Criteri di gruppo è un’infrastruttura gerarchica che consente a un amministratore di rete responsabile di Active Directory di Microsoft di implementare configurazioni specifiche per utenti e computer. Criteri di gruppo è principalmente uno strumento di sicurezza, e può essere utilizzato per applicare le impostazioni di sicurezza per gli utenti e computer. Criteri di gruppo consente agli amministratori di definire criteri di sicurezza per gli utenti e per i computer. Questi criteri, che sono collettivamente denominati Oggetti criteri di gruppo (GPO), si basano su una raccolta di singole impostazioni dei criteri di gruppo. Gli oggetti Criteri di gruppo vengono amministrati da un’interfaccia centrale denominata Console di gestione criteri di gruppo. I criteri di gruppo possono anche essere gestiti con strumenti di interfaccia a riga di comando come gpresult e gpupdate.
La gerarchia dei criteri di gruppo
Gli oggetti Criteri di gruppo vengono applicati in modo gerarchico e spesso più oggetti Criteri di gruppo vengono combinati insieme per formare i criteri effettivi. Gli oggetti Criteri di gruppo locali vengono applicati per primi, seguiti dagli oggetti Criteri di gruppo a livello di sito, a livello di dominio e a livello di unità organizzativa.
Estensibilità criteri di gruppo
La raccolta nativa di impostazioni Criteri di gruppo riguarda esclusivamente il sistema operativo Windows. Un amministratore potrebbe ad esempio utilizzare queste impostazioni native dei criteri di gruppo per imporre una lunghezza minima della password, nascondere il Pannello di controllo di Windows agli utenti o forzare l’installazione di patch di sicurezza. Tuttavia, i criteri di gruppo sono progettati per essere estensibili tramite l’uso di modelli amministrativi. Questi modelli amministrativi consentono di configurare varie applicazioni tramite le impostazioni dei criteri di gruppo. Uno degli esempi più noti di questo è la raccolta di modelli amministrativi per Microsoft Office.
I modelli amministrativi sono costituiti da due componenti. Un file ADMX è il file XML contenente tutte le impostazioni dei criteri di gruppo associate al modello. Un file ADML corrispondente funge da file di lingua che consente di visualizzare le impostazioni dei criteri di gruppo nella lingua scelta dall’amministratore.
Locale vs. Criteri di gruppo centralizzati
Gli oggetti Criteri di gruppo possono essere applicati localmente a un computer Windows tramite il proprio sistema operativo oppure gli oggetti Criteri di gruppo possono essere applicati tramite Active Directory. I criteri di gruppo locali consentono di applicare le impostazioni di sicurezza a computer autonomi o gestiti da un controller di dominio, ma queste impostazioni non possono essere gestite centralmente. Al contrario, gli oggetti Criteri di gruppo basati su Active Directory possono essere gestiti centralmente, ma vengono implementati solo se un utente effettua l’accesso da un computer collegato al dominio.
Molte organizzazioni utilizzano una combinazione di oggetti Criteri di gruppo locale e Active Directory. Le impostazioni dei criteri locali forniscono sicurezza quando l’utente non è connesso a un dominio, mentre gli oggetti Criteri di gruppo di Active Directory vengono applicati una volta effettuato l’accesso.