Guida passo passo per Advanced Group Policy Management 4.0...
Transcript of Guida passo passo per Advanced Group Policy Management 4.0...
Guida passo passo per Advanced Group Policy Management 4.0 di Microsoft
Microsoft Corporation
Data di pubblicazione: settembre 2009
Sunto
In questa guida passo passo viene descritto uno scenario di esempio per l'installazione di
Gestione avanzata Criteri di gruppo di Microsoft e la gestione dei Criteri di gruppo utilizzando la
Console Gestione Criteri di gruppo (GPMC) e Advanced Group Policy Management.
Copyright
Le informazioni contenute nel presente documento, inclusi indirizzi URL e altri riferimenti a siti
Web, sono soggette a modifiche senza preavviso. Se non diversamente specificato, i nomi di
società, organizzazioni, prodotti, domini, persone e luoghi, nonché gli indirizzi di posta elettronica,
i logo e gli eventi utilizzati negli esempi sono fittizi. Non esistono, né devono essere dedotti,
collegamenti a società, organizzazioni, prodotti, nomi di dominio, indirizzi di posta elettronica,
logo, persone, luoghi ed eventi reali. Il rispetto di tutte le leggi applicabili in materia di copyright è
a esclusivo carico dell'utente. Fermi restando tutti i diritti coperti da copyright, nessuna parte di
questo documento potrà comunque essere riprodotta, archiviata o inserita in un sistema di
riproduzione o trasmessa in qualsiasi forma o con qualsiasi mezzo (elettronico, meccanico, su
fotocopia, come registrazione o altro), per qualsiasi scopo, senza il permesso scritto di Microsoft
Corporation.
Microsoft può essere titolare di brevetti, domande di brevetto, marchi, copyright o altri diritti di
proprietà intellettuale relativi all'oggetto del presente documento. Salvo quanto espressamente
previsto in un contratto scritto di licenza Microsoft, la consegna del presente documento non
implica la concessione di alcuna licenza su tali brevetti, marchi, copyright o altra proprietà
intellettuale.
© 2009 Microsoft Corporation. Tutti i diritti riservati.
Microsoft, Windows e Windows Server sono marchi o marchi registrati di Microsoft Corporation
negli Stati Uniti e/o negli altri paesi.
Altri nomi di prodotti e società citati nel presente documento possono essere marchi dei rispettivi
proprietari.
Sommario
Guida passo passo per Advanced Group Policy Management 4.0 di Microsoft ............................. 5 Panoramica di uno scenario di utilizzo di Advanced Group Policy Management ........................ 5
Requisiti ................................................................................................................................... 6
Requisiti per Advanced Group Policy Management Server .................................................... 7
Requisiti per Advanced Group Policy Management Client ..................................................... 8
Requisiti per lo scenario ........................................................................................................ 9
Passaggi per l'installazione e la configurazione di Advanced Group Policy Management .......... 9
Passaggio 1: Installare Advanced Group Policy Management Server .................................. 10
Passaggio 2: Installare Advanced Group Policy Management Client ................................... 11 Passaggio 3: Configurare una connessione al server Advanced Group Policy Management 12
Passaggio 4: Configurare le notifiche tramite posta elettronica ............................................ 13
Passaggio 5: Delegare l'accesso......................................................................................... 13
Passaggi per la gestione degli oggetti Criteri di gruppo ........................................................... 14
Passaggio 1: Creare un oggetto Criteri di gruppo ................................................................ 15
Passaggio 2: Modificare un oggetto Criteri di gruppo ........................................................... 16
Passaggio 3: Rivedere e distribuire un oggetto Criteri di gruppo .......................................... 17
Passaggio 4: Utilizzare un modello per creare un oggetto Criteri di gruppo .......................... 19
Passaggio 5: Eliminare e ripristinare un oggetto Criteri di gruppo ........................................ 21
5
Guida passo passo per Advanced Group Policy Management 4.0 di Microsoft
La presente guida passo passo illustra le tecniche avanzate di gestione dei Criteri di gruppo che
utilizzano la Console Gestione Criteri di gruppo (GPMC) e Gestione avanzata Criteri di gruppo di
Microsoft. Advanced Group Policy Management aumenta le funzionalità della Console Gestione
Criteri di gruppo fornendo le seguenti funzionalità:
Ruoli standard per la delega di autorizzazioni per la gestione degli Oggetti Criteri di gruppo a
più amministratori dei Criteri di gruppo, oltre che la possibilità di delegare l'accesso a oggetti
Criteri di gruppo nell'ambiente di produzione.
Un archivio che consente agli amministratori dei Criteri di gruppo di creare e modificare
oggetti Criteri di gruppo offline prima di distribuirli nell'ambiente di produzione.
La possibilità di ripristinare un oggetto Criteri di gruppo a una versione precedente
nell'archivio e di limitare il numero di versioni memorizzate nell'archivio.
La funzionalità di archiviazione ed estrazione per gli oggetti Criteri di gruppo per assicurare
che un amministratore dei Criteri di gruppo non sovrascriva inavvertitamente il lavoro di un
altro amministratore.
La possibilità di cercare oggetti Criteri di gruppo con attributi specifici e di filtrare l'elenco di
oggetti Criteri di gruppo visualizzati.
Panoramica di uno scenario di utilizzo di Advanced Group Policy Management Per questo scenario verrà utilizzato un account utente separato per ciascun ruolo in Advanced
Group Policy Management per illustrare come i Criteri di gruppo possano essere gestiti in un
ambiente con più amministratori dei Criteri di gruppo che dispongono di vari livelli di
autorizzazione. Specificamente, verranno eseguite le seguenti attività:
Utilizzando un account che sia membro del gruppo Domain Admins, installare Advanced
Group Policy Management Server e assegnare il ruolo di Amministratore Gestione avanzata
Criteri di gruppo a un account o a un gruppo.
Utilizzando account ai quali verranno assegnati ruoli di Advanced Group Policy Management,
installare Advanced Group Policy Management Client.
Utilizzando un account con il ruolo di Amministratore Gestione avanzata Criteri di gruppo,
configurare Advanced Group Policy Management e delegare l'accesso a oggetti Criteri di
gruppo assegnando ruoli ad altri account.
Da un account che dispone del ruolo di editor, richiedere che venga creato un nuovo oggetto
Criteri di gruppo che si approverà utilizzando un account che disponga del ruolo di
6
responsabile approvazione. Utilizzare l'account di editor per estrarre l'oggetto Criteri di
gruppo dall'archivio, modificarlo, archiviarlo, quindi richiedere la distribuzione.
Utilizzando un account con il ruolo di responsabile approvazione, rivedere l'oggetto Criteri di
gruppo e distribuirlo nell'ambiente di produzione.
Utilizzando un account con il ruolo di editor, creare un modello di oggetto Criteri di gruppo e
utilizzarlo come base per creare un nuovo oggetto Criteri di gruppo.
Utilizzando un account con il ruolo di responsabile approvazione, eliminare e ripristinare un
oggetto Criteri di gruppo.
Requisiti I computer nei quali si intende installare Advanced Group Policy Management devono soddisfare
i requisiti riportati di seguito. Inoltre è necessario creare gli account da utilizzare in questo
scenario.
Se è installato Advanced Group Policy Management 2.5 e si esegue l'aggiornamento da
Windows Server® 2003 a Windows Server 2008 R2 o Windows Server 2008 oppure da
Windows Vista® senza Service Pack a Windows 7 o Windows Vista® con Service
Pack 1 (SP1), prima di eseguire l'aggiornamento a Advanced Group Policy Management
4.0, è necessario aggiornare il sistema operativo.
Note
7
Se è installato Advanced Group Policy Management 3.0, non è necessario aggiornare il
sistema operativo prima di eseguire l'aggiornamento a Advanced Group Policy
Management 4.0
In un ambiente misto che include sia sistemi operativi nuovi che meno recenti, esistono alcune
limitazioni alla funzionalità, come indicato nella tabella seguente.
Sistema operativo su cui è in
esecuzione Advanced Group
Policy Management Server 4.0
Sistema operativo su cui è in
esecuzione Advanced Group
Policy Management Client 4.0
Stato del supporto per
Advanced Group Policy
Management 4.0
Windows Server 2008 R2
oppure Windows 7
Windows Server 2008 R2
oppure Windows 7
Supportato
Windows Server 2008 R2
oppure Windows 7
Windows Server 2008 oppure
Windows Vista con SP1
Supportato, ma non è possibile
modificare le impostazioni dei
criteri o gli elementi preferenza
che esistono solo in Windows
Server 2008 R2 o Windows 7
Windows Server 2008 oppure
Windows Vista con SP1
Windows Server 2008 R2
oppure Windows 7
Non supportato
Windows Server 2008 oppure
Windows Vista con SP1
Windows Server 2008 oppure
Windows Vista con SP1
Supportato, ma non è possibile
segnalare o modificare le
impostazioni dei criteri o gli
elementi preferenza che
esistono solo in Windows
Server 2008 R2 o Windows 7
Requisiti per Advanced Group Policy Management Server
Advanced Group Policy Management Server 4.0 richiede Windows Server 2008 R2, Windows
Server 2008, Windows 7 e la Console Gestione Criteri di gruppo da Strumenti di amministrazione
server remoto o Windows Vista con SP1 e la Console Gestione Criteri di gruppo da Strumenti di
amministrazione remota del server installato. Sono supportate sia la versione a 32 bit che quella
a 64 bit.
Prima di installare Advanced Group Policy Management Server, è necessario essere un membro
del gruppo Domain Admins ed è necessario che le seguenti funzionalità Windows siano presenti,
tranne se diversamente specificato:
Console di Gestione Criteri di gruppo
Windows Server 2008 R2 o Windows Server 2008: se la Console Gestione Criteri di
gruppo non è presente, viene installata automaticamente da Advanced Group Policy
Management.
8
Windows 7: è necessario installare la Console di Gestione Criteri di gruppo di Strumenti
di amministrazione remota del server prima di installare Advanced Group Policy
Management. Per ulteriori informazioni, vedere Remote Server Administration Tools for
Windows 7 all'indirizzo http://go.microsoft.com/fwlink/?LinkID=131280 (informazioni in
lingua inglese).
Windows Vista con SP1: è necessario installare la Console di Gestione Criteri di gruppo
di Strumenti di amministrazione remota del server prima di installare Advanced Group
Policy Management. Per ulteriori informazioni, vedere Strumenti di amministrazione
remota del server per Windows Vista con Service Pack 1 all'indirizzo
http://go.microsoft.com/fwlink/?LinkID=116179.
.NET Framework 3.5 o versioni successive
Windows Server 2008 R2 o Windows 7: se .NET Framework 3.5 o versione successiva
non è presente, .NET Framework 3.5 viene installato automaticamente da Advanced
Group Policy Management.
Windows Server 2008 o Windows Vista con SP1: è necessario installare .NET
Framework 3.5 o versione successiva prima di installare Advanced Group Policy
Management.
Le seguenti funzionalità di Windows sono richieste da Advanced Group Policy Management
Server e verranno automaticamente installate se non sono già presenti:
Attivazione WCF; Attivazione non HTTP
Servizio Attivazione processo Windows
Modello di processo
Ambiente .NET
API di configurazione
Requisiti per Advanced Group Policy Management Client
Advanced Group Policy Management Client 4.0 richiede Windows Server 2008 R2, Windows
Server 2008, Windows Server 2008 R2 e la Console Gestione Criteri di gruppo da Strumenti di
amministrazione remota del server o Windows Vista con SP1 e la Console Gestione Criteri di
gruppo da Strumenti di amministrazione remota del server installato. Sono supportate sia la
versione a 32 bit che quella a 64 bit. Advanced Group Policy Management Client può essere
installato in un computer che esegue Advanced Group Policy Management Server.
Le seguenti caratteristiche di Windows sono richieste da Advanced Group Policy Management
Client e, se non diversamente specificato, vengono automaticamente installate se non sono già
presenti:
Console di Gestione Criteri di gruppo
Windows Server 2008 R2 o Windows Server 2008: se la Console Gestione Criteri di
gruppo non è presente, viene installata automaticamente da Advanced Group Policy
Management.
9
Windows 7: è necessario installare la Console di Gestione Criteri di gruppo di Strumenti
di amministrazione remota del server prima di installare Advanced Group Policy
Management. Per ulteriori informazioni, vedere Remote Server Administration Tools for
Windows 7 all'indirizzo http://go.microsoft.com/fwlink/?LinkID=131280 (informazioni in
lingua inglese).
Windows Vista con SP1: è necessario installare la Console di Gestione Criteri di gruppo
di Strumenti di amministrazione remota del server prima di installare Advanced Group
Policy Management. Per ulteriori informazioni, vedere Strumenti di amministrazione
remota del server per Windows Vista con Service Pack 1 all'indirizzo
http://go.microsoft.com/fwlink/?LinkID=116179.
.NET Framework 3.0 o versione successiva
Windows Server 2008 R2 o Windows 7: se .NET Framework 3.0 o versione successiva
non è presente, .NET Framework 3.5 viene installato automaticamente da Advanced
Group Policy Management.
Windows Server 2008 o Windows Vista con SP1: se .NET Framework 3.0 o versione
successiva non è presente, .NET Framework 3.0 viene installato automaticamente da
Advanced Group Policy Management.
Requisiti per lo scenario
Prima di iniziare questo scenario, creare quattro account utente. Durante questo scenario verrà
assegnato uno dei seguenti ruoli di Advanced Group Policy Management a ciascuno di questi
account: Amministratore Gestione avanzata Criteri di gruppo (controllo completo), Responsabile
approvazione, Editor e Revisore. Questi account devono essere in grado di inviare e ricevere
messaggi di posta elettronica. Assegnare l'autorizzazione Collega oggetti Criteri di gruppo agli
account che dispongono dei ruoli di Amministratore Gestione avanzata Criteri di gruppo,
responsabile approvazione e, facoltativamente, editor.
L'autorizzazione Collega oggetti Criteri di gruppo viene assegnata per impostazione
predefinita ai membri dei gruppi amministratori di dominio e amministratori
dell'organizzazione (enterprise). Per assegnare l'autorizzazione Collega oggetti Criteri
di gruppo a utenti o gruppi aggiuntivi (ad esempio account che dispongono dei ruoli di
Amministratore Gestione avanzata Criteri di gruppo o di responsabile approvazione), fare
clic sul nodo per il dominio, quindi fare clic sulla scheda Delega, selezionare Collega
oggetti Criteri di gruppo, fare clic su Aggiungi e selezionare gli utenti e i gruppi ai quali
di desidera assegnare l'autorizzazione.
Passaggi per l'installazione e la configurazione di Advanced Group Policy Management Per installare e configurare Advanced Group Policy Management è necessario completare i
seguenti passaggi.
Nota
10
Passaggio 1: Installare Advanced Group Policy Management Server
Passaggio 2: Installare Advanced Group Policy Management Client
Passaggio 3: Configurare una connessione al server Advanced Group Policy Management
Passaggio 4: Configurare notifiche tramite posta elettronica
Passaggio 5: Delegare l'accesso
Passaggio 1: Installare Advanced Group Policy Management
Server
Questo passaggio prevede l'installazione di Advanced Group Policy Management Server in un
server membro o in un controller di dominio sul quale verrà eseguito il Servizio Advanced Group
Policy Management e la configurazione dell'archivio. Tutte le operazioni di Advanced Group
Policy Management sono gestite tramite questo servizio Windows ed eseguite con le credenziali
del servizio. L'archivio gestito da un server Advanced Group Policy Management può essere
ospitato su tale server o su un altro server della stessa foresta.
1. Eseguire l'accesso con un account che sia membro del gruppo Domain Admins.
2. Avviare il CD Microsoft Desktop Optimization Pack e seguire le istruzioni visualizzate per
selezionare Advanced Group Policy Management - Server.
3. Nella finestra di dialogo iniziale fare clic su Avanti.
4. Nella finestra di dialogo Condizioni di licenza software Microsoft accettare i termini,
quindi fare clic su Avanti.
5. Nella finestra di dialogo Percorso dell'applicazione selezionare un percorso in cui
installare Advanced Group Policy Management Server. Il computer in cui viene installato
Advanced Group Policy Management ospiterà il Servizio Advanced Group Policy
Management e gestirà l'archivio. Fare clic su Avanti.
6. Nella finestra di dialogo Percorso dell'archivio selezionare un percorso per l'archivio
relativo a Advanced Group Policy Management Server. Il percorso dell'archivio può fare
riferimento a una cartella sul server Advanced Group Policy Management o in un'altra
posizione. Tuttavia, il percorso selezionato deve disporre di spazio su disco sufficiente
per memorizzare tutti gli oggetti Criteri di gruppo e i dati della cronologia gestiti da questo
server Advanced Group Policy Management. Fare clic su Avanti.
7. Nella finestra di dialogo Account Servizio Advanced Group Policy Management
selezionare un account di servizio sotto il quale verrà eseguito il Servizio Advanced
Group Policy Management, quindi fare clic su Avanti.
Questo account deve essere membro del gruppo Domain Admins o, per una
configurazione con privilegi minimi, dei gruppi seguenti in ogni dominio gestito dal server
Advanced Group Policy Management:
Per installare Advanced Group Policy Management Server nel computer che ospiterà il Servizio Advanced Group Policy Management
11
Proprietari autori criteri di gruppo
Backup Operators
Questo account richiede inoltre l'autorizzazione Controllo completo per le cartelle
seguenti:
Cartella dell'archivio di Advanced Group Policy Management, per cui questa
autorizzazione viene automaticamente concessa durante l'installazione di Advanced
Group Policy Management Server se viene installato in un'unità locale.
Cartella temporanea di sistema locale, in genere %windir%\temp.
8. Nella finestra di dialogo Proprietario dell'archivio selezionare un account o un gruppo a
cui assegnare il ruolo Amministratore Gestione avanzata Criteri di gruppo (controllo
completo). Gli Amministratori Gestione avanzata Criteri di gruppo possono assegnare i
ruoli e le autorizzazioni di Advanced Group Policy Management ad altri amministratori dei
Criteri di gruppo, in modo che in seguito sarà possibile assegnare il ruolo di
Amministratore Gestione avanzata Criteri di gruppo ad amministratori aggiuntivi dei
Criteri di gruppo. Per questo scenario, selezionare l'account da utilizzare per il ruolo di
Amministratore Gestione avanzata Criteri di gruppo. Fare clic su Avanti.
9. Nella finestra di dialogo Configurazione porta digitare il numero della porta sulla quale
dovrà essere in ascolto il Servizio Advanced Group Policy Management. Non
deselezionare la casella di controllo Aggiungi un'eccezione porta al firewall a meno
che non si desideri configurare manualmente le eccezioni porta o utilizzare regole per
configurare eccezioni porta. Fare clic su Avanti.
10. Nella finestra di dialogo Lingue selezionare una o più lingue per l'installazione di
Advanced Group Policy Management Server.
11. Fare clic su Installa, quindi su Fine per uscire dall'installazione guidata.
Attenzione
Non modificare le impostazioni per il Servizio Advanced Group Policy
Management mediante Strumenti di amministrazione e Servizi dal sistema
operativo, in quanto ciò potrebbe impedire l'avvio del Servizio Advanced
Group Policy Management. Per informazioni su come modificare le
impostazioni per il servizio, vedere la Guida di Advanced Group Policy
Management.
Passaggio 2: Installare Advanced Group Policy Management Client
Ogni amministratore dei Criteri di gruppo, ossia chi crea, modifica, distribuisce, rivede o elimina
oggetti Criteri di gruppo, deve disporre di Advanced Group Policy Management installato nel
computer dal quale gestisce gli oggetti Criteri di gruppo. Per questo scenario è necessario
installare Advanced Group Policy Management Client in almeno un computer. Non è necessario
installare Advanced Group Policy Management Client nei computer degli utenti finali che non
sono responsabili dell'amministrazione dei Criteri di gruppo.
12
1. Avviare il CD Microsoft Desktop Optimization Pack e seguire le istruzioni visualizzate per
selezionare Advanced Group Policy Management - Client.
2. Nella finestra di dialogo iniziale fare clic su Avanti.
3. Nella finestra di dialogo Condizioni di licenza software Microsoft accettare i termini,
quindi fare clic su Avanti.
4. Nella finestra di dialogo Percorso dell'applicazione selezionare un percorso in cui
installare Advanced Group Policy Management Client. Fare clic su Avanti.
5. Nella finestra di dialogo Server Advanced Group Policy Management digitare il nome
DNS o l'indirizzo IP del server Advanced Group Policy Management e la porta alla quale
si desidera eseguire la connessione. La porta predefinita per il Servizio Advanced Group
Policy Management è 4600. Non deselezionare la casella di controllo Consenti
Microsoft Management Console attraverso il firewall a meno che non si desideri
configurare manualmente le eccezioni porta o utilizzare regole per configurare eccezioni
porta. Fare clic su Avanti.
6. Nella finestra di dialogo Lingue selezionare una o più lingue per l'installazione di
Advanced Group Policy Management Client.
7. Fare clic su Installa, quindi su Fine per uscire dall'installazione guidata.
Passaggio 3: Configurare una connessione al server Advanced
Group Policy Management
Advanced Group Policy Management memorizza tutte le versioni di ogni Oggetto Criteri di gruppo
controllato, ovvero ogni oggetto Criteri di gruppo per cui Advanced Group Policy Management
fornisce il controllo delle modifiche, in un archivio centrale. In questo modo gli amministratori dei
Criteri di gruppo possono visualizzare e modificare offline gli oggetti Criteri di gruppo senza
esercitare un impatto immediato sulla versione distribuita di ogni oggetto Criteri di gruppo.
In questo passaggio viene configurata una connessione a un server Advanced Group Policy
Management e verrà assicurato che tutti gli amministratori dei Criteri di gruppo si connettano allo
stesso server Advanced Group Policy Management. Per informazioni sulla configurazione di più
server Advanced Group Policy Management, vedere la Guida per Advanced Group Policy
Management.
1. Su un computer nel quale è stato installato Advanced Group Policy Management Client,
accedere con l'account utente selezionato come Proprietario dell'archivio. Questo utente
dispone del ruolo di Amministratore Gestione avanzata Criteri di gruppo (controllo
completo).
Per installare Advanced Group Policy Management Client nel computer
dell'amministratore dei Criteri di gruppo
Per configurare una connessione a un server Advanced Group Policy Management per
tutti gli amministratori dei Criteri di gruppo
13
2. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi fare clic su
Gestione Criteri di gruppo per aprire Advanced Group Policy Management.
3. Modificare un oggetto Criteri di gruppo che si applica a tutti gli amministratori dei Criteri di
gruppo.
4. Nella finestra Editor Gestione Criteri di gruppo fare doppio clic su Configurazione
utente, quindi su Criteri, Modelli amministrativi, Componenti Windows e infine su
Advanced Group Policy Management.
5. Nel riquadro dei dettagli fare doppio clic su Advanced Group Policy Management:
Specifica server Advanced Group Policy Management predefinito (tutti i domini)
6. Nella finestra Proprietà selezionare la casella di controllo Attivato e digitare il nome
DNS o l'indirizzo IP e il numero della porta (ad esempio server.contoso.com:4600) per il
server che ospita l'archivio. Per impostazione predefinita, il Servizio Advanced Group
Policy Management utilizza la porta 4600.
7. Fare clic su OK, quindi chiudere la finestra Editor Gestione Criteri di gruppo. Quando
Criteri di gruppo viene aggiornato, la connessione al server Advanced Group Policy
Management viene configurata per ogni amministratore dei Criteri di gruppo.
Passaggio 4: Configurare le notifiche tramite posta elettronica
L'Amministratore Gestione avanzata Criteri di gruppo (controllo completo) specifica gli indirizzi di
posta elettronica dei responsabili approvazione e degli Amministratori Gestione avanzata Criteri
di gruppo ai quali verrà inviato un messaggio di posta elettronica contenente una richiesta
quando un editor tenta di creare, distribuire o eliminare un oggetto Criteri di gruppo. Inoltre
determina l'alias di posta elettronica dal quale tali messaggi verranno inviati.
1. Nel riquadro dei dettagli fare clic sulla scheda Delega di dominio.
2. Nel campo Dall'indirizzo di posta elettronica digitare l'alias di posta elettronica per
Advanced Group Policy Management da cui devono essere inviate le notifiche.
3. Nel campo All'indirizzo di posta elettronica digitare l'indirizzo di posta elettronica
dell'account utente al quale si intende assegnare il ruolo di Responsabile approvazione.
4. Nel campo Server SMTP digitare il nome di un server SMTP valido.
5. Nei campi Nome utente e Password digitare le credenziali per un utente che dispone
dell'accesso al servizio SMTP. Fare clic su Applica.
Passaggio 5: Delegare l'accesso
In qualità di Amministratore Gestione avanzata Criteri di gruppo (controllo completo), è possibile
delegare l'accesso a livello di dominio agli oggetti Criteri di gruppo, assegnando ruoli all'account
di ciascun amministratore dei Criteri di gruppo.
Per configurare le notifiche tramite posta elettronica per Advanced Group Policy
Management:
14
È inoltre possibile delegare l'accesso a livello di oggetto Criteri di gruppo anziché a livello
di dominio. Per ulteriori informazioni, vedere la Guida di Advanced Group Policy
Management.
È consigliabile limitare l'appartenenza al gruppo Proprietari autori criteri di gruppo, in
modo che essa non possa essere utilizzata per aggirare la gestione dell'accesso agli
oggetti Criteri di gruppo da parte di Advanced Group Policy Management. Nella Console
Gestione Criteri di gruppo fare clic su Oggetti Criteri di gruppo nella foresta e nel
dominio in cui si desidera gestire gli oggetti Criteri di gruppo, fare clic su Delega, quindi
configurare le impostazioni in base alle esigenze dell'organizzazione.
1. Nella scheda Delega di dominio fare clic sul pulsante Aggiungi, selezionare l'account
utente dell'amministratore dei Criteri di gruppo da utilizzare come Responsabile
approvazione, quindi fare clic su OK.
2. Nella finestra di dialogo Aggiungi gruppo o utente selezionare il ruolo Responsabile
approvazione per assegnare tale ruolo all'account, quindi fare clic su OK. Questo ruolo
include il ruolo di Revisore.
3. Fare clic sul pulsante Aggiungi, selezionare l'account utente dell'amministratore dei
Criteri di gruppo da utilizzare come Editor, quindi fare clic su OK.
4. Nella finestra di dialogo Aggiungi gruppo o utente selezionare il ruolo Editor per
assegnare tale ruolo all'account, quindi fare clic su OK. Questo ruolo include il ruolo di
Revisore.
5. Fare clic sul pulsante Aggiungi, selezionare l'account utente dell'amministratore dei
Criteri di gruppo da utilizzare come Revisore, quindi fare clic su OK.
6. Nella finestra di dialogo Aggiungi gruppo o utente selezionare il ruolo Revisore per
assegnare soltanto questo ruolo all'account.
Passaggi per la gestione degli oggetti Criteri di gruppo Per creare, modificare, rivedere e distribuire oggetti Criteri di gruppo utilizzando Advanced Group
Policy Management, è necessario completare i seguenti passaggi. Inoltre verrà creato un
modello, verrà eliminato un oggetto Criteri di gruppo e verrà ripristinato un oggetto Criteri di
gruppo eliminato.
Passaggio 1: Creare un oggetto Criteri di gruppo
Passaggio 2: Modificare un oggetto Criteri di gruppo
Passaggio 3: Rivedere e distribuire un oggetto Criteri di gruppo
Nota
Importante
Per delegare l'accesso a tutti gli oggetti Criteri di gruppo in un intero dominio
15
Passaggio 4: Utilizzare un modello per creare un oggetto Criteri di gruppo
Passaggio 5: Eliminare e ripristinare un oggetto Criteri di gruppo
Passaggio 1: Creare un oggetto Criteri di gruppo
In un ambiente che dispone di più amministratori dei Criteri di gruppo, quelli con il ruolo Editor
possono richiedere che vengano creati nuovi oggetti Criteri di gruppo. Tale richiesta, tuttavia,
deve essere approvata da un utente con il ruolo Responsabile approvazione.
In questo passaggio verrà utilizzato un account che dispone del ruolo Editor per richiedere che
venga creato un nuovo oggetto Criteri di gruppo. Utilizzando un account che dispone del ruolo
Responsabile approvazione, si approverà la richiesta di creare l'oggetto Criteri di gruppo.
1. Su un computer nel quale è stato installato Advanced Group Policy Management Client,
accedere con un account utente al quale è assegnato il ruolo Editor in Advanced Group
Policy Management.
2. Nell'albero della Console Gestione Criteri di gruppo fare clic su Controllo delle
modifiche nella foresta e nel dominio in cui si desidera gestire gli oggetti Criteri di
gruppo.
3. Fare clic con il pulsante destro del mouse sul nodo Controllo delle modifiche, quindi
scegliere Nuovo oggetto Criteri di gruppo controllato.
4. Nella finestra di dialogo Nuovo oggetto Criteri di gruppo controllato:
a. Per ricevere una copia della richiesta, digitare il proprio indirizzo di posta elettronica
nel campo Cc.
b. Digitare MioGPO come nome per il nuovo oggetto Criteri di gruppo.
c. Digitare un commento per il nuovo oggetto Criteri di gruppo.
d. Fare clic su Crea in ambiente di produzione in modo che il nuovo oggetto Criteri di
gruppo venga distribuito nell'ambiente di produzione immediatamente dopo
l'approvazione. Fare clic su Invia.
5. Quando nella finestra Avanzamento Advanced Group Policy Management viene
indicato che l'operazione è stata completata, fare clic su Chiudi. Il nuovo oggetto Criteri
di gruppo verrà visualizzato nella scheda In sospeso.
1. Su un computer nel quale è stato installato Advanced Group Policy Management Client,
accedere con un account utente che dispone del ruolo di Responsabile approvazione in
Advanced Group Policy Management.
2. Aprire la cartella Posta in arrivo per l'account e si noti che è stato ricevuto un messaggio
di posta elettronica dall'alias di Advanced Group Policy Management con la richiesta da
Per richiedere che un nuovo oggetto Criteri di gruppo venga creato e gestito tramite Advanced Group Policy Management
Per approvare la richiesta in sospeso per la creazione di un oggetto Criteri di gruppo
16
parte dell'editor di creare un oggetto Criteri di gruppo.
3. Nell'albero della Console Gestione Criteri di gruppo fare clic su Controllo delle
modifiche nella foresta e nel dominio in cui si desidera gestire gli oggetti Criteri di
gruppo.
4. Nella scheda Contenuto fare clic sulla scheda In sospeso per visualizzare gli oggetti
Criteri di gruppo in sospeso.
5. Fare clic con il pulsante destro del mouse su MioGPO, quindi scegliere Approva.
6. Fare clic su Sì per confermare l'approvazione e spostare l'oggetto Criteri di gruppo nella
scheda Controllati.
Passaggio 2: Modificare un oggetto Criteri di gruppo
È possibile utilizzare gli oggetti Criteri di gruppo per configurare le impostazioni dei computer o
degli utenti e distribuirle a numerosi computer o utenti. In questo passaggio verrà utilizzato un
account che dispone del ruolo Editor per estrarre un oggetto Criteri di gruppo dall'archivio,
modificare l'oggetto offline, archiviarlo e richiedere che venga distribuito nell'ambiente di
produzione. Per questo scenario verrà configurata un'impostazione nell'oggetto Criteri di gruppo
per richiedere che la password sia composta da almeno otto caratteri.
1. Su un computer nel quale è stato installato Advanced Group Policy Management Client,
accedere con un account utente che dispone del ruolo di Editor in Advanced Group
Policy Management.
2. Nell'albero della Console Gestione Criteri di gruppo fare clic su Controllo delle
modifiche nella foresta e nel dominio in cui si desidera gestire gli oggetti Criteri di
gruppo.
3. Nella scheda Contenuto del riquadro dei dettagli fare clic sulla scheda Controllati per
visualizzare gli oggetti Criteri di gruppo controllati.
4. Fare clic con il pulsante destro del mouse su MioGPO, quindi scegliere Estrai.
5. Digitare un commento da visualizzare nella cronologia dell'oggetto Criteri di gruppo
mentre è estratto, quindi fare clic su OK.
6. Quando nella finestra Avanzamento Advanced Group Policy Management viene
indicato che l'operazione è stata completata, fare clic su Chiudi. Nella scheda
Controllati, lo stato dell'oggetto Criteri di gruppo è identificato come Estratto.
1. Nella scheda Controllati fare clic con il pulsante destro del mouse su MioGPO, quindi
scegliere Modifica per aprire la finestra Editor Gestione Criteri di gruppo e modificare
una copia offline dell'oggetto Criteri di gruppo. Per questo scenario, configurare la
Per estrarre l'oggetto Criteri di gruppo dall'archivio per la modifica
Per modificare l'oggetto Criteri di gruppo e configurare la lunghezza minima per la password
17
lunghezza minima per la password:
a. In Configurazione computer fare doppio clic su Criteri, Impostazioni di Windows,
Impostazioni protezione, Criteri account e Criteri password.
b. Nel riquadro dei dettagli fare doppio clic su Lunghezza minima password.
c. Nella finestra delle proprietà selezionare la casella di controllo Definisci le
impostazioni relative al criterio, impostare il numero di caratteri su 8, quindi fare
clic su OK.
2. Chiudere la finestra Editor Gestione Criteri di gruppo.
1. Nella scheda Controllati fare clic con il pulsante destro del mouse su MioGPO, quindi
scegliere Archivia.
2. Digitare un commento, quindi fare clic su OK.
3. Quando nella finestra Avanzamento Advanced Group Policy Management viene
indicato che l'operazione è stata completata, fare clic su Chiudi. Nella scheda
Controllati lo stato dell'oggetto Criteri di gruppo è identificato come Archiviato.
1. Nella scheda Controllati fare clic con il pulsante destro del mouse su MioGPO, quindi
scegliere Distribuisci.
2. Poiché l'account utilizzato non è un account di responsabile approvazione o di
Amministratore Gestione avanzata Criteri di gruppo, è necessario inviare una richiesta di
distribuzione. Per ricevere una copia della richiesta, digitare il proprio indirizzo di posta
elettronica nel campo Cc. Digitare un commento da visualizzare nella cronologia
dell'oggetto Criteri di gruppo, quindi fare clic su Invia.
3. Quando nella finestra Avanzamento Advanced Group Policy Management viene
indicato che l'operazione è stata completata, fare clic su Chiudi. MioGPO verrà
visualizzato nell'elenco degli oggetti Criteri di gruppo nella scheda In sospeso.
Passaggio 3: Rivedere e distribuire un oggetto Criteri di gruppo
In questo passaggio si agirà in qualità di Responsabile approvazione, creando rapporti e
analizzando le impostazioni e le modifiche apportate alle impostazioni nell'oggetto Criteri di
gruppo per stabilire se l'oggetto può essere approvato. Dopo che è stato valutato, l'oggetto Criteri
di gruppo verrà distribuito nell'ambiente di produzione e collegato a un dominio o a un'unità
organizzativa (OU). L'oggetto Criteri di gruppo viene applicato quando i Criteri di gruppo vengono
aggiornati per i computer presenti nel dominio o nell'unità organizzativa.
1. Su un computer nel quale è stato installato Advanced Group Policy Management Client,
Per archiviare l'oggetto Criteri di gruppo nell'archivio
Per richiedere la distribuzione dell'oggetto Criteri di gruppo nell'ambiente di produzione
Per rivedere la impostazioni nell'oggetto Criteri di gruppo
18
accedere con un account utente al quale è assegnato il ruolo di Responsabile
approvazione in Advanced Group Policy Management. Qualsiasi amministratore dei
Criteri di gruppo con il ruolo di Revisore, che è incluso in tutti gli altri ruoli, può rivedere le
impostazioni di un oggetto Criteri di gruppo.
2. Aprire la cartella Posta in arrivo per l'account. Si noti che è stato ricevuto un messaggio
di posta elettronica dall'alias di Advanced Group Policy Management con la richiesta da
parte dell'editor di distribuire un oggetto Criteri di gruppo.
3. Nell'albero della Console Gestione Criteri di gruppo fare clic su Controllo delle
modifiche nella foresta e nel dominio in cui si desidera gestire gli oggetti Criteri di
gruppo.
4. Nella scheda Contenuto del riquadro dei dettagli fare clic sulla scheda In sospeso.
5. Fare doppio clic su MioGPO per visualizzare la relativa cronologia.
6. Rivedere le impostazioni nella versione più recente di MioGPO:
a. Nella finestra Cronologia fare clic con il pulsante destro del mouse sulla versione
dell'oggetto Criteri di gruppo con il timestamp più recente, scegliere Impostazioni,
quindi fare clic su Rapporto HTML per visualizzare un riepilogo delle impostazioni
dell'oggetto Criteri di gruppo.
b. Nel Web browser fare clic su mostra tutto per visualizzare tutte le impostazioni
nell'oggetto Criteri di gruppo. Chiudere il browser.
7. Confrontare la versione più recente di MioGPO con la prima versione archiviata:
a. Nella finestra Cronologia fare clic sulla versione dell'oggetto Criteri di gruppo con il
timestamp più recente. Premere CTRL, quindi fare clic sulla versione più vecchia
dell'oggetto Criteri di gruppo per il quale la Versione computer non è *.
b. Fare clic sul pulsante Differenze. La sezione Criteri account/Criteri password
viene evidenziata in verde e preceduta da [+] per indicare che l'impostazione è
configurata solo nell'ultima versione dell'oggetto Criteri di gruppo.
c. Fare clic su Criteri account/Criteri password. La sezioneLunghezza minima
password è anch'essa evidenziata in verde e preceduta dal segno [+], indicando
che è configurata solo nella versione successiva dell'oggetto Criteri di gruppo.
d. Chiudere il browser Web.
1. Nella scheda In sospeso fare clic con il pulsante destro del mouse su MioGPO, quindi
scegliere Approva.
2. Digitare un commento da includere nella cronologia dell'oggetto Criteri di gruppo.
3. Fare clic su Sì. Quando nella finestra Avanzamento Advanced Group Policy
Management viene indicato che l'operazione è stata completata, fare clic su Chiudi.
L'oggetto Criteri di gruppo verrà distribuito nell'ambiente di produzione.
Per distribuire l'oggetto Criteri di gruppo nell'ambiente di produzione
19
1. Nella Console Gestione Criteri di gruppo fare clic con il pulsante destro del mouse sul
dominio o sull'unità organizzativa a cui si desidera applicare l'oggetto Criteri di gruppo
configurato, quindi scegliere Collega oggetto Criteri di gruppo esistente.
2. Nella finestra di dialogo Seleziona oggetto Criteri di gruppo fare clic su MioGPO,
quindi su OK.
Passaggio 4: Utilizzare un modello per creare un oggetto Criteri di gruppo
In questo passaggio verrà utilizzato un account che dispone del ruolo Editor per creare e
utilizzare un modello. Tale modello è una versione statica di un oggetto Criteri di gruppo e viene
utilizzato per creare nuovi oggetti Criteri di gruppo. Sebbene non sia possibile modificare un
modello, è possibile creare un nuovo oggetto Criteri di gruppo basato su un modello. I modelli
sono utili per creare rapidamente più oggetti Criteri di gruppo che includono molte impostazioni
dei criteri identiche.
1. Su un computer nel quale è stato installato Advanced Group Policy Management Client,
accedere con un account utente al quale è assegnato il ruolo di Editor in Advanced
Group Policy Management.
2. Nell'albero della Console Gestione Criteri di gruppo fare clic su Controllo delle
modifiche nella foresta e nel dominio in cui si desidera gestire gli oggetti Criteri di
gruppo.
3. Nella scheda Contenuto del riquadro dei dettagli fare clic sulla scheda Controllati.
4. Fare clic con il pulsante destro del mouse su MioGPO, quindi scegliere Salva come
modello per creare un modello contenente tutte le impostazioni attualmente configurate
in MioGPO.
5. Digitare MioModello come nome per il modello e un commento, quindi fare clic su OK.
6. Quando nella finestra Avanzamento Advanced Group Policy Management viene
indicato che l'operazione è stata completata, fare clic su Chiudi. Il nuovo modello verrà
visualizzato nella scheda Modelli.
1. Fare clic sulla scheda Controllati.
2. Fare clic con il pulsante destro del mouse sul nodo Controllo delle modifiche, quindi
scegliere Nuovo oggetto Criteri di gruppo controllato.
3. Nella finestra di dialogo Nuovo oggetto Criteri di gruppo controllato:
Per collegare l'oggetto Criteri di gruppo a un dominio o a un'unità organizzativa
Per creare un modello basato su un oggetto Criteri di gruppo esistente
Per richiedere che un nuovo oggetto Criteri di gruppo venga creato e gestito tramite
Advanced Group Policy Management
20
a. Per ricevere una copia della richiesta, digitare il proprio indirizzo di posta elettronica
nel campo Cc.
b. Digitare MioaltroGPO come nome per il nuovo oggetto Criteri di gruppo.
c. digitare un commento per il nuovo oggetto Criteri di gruppo.
d. Fare clic su Crea in ambiente di produzione in modo che il nuovo oggetto Criteri di
gruppo venga distribuito nell'ambiente di produzione immediatamente dopo
l'approvazione.
e. Per Da modello di oggetto Criteri di gruppo selezionare MioModello. Fare clic su
Invia.
4. Quando nella finestra Avanzamento Advanced Group Policy Management viene
indicato che l'operazione è stata completata, fare clic su Chiudi. Il nuovo oggetto Criteri
di gruppo verrà visualizzato nella scheda In sospeso.
Utilizzare un account al quale è assegnato il ruolo di Responsabile approvazione per approvare
la richiesta in sospeso e creare l'oggetto Criteri di gruppo come nel Passaggio 1: Creare un
oggetto Criteri di gruppo MioModello contiene tutte le impostazioni configurate in MioGPO.
Poiché MioaltroGPO è stato creato utilizzando MioModello, inizialmente esso contiene tutte le
impostazioni contenute in MioGPO nel momento in cui è stato creato MioModello. Questo può
essere confermato generando un rapporto sulle differenze per confrontare MioaltroGPO con
MioModello.
1. Su un computer nel quale è stato installato Advanced Group Policy Management Client,
accedere con un account utente al quale è assegnato il ruolo di Editor in Advanced
Group Policy Management.
2. Fare clic con il pulsante destro del mouse su MioaltroGPO, quindi scegliere Estrai.
3. Digitare un commento da visualizzare nella cronologia dell'oggetto Criteri di gruppo
mentre è estratto, quindi fare clic su OK.
4. Quando nella finestra Avanzamento Advanced Group Policy Management viene
indicato che l'operazione è stata completata, fare clic su Chiudi. Nella scheda
Controllati, lo stato dell'oggetto Criteri di gruppo è identificato come Estratto.
1. Nella scheda Controllati fare clic con il pulsante destro del mouse su MioaltroGPO,
quindi scegliere Modifica per aprire la finestra Editor Gestione Criteri di gruppo e
modificare una copia offline dell'oggetto Criteri di gruppo. Per questo scenario,
configurare la lunghezza minima per la password:
a. In Configurazione computer fare doppio clic su Criteri, Impostazioni di Windows,
Impostazioni protezione, Criteri account e Criterio di blocco account.
b. Nel riquadro dei dettagli fare doppio clic su Durata blocco account.
Per estrarre l'oggetto Criteri di gruppo dall'archivio per la modifica
Per modificare l'oggetto Criteri di gruppo non in linea e configurare la durata del blocco dell'account
21
c. Nella finestra delle proprietà selezionare la casella di controllo Definisci le
impostazioni relative al criterio, impostare la durata su 30 minuti, quindi fare clic su
OK.
2. Chiudere la finestra Editor Gestione Criteri di gruppo.
Archiviare MioaltroGPO nell'archivio e richiedere la distribuzione come è stato fatto per MioGPO
nel Passaggio 2: Modificare un oggetto Criteri di gruppo È possibile confrontare MioaltroGPO con
MioGPO o MioModello utilizzando rapporti diversi. Qualsiasi account che include il ruolo di
Revisore (amministratore di Gestione avanzata [Controllo completo], Responsabile approvazione,
Editor o Revisore) può generare rapporti.
1. Per confrontare MioGPO e MioaltroGPO:
a. Nella scheda Controllati fare clic su MioGPO. Premere CTRL, quindi fare clic su
MioaltroGPO.
b. Fare clic con il pulsante destro del mouse su MioaltroGPO, scegliere Differenze,
quindi Rapporto HTML.
2. Per confrontare MioaltroGPO e MioModello:
a. Nella scheda Controllati fare clic su MioaltroGPO.
b. Fare clic con il pulsante destro del mouse su MioaltroGPO, scegliere Differenze,
quindi Modello.
c. Selezionare MioModello e Rapporto HTML, quindi fare clic su OK.
Passaggio 5: Eliminare e ripristinare un oggetto Criteri di gruppo
In questo passaggio si agirà qualità di Responsabile approvazione per eliminare un oggetto
Criteri di gruppo.
1. Su un computer nel quale è stato installato Advanced Group Policy Management Client,
accedere con un account utente al quale è assegnato il ruolo di Responsabile
approvazione.
2. Nell'albero della Console Gestione Criteri di gruppo fare clic su Controllo delle
modifiche nella foresta e nel dominio in cui si desidera gestire gli oggetti Criteri di
gruppo.
3. Nella scheda Contenuto fare clic sulla scheda Controllati per visualizzare gli oggetti
Criteri di gruppo controllati.
4. Fare clic con il pulsante destro del mouse su MioGPO, quindi scegliere Elimina. Fare
clic su Elimina oggetto Criteri di gruppo dall'archivio e dalla produzione per
eliminare sia la versione dell'oggetto Criteri di gruppo presente nell'archivio che quella
Per confrontare un oggetto Criteri di gruppo con un altro oggetto Criteri di gruppo o con un modello
Per eliminare un oggetto Criteri di gruppo
22
distribuita nell'ambiente di produzione.
5. Digitare un commento da visualizzare nell'itinerario di controllo dell'oggetto Criteri di
gruppo, quindi fare clic su OK.
6. Quando nella finestra Avanzamento Advanced Group Policy Management viene
indicato che l'operazione è stata completata, fare clic su Chiudi. L'oggetto Criteri di
gruppo viene rimosso dalla scheda Controllati e viene visualizzato nella scheda
Cestino, dalla quale può essere ripristinato oppure eliminato definitivamente.
Occasionalmente può accadere che, dopo aver eliminato un oggetto Criteri di gruppo, ci si
accorga che l'oggetto è ancora necessario. In questo passaggio si agirà in qualità di responsabile
approvazione per ripristinare un oggetto Criteri di gruppo eliminato.
1. Nella scheda Contenuto fare clic sulla scheda Cestino per visualizzare gli oggetti Criteri
di gruppo eliminati.
2. Fare clic con il pulsante destro del mouse su MioGPO, quindi scegliere Ripristina.
3. Digitare un commento da visualizzare nella cronologia dell'oggetto Criteri di gruppo,
quindi fare clic su OK.
4. Quando nella finestra Avanzamento Advanced Group Policy Management viene
indicato che l'operazione è stata completata, fare clic su Chiudi. L'oggetto Criteri di
gruppo verrà rimosso dalla scheda Cestino e verrà visualizzato nella scheda Controllati.
Nota
Quando si ripristina un oggetto Criteri di gruppo nell'archivio, l'oggetto non
viene automaticamente ridistribuito nell'ambiente di produzione. Per restituire
l'oggetto Criteri di gruppo nell'ambiente di produzione, distribuirlo come nel
Passaggio 3: Rivedere e distribuire un oggetto Criteri di gruppo
È possibile che dopo avere modificato e distribuito un oggetto Criteri di gruppo, si scopra che le
recenti modifiche apportate all'oggetto Criteri di gruppo stanno causando un problema. In questo
passaggio si agirà in qualità di responsabile approvazione per ripristinare l'oggetto Criteri di
gruppo a una versione precedente. È possibile ripristinare l'oggetto Criteri di gruppo a qualsiasi
versione presente nella relativa cronologia. Utilizzando commenti ed etichette, è possibile
identificare le versioni valide e la data e l'ora in cui sono state apportate modifiche specifiche.
1. Nella scheda Contenuto fare clic sulla scheda Controllati per visualizzare gli oggetti
Criteri di gruppo controllati.
2. Fare doppio clic su MioGPO per visualizzare la relativa cronologia.
3. Fare clic con il pulsante destro del mouse sulla versione da distribuire, scegliere
Distribuisci, quindi fare clic su Sì.
4. Quando nella finestra Avanzamento Advanced Group Policy Management viene
Per ripristinare un oggetto Criteri di gruppo eliminato
Per ripristinare un oggetto Criteri di gruppo a una versione precedente
23
indicato che l'operazione è stata completata, fare clic su Chiudi. Nella finestra
Cronologia fare clic su Chiudi.
Nota
Per verificare che la versione ridistribuita corrisponda alla versione prevista,
esaminare un rapporto sulle differenze tra le due versioni. Nella finestra
Cronologia dell'oggetto Criteri di gruppo, evidenziare le due versioni, quindi
fare clic con il pulsante destro del mouse e scegliere Differenze e Rapporto
HTML oppure Rapporto XML.