La sicurezza della rete è messa a repentaglio quando gli utenti di Active Directory (AD) oltrepassano i propri limiti e apportano modifiche non autorizzate ai propri computer. Con Criteri di gruppo, è possibile dare delle regole agli ambienti di lavoro degli utenti utilizzando l'ampia raccolta di impostazioni di cui sono dotati. Ad esempio, gli amministratori IT possono impedire agli utenti di accedere alle applet del Pannello di controllo di Windows, modificare gli sfondi o eliminare la cronologia del browser configurando le rispettive impostazioni da una posizione centralizzata. In questo modo, Criteri di gruppo fornisce il controllo su ciò che gli utenti possono (e non possono) fare sulla tua rete.
La struttura dell'unità organizzativa determina la modalità di applicazione degli oggetti Criteri di gruppo nella directory. Dividi utenti e computer in unità organizzative separate per semplificare l'applicazione dei criteri di utenti e computer. Tieni sempre presente il collegamento e la risoluzione dei problemi degli oggetti Criteri di gruppo quando crei nuove unità organizzative.
Tutte le impostazioni configurate nei criteri di dominio predefiniti verranno applicate all'intero dominio. Pertanto, configura solo i criteri a livello di dominio, ad esempio i criteri password, i criteri di blocco degli account, i criteri Kerberos e le impostazioni degli account in questo oggetto Criteri di gruppo. Analogamente, utilizza i criteri del controller di dominio predefinito per assegnare i diritti utente e configurare i criteri di controllo per i controller di dominio. Per tutti gli altri criteri e impostazioni, crea oggetti Criteri di gruppo separati in base alle esigenze.
Gli oggetti Criteri di gruppo appena creati impostati a livello di dominio influiscono su tutti gli utenti e i computer del dominio. Ciò può causare l'applicazione indiscriminata delle impostazioni destinate a un insieme specifico di utenti a tutti gli utenti. Pertanto, applica tutti gli oggetti Criteri di gruppo (ad eccezione dei criteri di dominio predefiniti) a livello di unità organizzativa per un controllo più dettagliato.
Durante il collegamento degli oggetti Criteri di gruppo alle unità organizzative, assicurati di applicarli a livello radice per attivare l'ereditarietà degli oggetti Criteri di gruppo. In questo modo eliminerai la necessità di applicare le stesse impostazioni alle unità organizzative secondarie successive. È inoltre possibile isolare utenti e computer dall'ereditarietà di un criterio aggiungendoli a un'unità organizzativa separata e bloccando l'ereditarietà.
Il nome dell'oggetto Criteri di gruppo deve descriverne lo scopo e a chi si applica. Utilizza le convenzioni di denominazione per distinguere tra gli oggetti Criteri di gruppo applicati agli utenti e ai computer. Ad esempio, l'aggiunta di "U" all'inizio per i criteri utente e "C" per i criteri del computer eviterà confusione quando si apporteranno modifiche ai rispettivi oggetti Criteri di gruppo.
Quando i criteri utente e computer sono configurati in oggetti Criteri di gruppo separati, la disabilitazione della configurazione inutilizzata consente di migliorare le prestazioni del desktop. Ad esempio, se in un oggetto Criteri di gruppo sono configurate solo le impostazioni del computer, è possibile disabilitare la configurazione utente per accelerare l'elaborazione dell'oggetto Criteri di gruppo durante l'accesso.
Quando un oggetto Criteri di gruppo è collegato a più unità organizzative, la disabilitazione di tale oggetto in un'unità organizzativa comporta la disabilitazione dell'applicazione anche in altre unità organizzative. Al contrario, rimuovi il collegamento eliminando il collegamento nell'unità organizzativa interessata e impedisci l'applicazione delle impostazioni.
Il collegamento di oggetti Criteri di gruppo di livello superiore nella gerarchia di Active Directory e l'utilizzo di filtri di sicurezza o WMI per il targeting di tali oggetti Criteri di gruppo può rallentare il tempo di elaborazione. Pertanto, utilizza il filtro degli oggetti Criteri di gruppo solo quando necessario e collega gli oggetti Criteri di gruppo il più vicino possibile alla destinazione prevista per ridurre la complessità.
Sebbene gli oggetti Criteri di gruppo di grandi dimensioni che contengono molte impostazioni configurate vengano elaborati più velocemente durante l'accesso, rendono estremamente difficile la risoluzione dei problemi. Quindi, durante la creazione, non stipare troppe impostazioni in un oggetto Criteri di gruppo. Al contrario, trova il giusto equilibrio e dividi le impostazioni tra un buon numero di oggetti Criteri di gruppo per semplificarne la distribuzione e la gestione.
Nel corso del tempo, la gestione di Criteri di gruppo può sfuggire di mano quando diversi amministratori iniziano a modificare gli oggetti Criteri di gruppo. Pertanto, tieni traccia di tutte le modifiche apportate dagli oggetti Criteri di gruppo per assicurarti che qualsiasi modifica apportata dagli utenti sia in linea con gli obblighi di sicurezza e conformità dell'organizzazione.
L'utilizzo di strumenti nativi per tenere sotto controllo la creazione, l'eliminazione e la modifica degli oggetti Criteri di gruppo può essere un processo noioso e dispendioso in termini di tempo per gli amministratori. ADAudit Plus, una soluzione di controllo AD basata su UBA di ManageEngine, fornisce report in tempo reale sulle modifiche apportate agli oggetti Criteri di gruppo insieme alla cronologia degli oggetti Criteri di gruppo, che include i valori vecchi e nuovi degli attributi modificati.
Scarica la versione di prova gratuita di 30 giorni