Gpedit – Non applicare le policy a utenti Administrators

Quando si utilizza un computer basato su Windows come Gruppo di lavoro (e non dominio), potrebbe essere necessario implementare sul computer criteri locali applicabili a tutti gli utenti del computer, ma non a utenti administrators.
Per farlo, procedere a questo modo :
– Accedere al computer come amministratore > Aprire i criteri di protezione locali (start—esegui, digitare “GPEDIT.MSC” )
– Espandere l’oggetto Configurazione utente > Modelli amministrativi > Attivare i criteri desiderati
– Una volta impostati i Criteri effettuare il logoff dell’utente Amministratore.
– Effettuare nuovamente l’ accesso al computer come amministratore per verificare che i criteri siano stati applicati (per impostazione predefinita i criteri locali vengono applicati a tutti gli utenti, compresi gli amministratori)
– Una volta appurato che i criteri siano stati correttamente applicati all’amministratore eseguire l’accesso con tutti gli utenti del nostro gruppo di lavoro al fine di applicare anche ad essi le Policy Locali.
– Alla fine, accedere nuovamente al computer come amministratore. Abilitare la visualizzazione di cartelle e file nascosti
– Cercare il file “Registry.pol” presente nella cartella %Systemroot%System32GroupPolicyUser e copiarlo in un percorso di backup, ad esempio un altro disco rigido, un disco floppy o una cartella diversa.
– Aprire nuovamente i criteri locali e riattivare esattamente le stesse funzionalità che erano state disattivate nei criteri originali creati per quel computer.
– Chiudere l’Editor dei criteri di sistema e copiare nuovamente nella cartella %Systemroot%System32GroupPolicyUser il file di backup “Registry.pol” creato precedentemente sovrascrivendo il file esistente.
– Disconnettersi dal computer, quindi riconnettersi come amministratore.

Come si potrà verificare, le modifiche apportate originariamente non sono implementate perché l’utente ha eseguito l’accesso al computer come amministratore, mentre se si effettua il login come utente le policy verranno applicate.

Quindi, RIASSUMENDO, per fare in modo che queste policy non siano applicate all’amministratore bisogna procedere in questo modo :
– creare tutte le policy esatte di cui si ha bisogno
– creare tutti gli utenti esatti di cui si ha bisogno
– accedere in dessktop remoto almeno 1 volta con ogni utente (al primo accesso le policy saranno applicate al profilo utente)
– alla fine accedere come administrator e rimuovere le policy.
In questo modo rimarranno applicate a tutti gli utenti meno che all’utente administrator.

Ci sono però delle controindicazioni, ovvero :
1) se c’è necessita di applicare una nuova policy, bisogna ripetere ogni volta la procedura daccapo
2) se c’è bisogno di attivare un nuovo utente bisogna ripetere la procedura daccapo

L’alternativa è l’applicazione del dominio ai due server.

Rif. Articolo : https://support.microsoft.com/default.aspx?scid=kb%3Bit%3B325351