Windows Server 2022: Installare software tramite i Criteri di gruppo (GPO)

L'area delle impostazioni del software nei Criteri di gruppo consente di installare il software sui sistemi a cui è applicata la GPO. Si può utilizzare per distribuire il software a un particolare gruppo di sistemi o a tutti i sistemi nel loro complesso.

Per l'installazione di un software tramite GPO bisogna predisporre il file di installazione in formato MSI (Microsoft Installer). Non tutti i software sono disponibili in tale formato e non tutti gli MSI supportano l'installazione tramite GPO. Il software che si desidera distribuire, inoltre, deve trovarsi in una cartella condivisa accessibile ai sistemi a cui si desidera distribuirlo. I sistemi devono avere il permesso di accedere alla cartella condivisa e al suo contenuto.

Di seguito verrà mostrato come installare, tramite i criteri di gruppo, il browser Google Chrome su tutti i computer appartenenti al dominio.

Predisposizione file di installazione del software

Come cartella condivisa utilizzeremo la cartella \\SERVERDC2\Cartella condivisa creata nell'articolo Windows Server 2022: Mappare automaticamente una cartella condivisa.

Prima di proseguire, dobbiamo rendere la cartella accessibile dai computer del dominio. Cliccare, con il tasto destro del mouse, sulla cartella condivisa e selezionare Proprietà dal menu contestuale. Selezionare la scheda Condivisione quindi cliccare sul pulsante Condivisione avanzata.

FIG 1 - Cartella condivisa, Condivisione avanzata

Cliccare sul pulsante Autorizzazioni.

FIG 2 - Cartella condivisa, Autorizzazioni

Selezionare il gruppo Domain Users e assicurarsi che sia impostato il controllo completo quindi cliccare sul pulsante Aggiungi.

FIG 3 - Aggiungi autorizzazioni per cartella condivisa

Nella casella Immettere i nomi degli oggetti da selezionare, digitare Computer del dominio quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.

FIG 4 - Seleziona Utenti, Computer, Account servizio o Gruppi

Selezionare il gruppo Computer del dominio e fornire anche a tale gruppo il controllo completo ponendo il flag sulla relativa casella. Cliccare su OK quindi nuovamente su OK nelle finestra Condivisione avanzata e in fine su Chiudi.

FIG 5 - Computer del dominio, controllo completo su cartella condivisa

Scaricare la versione di Chrome per le aziende dal link https://cloud.google.com/chrome-enterprise/browser/download. Tale versione supporta l'installazione tramite Criteri di gruppo. Disponendo di computer con sistema operativo a 64 bit scaricare Chrome per Windows a 64 bit.

FIG 6 - Google Chrome per le aziende

Copiare il file zip scaricato precedentemente nella cartella \\SERVERDC2\Cartella condivisa. Scompattare il file contenente i file di installazione di Chrome all'interno della cartella (cliccarci su con il tasto destro del mouse e selezionare estrai tutto e successivamente sul pulsante Estrai). 

FIG 7 - Estrai file ZIP

Creazione Filtri WMI

In un ambiente operativo reale è improbabile trovare uniformità assoluta tra le macchine appartenenti al dominio poiché possono essere presenti diversi modelli di computer, versioni di sistema operativo e architetture hardware. Le configurazioni hardware e software dei computer possono variare notevolmente pertanto risulta essenziale condurre una verifica accurata della compatibilità del software prima di procedere con l'installazione tramite le GPO (Group Policy Objects). Inoltre, è fondamentale adattare le procedure di distribuzione del software in base alle specifiche di ciascun sistema e questo può essere eseguito tramite i filtri WMI (Windows Management Instrumentation).  

I filtri WMI consentono di rilevare dinamicamente l'ambito degli oggetti Group Policy (GPO) in base agli attributi del computer target. In questo modo è possibile garantire che un criterio di gruppo venga applicato solo ai dispositivi che rispettino le condizioni specificate (ad es. una particolare versione del sistema operativo, o una determinata configurazione hardware). In teoria sarebbe possibile creare un gruppo di appartenenza separato per ogni GPO contenente computer con le medesime caratteristiche ma ciò comporterebbe un maggior lavoro di gestione dei gruppi. Meglio lasciare che i filtri WMI assicurino automaticamente l'applicazione del criterio di gruppo corretto ad ogni dispositivo. I filtri WMI vengono creati tramite l'utilizzo del linguaggio SQL (Structured Query Language): un linguaggio standardizzato per database basati sul modello relazionale (RDBMS).

Ad esempio per filtrare i computer con sistema operativo Windows 11 il filtro sarà il seguente

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.0.2%" AND ProductType="1"

I valori di ProductType possono essere i seguenti

1 = Windows per PC/Workstation

2 = Windows Server (Domain Controller)

3 = Windows Server (Non Domain Controller)

I valori di Version possono essere

5.1    = Windows XP

5.2    = Windows Server 2003

5.2.3 = Windows Server 2003 R2

6.0    = Windows Vista e Windows Server 2008

6.1    = Windows 7 e Windows Server 2008 R2

6.2    = Windows 8 e Windows Server 2012

6.3    = Windows 8.1 e Windows Server 2012 R2

10.0.1  = Windows 10 e Windows Server 2016 E 2019

10.0.2  = Windows 11 e Windows Server 2022

Dal seguente link è possibile scaricare esempi di filtri WMI

DOWNLOAD

Nei seguenti passaggi verrà mostrato come creare il filtro per installare il software solo su workstation con sistema operativo Windows 11.

Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.

FIG 8 - Server Manager

Cliccare, con il tasto destro del mouse, su Filtri WMI e selezionare Nuovo.

FIG 9 - Nuovo filtro WMI

Nel campo Nome inserire il nome da assegnare al filtro (ad es. Windows 11). Nel campo Descrizione è possibile inserire una breve descrizione del filtro. Cliccare sul pulsante Aggiungi.

FIG 10 - Nuovo filtro WMI, Nome

Nella casella Query digitare 

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.0.2%" AND ProductType="1"

quindi cliccare su OK.

FIG 11 - Query WMI

Cliccare su Salva.

FIG 12 -  Nuovo filtro WMI, Salva

Adesso possiamo procedere alla creazione del criterio di gruppo.

Creazione Criterio di gruppo per l'installazione di Google Chrome

Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.

FIG 13 - Server Manager

Cliccare, con il tasto destro del mouse, sul dominio mycompany.local e selezionare Crea un oggetto Criteri di gruppo in questo domino e crea qui un collegamento. 

FIG 14 - Crea un oggetto Criteri di gruppo

Assegnare il nome al nuovo criterio di gruppo (ad es. GPO_ChromeSetup) e cliccare su OK.

FIG 15 - Nome nuovo oggetto di Criteri di gruppo

Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare Modifica. Nella finestra Editor Gestione Criteri di gruppo posizionarsi su Configurazione computer->Criteri->Impostazioni del software->Installazione software. Sul lato destro della finestra cliccare con il tasto destro in uno spazio vuoto. Dal menu contestuale selezionare Nuovo quindi Pacchetto.

FIG 16  - GPO Installazione software, Nuovo Pacchetto

Digitare il percorso della cartella condivisa \\ServerDC2\Cartella condivisa\GoogleChromeEnterpriseBundle64\Installers quindi il selezionare il file MSI da installare GoogleChromeStandaloneEnterprise64 e cliccare su Apri.

FIG 17 - Selezione file MSI

Nella schermata successiva selezionare l'opzione Assegnata per distribuire l'applicazione senza alcuna modifica e cliccare su OK.

FIG 18 - Distribuisci applicazione

Chiudere la finestra Editor Gestione Criteri di gruppo. Selezionare nuovamente il criterio di gruppo appena creato. Nella sezione Filtri di sicurezza cliccare sul pulsante Aggiungi.

FIG 19 - GPO Filtri di sicurezza

Nella casella Immettere i nomi degli oggetti da selezionare, digitare Computer del dominio quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.

FIG 20 - Filtri di sicurezza, Computer del dominio

Nella sezione Filtri WMI selezionare il filtro creato in precedenza (chiamato Windows 11).

FIG 21 - Selezione Filtro WMI

Nella finestra di dialogo successiva, confermare la modifica cliccando su Si.

FIG 22 - Conferma applicazione filtro WMI

Eseguiamo il logon su una postazione del dominio con sistema operativo Windows 11 e noteremo che Google Chrome è stato installato.

FIG 23 - Chrome installato tramite GPO su Windows 11

Windows Server 2022: Editor Criteri di gruppo e Default Domain Policy (criterio di dominio predefinito)

La gestione dei Criteri di gruppo è disponibile sul server stesso, a condizione che siano stati installati gli strumenti di gestione. È disponibile anche attraverso gli Strumenti di amministrazione remota del server (RSAT), in modo da poter gestire i Criteri di gruppo dai client Windows.

Per la gestione dei criteri di gruppo, cliccare sul menu Strumenti di Server Manager e selezionare Gestione Criteri di gruppo (Group policy management). In alternativa premere la combinazione di tasti WIN+R, digitare  gpmc.msc seguito da invio.

FIG 1 - Server Manager

Quando si avvia per la prima volta lo snap-in Gestione Criteri di gruppo, viene visualizzata una voce per la foresta di Active Directory in cui ci si trova.

FIG 2 - Gestione Criteri di gruppo

Eseguire un doppio click del mouse sulla foresta per espanderla e posizionarsi su Foresta: mycomapny.local->Domini->mycompany.local. 

FIG 3 - Gestione Criteri di gruppo, Dominio

In un ambiente Active Directory da poco installato è presente un Default Domain Policy (criterio di dominio predefinito) collegato al livello di dominio. Il Default Domain Policy è in genere il luogo in cui si impostano gli elementi da applicare a tutti gli utenti, come le password e altre impostazioni di sicurezza. 

In FIG 4 si può notare che il Default Domain Policy è applicato a tutti gli utenti del gruppo Authenticated Users (Utenti autenticati), come si evince dalla presenza di questo gruppo nella sezione Filtro di sicurezza.

FIG 4 - Default Domain Policy

Per modificare una GPO basterà cliccarci su con il tasto destro del mouse e selezionare modifica dal menu contestuale. Verrà avviato l'Editor di gestione dei Criteri di gruppo e da qui si potranno apportare le modifiche.

FIG 5 - Editor Gestione Criteri di gruppo

Windows Server 2022: Introduzione alle Group Policy (GPO)

In aziende medio-grandi, la modifica manuale delle impostazioni sui singoli computer diventa un compito impossibile. È qui che entrano in gioco le Group Policy (Criteri di gruppo).

I Criteri di gruppo consentono di creare un criterio e di indirizzarlo agli utenti o ai sistemi all'interno di unità organizzative (OU), gruppi di sicurezza o persino su base individuale. 

Le Group Policy sono un insieme di regole che controllano l'ambiente di lavoro degli utenti e dei computer fornendo una gestione centralizzata e consentendo la configurazione dei sistemi operativi, impostazioni degli utenti e applicazioni in un ambiente Active Directory. In pratica le Group Policy stabiliscono, in parte, cosa l'utente può e non può fare su un computer del dominio e possono essere utilizzate, ad esempio, per bloccare l'accesso al pannello di controllo/gestione attività, impedire/autorizzare l'accesso a cartelle condivise, disabilitare il download di file eseguibili, consentire l'installazione automatica di software, implementare restrizioni su quote disco, sulla lunghezza della password, gestire le impostazioni di BitLocker e tanto altro. Le Group policy vengono gestite tramite lo strumento Gestione Criteri di gruppo (Group Policy Management Console o GPMC) e create/modificate tramite l'Editor Gestione Criteri di gruppo (Group Policy Management Editor o GPME).

Prima di mostrare come creare le Group Policy è bene chiarire e approfondire alcuni concetti basilari.

Le Group Policy vengono configurate e distribuite dagli amministratori di dominio mediante la creazione di oggetti Criteri di gruppo (Group Policy Object o GPO). Gli oggetti Criteri di gruppo sono container per gruppi di impostazioni (policy settings) che possono essere applicate agli account utente, agli account computer o ad entrambi attraverso Active Directory. Tali oggetti vengono creati utilizzando l'Editor Gestione Criteri di gruppo (GPME) che viene invocato quando si modifica un GPO all'interno dello strumento Gestione Criteri di gruppo (GPMC). 

Contrariamente a quanto possa far credere il nome, gli oggetti Criteri di gruppo non sono affatto orientati al gruppo: non è possibile applicarli direttamente ai gruppi. Possono essere applicati a livello locale, a siti, ai domini e alle OU (Microsoft li abbrevia con LSDOU: Locale, Sito, Dominio, OU) all'interno di una data foresta. 

Le Group Policy applicano le impostazioni nel seguente ordine prestabilito:

1. Criteri locali (impostati da gpedit.msc)
2. Criteri del sito
3. Criteri di dominio
4. Criteri delle OU

Si tratta di un approccio all'elaborazione dall'alto verso il basso: dopo l'applicazione dei criteri locali, le GPO del sito sono le più ampie, seguite dalle GPO del dominio e quindi dalle GPO dell'OU. La maggior parte degli amministratori di sistema ha esperienza nella gestione delle GPO a livello di dominio e OU. Un problema comune che si verifica è quando un amministratore di sistema apporta una modifica a un criterio a livello di dominio, ma la modifica non sembra essere applicata. La causa più comune è un criterio a livello di OU che sovrascrive l'impostazione del criterio di dominio.

L'assegnazione delle policy viene anche chiamata linking. Il rapporto tra GPO e LSDOU può essere del tipo molti a uno (ad es. più GPO assegnati ad un sola OU) o di uno a molti (ad es. una sola GPO assegnata a più OU). Quando viene assegnato un oggetto Group Policy ad un'unità organizzativa questo agisce su tutti gli account in essa contenuti e sulle OU sottostanti.  

Affermare che i Criteri di Gruppo/GPO vengono memorizzati all'interno di Active Directory non è del tutto corretto. Gli oggetti Criteri di gruppo vengono memorizzati in due posti distinti: all'interno di un container di Group Policy (Group Policy Container o GPC) e all'interno di un Group Policy Template (GPT). Il GPC è memorizzato all'interno del database Active Directory e contiene informazioni sulla proprietà, versione, stato e una lista dei componenti. Il GPT, invece, viene conservato all'interno della cartella Windows\SYSVOL\sysvol\<Nome del dominio>\Policies\GUID\ dove GUID rappresenta il Global Unique Identifier dell'oggetto Criteri di gruppo. Tale cartella contiene impostazioni amministrative, impostazioni di sicurezza, informazioni sulle applicazioni disponibili, impostazioni del registro di sistema, script e altro.

Anche se una Group Policy può contenere numerose impostazioni è buona norma configurarne solo un numero ristretto. Le Group Policy sono cumulative e supportano l'ereditarietà (possono essere ereditate dai container superiori in Active Directory). Le policy vengono applicate in background. Generalmente il computer effettua un refresh delle policy ogni 90 minuti ma è possibile forzarne la sincronizzazione tramite il comando gpupdate /force dal Prompt dei comandi. I domain controller, a differenza dei normali computer, eseguono il refresh delle Group Policy ogni 5 minuti. Un eccezione alla regola viene fatta per le policy che includono il reindirizzamento di cartelle, l'installazione del software, l'applicazione di script, impostazioni Stampanti e dischi di rete mappati. Tali policy, infatti, vengono applicate solo al logon dell'utente (per gli account utente) o all'avvio del sistema (per gli account computer).

Le Group Policy vengono replicate automaticamente. L'Active Directory viene replicato utilizzando AD Replication (controllato da Knowledge Consistency Checker e Intersite Topology Generator) ed è controllato dal servizio File Replication o dal servizio Distributed File Replication.

Le impostazioni specificate all'interno di un oggetto Group Policy vengono scritte all'interno del registro di sistema e vengono eliminate quando l'impostazione della policy viene eliminata o l'oggetto Group Policy viene cancellato. Tale comportamento previene l'effetto "tattooing", un tempo presente, che costringeva gli amministratori a creare un nuovo GPO per annullare le impostazioni di un GPO cancellato. 

Nell'Editor Gestione Criteri di gruppo le impostazioni, sia per il computer che per l'utente, possono essere configurate con Criteri e Preferenze. Le principali differenze tra i due tipi di configurazioni sono riportate nella seguente tabella.

Criteri	Preferenze
Quando un criterio dei Criteri di gruppo non è più applicabile, l'impostazione viene rimossa e viene ripristinato il valore originale.	Quando una preferenza dei Criteri di gruppo non è più applicabile, l'impostazione rimane nel registro.
Quando un criterio dei Criteri di gruppo è impostato su un determinato valore per un'applicazione, quest'ultima utilizza il valore impostato dal criterio. Se il criterio viene rimosso, l'applicazione utilizzerà il valore originale.	Quando una preferenza dei Criteri di gruppo è impostata su un determinato valore per un'applicazione, sovrascrive il valore predefinito dell'applicazione. Se la preferenza viene rimossa, il valore dell'applicazione rimane invariato.
Quando un criterio dei Criteri di gruppo viene utilizzato per applicare le impostazioni, gli utenti visualizzano opzioni in grigio per informarli che l'impostazione è gestita dai loro amministratori.	Quando una preferenza dei Criteri di gruppo viene utilizzata per applicare le impostazioni, gli utenti possono modificarle manualmente. Criteri di gruppo non riapplicherà il valore configurato dopo la prima applicazione.

FIG 1 - Editor Gestione Criteri di gruppo

Fin dal rilascio di Windows Server 2000, le Group Policy hanno permesso agli amministratori di rete di poter configurare in maniera centralizzata i computer della propria organizzazione. Tuttavia esiste un modo più recente di configurare i sistemi: PowerShell Desired State Configuration (DSC).

Per evitare conflitti tra i due metodi, i Criteri di gruppo e PowerShell DSC non devono essere utilizzati contemporaneamente per settare impostazioni sugli stessi sistemi. In un ambiente aziendale che utilizza già i Criteri di gruppo,  è consigliabile proseguire con tale metodo. Se, invece, si sta configurando un ambiente da zero, allora PowerShell DSC potrebbe essere la scelta migliore. 

Nei prossimi articoli approfondirò il discorso sui Criteri di gruppo mentre Powershell DSC è un argomento che tratterò più avanti.

Windows Server 2019: Attivare log per installazione software tramite Group Policy

Nell'articolo Windows Server 2019: Installare software tramite i Criteri di gruppo (GPO) abbiamo visto come sia possibile installare software tramite l'utilizzo dei Criteri di gruppo. Purtroppo non sempre le installazioni vanno a buon fine e in questi casi è bene disporre del maggior numero di informazioni possibili per risalire alla causa del problema. Nelle prossime righe verrà mostrato come attivare il log di Windows Installer che ci fornirà maggiori dettagli nel caso in cui l'installazione di un software fallisse.

Attivazione Log Windows Installar tramite Criteri di gruppo

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 1 - Server Manager

  
  
• Il Criterio di gruppo che andremo a creare agirà su tutte i computer appartenenti al dominio. Cliccare, con il tasto destro del mouse, sul dominio mycompany.local e selezionare Crea un oggetto Criteri di gruppo in questo domino e crea qui un collegamento.
  

  

  FIG 2 - Gestione Criteri di gruppo

  
  
• Assegnare il nome al nuovo criterio di gruppo (ad es. GPO_LogWindowsInstaller) e cliccare su OK.
  

  

  FIG 3 - Nuovo oggetto Criteri di gruppo

  
  
• Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare Modifica.
  

  

  FIG 4 - Modifica GPO

  
  
• Posizionarsi su Configurazione computer -> Modelli amministrativi -> Componenti di Windows -> Windows Installer. Aprire il criterio Specifica i tipi di eventi registrati nel registro delle transazioni di Windows Installer eseguendo un doppio click del mouse.
  
  

  

  FIG 5 - GPO Windows Installer

  
  
• Tramite questo criterio è possibile specificare i tipi di eventi che si desidera registrare. Per indicare che un tipo di evento è da registrare basta digitare la lettera che rappresenta il tipo di evento nell'apposita casella. È possibile digitare le lettere in qualsiasi ordine e aggiungere all'elenco tutti i tipi di eventi desiderati. Gli eventi registrabili sono rappresentati dalle seguenti lettere:
  i - Messaggi di stato
  w - Avvisi di errori non gravi
  e - Tutti i messaggi di errore
  a - Avvio di azioni
  r - Record specifici di azioni
  u - Richieste utente
  c - Parametri interfaccia utente iniziali
  m - Memoria insufficiente
  p - Proprietà terminale
  v - Output dettagliato
  o - Messaggi di spazio su disco insufficiente
  x - Informazioni di debug aggiuntive
  Inserendo nell'apposita caselle tutte le lettere (iwearucmpvox), registreremo ogni cosa ma l'installazione sarà molto rallentata. Selezionare l'opzione Attivata e nell'apposita casella specificare le lettere degli eventi che si desidera registrare quindi cliccare su OK.
  
  

  

  FIG 6 - Specifica i tipi di eventi nel registro delle transazioni di Windows Installer

  
  

Il file di Log dell'installazione verrà generato in %WinDir%\Temp con il nome MsiXXXX.log (dove XXXX sono 4 caratteri alfanumerici). Una volta terminata l'analisi dei log e risolto il problema di installazione è consigliabile disattivare il criterio di gruppo per evitare rallentamenti e spreco di spazio su disco.

Attivazione Log Windows Installar tramite registro di sistema

Per l'attivazione del Log di Windows Installer tramite il registro di sistema basta creare, all'interno della chiave di registro

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer

il valore Logging di tipo Reg_SZ e come Dati valore vanno specificate le lettere relative agli eventi che si intendono monitorare.

FIG 7 - Logging

Windows Server 2019: Creazione di un criterio di gruppo per l'aggiornamento attraverso WSUS

Dopo aver visto, negli articoli precedenti, come installare e configurare Windows Server Update Services (WSUS) non resta che creare un nuovo criterio di gruppo in modo che le postazioni all'interno dell'infrastruttura vengano aggiornate attraverso il nostro server. Nella finestra Update Services prendere nota della porta utilizzata dal servizio WSUS (di default 8530) e visualizzata in Connessione.

FIG 1 - Porta di connessione al server WSUS

Procediamo alla creazione del criterio di gruppo:

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 2 - Avvio Gestione Criteri di gruppo

  
  
• Disattiviamo il criterio di gruppo creato nell'articolo Windows Server 2019: Schedulare l'installazione degli aggiornamenti sulle workstation. Cliccare, con il tasto destro del mouse, sul collegamento GPO_Windows_Update_Direzione presente in mycompany.local\Direzione e togliere la spunta alla voce Collegamento abilitato.
  

  

  FIG 3 - Disabilita Criterio di gruppo

  
  
• Dato che la policy dovrà agire su tutte le postazioni del dominio, cliccare con il tasto destro sul domino mycompany.local e selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento.
  

  

  FIG 4 - Crea un oggetto Criteri di gruppo in questo dominio

  
  
• Digitare il nome da assegnare al criterio di gruppo (ad es. GPO_Updates) e cliccare su OK.
  

  

  FIG 5 - Assegnazione nome al Criterio di gruppo

  
  
• Cliccare, con il tasto destro del mouse, sul criterio di gruppo appena creato e selezionare Modifica.
  

  

  FIG 6 - Modifica GPO

  
  
• Posizionarsi su Configurazione computer -> Criteri -> Modelli amministrativi -> Componenti di Windows -> Windows Update quindi cliccare due volte su Configura Aggiornamenti automatici.
  

  

  FIG 7 - Configura Aggiornamenti automatici

  
  
• Selezionare l'opzione Attivata e in Configura aggiornamento automatico selezionare 4 - Download Automatico e pianificazione dell'installazione.
  

  

  FIG 8 - Download Automatico e pianificazione dell'installazione

  
  
• In Giorno pianificato per l'installazione selezionare 0 - Tutti i giorni mentre in Orario pianificato per l'installazione selezionare Automatico e cliccare sul pulsante OK.
  

  

  FIG 8 - Giorno pianificato per l'installazione

  
  
• Per specificare un server Intranet che ospita gli aggiornamenti provenienti da Microsoft Update cliccare due volte su Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet.
  

  

  FIG 9 - Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet

  
  
• Selezionare Attivata e, nella casella Impostare il servizio di aggiornamento nella rete Intranet per il rilevamento degli aggiornamenti, specificare il nome del server e la porta http://Server1DC.mycompany.local:8530. Specificare lo stesso indirizzo all'interno della casella Impostare il server per le statistiche nella rete intranet quindi cliccare su OK.
  

  

  FIG 10 - Impostare il servizio di aggiornamento nella rete Intranet per il rilevamento degli aggiornamenti

  
  
• Chiudere la finestra Editor Gestione Criteri di gruppo.
• Per forzare la distribuzione della policy, in Gestione Criteri di gruppo cliccare con il tasto destro sulla policy creata e selezionare Imposto.
  

  

  FIG 11 - Forzare la distribuzione del criterio di gruppo

  
  
• Da Update Services è possibile verificare quanti computer hanno scaricato gli aggiornamenti e quanti restano da aggiornare e molte altre informazioni.
  

  

  FIG 12 - Update Services

  
  

Windows Server 2019: Schedulare l'installazione degli aggiornamenti sulle workstation

Avere un sistema operativo costantemente aggiornato è molto importante: oltre a migliorare la sicurezza, gli aggiornamenti consentono di disporre di nuove funzionalità e di un ottimizzazione delle prestazioni. In un azienda, al fine di non bloccare la produttività e non impattare sulle prestazioni della rete e sulla connessione ad Internet, gli aggiornamenti vanno attentamente schedulati. La norma, così come il buon senso, prevede che gli aggiornamenti vengano effettuati fuori dall'orario di lavoro e, nel caso di aziende con molte postazioni di lavoro, venga evitato il download contemporaneo da parte di tutti i computer presenti in azienda. In quest'articolo vedremo come schedulare gli aggiornamenti per una determinata unità organizzativa (la UO Direzione).

Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.

FIG 1 - Server Manager

Espandere il dominio mycompany.local e cliccare, con il tasto destro del mouse, sull'unità organizzativa Direzione. Dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento.... 

FIG 2 - Crea un oggetto Criteri di gruppo

Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_Windows_Update_Direzione e cliccare su OK. 

FIG 3 - GPO_Windows_Update_Direzione

Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica. 

FIG 4 - Modifica GPO_Windows_Update_Direzione

Posizionarsi su Configurazione computer -> Criteri -> Modelli amministrativi -> Componenti di Windows -> Windows Update controllo e cliccare due volte su Configura Aggiornamenti automatici.

FIG 5 - Configura Aggiornamenti automatici

Selezionare l'opzione Attivata quindi, nella casella Configura aggiornamento automatico, selezionare 4 - Download automatico e pianificazione dell'installazione.

FIG 6 - Configurazione aggiornamenti automatici

In Giorno pianificato per per l'installazione selezionare il giorno desiderato (ad es. 7 - Ogni sabato). Nella casella Orario pianificato per l'installazione selezionare l'ora in cui si desidera installare gli aggiornamenti (ad es. 19.00).

FIG 7 - Configura Aggiornamenti automatici, Giorno ed ora

Il passo successivo consiste nel'impostare la frequenza, in un mese, con cui Windows Update verifica e installa gli aggiornamenti: Ogni settimana, Prima settimana del mese, Seconda settimana del mese, Terza settimana del mese, Quarta settimana del mese. In questo esempio selezioniamo la casella Ogni settimana. Se si intende aggiornare anche altre applicazioni Microsoft tramite Windows Update spuntare la casella Installa gli aggiornamenti per altri prodotti Microsoft. Al termine cliccare su OK.

FIG 8 - Configura Aggiornamenti automatici, frequenza verifica aggiornamenti