Vuoi rimuovere “Cerca in Active Directory” da Esplora file e dal pulsante della finestra “Connetti a unità di rete”? In questa guida trovi metodi supportati (Criteri di gruppo/ADMX) e alternative (Registro, PowerShell, Intune/SCCM) con verifica, rollback e note per ambienti dominio e standalone.
Panoramica e obiettivo
In ambienti di dominio può essere opportuno impedire agli utenti di avviare la funzione Search Active Directory (in italiano “Cerca in Active Directory”) esposta:
- come pulsante “Ricerca” nella scheda Rete della finestra di dialogo Connetti a unità di rete (quando il PC è nel dominio);
- come voce di menu “Cerca in Active Directory” all’interno di Esplora file.
Scopo della guida: mostrare come rimuovere o disattivare tale opzione a livello utente o macchina tramite Criteri di gruppo (GPO) o, in alternativa, con Registro di sistema e script, anche quando l’editor dei criteri non presenta ancora la voce dedicata.
Perché bloccarla
- Riduzione della superficie d’attacco: meno punti di enumerazione di oggetti AD esposti all’utente.
- Controllo dell’esperienza utente: evitare percorsi di mappatura risorse non approvati.
- Compliance: in alcuni contesti (VDI condivisi, postazioni kiosk) la ricerca AD non è desiderata.
- Performance: ridurre query superflue ai controller di dominio su reti congestionate o sedi remote.
Prerequisiti e avvertenze
- Servono privilegi amministrativi per GPO, Registro o distribuzioni di script.
- Edizione Windows: gpedit.msc è disponibile su Pro/Enterprise/Education. Su Home usare Registro/script.
- Backup: prima di modificare il Registro, creare un punto di ripristino o esportare le chiavi interessate.
- Localizzazione: i nomi delle voci possono differire leggermente in base alla lingua del sistema.
- Dominio vs Workgroup: in assenza di dominio, funzionano comunque Registro e criteri locali (se presenti).
Soluzioni rapide a colpo d’occhio
Approccio | Passaggi chiave | Note utili / Limitazioni |
---|---|---|
Criterio di gruppo “Remove Search Active Directory” | 1. Apri gpedit.msc → User Configuration ▸ Administrative Templates ▸ Windows Components ▸ File Explorer.2. Abilita Remove Search Active Directory. 3. Forza l’aggiornamento con gpupdate /force . | Rimuove totalmente il pulsante/voce dalla GUI. Vale solo per gli utenti/OU a cui si applica il GPO. |
Importare i file ADMX mancanti | Se la voce non esiste, installa gli Administrative Templates più recenti e copia i file in PolicyDefinitions (locale o Central Store di dominio). | È la causa più comune dell’assenza del criterio. Richiede privilegi sul controller di dominio o sul PC. |
Disattivare “Network Discovery” e “File Sharing” | Pannello di controllo → Rete e Internet → Centro connessioni di rete → Impostazioni condivisione avanzate: disabilita entrambe. | Il pulsante risulta disabilitato (grigio), non scompare. Impatta la visibilità di altri PC e condivisioni. |
Registro di sistema (emergenza) | Imposta NoNetSearch = 1 in HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced (o HKLM per tutti). | Non documentato ufficialmente: testare su un gruppo pilota. Richiede logoff/logon o riavvio di Explorer. |
PowerShell (automazione) | New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" ` -Name "NoNetSearch" -Value 1 -PropertyType DWORD -Force | Perfetto per Intune, script di accesso, SCCM o orchestrazioni di hardening. |
Procedura consigliata: Criterio di Gruppo
GPO locale (PC singolo)
- Premi Win+R, digita
gpedit.msc
e premi Invio. - Vai a User Configuration ▸ Administrative Templates ▸ Windows Components ▸ File Explorer.
- Apri il criterio Remove Search Active Directory e imposta su Enabled.
- Applica e chiudi. Apri un prompt come amministratore ed esegui:
gpupdate /force
- Disconnetti e riconnetti l’utente, oppure riavvia Esplora file:
taskkill /IM explorer.exe /F start explorer.exe
GPO di dominio (più PC/utenti)
- Apri Group Policy Management sul controller di dominio o su una workstation amministrativa.
- Crea un nuovo GPO (es. “UI‑Hardening – Rimuovi Search AD”) e modificalo.
- In User Configuration ▸ Administrative Templates ▸ Windows Components ▸ File Explorer abilita Remove Search Active Directory.
- Collega il GPO all’OU che contiene gli utenti (non i computer) interessati.
- Opzionale: applica filtri di sicurezza (gruppi) o filtri WMI (per versioni di Windows specifiche).
- Forza l’aggiornamento:
gpupdate /target:user /force
- Verifica lato client:
gpresult /r | more gpresult /h C:\Temp\gpo.html
Apri il report e accertati che il GPO risulti applicato alla sezione Utente.
Verifica visiva
- Apri Esplora file → menu File o … e controlla l’assenza di “Cerca in Active Directory”.
- Apri “Connetti a unità di rete”: il pulsante “Ricerca” della scheda Rete non deve comparire.
Se la voce del criterio non c’è: importare gli ADMX
Quando l’Editor criteri non elenca Remove Search Active Directory, nella quasi totalità dei casi mancano o sono obsoleti i modelli amministrativi (ADMX/ADML) relativi a Esplora file. Occorre:
Central Store di dominio (consigliato)
- Scarica i modelli amministrativi coerenti con la build di Windows in uso nell’organizzazione.
- Estrai i file e copia il contenuto della cartella
PolicyDefinitions
in:\<dominio>\SYSVOL<dominio>\Policies\PolicyDefinitions
includendo le cartelle lingua (es.it-IT
,en-US
) per i file.adml
. - Attendi la replica SYSVOL tra i DC. Riavvia l’MMC del GPMC/gpedit e verifica la presenza del criterio.
PC non in dominio o laboratorio
- Copia i file
.admx
e le rispettive lingue.adml
in:C:\Windows\PolicyDefinitions\
- Riapri
gpedit.msc
e controlla che compaia Remove Search Active Directory.
Suggerimento: Se esiste un Central Store, esso ha priorità. ADMX troppo vecchi possono nascondere criteri nuovi. Allinea sempre le versioni.
Alternativa “soft”: disattivare Network Discovery e File Sharing
Per scenari in cui non è possibile applicare ADMX o criteri, disattivare Individuazione rete e Condivisione file e stampanti rende il pulsante di ricerca disabilitato (grigio):
- Apri Pannello di controllo → Rete e Internet → Centro connessioni di rete e condivisione.
- Seleziona Modifica impostazioni di condivisione avanzate.
- Nelle sezioni Dominio/Privata, disattiva Individuazione rete e Condivisione file e stampanti. Salva.
Attenzione: questa scelta ha impatti globali sulla rete (es. visibilità dei PC, condivisioni e stampanti). Usarla solo se coerente con le policy aziendali.
Comandi PowerShell equivalenti (avanzato)
# Disabilita regole firewall tipiche per Network Discovery e File/Printer Sharing (profilo Dominio)
Get-NetFirewallRule -DisplayGroup "Network Discovery" | Set-NetFirewallRule -Enabled False
Get-NetFirewallRule -DisplayGroup "File And Printer Sharing" | Set-NetFirewallRule -Enabled False
Soluzione di emergenza: Registro di sistema
Quando serve una “patch” rapida, puoi usare un valore non ufficialmente documentato. Effettua test pilota prima del roll‑out:
Chiave e valore
- Percorso:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Nome:
NoNetSearch
(DWORD) - Valore:
1
= disabilita/rimuove l’opzione;0
o assente = comportamento predefinito
Applicazione con reg.exe
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v NoNetSearch /t REG_DWORD /d 1 /f
rem (Per tutti gli utenti attuali e futuri)
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v NoNetSearch /t REG_DWORD /d 1 /f
File .reg pronto all’uso
Windows Registry Editor Version 5.00
[HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"NoNetSearch"=dword:00000001 </code></pre>
<p><strong>Nota</strong>: per vedere l’effetto serve un <em>logoff/logon</em> o il riavvio di Esplora file. In alcune build può essere necessaria anche una riaccensione.</p>
<h2>Automazione con PowerShell</h2>
<h3>Utente corrente</h3>
<pre><code>New-Item -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer" -Name "Advanced" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" `
-Name "NoNetSearch" -Value 1 -PropertyType DWORD -Force | Out-Null
</code></pre>
<h3>Tutti gli utenti esistenti (HKU) + impostazione macchina (HKLM)</h3>
<pre><code># Imposta per la macchina (nuovi profili ereditano dal contesto di sistema di molte app)
New-Item -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Explorer" -Name "Advanced" -Force | Out-Null
New-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" `
-Name "NoNetSearch" -Value 1 -PropertyType DWORD -Force | Out-Null
Applica a tutti i profili utente caricabili (esclude account di servizio)
$loaded = Get-ChildItem HKU: | Where-Object { $.Name -match '^HKEY_USERS\S-\d-\d+-.+' -and $.Name -notmatch 'Classes$' }
foreach ($hku in $loaded) {
$path = Join-Path $hku.PSPath "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
if (-not (Test-Path $path)) { New-Item -Path $path -Force | Out-Null }
New-ItemProperty -Path $path -Name "NoNetSearch" -Value 1 -PropertyType DWORD -Force | Out-Null
} </code></pre>
<h3>Distribuzione con Microsoft Intune (2 opzioni)</h3>
<ol>
<li><strong>Script di PowerShell</strong>: carica lo script “Utente corrente”, ambito <em>Run this script using the logged‑on credentials</em>, frequenza al login.</li>
<li><strong>Proactive Remediations</strong>: usa una coppia <em>Detection</em>/<em>Remediation</em>.
<details>
<summary>Script di Detection (esempio)</summary>
<pre><code>$val = 0
try {
$val = Get-ItemPropertyValue -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" -Name "NoNetSearch" -ErrorAction Stop
} catch { $val = $null }
if ($val -ne 1) { Write-Output "Non conforme"; exit 1 } else { Write-Output "OK"; exit 0 }
</code></pre>
</details>
<details>
<summary>Script di Remediation (esempio)</summary>
<pre><code>New-Item -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer" -Name "Advanced" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" `
-Name "NoNetSearch" -Value 1 -PropertyType DWORD -Force | Out-Null
</details>
Distribuzione con Microsoft Configuration Manager (SCCM)
- Crea un’applicazione o pacchetto che esegua lo script PowerShell “Tutti gli utenti”.
- Rilevamento: regola di detection su
HKCU\...\NoNetSearch
=1
(per l’Application model usa “User Experience” appropriata). - Distribuisci a raccolte di utenti/PC. Valuta finestra di manutenzione per evitare riavvii inattesi di Explorer.
Scenario senza dominio (workgroup, test, home lab)
- Se disponibile, applica il criterio via
gpedit.msc
(GPO locale, se la voce esiste). - In alternativa, usa il Registro o lo script PowerShell come da sezioni precedenti.
- Valuta il Task Scheduler per applicazioni periodiche all’accesso utente.
Rollback e ripristino
- GPO: imposta il criterio su Not Configured o Disabled, aggiorna criteri (
gpupdate /force
), riavvia Explorer. - Registro: rimuovi
NoNetSearch
o impostalo a0
inHKCU
/HKLM
, poi logoff/logon. - Network Discovery/File Sharing: riattiva dalle impostazioni di condivisione avanzata o riabilita le regole firewall.
Verifica e diagnostica
- RSoP: avvia
rsop.msc
per vedere il risultato dei criteri effettivi lato utente. - Eventi: log Microsoft‑Windows‑GroupPolicy/Operational per eventuali errori di applicazione.
- Explorer: se la voce non cambia, riavvia
explorer.exe
o esegui un logoff. - ADMX/ADML: accertati che le coppie lingua (es.
it-IT\explorer.adml
) corrispondano alla versione.admx
. - Conflitti: altri criteri su Esplora file (p.es. “Nascondi comandi di menu specifici”) potrebbero interagire con la UI.
Domande frequenti
Questo blocco influisce sulla ricerca locale di file?
No: riguarda la voce/il pulsante che avvia la ricerca in Active Directory, non l’indicizzazione o la ricerca locale dei file.
È valido anche su Windows Server con interfaccia desktop?
Sì, il criterio è lato utente e agisce su sessioni interattive (compreso RDS). Verifica però la presenza del criterio nei modelli ADMX della versione in uso.
Su Windows Home non trovo gpedit.msc: come faccio?
Usa la soluzione Registro/PowerShell. Le edizioni Home non includono l’Editor Criteri di Gruppo.
Non vedo il criterio “Remove Search Active Directory”. È normale?
Di solito significa che i modelli amministrativi non sono aggiornati. Installa gli ADMX corretti e/o allinea il Central Store.
Il pulsante resta grigio dopo aver disattivato Network Discovery. È la soluzione giusta?
È un workaround accettabile dove non vuoi rimuovere la voce ma solo impedirne l’uso. Considera gli effetti collaterali sul networking.
Best practice di distribuzione
- Verifica della build di Windows: controlla che i modelli ADMX corrispondano (Windows 10 vs Windows 11, release recenti).
- Ambiente senza dominio: prediligi Registro/script; su più PC automatizza con Intune o strumenti RMM.
- Test controllati: applica il GPO a una OU di prova e raccogli feedback degli utenti chiave prima del roll‑out generale.
- Documentazione: annota versioni ADMX, OU interessate, filtri WMI e gruppi di sicurezza in una runbook interna.
- Comunicazione: avvisa gli utenti che la ricerca AD tramite Esplora file è stata dismessa per motivi di sicurezza.
Checklist operativa
- ✅ Hai aggiornato/creato il Central Store o i
PolicyDefinitions
locali? - ✅ Il GPO “Remove Search Active Directory” è abilitato in User Configuration e collegato all’OU giusta?
- ✅
gpresult
/rsop.msc
confermano l’applicazione del criterio? - ✅ In alternativa,
NoNetSearch=1
è presente inHKCU\...\Explorer\Advanced
(e se serve inHKLM
)? - ✅ Hai riavviato explorer.exe o effettuato logoff/logon?
- ✅ In workaround, Network Discovery e File and Printer Sharing sono disattivati nel profilo corretto?
Conclusioni
Con le opzioni illustrate—dal criterio di gruppo dedicato all’aggiornamento ADMX, passando per Registro, PowerShell e distribuzione centralizzata—puoi eliminare o rendere inattiva in modo sostenibile l’opzione “Cerca in Active Directory” di Esplora file. Scegli l’approccio più adatto al tuo perimetro (dominio vs stand‑alone), valuta gli impatti su networking e UX, e applica sempre un ciclo di test e verifica prima del roll‑out completo.
Appendice: esempi pronti all’uso
GPO Preferences ▸ Registro (utente)
- Modifica il GPO → User Configuration ▸ Preferences ▸ Windows Settings ▸ Registry.
- New ▸ Registry Item: Action=Update, Hive=
HKEYCURRENTUSER
, Key Path=Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
, Value name=NoNetSearch
, Type=REG_DWORD, Value data=1
. - Abilita “Run in logged‑on user’s security context” se necessario. Applica e verifica con
gpupdate /force
.
Script di login (batch) minimal
@echo off
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v NoNetSearch /t REG_DWORD /d 1 /f
Ripristino rapido (rollback)
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v NoNetSearch /f
rem oppure
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v NoNetSearch /t REG_DWORD /d 0 /f
Note su VDI e sessioni multi‑utente
- Preferisci il criterio utente: è per‑sessione e non richiede privilegi amministrativi locali per l’effetto.
- In immagini dorate (gold image), imposta
HKLM
per ereditare l’impostazione, ma applica comunque un GPO utente in produzione.
Impatto minimo garantito
- Il criterio proposto non altera indicizzazione, ricerca locale o OneDrive/SharePoint; agisce solo sulla UI di Esplora file legata ad AD.
- La soluzione “Network Discovery” è la più invasiva: applicala solo se serve davvero.