Come creare policy di restrizione software per utenti Active Directory

Qualche tempo fa abbiamo parlato di restirizioni dei siti web e come farle rispettare senza utilizzare un proxy. Ora vedremo come impedire agli utenti di un Active Directory Domain Services di utilizzare specifiche applicazioni.

Può sembrare strano, ma è più semplice limitare l’uso di software piuttosto che di siti web. Dovrete solo accedere al domain controller e seguire questi passi.

Aprite il Server Manager e lanciate Group Policy Management:

Create una nuova Group Policy Object:

Assegnate un nome alla nuova GPO:

Editate il Computer Configuration:

Troverete le Software Restriction Policies nel percorso Computer Configuration –> Windows Settings –> Security Settings. Create una New Software Restriction Policies:

Sotto Security Levels potrete configurare i permessi di esecuzione del software predefinito per il gruppo desiderato.

Unrestricted (impostazione di default) non limita l’esecuzione del software, mentre Basic User consente solo l’esecuzione di applicazioni che non necessitano di diritti di Amministratore. Disallowed proibisce l’esecuzione del software.

Cliccando col tasto destro è possibile impostare una nuova configurazione di default:

Le regole addizionali sono molto importanti per limitare l’utilizzo delle applicazioni. Queste regole sostituiscono le impostazioni di default, cosà¬ potete restringere tutte le applicazioni e creare regole specifiche per permettere l’esecuzione solo di alcune oppure potete consentire l’esecuzione di tutte le applicazioni di default e limitare le poche che non si desiderano.

Suggeriamo di utilizzare la Path Rule, per limitare o consentire l’esecuzione di file con un percorso specifico: