Ott15202315 Ottobre 202315 Ottobre 20230 Commentidi Ermanno Goletto

Applicare una Group Policy ad un gruppo di utenti

Le Group Policy possono definite per Computer o per Utente ed essere applicate ad Organizational Unit, quindi se si desidera applicare una GPO utente a determinati utenti l’approccio più semplice è applicare la GPO ad una OU che contiene tali utenti.

Non sempre però tale approccio può essere applicato perché potrebbe rendere troppo complesso suddividere gli utenti nelle OU necessarie o perché la struttura delle OU non può essere modificata agevolmente o ancora perché non è possibile trovare una combinazione di OU che permetta l’applicazione di GPO solo a specifici gruppi di utenti.

Se l’approccio basato sulle OU non permette la gestione di GPO che devono essere applicate a gruppi di utenti è possibile usare il Security Filter, a riguardo si veda Assign Security Group Filters to the GPO – Windows Security | Microsoft Learn.

Per applicare correttamente la GPO solo ad una Gruppo di Sicurezza di AD contenente gli utenti a cui si desidera applicare la GPO tramite il Security Filter occorre tenere presente che dopo il rilascio della MS16-072: Security update for Group Policy: June 14, 2016 – Microsoft Support, avvenuto il per correggere una vulnerabilità che giugno 2016 avrebbe consentito l’elevazione dei privilegi nel caso di attacchi man-in-the-middle (MiTM) sul traffico tra DC e computer, è stato modificato il security context tramite cui le GPO utente vengono ricercate. Per la precisione prima dell’installazione della MS16-072 Security update le GPO utente venivano ricercate nel security context dell’utente, mentre dopo l’installazione della MS16-072 Security update e GPO utente vengono ricercate nel security context del computer.

Questo significa se si imposta sulla GPO Utente un Security Filter ad un gruppo di sicurezza che contiene gli utenti a cui applicare la GPO al posto del gruppo di default Authenticated Users la security della GPO non permetterà più l’accesso in lettura al gruppo Authenticated Users e quindi dal momento che il security context del computer non sarà in grado di accedere alla GPO ne consegue che la GPO non potrà essere valutata nè applicata. Questo comportamente by design è descritto in in Assign Security Group Filters to the GPO – Windows Security | Microsoft Learn:

You must remove the default permission granted to all authenticated users and computers to restrict the GPO to only the groups you specify. If the GPO contains User settings, and the Authenticated Users group is removed, and new security filtering is added using a security group that only contains user accounts, the GPO can fail to apply.

Inoltre tale problematica viene comunque segnalata quando nel Security Filter si tenta di rimuovere il gruppo Authenticated Users.

Per far si che la GPO possa essere elaborata nel security context del computer occorre che nella Scheda Delega venga aggiunto un gruppo a cui il computer appartenga e quindi vi possono essere alcune scelte:

Aggiungere il gruppo Authenticated Users, ma si noti che tale gruppo potrebbe essere sovrabbondante in quanto appartiene a tele gruppo qualsiasi utente che accede al sistema tramite un processo di accesso, ovvero tutti gli utenti e i computer di dominio.
Aggiungere il gruppo Domain Computers che include i computer e i server membri del dominio con l’esclusione dei Domain Controller
Aggiungere un gruppo specificatamente definito che contiene gli account computer necessari, infatti dal momento che l’elaborazione avviene tramite il security context del computer è anche possibile intervenire sulla delega per far si che una GPO sia applicata solo ad un gruppo si computer se questi si connettono da uno specifico gruppo di computer.

In MS16-072: Security update for Group Policy: June 14, 2016 – Microsoft Support viene appunto descritto come gestire la problematica:

To resolve this issue, use the Group Policy Management Console (GPMC.MSC) and follow one of the following steps:

Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO).

If you are using security filtering, add the Domain Computers group with read permission.

Note: If Loopback Processing is enabled in Merge mode you have to add the specific user(s) and the specific computer(s) for which the Group Policy is addressed. To do this, in the Group Policy Management Console, select the desired Group Policy, and then click the Scope tab. In the Security Filtering area, click Add, and then add the specific users and computers.