Group Policy – Computer Configuration e User Configuration

  • Article

Ciao a tutti!

La creazione di una policy a volte non è cosa semplice, e una volta creata, potrebbe non essere nemmeno semplice decidere dove collegarla.

Ogni modello di policy definisce due sezioni:

  • Computer Configuration = Policy per le impostazioni computer
  • User Configuration = Policy per le impostazioni utente

Alla partenza del computer sono applicate solo le impostazioni computer delle policy che interessano il computer account.
Successivamente al logon dell'utente verranno applicate solo le impostazioni utenti delle policy che interessano l'account utente.
Per i dettagli su come sono scelte le policy vi rimando al mio post "Group Policy: Applicazione e verifica tramite UserEnv.log".

Questo per spiegare che quando si definisce una policy che contiene impostazione per un oggetto, Computer o User, la policy deve essere collegata all'unità organizzativa dove l'oggetto risiede o lungo il percorso che lo contiene.
E' facile confondersi creando magari una policy con alcune impostazioni computer e poi collegare la policy ad una unità organizzativa dove c'è solo l'utente.

Il risultato è che l'utente a cui è collegata la policy, non ha applicate le impostazioni computer specificate.
In pratica: non si possono applicare ad un computer le impostazioni computer di una policy collegata ad una unità organizzativa dove c'è solo l'utente.

Perché?

Beh... semplicemente perché dato che le policy computer sono applicate prima che un utente effettui il logon, non è possibile sapere a priori quale utente userà il computer, e quindi leggere le sue policy!

Risulta invece realizzabile il contrario ovvero è possibile che all'utente siano applicate le policy collegate all'unità organizzativa dove risiede solo il computer account.

Questa funzionalità si chiama "Group Policy LoopBack".

Essa imposta la logica di raccolta delle policy assegnate all'utente in maniera differente.
E’ possibile specificare se le impostazioni utente delle policy indicate nell'unità organizzativa del computer dovranno:

  • Unirsi, quindi vengono raccolte sia le policy nell'unità organizzativa del computer che quelle nell'unità organizzativa dell'utente, o
  • Sostituirsi, quindi solo le policy contenute nell'unità organizzativa del computer

a quelle contenute nell'unità organizzativa dove risiede l'utente.

Maggiori informazioni sono disponibili nel seguente articolo:
KB 231287 - Loopback processing of Group Policy

Alla prossima!

Domenico Costa
Senior Support Engineer
Microsoft Enterprise Platform Support