7 settembre 2012

Windows in azienda - Parte 3: Utilizzo delle Group Policy

Nei capitoli precedenti della guida abbiamo visto come installare e creare un dominio con Windows 2008 Server e come creare gli utenti ed inserire un pc nel dominio.
In questo terzo appuntamento, invece, ci occuperemo della gestione utenti tramite Group Policy.

Nella seconda parte avevamo visto che in genere, quando si inserisce un pc nel dominio, si tende ad assegnare agli utenti i permessi di Administrator. In questo modo si lascia all'utente la totale libertà di azione sul sistema, quindi sarà in grado di installare e rimuovere programmi, modificare impostazioni ecc..
Se da un lato questo tipo di configurazione è comoda perché evita all'amministratore di rete continui interventi sui pc (sopratutto in strutture con molti device), dall'altro può rappresentare un rischio perché l'utente potrebbe compromettere il S.O. o esporlo a virus e malware.
Vediamo come possiamo limitare le attività sui client.

Un'alternativa potrebbe essere quella di settare l'utente utilizzatore con di permessi di Users


In questo modo si limitano molto le possibilità dell'utente di interagire con il sistema operativo. Non potrà, infatti, modificare le impostazione del sistema stesso. ne tanto meno installare, sia programmi che periferiche.

Nonostante sia un metodo sicuro, non sempre è attuabile, un esempio è quando sono presenti programmi che richiedono privilegi amministrativi. Per questo si possono limitare gli account degli utenti utilizzando le Group Policy.
Se non abbiamo bisogno di creare regole personalizzate per diversi utenti possiamo modificare il Default Domain Policy

Da START - Strumenti di amministrazione - Gestione criteri di gruppo clicchiamo con il tasto destro del mouse su Default Domain Policy e scegliamo la voce Modifica


Una volta entrati nel pannello di controllo possiamo decidere se modificare a livello di Computer o a livello di Users
Tramite la configurazione utente possiamo gestire praticamente tutto, supponiamo, ad esempio, di voler limitare/bloccare l'uso di Internet Explorer.

Modifica della Home Page:
Possiamo personalizzare il browser settando una pagina iniziale di default e impedire che venga modificata. Rechiamoci in Configurazione Utenti - Modelli amministrativi - Componenti di Windows - Internet Explorer e clicchiamo due volte sulla voce Impedisci la modifica delle impostazioni relative alla pagina iniziale.
Nel menu che comparirà scegliamo la dicitaura Attiva ed inseriamo la pagina che desideriamo impostare.


Impedire l'uso di un Server Proxy
Spesso nelle strutture aziendali sono presenti dei firewall che limitano la navigazione, magari impedendo l'accesso a siti web o filtrando le ricerche. I Proxy sono piccoli software che permettono la comunicazione in rete riuscendo ad aggirare le protezioni dei firewall. Nelle Opzioni di Internet Explorer, nella scheda Connessioni, è possibile impostare un server proxy, pertanto occorre bloccare l'opzione con le policy.

Rechiamoci in Configurazione Utenti - Modelli amministrativi - Componenti di Windows - Internet Explorer clicchiamo su Impedisci la modifica delle impostazioni del server proxy e scegliamo Attiva.
In questo modo gli utenti non saranno più in grado di aggirare il firewall e navigare a piacimento.

Impostare uno sfondo del desktop
C'è la possibilità di impostare uno sfondo comune per tutti i pc, come ad esempio il logo della ditta. Rechiamoci in Configurazione Utenti - Modelli amministrativi - Desktop - Active Desktop e selezioniamo Sfondo del desktop.
In questo pannello, oltre ad attivare la regola, dovremmo anche indicare il percorso che contiene l'immagine da utilizzare come sfondo e anche come posizionarlo. Dato che il percorso deve essere accessibile da tutti i pc, conviene scegliere un percorso di rete. In questo caso ho utilizzato la cartella condivisa del server \\WIN-7CF435BIP28\Condivisione\Albero.jpg


Esistono moltissime altre regole che si possono utilizzare, si può personalizzare al massimo il profilo utente di un utente di dominio, possiamo anche bloccare parti del pannello di controllo, impedire la modifica degli indirizzi ip, e così via.

Normalmente le regole create non vengono attivate immediatamente, occorre un certo lasso di tempo prima che il server distribuisca le policy ai vari client. Possiamo forzare la distribuzione utilizzando il comando gpupdate /force dal prompt dei comandi. A questo punto possiamo riavviare i client e verificare se le nostre policy sono state configurate correttamente.


Siamo giunti alla conclusione anche di questa terza parte, nel prossimo intervento vedremo come creare più gruppi di utenti con le policy personalizzate e come gestire i permessi sulle cartelle condivise.

9 commenti:

  1. Ciao e complimenti per questa guida davvero ben fatta!!
    Avrei solo una domanda da porti... Se sarà il server a rilasciare dhcp e dns dovrò disabilitare il rilascio di questi ultimi da parte del router?

    RispondiElimina
    Risposte
    1. Ciao! Esatto, se abiliti il DHCP dal server devi disabilitare ogni altra fonte, altrimenti rischi dei conflitti di indirizzi e degli errati indirizzamenti a causa dei DNS

      Elimina
    2. Complimenti anche da parte mia.
      Ti chiedo se è possibile non usare il DHCP e DNS Server poichè ho un router che assolve a questi compiti.

      Elimina
  2. Ciao, mi chiamo Marco. Innanzi tutto complimenti per il blog, che è sempre un piacere leggerlo!
    Non avendo trovato un indirizzo mail per poterti contattare in privato ti scrivo qua.
    Dovrei stendere una piccola documentazione elencante le varie procedure di "messa in posa" di un nuovo server aziendale (virtuale), quindi: creazione macchina, aggiornamenti, configurazioni, software di monitoraggio e backup ecc.
    Non essendo un sistemista conosco a grandi linee queste procedure (come noterai dal mio elenco dei passaggi). Potresti gentilmente indicarmi i passaggi principali di questa attività, ovviamente tralasciando i passaggi tradizionali come le configurazioni di rete ecc.
    Te ne sarei molto grato!
    Grazie!

    RispondiElimina
    Risposte
    1. Ciao, scusa il ritrado, vista la complessità della richiesta ti chiederei di pazientare ancora un pochino, entro il week end ti fornirò quanto richiesto :)

      Per il contatto mail puoi scrivere a giorgis.alessandro@ildiariodelsistemista.com

      Elimina
  3. peccato che non hai più continuato!

    RispondiElimina
    Risposte
    1. Hai ragione, purtroppo ho sempre poco tempo per scrivre gli articoli, inoltre ormai siamo passati a Windows 2012, ma non è escluso che posso continuare partendo da quel sistema operativo :)
      Nel frattempo, se ti serve qualche consiglio in particolare, ti invito a scrivermi usando il form della pagina Contatti

      Elimina
  4. Ciao Alessandro. Ho bisogno di abilitare in una rete con dominio 40 pc con le estensioni dei file. In pratica devo fare in modo che si vedano le estensioni dei file senza andare per ogni pc ad abilitarle. C'e' un modo che tu sappia via GPO? Ciao e grazie

    RispondiElimina
    Risposte
    1. Ciao Carlo, scusa il ritardo. In teoria si anche se non è proprio una policy diretta ma una preferenza da impostare sui client.

      Puoi seguire questa guida, è abbastanza dettagliata :)
      http://www.thirdtier.net/2014/03/use-group-policy-preferences-to-reveal-extensions-in-windows-explorer/
      Fammi sapere!

      Elimina