Guida complementare alla rete core: Distribuzione di Criteri di gruppo
Si applica a: Windows Server 2012
Questa guida è complementare alla Guida alla rete core di Windows Server® 2012, disponibile per il download in formato Microsoft Office Word nell'Area download Microsoft (https://go.microsoft.com/fwlink/?LinkId=255199) e in formato HTML nella raccolta di documentazione tecnica di Windows Server 2012 (https://technet.microsoft.com/library/hh911995.aspx).
La Guida alla rete core di Windows Server 2012 fornisce istruzioni per la pianificazione e la distribuzione dei principali componenti necessari per una rete completamente funzionante e di un nuovo dominio di Active Directory in una nuova foresta.
Questa guida illustra come partire dalla rete core per eseguire altre operazioni, fornendo istruzioni per la distribuzione di oggetti Criteri di gruppo usando gruppi di appartenenze anziché unità organizzative (OU) che formano la gerarchia di un dominio di Active Directory.
Questa guida contiene le sezioni seguenti.
Informazioni sulla guida
Requisiti
Informazioni non contenute in questa guida
Panoramica della tecnologia di Criteri di gruppo
Nota
È possibile scaricare la guida dai percorsi seguenti.
- Windows Server 2012 Guida complementare alla rete core: Distribuzione di Criteri di gruppo in formato Word nell'Area download Microsoft.
- Core Network Companion Guide: Group Policy Deployment di Windows Server 2012 in formato HTML nella raccolta di documentazione tecnica di Windows Server 2012.
Informazioni sulla guida
Questa guida fornisce istruzioni per la distribuzione delle impostazioni di Criteri di gruppo in un set di computer client o utenti usando gruppi di appartenenze invece della posizione dell'account nella gerarchia di unità organizzative di un dominio.
Il metodo descritto in questa guida mostra come creare un singolo gruppo di appartenenze in cui è possibile aggiungere gli account utente o computer che riceveranno una configurazione tramite l'uso di oggetti Criteri di gruppo. L'appartenenza al gruppo, invece della posizione dell'account nella gerarchia di unità organizzative, determina se il computer riceve uno degli oggetti Criteri di gruppo associati al gruppo di appartenenze. Vengono inoltre usati i filtri di Strumentazione gestione Windows (WMI) per assicurarsi che venga applicato solo l'oggetto Criteri di gruppo con le impostazioni corrispondenti alla versione di Windows in esecuzione nel computer.
L'uso di questo metodo per distribuire oggetti Criteri di gruppo offre due vantaggi principali:
È completamente indipendente dalla struttura delle unità organizzative del dominio. Per applicare un oggetto Criteri di gruppo a un computer non è più necessario spostare i computer in un'altra unità organizzativa o riorganizzare la gerarchia di unità organizzative.
È molto semplice applicare o smettere di applicare le impostazioni in un oggetto Criteri di gruppo. È sufficiente rimuovere l'account utente o computer dal gruppo di appartenenze. In questo modo, l'utente o il computer viene rimosso dall'ambito dell'oggetto Criteri di gruppo senza influire sugli altri oggetti Criteri di gruppo che si applicano all'utente o al computer.
Questa guida è destinata ad amministratori di rete e di sistema che hanno seguito le istruzioni della Guida alla rete core di Windows Server 2012 per distribuire una rete core oppure a coloro che in precedenza hanno distribuito le tecnologie principali incluse nella rete core, tra cui Servizi di dominio Active Directory, Domain Name Service (DNS), Dynamic Host Configuration Protocol (DHCP), TCP/IP e Windows Internet Name Service (WINS) (facoltativo).
È consigliabile vedere le guide alla progettazione e alla distribuzione per ognuna delle tecnologie usate in questo scenario di distribuzione. Queste guide consentono di determinare se questo scenario di distribuzione fornisce la configurazione e i servizi necessari per la rete dell'organizzazione.
Requisiti
Avviso
È consigliabile usare i metodi illustrati in questa guida solo per oggetti Criteri di gruppo che devono essere distribuiti nella maggior parte dei computer dell'organizzazione e solo quando la gerarchia di unità organizzative nel dominio di Active Directory non soddisfa le esigenze di distribuzione di questi oggetti Criteri di gruppo. Quando la gerarchia di unità organizzative lo supporta, è possibile distribuire un oggetto Criteri di gruppo collegandolo all'unità organizzativa di livello più basso che contiene tutti gli account a cui verrà applicato l'oggetto Criteri di gruppo.
In un ambiente aziendale di grandi dimensioni con centinaia o migliaia di oggetti Criteri di gruppo, l'uso di questo metodo può comportare l'appartenenza di account utente o computer a un numero eccessivo di gruppi. Ciò potrebbe causare problemi di connettività di rete quando vengono superati i limiti del protocollo di rete. Per altre informazioni sui problemi associati all'appartenenza a un numero eccessivo di gruppi, vedere gli articoli seguenti della Microsoft Knowledge Base:
- Novità dell'autenticazione Kerberos in Windows Server 2012 fornisce informazioni sui miglioramenti apportati per ridurre gli errori di autenticazione dovuti a ticket di servizio troppo grandi. Vedere https://technet.microsoft.com/library/hh831747.aspx
- Articolo 327825 "Nuova soluzione per i problemi con l'autenticazione Kerberos quando gli utenti appartengono a molti gruppi" (https://go.microsoft.com/fwlink/?LinkId=23044)
- Articolo 263693 "Impossibile applicare Criteri di gruppo agli utenti che appartengono a molti gruppi" (https://go.microsoft.com/fwlink/?LinkId=126293)
- Articolo 328889 "Gli utenti membri di più di 1.015 gruppi potrebbero riscontrare un errore con l'autenticazione di accesso" (https://go.microsoft.com/fwlink/?LinkId=115213)
Di seguito sono illustrati i requisiti per l'uso di Criteri di gruppo:
Per distribuire Criteri di gruppo, è necessario disporre di un controller di dominio Active Directory che ospita un dominio e computer aggiunti a tale dominio.
Per configurare gli oggetti Criteri di gruppo, creare i gruppi di appartenenze e assegnare i membri a tali gruppi, è necessario eseguire l'accesso come membro del gruppo Domain Admins.
Informazioni non contenute in questa guida
Questa guida non fornisce istruzioni dettagliate per la progettazione e la distribuzione di un'infrastruttura di Criteri di gruppo tramite Servizi di dominio Active Directory. È consigliabile vedere la documentazione di Servizi di dominio Active Directory e di Criteri di gruppo prima di distribuire le tecnologie descritte in questa Guida. Per altre informazioni, vedere Risorse aggiuntive.
Panoramica della tecnologia di Criteri di gruppo
Criteri di gruppo è una tecnologia di gestione che offre agli utenti un accesso coerente ad applicazioni, impostazioni delle applicazioni, profili utente mobili e dati utente, da qualsiasi computer gestito, anche quando sono disconnessi dalla rete. Le impostazioni di Criteri di gruppo sono contenute in oggetti Criteri di gruppo che sono collegati a siti, domini o unità organizzative all'interno di un dominio di Active Directory. Le impostazioni negli oggetti Criteri di gruppo vengono quindi valutate e applicate dai computer e dagli utenti di destinazione. Criteri di gruppo rappresenta uno dei motivi principali per cui distribuire Servizi di dominio Active Directory, in quanto consente di gestire gli oggetti utente e computer.
La maggior parte degli amministratori associa la distribuzione di oggetti Criteri di gruppo alla gerarchia di unità organizzative di un dominio di Active Directory. È possibile collegare un oggetto Criteri di gruppo a un'unità organizzativa e qualsiasi computer o utente in tale unità organizzativa, o uno dei relativi discendenti, riceve e applica il criterio. Tuttavia, un dominio di Active Directory può contenere una sola gerarchia di unità organizzative e gli account utente e computer possono essere inseriti in una sola unità organizzativa. Per questo motivo, a volte una gerarchia di unità organizzative appropriata per risolvere un problema non è appropriata per un altro problema. Molte organizzazioni, ad esempio, progettano la gerarchia di unità organizzative per supportare l'amministrazione delegata. Gli account utente e computer vengono inseriti in unità organizzative di cui un team IT è responsabile. Concedendo le autorizzazioni amministrative al team IT nel contenitore di unità organizzative, i membri del team possono gestire i computer e gli utenti i cui account sono inclusi nell'unità organizzativa. Questa stessa gerarchia potrebbe non essere efficace per la distribuzione delle impostazioni di Criteri di gruppo che riguardano computer dell'intera organizzazione, ad esempio, quando si distribuiscono le impostazioni IPSec (Internet Protocol Security) per scenari di isolamento di dominio e server.
Inoltre, la configurazione di una versione di Windows potrebbe richiedere l'uso di un'impostazione dei criteri diversa da quella usata in un'altra versione di Windows. Ad esempio, le regole IPsec in Windows Server 2012, Windows Server 2008, Windows 8, Windows 7 e Windows Vista vengono gestite da una parte diversa dell'oggetto Criteri di gruppo rispetto alle regole IPsec per Windows Server 2003 e le versioni precedenti di Windows. Ciò significa che potrebbero essere presenti sei oggetti Criteri di gruppo distinti che svolgono tutti la stessa funzione rispettivamente per Windows Server 2012, Windows Server 2008, Windows Server 2003, Windows 8, Windows 7 e Windows Vista. L'oggetto Criteri di gruppo di Windows Server 2003 si applica anche alle versioni precedenti di Windows.