Usare l'editor Criteri di Gruppo locali di Windows (gpedit.msc)
Aggiornato il:
Cosa si può fare dall'Editor dei Criteri di gruppo locali di Windows (Gpedit.msc), il centro di tutte le impostazioni di sistema
Nella lezione di oggi andiamo a vedere come utilizzare l'editor Criteri di gruppo locali, una sezione nascosta e molto piena di Windows da cui è possibile fare tante modifiche al PC che altrimenti sarebbe possibile solo modificando le più complicate chiavi di registro. L'editor Criteri di gruppo è disponibile solo nelle versioni Pro di Windows 10, Windows 11, Windows 7 e 8.1, ed è invece assente nelle versioni Home e Premium.Si può comunque scaricare e installare gpedit.msc in Windows Home.
In generale non c'è alcun motivo di andare a toccare questi criteri di gruppo su un pc d'uso casalingo, ma è comunque importante conoscere come accedervi e cosa si può fare per non rimanere impreparati nel caso venga richiesta una modifica. Per esempio, i criteri di gruppo sono utili per configurare la sicurezza in una rete aziendale in modo da bloccare su tutti i computer alcune modifiche o impedire a chi li usa di eseguire software non approvati.
Aprire i criteri di gruppo locali
Per aprire l'editor dei criteri di gruppo su Windows bisogna aprire una finestra Esegui premendo tasti Windows-R e poi scrivere ed eseguire il comando gpedit.msc .La finestra che si apre è simile a ogni altro strumento di amministrazione, con un albero gerarchico di cartelle che contengono ciascuna tante impostazioni. Le impostazioni sono veramente tante, ma comunque descritte in modo dettagliato.
Le cartelle principali sono due: Configurazione computer, con impostazioni che influenzano il comportamento del sistema per tutti gli utenti e Configurazione utente, per cambiare il comportamento di Windows in base all'utente che lo utilizza.
Sotto le due cartelle principali si trovano tre sezioni:
- Impostazioni software, dove creare nuove configurazioni personalizzate.
- Impostazioni di Windows è una cartella che contiene impostazioni di sicurezza e script avvio / arresto.
- Modelli amministrativi, con le configurazioni basate sul Registro di sistema che è la parte su cui è più facile intervenire, con tantissime opzioni disponibili.
Impostazioni di Sicurezza
Per fare un esempio di quello che si può fare per restringere la sicurezza del computer a livello utente, andare in Configurazione Utente -> Modelli amministrativi -> Sistema e fare doppio click sull'impostazione "Impedire l'accesso al prompt dei comandi".
Dalla finestra che si apre si potrà attivare il controllo e poi premere Applica per bloccare l'accesso al prompt dei comandi per tutti gli utenti del PC.
Un'altra opzione nella stessa cartella consente di creare scegliere quali programmi si possono aprire sul computer. Fare doppio click su "Esegui solo applicazioni Windows specificate", abilitare e poi indicare quali programmi consentire. Tutto il resto viene ora bloccato.
Sotto Configurazione computer -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> cartella Opzioni di sicurezza si troveranno molte impostazioni utili a rendere il computer un po' più protetto da intrusioni esterne, se si vuole.
Per esempio si può rinominare l'account Amministratore e l'account Guest e si può scegliere di attivare la richiesta di credenziali al "Controllo account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori" per chiedere di inserire la password ogni volta che si tenta di eseguire qualcosa in modalità amministratore. Con questa opzione Windows diventa più sicuro e simile a Linux e Mac, in cui viene chiesto di fornire la password ogni volta che si deve fare un cambiamento.
Con controllo account utente: eleva solo file eseguibili firmati e convalidati si vieta alle applicazioni che non sono firmate digitalmente l'esecuzione come amministratore.
Console di ripristino, consenti accesso di amministrazione automatico per non avere richieste di password quando si utilizza la console di ripristino per eseguire operazioni di sistema.
Come si noterà, c'è un numero enorme di impostazioni nell'editor Criteri di gruppo, quindi, per curiosità, vale sicuramente la pena spendere un po' di tempo a guardarle. La maggior parte delle impostazioni consentono di disattivare funzionalità di Windows che non si vogliono usare.
Vale la pena notare che molte delle politiche nella lista non si applicano a tutte le versioni di Windows, alcune valgono solo per versioni server, altre solo per versioni Pro.
Ancora un altro esempio di quello che si può fare solo usando l'editor Criteri di gruppo è la creazione di uno script che si esegue dopo una disconnessione o dopo l'arresto, ogni volta che si riavvia il PC.
Questo può essere utile per ripulire il sistema o fare un rapido backup di alcuni file ogni volta che si spegne il computer, ed è possibile utilizzare i file batch o anche script PowerShell per entrambi.
L'unica avvertenza è che questi script devono essere eseguiti in background os verrebbe bloccato il processo di disconnessione.
Ci sono due diversi tipi di script che è possibile eseguire.
Script di avvio / arresto in Configurazione computer -> Impostazioni di Windows -> Script e verrà eseguito con l'account di sistema locale, in modo che possano manipolare i file di sistema, ma non sarà in esecuzione come account utente.
Script di accesso / disconnessione in Configurazione utente -> Impostazioni di Windows -> Script.
Gli script di accesso e disconnessione non consentono di eseguire comandi che richiedono l'accesso come amministratore se non c'è UAC completamente disattivato.
Vale la pena notare che le stesse operazioni possono essere pianificate nell'utilità di pianificazione, uno degli strumenti di amministrazione nel Pannello di Controllo, molto più facile da usare.
L'editor Criteri di gruppo è talmente ricco che sarà impossibile trovare una guida completa ed esaustiva su cosa è meglio modificare.
In altri articoli li ho chiamati in causa relativamente a:
- Come disattivare Onedrive in Windows 10 e 11 (o nasconderlo)
- Attivare Bitlocker su Windows 7
- Disattivare il Controllo UAC in Windows 10 e 11
Posta un commento