Come funziona il Loopback Processing Mode nelle Group Policy

In questa breve guida vorrei spiegare come funziona il Loopback Processing Mode nelle Group Policy. Molti di voi sapranno già che le Group Policy hanno la possibilità di configurare sia i computer che gli utenti e le configurazioni utente vengono applicate indipendentemente dal computer dove l’utente si logga.

Ci sono casi tuttavia dove questo tipo di comportamento potrebbe non andare bene; ad esempio se un utente si logga su un Remote Desktop Session Host (Terminal Server), che è una macchina condivisa da più persone, vorrei evitare che si porti dietro alcune configurazioni.

Per ovviare a questo comportamento di default è necessario abilitare il Loopback Processing mode.

Supponiamo di avere due Organization Unit (OU), una dove ci sono i computer ed un’altra dove ci sono gli utenti. Ad ognuna delle OU viene applicata una policy diversa, a quella dei computer la policy ROSSA e a quella degli utenti la policy BLU, come mostrato in figura:

060516_1651_Comefunzion1

Figura 1: Configurazione delle Group Policy

Il comportamento di default quando un utente si connette ad uno dei computer della OU ROSSA è il seguente:

Figura 2: Comportamento senza Loopback Processing Mode abilitato

Come si può vedere dalla figura 2, quando un utente si logga sul PC nella OU ROSSA vengono applicate le configurazioni Computer ROSSE e le configurazioni Utente BLU.

Per abilitare il Loopback Processing Mode è necessario configurare la Policy scegliendo Computer Configuration/Administrative Templates/System/Group Policy e modificare il parametro Configure user Group Policy loopback processing mode

Figura 3: Parametro da configurare per abilitare il Loopback Processing Mode

Come di nota nella figura 3 ci sono due modalità: Merge e Replace. Se abilitiamo la modalità Replace verranno applicate le configurazioni Computer ROSSE e le configurazioni Utente ROSSE, andando di fatto ad impedire che l’utente si porti dietro le proprie configurazioni quando si logga a quei particolari computer.

Figura 4: Modalità REPLACE

Se invece abilitiamo la modalità Merge verranno applicate le configurazioni Computer ROSSE e le configurazioni Utente ROSSE e BLU, cioè verranno applicati tutti i settaggi lato utente. Nel caso ci fossero dei settaggi in conflitto verrebbero comunque forzate le configurazioni Utente ROSSE.

Figura 5: Modalità MERGE

Un caso reale di utilizzo di questo parametro è proprio quello dei Terminal Server. Supponiamo infatti che abbiate abilitato la distribuzione di un software lato utente tramite Group Policy o abbiate abilitato la Folder Redirection, ma non vogliate che questo avvenga quando un utente si connette ai Terminal Server.