In questo articolo spiegherò come creare un criterio di gruppo, chiamato anche GPO, rispettando alcune best practice ed errori da evitare nel tuo dominio Active Directory.
Sommario
Cattive pratiche
Cominciamo subito con quello che considero essere cattive pratiche in termini di strategia di gruppo.
1. Non riuscire ad anticipare la strategia del gruppo
Il primo errore è quello di senza pensare al futuro alla strategia di gruppo e applicare direttamente i parametri senza pianificazione. Inizia definendo con precisione cosa vuoi implementare. Verifica se questo può essere applicato a livello utente, computer o entrambiAnalizzare se la configurazione può essere ottenuta tramite impostazioni dei criteri, una modifica del registro o uno script.
Questo primo passaggio può essere testato localmente su una macchina tramite la console. gpedit.msc o in un ambiente di prova (Lab).
2. Mancanza di organizzazione degli oggetti Criteri di gruppo
Troppo spesso lui non esiste un’organizzazione chiara strategie di gruppo. Ogni amministratore ha il suo metodo e, dopo un po’, ci si ritrova con un singolo GPO “catch-all”Questo può essere fatto con un GPO per ogni azione (impostazioni, GPP, script), il che complica la gestione. A volte possono volerci ore per capire quale GPO fa cosa!
Non proporrò qui un modello unico, poiché dipende da ogni CIO, ma vale una regola universale: Usa il buon senso e organizza correttamente i tuoi GPO.
3. Mancanza di una convenzione di denominazione
Sempre in tema di organizzazione: l’assenza di convenzione di denominazione Ciò rende difficile identificare i GPO e il loro ambito. Una buona pratica è:
- Avviare i GPO “computer” con la lettera C
- Avviare i GPO “utente” con la lettera U
- Dai un nome esplicito consentendo la rapida identificazione del ruolo del GPO.
Un accordo chiaro consente anche per evitare di mescolarsi è fortemente sconsigliato inserire le impostazioni utente e computer nello stesso GPO.
4. Non commentare i GPO e le loro impostazioni
È comune a trascurando la descrizione dei GPO e i loro parametri, ma questi campi sono lì per facilitare la comprensione e il monitoraggio.
Prendi l’abitudine di documentare ogni oggetto Criteri di gruppo Perché è stato creato, cosa configura e, se necessario, eventuali modifiche significative apportate. Più avanti vi mostrerò dove inserire questi commenti.
5. Combinare le impostazioni utente e computer nello stesso GPO
Come accennato in precedenza, creare un GPO che contenga entrambi impostazioni utente e computer per la stessa azione è un errore comune. Questo spesso riflette un mancanza di preparazionee speriamo che “funzioni” configurandolo su entrambi i lati.
6. Creare un GPO direttamente collegato a un’unità organizzativa di produzione
Un’altra cattiva pratica è quella di creare un GPO direttamente all’interno dell’unità organizzativa di produzione (OU) in cui vogliamo applicarlo. Questo può sembrare conveniente al momento, ma Ciò impedisce qualsiasi fase di test e aumenta notevolmente il rischio di impatto in un ambiente reale.
L’approccio corretto è il seguente:
- Creare l’oggetto Criteri di gruppo nel contenitore “Oggetti Criteri di gruppo” (tramite la console GPMC)
- Successivamente, collegare il GPO a una o più OU di test.rappresentativo del futuro pubblico di destinazione (ad esempio, utenti o macchine in pre-produzione)
- Convalidare il corretto funzionamento del GPO in un ambiente controllato
- Solo allora collegare il GPO alle OU di produzione
Ciò consente di evitare errori critici quali riavvii imprevisti, impostazioni eccessivamente restrittive o conflitti con le strategie esistenti.
Questo metodo incoraggia anche riutilizzo e controllo : un GPO ben progettato può essere collegato a più posizioni in base alle necessità, senza dover essere ricreato ogni volta.
7. Utilizzare direttamente i dispositivi o i computer degli utenti per il filtraggio della sicurezza
Un errore comune è quello di applicare un GPO direttamente a un utente o computer specifico, sia tramite:
- IL screening di sicurezza nelle proprietà GPO
- IL preferenze (GPP) con targeting tramite “Nome utente” o “Nome computer”
- O anche per rifiutare la domanda da un GPO a un oggetto specifico
Anche se potrebbe funzionare occasionalmente, non è non raccomandato in un quadro di gestione pulita e in continua evoluzione.
8. Collegamento indiscriminato di GPO alla radice del dominio
Infine, parliamo di collegamento di GPO È molto comune vedere GPO direttamente collegato alla radice del dominio, che li applica a tutti gli oggetticompreso a controller di dominio.
Chiediti: è necessario applicare le impostazioni del browser (ad esempio, Google Chrome) a un controller di dominio, situato nel Livello 0, senza accesso a Internet o ad altri siti interni?
La risposta è no.
È quindi fondamentale collegare i GPO al livello corretto della struttura ad albero di Active Directory. A volte, questo comporta collegare lo stesso GPO a più unità organizzative (OU) a seconda della struttura del tuo dominio.
Creare un criterio di gruppo in Active Directory
Dopo aver visto cosa non fare, passeremo alle “buone pratiche”: vedremo come possiamo creare un criterio di gruppo utilizzando l’interfaccia grafica della console di Gestione Criteri di gruppo oppure utilizzando un prompt dei comandi di PowerShell.
Prima di iniziare a creare l’oggetto GPO, assicurati di disporre di un’unità organizzativa in cui archiviare i gruppi che utilizzerai per gestire i criteri di gruppo.
Presumo che tu sappia cosa vuoi fare con questa strategia e quali parametri intendi modificare, e che sia stata testata in un LAB e convalidata.
Creare un oggetto Criteri di gruppo (GPO) utilizzando la console Gestione Criteri di gruppo
In questo articolo parlo di come creare, se si desidera aggiungere un’impostazione di configurazione a livello di Microsoft Edge e si dispone già di un criterio di gruppo esistente che configura il browser, modificare questo oggetto anziché crearne uno nuovo se l’ambito è identico.
Vai al contenitore (cartella) Oggetti Criteri di gruppo 1, come puoi vedere, contiene tutti i criteri di gruppo esistenti, anche quelli che non hanno più un collegamento, quando elimini un collegamento ai criteri di gruppo e soprattutto quando ha un solo collegamento, questo non elimina l’oggetto.
Fare clic con il pulsante destro del mouse su Oggetti Criteri di gruppo e fare clic su Nuovo 1.
Assegnare al criterio di gruppo il nome 1 in base a una convenzione di denominazione e fare clic sul pulsante OK 2 per crearlo.
L’oggetto GPO è stato creato, fare clic con il pulsante destro del mouse su di esso e fare clic su Modifica 1.
Descrivi la strategia del gruppo
Nella sezione sulle cattive pratiche ho parlato della mancanza di descrizione e commento sulle strategie di gruppo; ecco come scrivere un commento su un GPO.
Dall’editor, selezionando la strategia nel pannello di navigazione, cliccare su Azione 1 poi su Proprietà 2.
Nella scheda Commento 1, hai accesso al campo Commento 2 che ti consente di commentare il GPO, magari per gestirne la cronologia indicando data – autore: modifica…
Commento sulle impostazioni
Supponiamo che io voglia configurare l’impostazione: Disattiva l’antivirus Microsoft Defender.
Oltre a configurare l’impostazione, usa il campo commento 1 per spiegarne il motivo. Per tenere traccia anche delle modifiche, indica l’autore e la data.
Panoramica dell’oggetto Criteri di gruppo
In questa fase viene creato il criterio di gruppo, non è ancora attivo; dalla console Gestione Criteri di gruppo è possibile visualizzare i commenti del GPO e le impostazioni.
Crea un gruppo per rifiutare la strategia di gruppo
In alcuni casi specifici, potrebbe essere necessario bloccare un’applicazione su un computer o per un utente. Per prevenire questa eventualità, è possibile creare un gruppo che consenta il blocco dell’applicazione.
Crea un gruppo con un nome che renda semplice collegare la strategia del gruppo al gruppo stesso e che consenta anche di sapere se è opportuno applicarla o rifiutarla.
Successivamente, dalla console Gestione Criteri di gruppo, nell’oggetto Criteri di gruppo nelle impostazioni di delega, aggiungere un'”autorizzazione” per il gruppo che consente la lettura dei criteri e anche il rifiuto dell’applicazione dei criteri di gruppo.
Testare la strategia di gruppo
Prima di implementare i criteri di gruppo, è consigliabile testarli su diversi computer/utenti rappresentativi del proprio ambiente.
Per iniziare, collega il criterio a un’unità organizzativa di prova: per farlo, fai clic con il pulsante destro del mouse su di esso e quindi fai clic su Collega un oggetto Criteri di gruppo esistente 1.
Selezionare l’oggetto 1 e fare clic su OK 2.
La strategia di gruppo è collegata all’unità organizzativa Test.
Convalidare il corretto funzionamento della strategia di gruppo nella parte di test.
Mettere in produzione la strategia del gruppo
Una volta convalidato tutto, collega la strategia in modo che si applichi al tuo target e rimuovi il collegamento sull’OU di test.
Creare un oggetto Criteri di gruppo (GPO) con PowerShell
Se lo si desidera, è possibile utilizzare PowerShell per creare i criteri di gruppo con il cmdlet. New-Gpo e per creare il gruppo AD con il cmdlet Get-ADGroup.
Per risparmiare tempo, ecco uno script che puoi utilizzare, che creerà il criterio di gruppo, il gruppo Active Directory locale e posizionerà le autorizzazioni del gruppo sul criterio di gruppo.
Ricordati solo di cambiare la variabile $oPercorso indicando il DN dell’UO in cui collochi i gruppi.
Import-Module ActiveDirectory
Import-Module GroupPolicy
# Variables
$ouPath = "OU=GPO,OU=Groupes,OU=Lab,DC=lab,DC=lan"
# Demande interactive
$gpoName = Read-Host "Nom de la GPO a creer"
$comment = Read-Host "Commentaire pour la GPO"
$groupName = Read-Host "Nom du groupe AD (etendu local) a exclure"
# Domaine et NetBIOS
$domain = Get-ADDomain
$domainDN = $domain.DistinguishedName
$domainNetBIOS = $domain.NetBIOSName
# Creation groupe si absent
if (-not (Get-ADGroup -Filter "Name -eq '$groupName'" -SearchBase $ouPath -ErrorAction SilentlyContinue)) {
New-ADGroup -Name $groupName `
-SamAccountName $groupName `
-GroupScope DomainLocal `
-GroupCategory Security `
-Path $ouPath `
-ErrorAction Stop
Write-Host "Groupe '$groupName' cree dans '$ouPath'."
} else {
Write-Host "Groupe '$groupName' deja existant."
}
# Creation GPO
$gpo = New-GPO -Name $gpoName -Comment $comment -ErrorAction Stop
Write-Host "GPO '$gpoName' creee."
# Attribution permission lecture sur la GPO
Set-GPPermissions -Name $gpoName -TargetName $groupName -TargetType Group -PermissionLevel GpoRead
Write-Host "Permission lecture accordee au groupe '$groupName' sur la GPO."
# Attente pour replication AD
Start-Sleep -Seconds 10
# Récupération GUID GPO avec accolades, en majuscules
#$gpoGuid = $gpo.Id.Guid.ToString("B").ToUpper()
$gpoGuid = ("{0:B}" -f [Guid]$gpo.Id)
# Construction chemin LDAP GPO
$ldapPath = "LDAP://CN=$gpoGuid,CN=Policies,CN=System,$domainDN"
# Recuperation objet GPO ADSI
$adgpo = [ADSI]$ldapPath
# GUID du droit "Apply Group Policy"
$applyGpoGuid = [Guid]::Parse('edacfd8f-ffb3-11d1-b41d-00a0c968f939')
# Creation regle de refus Apply Group Policy
$rule = New-Object System.DirectoryServices.ActiveDirectoryAccessRule (
[System.Security.Principal.NTAccount]"$domainNetBIOS\$groupName",
'ExtendedRight',
'Deny',
$applyGpoGuid
)
# Recuperation ACLs existantes
$acl = $adgpo.ObjectSecurity
# Ajout regle de refus
$acl.AddAccessRule($rule)
# Application des modifications
$adgpo.ObjectSecurity = $acl
$adgpo.CommitChanges()
Write-Host "Refus explicite 'Apply Group Policy' ajoute pour '$domainNetBIOS\$groupName' sur la GPO '$gpoName'."Conclusione
In questo articolo abbiamo esaminato le best practice per l’implementazione di strategie di gruppo in un ambiente Active Directory.
