Continua dalla parte 3

Cerchiamo ora di approfondire un po' più nel dettaglio i CSE di base e dove sono archiviate le relative informazioni.

 

 

Wireless CSE - gptext.dll

wifi(1)

Questa CSE (implementata insieme a molte altre all'interno della singola libreriaGPTEXT.DLL) si occupa appunto della gestione dei profili per le connessioni Wireless. Come si vede dalla figura a lato, queste impostazioni si trovano nella parteComputer Configuration e si applicano solo a macchine Windows XP (dato che è proprio da XP che viene supportata nativamente dal S.O. la gestione delle reti wireless).

Una piccola nota di colore: la policy non può essere usata per "passare" automaticamente eventuali chiavi WEP o WPA condivise. La spiegazione tutto sommato è semplice: dato che eventualmente la chiave dovrebbe essere salvata da qualche parte (in AD oppure nella S

YSVOL), chiunque potrebbe leggersela rendendo una chiave "secret" decisamente poco segreta! La policy può essere quindi usata esclusivamente con l'autenticazione basata su certificati (WPA o WEP poco importa).
Le impostazioni per la policy wireless non vengono salvate sul file system ma vengono scritte direttamente in Active Directory(come "figlie" della GPO dove sono definite). 
L'unica particolarità di questo CSE è quella di non essere soggetto alla funzione "slow link" (ovvio: si tratta di parametri di configurazione che devono comunque essere applicati).

 

Esecuzione script - gptext.dllscripts

 

Ancora una volta troviamo il simpatico GPTEXT.DLL. Gli script eseguiti sono quelli di startup/shutdown e logon/logoff che possiamo semplicemente configurare nelle sezioni riportate in figura. Gli script possono essere fatti usando un qualunque linguaggio comprensibile al client che li deve eseguire (dal semplice .bat fino ad i più complessi ma più funzionali .vbs).

 

Le opzioni di questo CSE sono "standard" con la sola differenza che gli script non vengono aggiornati in background e vengono comunque rieseguiti ogni volta (ovviamente aggiungerei...)  

 

 Quote disco - dskquota.dlloffline
Questo signore si occupa di applicare le impostazioni delle quote disco (funzione disponibile a partire da Windows 2000): come si può notare però la voce in questione si trova tra gli administrative templates della policy, segno evidente che non esiste una server-side extension dedicata alla gestione delle quote disco.
L'opzione "particolare" di questo CSE è che le impostazioni NON vengono aggiornate in background, ovvero durante l'aggiornamento periodico fatto dal client.
Qos packet scheduler - gptext.dllqos
Sempre sotto la responsabilità di gptext.dll troviamo le impostazioni del QOS che  consentono di impostare come Windows utilizzerà la rete sottostante. Anche in questo caso le impostazioni si trovano tra gli administrative templates della policy, segno evidente che non esiste una server-side extension dedicata alla gestione del QOS.
Questo CSE non ha alcuna opzione particolare, se non quella di applicarsi (ovviamente) solo alla macchina e non all'utente.
Internet Explorer Zone - iedkcs32.dllzones ie
La configurazione delle zone di IE è ovviamente sulla parte utente delle GPO dato che dipende da chi è presente sul momento sul client. Questo signore ha ovviamente bisogno di una server-side extension ad hoc (che comunque comprende non solo le impostazioni delle zone ma anche tutte le altre impostazioni di IE.
Questo CSE non ha nessuna configurazione particolare.
Security settings - scecli.dllsecurity
Ed eccoci arrivati al "pezzo da 90" delle GPO, ovvero le impostazioni di security, che ci trovano tipicamente nella parte computer: come si vede dall'immagine allegata, i parametri possibili sono moltissimi e spaziano dagli user rights fino ad arrivare ai permessi sul file system o sulle chiavi di registro.
Questo CSE ha una particolarità in più rispetto agli altri: viene aggiornato ogni 16 oreindipendententemente dall'eventuale modifica; di per sè questo approccio potrebbe sembrare corretto, dato che si tratta di impostazioni "critiche" che è importante applicare alle postazioni. 
E' importante ricordare questa caratteristica, dato che questo potrebbe spiegare irallentamenti che spesso si hanno in avvio macchina quando si usano le opzioni perimpostare i permessi (tipicamente sul file system): in questi casi  il client deve (normalmente) cambiare i permessi in tutti i files e subdir che trova nel percorso specificato, operazione che può richiedere del tempo. Questo ritardo sarebbe anche accettabile se fosse "one time only", ma dato che la policy viene refreshata sempre e comunque dopo 16 ore, c'è il rischio (anzi la certezza) che il giorno successivo tutte le postazioni client debbano riprocessare la policy e di conseguenza riapplicare i permessi sul file system: questo contribuisce al classico ritardo che gli utenti lamentano quando accendono il computer la mattina (attenzione: probabilmente non è l'unica componente, vedi WSUS e/o SMS).

Impostazione IE - iedkcs32.dlliesettings

Questo CSE si occupa delle impostazioni del browser Internet Explorer e quindi tutte le impostazioni si trovano nella parte utente. 
Queste impostazioni, pur essendo semplici, hanno comunque una particolarità che è quella di "ereditare" le impostazioni del browser dalla macchina dove state editando la policy: in pratica, per diverse impostazioni si trova una voce che consente di configurare la policy secondo quanto scritto nella configurazione IE della macchina dove si sta facendo l'editing della policy stessa.
Non ha alcuna impostazione particolare rispetto agli altri.

EFS Recovery Agent - scecli.dllefs
Dato che si tratta, tutto sommato, di impostazioni di sicurezza, anche il Recovery Agent usa la SCECLI.DLL per le proprie operazioni: tramite questa parte della policy è possibile passare alle macchine uno o più recovery agent da usare durante la  creazione di file criptati con EFS. Da notare comunque che il certificato viene salvato in un file di registro che quindi dovrà essere processato dal caro USERENV.DLL.
Questo CSE non ha nessuna impostazione particolare. 
Offline files - cscui.dllofflineQui bisogna fare un po' di attenzione, perchè la cosa non è semplice come ci si può aspettare: nonostante infatti il nodo relativo agli offline files si individui velocemente all'interno delle policies, non tutte le impostazioni in esso contenute vengono processate da cscui.dll! Quindi, se anche si vedono molti parametri, solo alcuni verranno processati da questo CSE, mentri gli altri saranno a carico dell'onnipresente USERENV.DLL: tanto per dare comunque un esempio, si può citare la voce "Encrypt the Offline Files cache" che è appunto gestita dal CSCUI.DLL
Installazione Software - appmgmts.dllinstsw
Questo signore ha il compito di installare o rimuovere i software pubblicati tramite GPO: i programmi possono essere associati alla parte Computer (e vengono quindi installati all'avvio della macchina) oppure utente (in tal caso l'installazione può avvenire al primo utilizzo oppure su richiesta dell'utente).
Anche questo CSE è abbastanza semplice ed ha una cola (ovvia direi) particolarità: non viene eseguito durante il refresh in background delle policies dato che potrebbe interferire con le operazioni dell'utente.
Configurazione IPSEC - gptext.dlldisk quotas
Ed ecco ricomparire l'onnirpresente gptext.dll che si occupa anche della configurazione dei profili IPSEC. L'unico elemento degno di nota per questo specifico CSE è che si applica sempre e comunque indipendentemente dalla velocità (ovvero non è sottposto allo slow link).
Folder redirection - fdeploy.dllfredir
Come si intuisce facilmente dal nome, questo CSE si occupa della folder redirection, feature disponibile nella parte di user configuration.
Chiavi di registro - userenv.dllcache
Anche se per ultimo, questo è sicuramente il CSE più importante dato che si tratta di applicare le varie chiavi di registro che si trovano negli Administrative Templates. Bisogna comunque fare attenzione perchè, come si è visto precedentemente, alcune sottovoci fanno in realtà riferimento ad altri CSE (vedi ad esempio le impostazioni offline files). 
 

 

Con questo termina questa lunga carrellata nel mondo delle GPO, con la speranza che adesso alcune impostazioni e configurazioni possano essere più chiare (almeno così è stato per me).