Le Group Policy Object con Windows Server

Questo articolo è stato letto 10221 volte !

Oggi iniziamo la nostra avventura all’interno del mondo Windows Server con le Group Policy Object. Le Group Policy Object, chiamate comunemente anche GPO, sono delle impostazioni / restrizioni che possono essere impostate e comandate direttamente dai domain controller e che possono avere effetto su tutti i clients, o parte di essi, appartenenti al nostro dominio.

 

In questo primo articolo parleremo della proibizione sulla modifica delle impostazioni di rete LAN; per un utente classificato di medio livello è abbastanza semplice manomettere tali impostazioni, specialmente se all’interno della struttura conosce i dati base per poter navigare in internet quindi server DNS e GATEWAY. In Windows Server 2003 il management è piuttosto complesso, per questo ci viene in aiuto un software, che Microsoft ha rilasciato già da diverso tempo, che si chiama “Group Policy Management”. Il software è già completo del service pack 1 ed è scaricabile a questo indirizzo.

Partendo dal presupposto che abbiate già scaricato il pacchetto software, andiamo subito a vedere come svolgere l’installazione del pacchetto ed a configurare la  GPO della guida. Iniziamo con l’entrare nel nostro Windows Server che dovrà essere anche il domain controller primario (vedi figura sotto)

Come detto anticipatamente, partendo dal presupposto che abbiate già provveduto a scaricare il pacchetto e l’abbiate salvato sul desktop, eseguiamo l’installazione facendo doppio click sull’icona gpmc.msi

Come potrete notare dal messaggio del primo wizard, il software si è accorto che la lingua non corrisponde con quella del nostro sistema operativo ma dal momento in cui la versione è disponibile solo in inglese, procediamo ugualmente premendo il tasto Si

Proseguiamo premendo il tasto Next

Selezioniamo il checkbox relativo al messaggio “I Agree” e proseguiamo premendo il tasto Next

Concludiamo l’installazione premendo il tasto Finish

Se andiamo su Start –> Strumenti di amministrazione noteremo subito che è apparsa la nuova icona chimata Group Policy Management, facciamoci click sopra

Ecco l’interfaccia come potrete notare dalla figura abbiamo la nostra foresta, il nostro dominio e sotto una voce chimata “Default Domain Policy”; questa è la GPO padre, ossia al suo interno ci sono caricate tutte le regole base per le impostazioni dei nostri client. Appena più sotto possiamo notare un’altra voce chimata “Group Policy Object”, questa è la cartella dove, oltre alla Default Domain Policy, ci saranno contenute tutte le GPO che andremo a creare

Adesso andiamo a creare la nostra GPO facciamo click con il tasto destro del mouse sulla cartella Group Policy Object e selezioniamo New

Inseriamo nella textbox il nome che vogliamo dare alla nostra GPO, in questo caso la chiameremo “Protezione rete” e proseguiamo premendo il tasto Ok

Ecco che possiamo notare che sotto la cartella Group Policy Object troviamo la nostra GPO appena creata; facciamoci click sopra con il tasto destro del mouse e selezioniamo la voce Edit

Il nostro software di management delle GPO ha aperto in automatico l’editor oggetti criteri di gruppo ove sono contenute le regole che vogliamo imporre ai nostri client; come si nota dall’interfaccia vi sono 2 tipi di regole:

  •  quelle a livello compter che sono gestite dalla cartella padre Configurazione computer
  •  quelle a livello utente che sono gestite dalla cartella padre Configurazione utente

In questo esempio volgiamo che l’utente Mario Rossi creato nel nostro dominio, indipendentemente dal computer al quale si vorrà loggare, debba subire la regola quindi la nostra GPO sarà a livello utente. Espandiamo allora la cartella Modelli amministrativi –> Rete, quindi posizioniamoci sulla cartella Connessioni di rete. Nel riquadro di destra abbiamo le regole che possiamo applicare, cerchiamo allora nell’elenco quella che fa al caso nostro, ossia quella chiamata “Proibisci l’accesso alle proprietà di una connessione LAN“; come possiamo notare lo stato della regola (colonna più a destra) è impostato su non configurato, quindi per il nostro dominio la regola non è applicata; quello che vogliamo fare e attivarla, quindi selezioniamola e facciamoci doppio click sopra

Selezioniamo il checkbox ove indica la fraccia rossa, ossia su Attivata e premiamo il tasto Ok

Adesso dobbiamo entrare senza chiudere la finestra in utenti e computer di Active Directory per andare a spostare l’utente Mario Rossi in una OU (unità organizzativa) diversa da quella di default, quindi dalla cartella chiamata Users; selezioniamo allora il nostro dominio con il pulsante destro del mouse e scegliamo Nuovo –> quindi Unità Organizzativa

Inseriamo nella textbox il nome che vogliamo dare alla nostra unità organizzativa, nel nostro esempio scriviamo Amministrazione presuponendo che l’utente Mario Rossi appartenga all’ufficio Amministrazione e confermiamo premendo il tasto Ok

Adesso andiamo nella cartella Users ove è contenuto il nostro utente, selezioniamolo tenendo premuto il pulsante sinistro del mouse e con il drag & drop trasciniamolo nella unità organizzativa appena creata chimata Amministrazione

A questo punto il sistema ci avviserà che lo spostamento di oggetti in Active Directory potrebbe impedire il corretto funzionamento del sistema ma noi proseguiamo premendo il tasto Si

Bene, verifichiamo che il nostro utente Mario Rossi si trovi all’interno della unità organizzativa chiamata Amministrazione come ci mostra la figura; a questo punto possiamo chiudere la finestra relativa ad utenti e computer di Active Directory

Siamo tornati nella finestra relativa alle nostre GPO e come possiamo notare anche al suo interno è apparsa l’unità organizzativa appena creata in utenti e computer di Active Directory (in caso la cartella non dovesse essere apparsa basterà semplicemente rinfrescare la from premendo con il pulsante destro del mouse sopra alla foresta e scegliere Aggiorna); Adesso facciamo click con il tasto deestro del mouse sulla unità organizzativa chimata Amministrazione ed andiamo ad assegnargli la GPO creata precedentemente scegliendo l’opzione Link An Exsisting GPO

La form ci mostra l’elenco delle GPO esistenti tra le quali possiamo trovare anche quella creata chiamata “Protezione Rete“; selezioniamola e proseguiamo premendo il tasto Ok

Come possiamo vedere sotto l’unità organizzativa chimata Amministrazione abbiamo la nostra GPO assegnata, come ci mostra la figura. Abbiamo finito, l’ultimo passo che ci resta da fare è decidere se la GPO dovrà essere assegnata automaticamente dal nostro dominio (l’aggiornamneto avviene ogni 90 min) oppure forzare la restrizione con il comendo apposito; dal momento che vogliamo applicare subito il criterio procediamo premendo il tasto Start –> Esegui e dentro la riga di comando scriviamo:

gpupdate /force

Andiamo su un qualsiasi client di dominio ed effettuiamo il logon con l’utente Mario Rossi

Andiamo nelle connessioni di rete del client e facciamo click con il pulsante destro del mouse sull’icona relativa alla connessione di rete LAN e come possiamo ben notare da come evidenziato dalla freccia rossa, la selezione delle Proprietà è inibita.

Questo articolo è stato letto 10221 volte !

Condividi:

Nessun commento

Lascia un commento

Il tuo indirizzo email non sarà pubblicato

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.