo sia collegato correttamente, osservare la finestra di informazioni nella console Gestione criteri di gruppo (GPMC) mostrata nella Figura 1.

Figura 1** I collegamenti dell'Oggetto Criteri di gruppo sono mostrati chiaramente **(Fare clic sull'immagine per ingrandirla)

L'Oggetto Criteri di gruppo deve avere come destinazione l'oggetto giusto Come è noto, Criteri di gruppo deve avere come destinazione gli oggetti corretti in Active Directory. Tuttavia, questo requisito a volte viene trascurato durante la risoluzione dei problemi. In un Oggetto Criteri di gruppo, ci sono due categorie principali: computer e utente. Quando si configura un Oggetto Criteri di gruppo, accertarsi di annotare se è per un oggetto computer o utente. Quindi, è possibile verificare che i tipi di oggetto corretti siano collocati nell'Unità Organizzativa (UO) dove è collegato l'Oggetto Criteri di gruppo.

Gli Oggetti Criteri di gruppo non si applicano ai gruppi Sebbene si possa desiderare che sia così, un Oggetto Criteri di gruppo non può essere applicato a un oggetto gruppo di protezione di Active Directory. Gli unici due oggetti configurabili mediante un'impostazione di Oggetto Criteri di gruppo sono computer e utenti. Gli Oggetti Criteri di gruppo non possono configurare oggetti mediante l'appartenenza al gruppo. Per esempio, se c'è un Oggetto Criteri di gruppo collegato all'unità organizzativa Finance, come mostrato nella Figura 2, i soli oggetti che saranno influenzati dall'impostazione sono Derek e Frank. Le impostazioni nell'Oggetto Criteri di gruppo non interesseranno i membri del gruppo Marketing, a prescindere da chi appartiene a tale gruppo.

Figura 2** Unità organizzativa Finance e oggetti al suo interno **(Fare clic sull'immagine per ingrandirla)

L'oggetto di destinazione deve essere nel percorso dell'Oggetto Criteri di gruppo Quando si nota che un'impostazione di Oggetto Criteri di gruppo non influisce come dovrebbe su un oggetto, c'è un'impostazione più importante: l'oggetto deve trovarsi nell'ambito di gestione (SOM, Scope of Management) dell'Oggetto Criteri di gruppo. Questo significa che l'oggetto deve trovarsi sotto il nodo dove l'Oggetto Criteri di gruppo è collegato (anche un nodo figlio sarà sufficiente). Per esempio, nessuno degli oggetti nell'unità organizzativa Marketing sarà interessato da un Oggetto Criteri di gruppo che è collegato all'unità organizzativa Finance, come mostrato nella Figura 3. L'ambito di gestione di un Oggetto Criteri di gruppo parte dal nodo dove è collegato e procede attraverso la struttura di Active Directory.

Figura 3** Quando ci sono unità organizzative allo stesso livello, gli Oggetti Criteri di gruppo si applicano soltanto all'unità organizzativa a cui sono collegati **(Fare clic sull'immagine per ingrandirla)

L'Oggetto Criteri di gruppo deve essere attivato Quando viene creato un Oggetto Criteri di gruppo, non è configurato per apportare alcuna modifica agli oggetti di destinazione. Tuttavia, è attivato per entrambe le porzioni, computer e utente. Se una di queste porzioni è disattivata, può essere difficile accorgersene. Quindi, durante l'esecuzione della risoluzione dei problemi di un Oggetto Criteri di gruppo che non si applica, è consigliabile verificare se l'Oggetto Criteri di gruppo è disattivato in parte o del tutto. A tale scopo, consultare Oggetti Criteri di Gruppo | Criteri di account nella GPMC e controllare lo stato dell'Oggetto Criteri di gruppo.

Alcune impostazioni richiedono un riavvio Quando l'impostazione di un Oggetto Criteri di gruppo non funziona correttamente, potrebbe essere dovuto all'elaborazione inerente degli Oggetti Criteri di gruppo. Se l'aggiornamento periodico in background degli Oggetti Criteri di gruppo è attivato, è possibile elaborare soltanto alcune delle impostazioni dell'Oggetto Criteri di gruppo, ma non tutte. Nonostante sia stata creata un'impostazione, potrebbe non aver avuto ancora effetto. Ci sono alcune impostazioni categorizzate come Criteri di primo piano, e vengono applicate soltanto al riavvio del computer o quando l'utente si scollega e si ricollega. Tra gli esempi di impostazioni con questo comportamento ci sono le installazioni di software, il reindirizzamento di cartelle e l'applicazione di script.

Applicazione sincrona e asincrona delle impostazioni

All'interno di un Oggetto Criteri di gruppo è possibile configurare in che modo vengono applicati i criteri all'avvio e all'accesso. Le modifiche che è possibile apportare forniscono accesso immediato al desktop, mentre i criteri sono ancora in fase di applicazione, o garantiscono che tutti i criteri vengano applicati prima che l'utente acceda al desktop. La Figura 4 mostra il comportamento predefinito di ciascun sistema operativo. Se si desidera alterare questo comportamento, è possibile modificare l'impostazione di criterio seguente:

Computer Configuration | Administrative Templates | 
System | Logon | Always wait for the network at computer startup and logon 

Figure 4 Elaborazione predefinita sul client

La maggior parte degli amministratori preferisce avere un'applicazione sincrona dei criteri, per assicurare che tutti i criteri siano applicati prima che l'utente possa accedere al desktop. In questo modo si assicura che tutte le impostazioni di protezione e configurazione siano applicate prima che l'utente possa svolgere qualunque operazione. Notare che questo non è lo stato predefinito in Windows® XP Professional, che è stato ottimizzato per migliorare la velocità di accesso.

Alterazione dell'ereditarietà predefinita

Ci sono quattro metodi diversi che si possono utilizzare per alterare l'ereditarietà predefinita dell'elaborazione degli Oggetti Criteri di gruppo. Queste opzioni sono potenti e dovrebbe essere utilizzate con parsimonia, dato che possono causare delle alterazioni significative al funzionamento dell'elaborazione di Criteri di gruppo. Può essere anche molto difficile risolverne i problemi. Le opzioni per alterare l'ereditarietà predefinita comprendono le quattro impostazioni e configurazioni seguenti:

• Blocca l'eredità dei criteri
• Applicazione di Oggetti Criteri di gruppo
• Filtro dell'elenco di controllo di accesso (ACL) con Oggetti Criteri di gruppo
• Filtri Strumentazione gestione Windows (WMI)

Poiché queste impostazioni dovrebbero essere utilizzate con parsimonia, dovrebbe essere facile documentare quando sono utilizzate. Per scoprire se queste opzioni sono in uso, controllare nella GPMC. Il blocco dell'ereditarietà viene eseguito in corrispondenza del nodo di dominio o del nodo dell'unità organizzativa nella GPMC. L'applicazione dell'Oggetto criteri di gruppo, il filtro ACL e il filtro WMI vengono impostati su ogni Oggetto Criteri di gruppo.

In alternativa, è possibile eseguire il comando Gpresult dal computer di destinazione per avere un'idea se una di queste impostazioni impedisce l'applicazione dei criteri. Per una vista approfondita dei criteri applicati, è possibile aggiungere l'opzione /v al comando Gpresult, che fornirà un output dettagliato.

Problemi dei modelli ADM

Quando si tenta di configurare le impostazioni in un Oggetto Criteri di gruppo nella sezione Modelli amministrativi, si lavora con i modelli ADM. Oltre ai modelli ADM forniti con il sistema operativo, è possibile crearne uno personalizzato per l'uso in un Oggetto Criteri di gruppo. Il codice nel modello ADM crea le cartelle e i criteri nell'Editor criteri di gruppo sotto il nodo Modelli amministrativi. Tuttavia, se il modello ADM è corrotto, assente o non configurato correttamente, è molto probabile che non siano visibili alcune o tutte le impostazioni nell'editor. Di seguito vengono riportati alcuni problemi da cui tutelarsi durante l'utilizzo dei modelli ADM.

Modelli ADM mancanti Quando si modifica un Oggetto Criteri di gruppo e si scopre che ci sono delle impostazioni in un modello ADM personalizzato che non appaiono nell'editor, è necessario importare il modello ADM nell'Oggetto Criteri di gruppo. A tale scopo è sufficiente fare clic col pulsante destro del mouse sul nodo Modelli amministrativi nell'editor e selezionare Aggiunta/Rimozione modelli.

Preferenze mancanti Esistono due tipi di impostazioni che è possibile creare in un Oggetto Criteri di gruppo personalizzato: preferenze e criteri. I criteri sono le impostazioni Microsoft predefinite che rientrano tutte in una delle quattro sottochiavi nel registro di sistema, ciascuna delle quali termina con il testo "Policies". Le preferenze sono modifiche al registro di sistema "vecchio stile" che non rientrano in una delle quattro sottochiavi, e sono difficili da annullare una volta configurate. Queste preferenze non appaiono nell'editor per impostazione predefinita. È necessario attivarne la visualizzazione, nel menu Visualizza sulla barra degli strumenti. Da qui, scegliere Filtri e selezionare la casella di controllo "Visualizza solo le impostazioni di criteri completamente gestibili". In questo modo vengono immediatamente visualizzate le preferenze configurate nei modelli ADM personalizzati che sono stati importati.

Strumenti utili

Ci sono numerosi strumenti disponibili che consentono di tracciare i problemi di Criteri di gruppo. Alcuni sono incorporati nel sistema operativo e altri possono essere scaricati e installati. Di seguito tratterò gli strumenti appropriati per consentire di scegliere quello giusto per l'attività da svolgere.

Dcgpofix Potrebbe verificarsi un problema con uno dei due Oggetti Criteri di gruppo predefiniti: Criterio dominio predefinito e Criterio controller di dominio predefiniti. Se uno o entrambi gli Oggetti Criteri di gruppo diventano corrotti, troppo compromessi nella loro configurazione per ripararli o si presenta qualche altro problema sconosciuto, è possibile utilizzare lo strumento dcgpofix per riportarli allo stato predefinito. Questo strumento è contenuto in Windows Server® 2003 e non dovrebbe essere eseguito su un controller di dominio Windows 2000; dove è preferibile utilizzare invece Recreatedefpol. E ricordare che quando si utilizza questo strumento vengono perse tutte le impostazioni personalizzate.

Recreatedefpol Questo strumento è simile a Dcgpofix, ma per Windows 2000 server. Può riportare i due Oggetti Criteri di gruppo predefiniti allo stato della loro prima installazione. Utilizzare questo strumento solo in una situazione di ripristino di emergenza, non per la manutenzione di routine degli Oggetti Criteri di gruppo. È possibile scaricare questo strumento dalla pagina

Visualizzatore eventi Il Visualizzatore eventi fornisce numerose informazioni su Criteri di gruppo. Sfortunatamente, richiede di consultare tutti i diversi file registro per trovare le voci relative ai Criteri di gruppo. Qui sono disponibili voci relative all'applicazione, alla replica e all'aggiornamento dei criteri, tutte utili quando si tenta di tracciare un problema. Non ci sono sempre molte informazioni sugli errori specifici di Criteri di gruppo nei registri eventi, ma ricordare che è sempre possibile eseguire una ricerca in Technet se si riscontrano errori che non si riescono a identificare.

Gpresult Questo strumento può essere eseguito soltanto localmente sul computer di destinazione, ma fornisce delle informazioni su Gruppi di criteri risultanti (RSoP), gli Oggetti Criteri di gruppo bloccati, le autorizzazioni sugli Oggetti Criteri di gruppo e molto altro ancora. Utilizzare il comando con l'opzione /v per visualizzare una grande quantità di informazioni sugli Oggetti Criteri di gruppo che interessano il computer e sugli account utente associati alla sessione di accesso corrente.

Gpupdate Se si implementano nuove impostazioni di Oggetti Criteri di gruppo o si tenta di verificare che tutta l'elaborazione degli Oggetti Criteri di gruppo sia stata eseguita, è possibile utilizzare lo strumento Gpupdate. Di tratta di una utilità da riga di comando fornita con il sistema operativo (Windows XP e successivi). Quando viene eseguita, attiva un aggiornamento in background che applica tutte le impostazioni degli Oggetti Criteri di gruppo che aderiscono a questo tipo di aggiornamento. Se si aggiunge l'opzione /force, vengono riapplicate tutte le impostazioni degli Oggetti Criteri di gruppo, anche se non ci sono state modifiche all'Oggetto Criteri di gruppo dopo l'ultimo aggiornamento. L'esecuzione di questo comando prima di Gpresult è un metodo molto valido per tracciare i problemi degli Oggetti Criteri di gruppo.

Gpotool Poiché gli Oggetti Criteri di gruppo sono replicati dal controller di dominio dove sono state eseguite originariamente le modifiche a tutti gli altri controller di dominio, c'è una probabilità di errore di replica o mancata convergenza. Ne risulta una discordanza o un'errata applicazione delle modifiche ai computer di destinazione. Gli strumenti come Gpresult e RSOP possono aiutare a determinare quali Oggetti Criteri di gruppo sono stati applicati, ma lo strumento Gpotool può aiutare a determinare se gli Oggetti Criteri di gruppo sono coerenti su tutti i controller di dominio. Lo strumento è parte del Resource Kit di Windows Server 2003, disponibile all'indirizzo go.microsoft.com/fwlink/?LinkId=77613.

Replmon Durante la risoluzione dei problemi di replica degli Oggetti criteri di gruppo da un controller di dominio a un altro, è importante sapere quali strumenti si possono utilizzare affinché la replica funzioni. Poiché ci sono due parti di un Oggetto Criteri di gruppo che devono essere replicate, ci sono due parti che hanno bisogno di essere esaminate. La prima, che è il contenuto di SYSVOL su ogni controller di dominio, è controllata dal Servizio Replica file (FRS). Non c'è realmente molto che si possa fare per controllare questa replica, eccetto disattivare e attivare il servizio che consente di attivare un intervallo di replica. L'altra parte dell'Oggetto Criteri di gruppo, memorizzata in Active Directory, è controllata dalla replica di Active Directory. Questa replica può essere controllata tra i controller di dominio nello stesso sito di Active Directory utilizzando Siti e servizi di Active Directory. Comunque, quando si desidera attivare una replica tra i controller di dominio in siti di Active Directory diversi, è necessario utilizzare uno strumento come Replmon. Replmon può forzare la replica del database di Active Directory oltre i limiti del sito, mentre Siti e servizi di Active Directory non può. Quindi, quando c'è una mancata corrispondenza delle informazioni di Criteri di gruppo memorizzate in Active Directory, è possibile utilizzare Replmon per attivare un processo di replica e ottenere la convergenza delle informazioni su ogni controller di dominio. Replmon fa parte del Resource Kit e degli Strumenti di supporto di Windows XP. È scaricabile all'indirizzo go.microsoft.com/fwlink/?LinkId=77614.

RSOP Analogamente all'utilità da riga di comando Gpresult, RSOP fornisce un'interfaccia grafica per esaminare le impostazioni che sono state applicate da tutti gli Oggetti Criteri di gruppo. RSOP.MSC è uno strumento incorporato per Windows XP Professional e Windows Server 2003. Lo strumento fornisce un risultato di tutte le impostazioni di criteri applicate in un formato simile a quello dell'Editor oggetti Criteri di gruppo, come mostrato nella Figura 5.

Figura 5** Strumento Gruppo di criteri risultante **

Riepilogo

La risoluzione dei problemi di Criteri di gruppo non è l'attività più facile che si possa tentare. Infatti, come mostrato in questo articolo, i Criteri di gruppo possono essere abbastanza complicati. Quando si tenta di risolvere i problemi, è necessario comprendere l'architettura essenziale e l'elaborazione globale tipica dei Criteri di gruppo. Inoltre, è necessario comprendere in che modo vengono eseguiti l'aggiornamento, la replica, l'elaborazione e l'applicazione di un Oggetto Criteri di gruppo. Se si ha una buona padronanza di tutti questi concetti, la risoluzione di qualsiasi specifico problema di Criteri di gruppo risulta molto più facile. Seguendo le linee guida in questo articolo ed utilizzando adeguatamente gli strumenti, sarà possibile affrontare tutti i problemi di Criteri di gruppo che si possono incontrare.

Derek Melber è Director of Education, Certification, and Compliance Solutions per DesktopStandard, una società interamente controllata da Microsoft. Derek è coautore di Microsoft Windows Group Policy Guide (Microsoft Press, 2005). Ha scritto anche una serie di libri sulla verifica della protezione di Windows (www.theiia.org). Può essere contattato all'indirizzo derekm@desktopstandard.com.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.