Come creare policy di restrizione software per utenti Active Directory

Qualche tempo fa abbiamo parlato di restirizioni dei siti web e come farle rispettare senza utilizzare un proxy. Ora vedremo come impedire agli utenti di un Active Directory Domain Services di utilizzare specifiche applicazioni.

Può sembrare strano, ma è più semplice limitare l’uso di software piuttosto che di siti web. Dovrete solo accedere al domain controller e seguire questi passi.

Aprite il Server Manager e lanciate Group Policy Management:

Software Restriction policy for AD Domain Users

Create una nuova Group Policy Object:

Software Restriction policy for AD Domain Users

Assegnate un nome alla nuova GPO:

Software Restriction policy for AD Domain Users

Editate il Computer Configuration:

Software Restriction policy for AD Domain Users

Troverete le Software Restriction Policies nel percorso Computer Configuration –> Windows Settings –> Security Settings. Create una New Software Restriction Policies:

Software Restriction policy for AD Domain Users

Sotto Security Levels potrete configurare i permessi di esecuzione del software predefinito per il gruppo desiderato.

Unrestricted (impostazione di default) non limita l’esecuzione del software, mentre Basic User consente solo l’esecuzione di applicazioni che non necessitano di diritti di Amministratore. Disallowed proibisce l’esecuzione del software.

Cliccando col tasto destro è possibile impostare una nuova configurazione di default:

Software Restriction policy for AD Domain Users

Le regole addizionali sono molto importanti per limitare l’utilizzo delle applicazioni. Queste regole sostituiscono le impostazioni di default, così potete restringere tutte le applicazioni e creare regole specifiche per permettere l’esecuzione solo di alcune oppure potete consentire l’esecuzione di tutte le applicazioni di default e limitare le poche che non si desiderano.

Suggeriamo di utilizzare la Path Rule, per limitare o consentire l’esecuzione di file con un percorso specifico:

Software Restriction policy for AD Domain Users

In questo esempio consentiremo l’esecuzione senza restrizioni per Mozilla Firefox.

Possiamo usare il parametro %UserProfile% per creare percorsi dinamici e limitare le applicazioni installate nelle cartelle utente:

Software Restriction policy for AD Domain Users

La vostra policy è pronta. Copiate e incollate nel gruppo di distribuzione

Software Restriction policy for AD Domain Users

La policy verrà applicata:

Software Restriction policy for AD Domain Users

Comments