Disattivare Microsoft Copilot con GPO di dominio su Windows 11: guida completa, ADMX e troubleshooting

Guida operativa per disattivare Microsoft Copilot nei client Windows 11 tramite Criteri di Gruppo di dominio: dalla scelta dei modelli ADMX corretti alla distribuzione nel repository centrale, fino alla verifica dell’applicazione del GPO e ai controlli di troubleshooting.

Indice

Scenario e obiettivo

Un amministratore con controller di dominio basato su Windows Server 2019 (livelli funzionali 2016) desidera pubblicare un GPO per disabilitare Copilot su tutti i client Windows 11. Dopo aver copiato i modelli amministrativi di Windows 11 nella cartella PolicyDefinitions del dominio, i modelli non risultano visibili nella console di gestione dei criteri (GPMC) né dal controller né da una workstation di amministrazione con RSAT.

Questo articolo spiega in modo pratico come:

procurarsi i modelli amministrativi corretti per includere l’impostazione “Disattiva Windows Copilot”;
popolare il repository centrale in SYSVOL e verificarne la replica;
rendere immediatamente disponibili le nuove impostazioni in GPMC;
configurare e distribuire il GPO con ambito e filtri appropriati;
validare l’effettiva rimozione di Copilot nei client e risolvere gli errori più comuni.

Come funziona il repository centrale dei modelli

I modelli amministrativi basati su file .admx e relativi file di lingua .adml possono essere ospitati in un repository centrale nel dominio. Quando questo archivio è presente, GPMC e l’Editor Criteri di Gruppo ignorano i modelli locali della macchina da cui si amministra e utilizzano solo quelli pubblicati in SYSVOL. Questo garantisce coerenza ma impone che l’insieme di file in SYSVOL sia completo e aggiornato.

Il percorso del repository centrale è:

\&lt;FQDN-dominio&gt;\SYSVOL&lt;FQDN-dominio&gt;\Policies\PolicyDefinitions

All’interno di questa cartella vanno copiati i file .admx alla radice e, per ogni lingua supportata, la rispettiva cartella (ad esempio it-IT e en-US) contenente i file .adml.

Scaricare i modelli corretti

Per esporre il criterio “Disattiva Windows Copilot” è necessario utilizzare il pacchetto di modelli amministrativi della versione di sistema che introduce Copilot nei client. In ambienti gestiti, il riferimento consolidato è il pacchetto dei modelli per Windows 11 23H2 (o successivo), che include definizioni e stringhe per la voce Windows Copilot all’interno della struttura dei componenti di Windows. Assicurarsi che il pacchetto provenga da una fonte ufficiale e che la versione corrisponda al livello di patch dei client.

Consiglio: archiviare il pacchetto originale in uno share di sola lettura e documentare la versione (es. numero di build dei file .admx) così da poter ricostruire rapidamente lo stato del dominio in caso di rollback.

Distribuire i modelli nel repository centrale

Dopo aver estratto il pacchetto:

Individuare la cartella che contiene i file .admx e le sottocartelle delle lingue.
Copiare tutti i file .admx direttamente nella cartella PolicyDefinitions del repository centrale.
Copiare le sottocartelle di lingua pertinenti (almeno it-IT; valutare anche en-US per compatibilità) dentro PolicyDefinitions.

Comando d’esempio con PowerShell, sostituendo i segnaposto con il dominio e il percorso locale del pacchetto:

# Esecuzione in una sessione con privilegi
$Domain = "<FQDN-dominio>"
$CentralStore = "\\$Domain\SYSVOL\$Domain\Policies\PolicyDefinitions"
$Source = "C:\Temp\Windows11_ADMX\PolicyDefinitions"

Crea la cartella del repository centrale se non esiste

if (-not (Test-Path \$CentralStore)) { New-Item -ItemType Directory -Path \$CentralStore | Out-Null }

Copia ADMX e cartelle di lingua mantenendo la struttura

Copy-Item -Path (Join-Path \$Source "\*.admx") -Destination \$CentralStore -Force
Get-ChildItem \$Source -Directory | ForEach-Object {
Copy-Item -Path $\_.FullName -Destination \$CentralStore -Recurse -Force
}

Al termine, verificare la replica di SYSVOL fra i controller. Su edizioni recenti il meccanismo è basato su DFS Replication. Alcuni controlli rapidi:

Event Viewer → Applications and Services Logs > DFS Replication per errori e avvisi;
comando dfsrdiag ReplicationState per lo stato istantaneo;
confronto del contenuto di PolicyDefinitions su più controller (solo a scopo di verifica).

Aggiornare la console GPMC

Chiudere e riaprire GPMC. In alternativa, forzare un aggiornamento dei criteri sulla macchina di amministrazione:

gpupdate /force

Aprendo un GPO (nuovo o esistente) e passando a Configurazione computer → Modelli amministrativi, il riquadro di destra dovrebbe indicare che i modelli sono caricati dal repository centrale. A questo punto, all’interno di Componenti di Windows dovrebbe comparire il nodo Windows Copilot con il criterio dedicato.

Configurare il criterio per disattivare Copilot

Nel GPO di destinazione, navigare in:

Configurazione computer → Modelli amministrativi → Componenti di Windows → Windows Copilot

Aprire il criterio Disattiva Windows Copilot (in ambienti in lingua inglese potrebbe essere Turn off Windows Copilot), selezionare Abilitato e confermare. Questa impostazione rimuove Copilot dall’esperienza utente ed evita che venga attivato, anche se distribuito tramite aggiornamenti.

Nota: il criterio è disponibile nella sezione Configurazione computer. Applicare la configurazione in questa macroarea evita difformità legate al contesto utente e semplifica la gestione in dispositivi condivisi.

Collegare il GPO e definire l’ambito

Collegare il GPO all’unità organizzativa che contiene i computer da gestire o all’intero dominio. In ambienti complessi:

utilizzare filtri di sicurezza per escludere gruppi o server non interessati;
valutare filtri WMI se occorre limitare l’applicazione a versioni specifiche del sistema;
mantenere l’ordine di elaborazione coerente con la strategia aziendale (Local → Site → Domain → OU).

Verificare l’applicazione sui client

Dopo il normale intervallo di aggiornamento, o forzando l’aggiornamento, eseguire sui client uno dei controlli seguenti:

gpupdate /force
gpresult /r

oppure aprire rsop.msc e verificare l’oggetto applicato e il valore effettivo del criterio. In Event Viewer → Microsoft > Windows > GroupPolicy > Operational cercare gli eventi di applicazione del GPO per confermare l’elaborazione.

Al successivo accesso o dopo un riavvio, l’icona di Copilot non dovrebbe più essere presente e l’avvio dell’assistente dovrebbe risultare bloccato dalla policy.

Tabella di controllo rapido

Passo	Obiettivo	Verifica
Ottenere i modelli	Disporre dei file ADMX e ADML aggiornati	Presenza dei file e versione coerente
Popolare il repository	Copiare ADMX e cartelle lingua in SYSVOL	Contenuto identico su tutti i controller
Aggiornare GPMC	Caricare i modelli dal repository centrale	Messaggio “Policy definitions from Central Store”
Impostare il criterio	Abilitare “Disattiva Windows Copilot”	Valore registrato nel GPO
Distribuire	Collegare il GPO all’OU o al dominio	Stato Enforced e ambito corretti
Convalidare	Confermare l’applicazione sui client	`gpresult`, `rsop.msc`, log evento

Risoluzione dei problemi quando il criterio non compare

Se il nodo Windows Copilot o la voce del criterio non sono visibili in GPMC, verificare i seguenti aspetti.

Lingue dei file adml non allineate

Il set di file di lingua deve includere la lingua dell’interfaccia della console. Se GPMC è in italiano, assicurarsi della presenza della cartella it-IT con i .adml corrispondenti. In assenza di tali file, il nodo può non comparire o risultare con descrizioni vuote.

Repository centrale incompleto

Quando il repository centrale esiste, GPMC ignora i modelli locali. Un set incompleto o misto (admx vecchi con adml nuovi, e viceversa) può far scomparire voci o generare errori. Ripristinare coerenza copiando l’intero set dalla stessa origine.

Replica non terminata

Se la copia è avvenuta su un solo controller, può occorrere del tempo prima che gli altri replichino. Blocchi o backlog in DFS Replication impediscono ai membri di leggere i modelli aggiornati. Controllare eventi, stato e backlog prima di procedere.

Permessi insufficienti

L’account che copia i file deve disporre di diritti di scrittura su SYSVOL. Gli amministratori di dominio necessitano almeno di lettura sui modelli per gestire i GPO. Errori di accesso in scrittura possono lasciare il set a metà e confondere la console.

Console di amministrazione non aggiornata

Le RSAT della workstation di gestione devono essere aggiornate. Anche se i modelli provengono dal repository centrale, una console obsoleta può non interpretare correttamente categorie più recenti. Verificare che gli aggiornamenti siano installati.

Cache della console

Chiudere tutte le istanze di GPMC e riaprirla dopo la copia. Se necessario, cancellare le cache temporanee del profilo amministrativo relative a GPMC.

Automatizzare la copia con PowerShell

Per standardizzare il rilascio dei modelli, si può usare uno script che:

crei il repository centrale se assente;
esegua un backup dell’eventuale contenuto esistente;
copi i file con controllo di versioni e ripristino in caso di errore.

# Parametri
param(
  [Parameter(Mandatory=$true)] [string]$SourceRoot,   # es: C:\Pacchetto_ADMX\PolicyDefinitions
  [Parameter(Mandatory=$true)] [string]$DomainFQDN    # es: contoso.local
)

\$CentralStore = "\\\$DomainFQDN\SYSVOL\$DomainFQDN\Policies\PolicyDefinitions"
\$BackupRoot   = "\\\$DomainFQDN\SYSVOL\$DomainFQDN\Policies\Backups\ADMX"
\$Timestamp    = Get-Date -Format "yyyyMMdd\_HHmmss"
\$BackupPath   = Join-Path \$BackupRoot \$Timestamp

Crea cartelle necessarie

New-Item -ItemType Directory -Force -Path \$CentralStore, \$BackupPath | Out-Null

Backup rapido del set corrente

Write-Host "Backup in corso in \$BackupPath ..."
Robocopy \$CentralStore \$BackupPath /MIR /R:1 /W:1 | Out-Null

Copia dei nuovi modelli

Write-Host "Copia modelli da \$SourceRoot a \$CentralStore ..."
Robocopy \$SourceRoot \$CentralStore \*.admx /R:1 /W:1 | Out-Null

Copia delle cartelle di lingua più comuni

\$Langs = @("it-IT","en-US")
foreach (\$lang in \$Langs) {
if (Test-Path (Join-Path \$SourceRoot \$lang)) {
Robocopy (Join-Path \$SourceRoot \$lang) (Join-Path \$CentralStore \$lang) \*.adml /MIR /R:1 /W:1 | Out-Null
}
}

Write-Host "Completato. Aprire GPMC per verificare."

Buona pratica: committare i set ADMX in un repository di configurazione (insieme a note di rilascio) e applicare un flusso di approvazione, soprattutto in ambienti regolamentati.

Buone pratiche di gestione dei modelli

Versioni coerenti: evitare set misti. Aggiornare sempre coppie .admx/.adml provenienti dallo stesso pacchetto.
Ambiente di test: validare nuovi modelli in un dominio di staging prima dell’introduzione in produzione.
Documentazione: annotare data, versione e autore di ogni aggiornamento del repository centrale.
Ripristino: conservare almeno due snapshot precedenti del set per facilitare il rollback.

Alternative senza dominio e verifiche rapide

In assenza di dominio o per test di laboratorio, i modelli possono essere copiati nella cartella locale C:\Windows\PolicyDefinitions del singolo computer. In seguito, l’Editor criteri locali (gpedit.msc) esporrà il nodo Windows Copilot e sarà possibile abilitare la voce Disattiva Windows Copilot. Ricordare che questa via non sostituisce la distribuzione centralizzata e non offre la stessa tracciabilità su larga scala.

Considerazioni su impatto e comunicazione agli utenti

La disattivazione di Copilot è spesso una scelta di conformità o di controllo della superficie funzionale. È utile comunicare agli utenti che:

l’icona e i comandi legati a Copilot non saranno più visibili;
la modifica non influisce su ricerche, barra delle applicazioni o altre funzionalità non correlate;
eventuali scorciatoie o script personali che tentano di richiamare Copilot non avranno effetto.

Se l’organizzazione adotta strumenti alternativi, includere istruzioni su come raggiungerli e a chi rivolgersi per supporto.

Domande frequenti

È necessario amministrare da una postazione specifica

No. Una workstation con RSAT aggiornata può gestire le policy relative a funzionalità di Windows 11 purché i modelli risiedano nel repository centrale. La lingua della console deve però essere supportata dai rispettivi file .adml.

Cosa succede se più set di modelli sono presenti

Quando il repository centrale è presente, ha la precedenza assoluta sui modelli locali. Evitare duplicazioni e mantenere un solo riferimento condiviso in SYSVOL.

Quali permessi servono per la cartella dei modelli

Per copiare o aggiornare i file nel repository centrale servono privilegi di scrittura sullo share SYSVOL. Gli amministratori di dominio devono avere almeno lettura per caricare i modelli in GPMC. In caso di dubbi, applicare il principio del privilegio minimo.

È possibile applicare la disattivazione solo a un sottoinsieme di macchine

Sì. Collegare il GPO all’OU che contiene i computer interessati, utilizzare filtri di sicurezza su gruppi di dispositivi o filtri WMI per colpire determinate build o edizioni.

Perché la voce del criterio compare con testo in inglese

Se manca il file .adml nella lingua della console, GPMC può mostrare stringhe di fallback in inglese o nascondere il nodo. Copiare la cartella di lingua corrispondente dal pacchetto dei modelli.

Checklist finale

Pacchetto ADMX di Windows 11 scaricato dalla fonte ufficiale e archiviato.
File .admx copiati in PolicyDefinitions nel dominio.
Cartelle it-IT e, se opportuno, en-US con i relativi .adml presenti.
Replica di SYSVOL verificata e senza errori.
GPMC riaperta e caricata dal repository centrale.
Impostazione Disattiva Windows Copilot abilitata nel GPO.
GPO collegato all’OU o al dominio appropriato, con filtri di sicurezza definiti.
Client aggiornati e verifica effettuata con gpresult o rsop.msc.

Conclusioni

La chiave per disattivare Copilot in modo affidabile nell’intero dominio consiste nell’avere i modelli amministrativi corretti e coerenti nel repository centrale, assicurare una replica sana di SYSVOL e seguire una procedura di distribuzione ordinata. Con questi passaggi, la voce di policy dedicata a Copilot diventa visibile in GPMC e il criterio si distribuisce in modo prevedibile e controllato su tutti i client Windows 11 presi di mira.

Appendice: comandi utili di verifica

# Stato DFS Replication su un controller
dfsrdiag ReplicationState

Forzare la lettura dei criteri su un client

gpupdate /force

Elenco dei GPO applicati a un client

gpresult /r

Aprire il risultato dell'elaborazione criteri

rsop.msc

Esempio di percorso standard

\\contoso.local\SYSVOL\contoso.local\Policies\PolicyDefinitions

Dove trovare l’impostazione in GPMC

Configurazione computer
  └─ Modelli amministrativi
     └─ Componenti di Windows
        └─ Windows Copilot
           └─ Disattiva Windows Copilot

Seguendo questa guida, il criterio per disattivare Microsoft Copilot risulterà visibile, configurabile e distribuibile in modo centralizzato nell’infrastruttura di dominio, con procedure di controllo e recupero consolidate.