Chi ha scelto di affidarsi alle tecnologie Microsoft Active Directory per il proprio controller di dominio, ha scelto sicuramente un prodotto affidabile, estremamente collaudato e performante che, ad oggi, ha obiettivamente poche alternative (soprattutto se si parla di GPO). Active Directory è un "must" anche per un attento osservatore delle tecnologie open source e del mondo Linux come il sottoscritto (confidando in un futuro in cui Samba possa colmare il divario su questo specifico settore).
Siamo sicuri, però, di utilizzare a fondo tutte le potenzialità di Active Directory?
La risposta è molto probabilmente "no". Perchè le possibilità delle Group Policy sono infinite e, quando vengono usate, ci si limita spesso a qualche tuning della Default Domain Policy o a qualche impostazione per una UO specifica.
Active Directory, quindi, non è solo un LDAP che consente l'autenticazione centrale degli utenti, la possibilità di realizzare profili erranti e trasferire ad un File Server informazioni utili al realizzare criteri di accesso alle directory. Mediante lo strumento delle Group Policy, che si applicano alle Unità Organizzative o a interi Domini, è possibile trasferire impostazioni tutt'altro che banali.
Qualche esempio di impostazioni distribuite su tutte le macchine/tutti gli utenti della rete:
- Gestione del software:
- E' possibile installare su tutti i client specifici software (ad esempio l'Adobe Reader) al primo login dopo l'applicazione della GPO e a patto che si disponga del file .msi (superati i 200 host diventa quasi obbligatorio installare software tramite GPO.. salvo non volersi fare un giro di tutte le macchine.. ma a quel punto è una scelta più che altro di natura sportiva!)
- E' possibile vietare l'installazione di determinati software
- Abilitazione/Disabilitazione opzioni del pannello di controllo
- E' possibile evitare che gli utenti cambino, ad esempio, lo sfondo del desktop o le impostazioni della lingua
- Trasferimento di eccezioni di Windows Firewall
- Gestione centralizzata dei criteri di aggiornamento di Windows Update (anche e meglio se tramite server WSUS interni)
- Integrazione con Internet Explorer
- E' possibile evitare che venga cancellata la cronologia
- E' possibile trasferire e gestire i siti attendibili e quelli bloccati
- Congelamento dei componenti aggiuntivi evitando nuove installazioni di toolbar e gadget
- Reti
- Trasferire automaticamente reti wireless complete di tutte le impostazioni di connessione (SSID, crittografia, password, etc..)
- Gestione del Quality of Service
- Gestione e abilitazione sonde SNMP
- Criteri dei file offline e non in linea
- Backup e Varie
- Pianificazione dei backup delle postazioni o dei server
- Criteri di Autoplay
- Crittografia tramite BitLocker di tutte le postazioni
- Gestione dei servizi Desktop Remoto
- Gestione dei Driver delle periferiche (anche stampanti)
- Comportamenti
- E' possibile definire il comportamento di Windows Media Player, Windows Mail, etc..
- Blocco di periferiche USB e dell'utilizzo di DVD/CD anche in masterizzazione (utile per fare dell'endpoint protection al fine di evitare fuoriuscita di dati e la propagazione di virus mediante le pen drive)
- E' possibile definire il comportamento di Windows Defender
Questi sono solo alcuni esempi delle oltre 600 configurazioni che GPO può trasferire a tutte le macchine del dominio Active Directory. Dal togliere da tutti i computer della rete il "Nascondi estensioni per i tipi di file conosciuti" a impedire l'accesso alle impostazioni della scheda di rete anche ad un admin locale del computer. Ne vale la pena dedicare del tempo.
Alcune GPO meritano un approfondimento:
Disabilitare NetBios su tutte le macchine del dominio:
Creare una nuova Group Policy > Computers > Criteri > Windows > Script > Avvio
Visualizza file > Creare un nuovo file .bat con dentro questa stringa
wmic nicconfig where (TcpipNetbiosOptions!=Null and TcpipNetbiosOptions!=2) call SetTcpipNetbios 2
Aggiungi > inserire il file .bat
Nelle GPO > Altre azioni > collega oggetto GPO esistente > mettere la nuova GPO
Bloccare account in seguito a troppi tentativi di accesso sbagliato
Creare nuova group policy > Computer > Impostazioni di windows > Protezione > Criteri Account > Blocco Account
Disattivare l’accesso locale (anche in TS) degli utenti su un DC
Editare la default group policy dei domain controller
Comp > Criteri > Windows > sicurezza > locali > assegnazione diritti utente > nega accesso locale
inserisci i gruppi a cui l’accesso locale è negato
Conclusioni
Dobbiamo sempre ricordarci che un'operazione banale, non lo è più se per farla devi impiegare un tempo considerevole. Impostazioni semplici, in una rete da 200 host o più, possono portare via anche delle giornate, sottraendo risorse e tempo al reparto IT. Le GPO, in una rete Microsoft con Active Directory, ci aiutano a trasferire rapidamente impostazioni e criteri differenziati e personalizzati anche per singole Unità Organizzative (Amministrazione, Magazzino, Reparto Tecnico e Ospiti sono UO che certo non possono avere gli stessi privilegi; giusto per fare un esempio).
Il tempo che dedicherete all'approfondimento delle GPO, non sarà certamente tempo perso, ma saprà ripagarsi al primo "giro" su tutte le postazioni risparmiato.
Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione è vietata salvo autorizzazione.
Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione è vietata salvo autorizzazione.