Bloccare “Search Active Directory” in Windows: rimuovere il pulsante di ricerca in Esplora file con Criteri di gruppo, Registro e PowerShell

Vuoi rimuovere “Cerca in Active Directory” da Esplora file e dal pulsante della finestra “Connetti a unità di rete”? In questa guida trovi metodi supportati (Criteri di gruppo/ADMX) e alternative (Registro, PowerShell, Intune/SCCM) con verifica, rollback e note per ambienti dominio e standalone.

Panoramica e obiettivo

In ambienti di dominio può essere opportuno impedire agli utenti di avviare la funzione Search Active Directory (in italiano “Cerca in Active Directory”) esposta:

• come pulsante “Ricerca” nella scheda Rete della finestra di dialogo Connetti a unità di rete (quando il PC è nel dominio);
• come voce di menu “Cerca in Active Directory” all’interno di Esplora file.

Scopo della guida: mostrare come rimuovere o disattivare tale opzione a livello utente o macchina tramite Criteri di gruppo (GPO) o, in alternativa, con Registro di sistema e script, anche quando l’editor dei criteri non presenta ancora la voce dedicata.

Perché bloccarla

• Riduzione della superficie d’attacco: meno punti di enumerazione di oggetti AD esposti all’utente.
• Controllo dell’esperienza utente: evitare percorsi di mappatura risorse non approvati.
• Compliance: in alcuni contesti (VDI condivisi, postazioni kiosk) la ricerca AD non è desiderata.
• Performance: ridurre query superflue ai controller di dominio su reti congestionate o sedi remote.

Prerequisiti e avvertenze

• Servono privilegi amministrativi per GPO, Registro o distribuzioni di script.
• Edizione Windows: gpedit.msc è disponibile su Pro/Enterprise/Education. Su Home usare Registro/script.
• Backup: prima di modificare il Registro, creare un punto di ripristino o esportare le chiavi interessate.
• Localizzazione: i nomi delle voci possono differire leggermente in base alla lingua del sistema.
• Dominio vs Workgroup: in assenza di dominio, funzionano comunque Registro e criteri locali (se presenti).

Soluzioni rapide a colpo d’occhio

Approccio	Passaggi chiave	Note utili / Limitazioni
Criterio di gruppo “Remove Search Active Directory”	1. Apri gpedit.msc → User Configuration ▸ Administrative Templates ▸ Windows Components ▸ File Explorer. 2. Abilita Remove Search Active Directory. 3. Forza l’aggiornamento con gpupdate /force.	Rimuove totalmente il pulsante/voce dalla GUI. Vale solo per gli utenti/OU a cui si applica il GPO.
Importare i file ADMX mancanti	Se la voce non esiste, installa gli Administrative Templates più recenti e copia i file in PolicyDefinitions (locale o Central Store di dominio).	È la causa più comune dell’assenza del criterio. Richiede privilegi sul controller di dominio o sul PC.
Disattivare “Network Discovery” e “File Sharing”	Pannello di controllo → Rete e Internet → Centro connessioni di rete → Impostazioni condivisione avanzate: disabilita entrambe.	Il pulsante risulta disabilitato (grigio), non scompare. Impatta la visibilità di altri PC e condivisioni.
Registro di sistema (emergenza)	Imposta NoNetSearch = 1 in HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced (o HKLM per tutti).	Non documentato ufficialmente: testare su un gruppo pilota. Richiede logoff/logon o riavvio di Explorer.
PowerShell (automazione)	New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" ` -Name "NoNetSearch" -Value 1 -PropertyType DWORD -Force	Perfetto per Intune, script di accesso, SCCM o orchestrazioni di hardening.

Procedura consigliata: Criterio di Gruppo

GPO locale (PC singolo)

1. Premi Win+R, digita gpedit.msc e premi Invio.
2. Vai a User Configuration ▸ Administrative Templates ▸ Windows Components ▸ File Explorer.
3. Apri il criterio Remove Search Active Directory e imposta su Enabled.
4. Applica e chiudi. Apri un prompt come amministratore ed esegui: gpupdate /force
5. Disconnetti e riconnetti l’utente, oppure riavvia Esplora file: taskkill /IM explorer.exe /F start explorer.exe

GPO di dominio (più PC/utenti)

1. Apri Group Policy Management sul controller di dominio o su una workstation amministrativa.
2. Crea un nuovo GPO (es. “UI‑Hardening – Rimuovi Search AD”) e modificalo.
3. In User Configuration ▸ Administrative Templates ▸ Windows Components ▸ File Explorer abilita Remove Search Active Directory.
4. Collega il GPO all’OU che contiene gli utenti (non i computer) interessati.
5. Opzionale: applica filtri di sicurezza (gruppi) o filtri WMI (per versioni di Windows specifiche).
6. Forza l’aggiornamento: gpupdate /target:user /force
7. Verifica lato client: gpresult /r | more gpresult /h C:\Temp\gpo.html Apri il report e accertati che il GPO risulti applicato alla sezione Utente.

Verifica visiva

• Apri Esplora file → menu File o … e controlla l’assenza di “Cerca in Active Directory”.
• Apri “Connetti a unità di rete”: il pulsante “Ricerca” della scheda Rete non deve comparire.

Se la voce del criterio non c’è: importare gli ADMX

Quando l’Editor criteri non elenca Remove Search Active Directory, nella quasi totalità dei casi mancano o sono obsoleti i modelli amministrativi (ADMX/ADML) relativi a Esplora file. Occorre:

Central Store di dominio (consigliato)

1. Scarica i modelli amministrativi coerenti con la build di Windows in uso nell’organizzazione.
2. Estrai i file e copia il contenuto della cartella PolicyDefinitions in: \<dominio>\SYSVOL<dominio>\Policies\PolicyDefinitions includendo le cartelle lingua (es. it-IT, en-US) per i file .adml.
3. Attendi la replica SYSVOL tra i DC. Riavvia l’MMC del GPMC/gpedit e verifica la presenza del criterio.

PC non in dominio o laboratorio

1. Copia i file .admx e le rispettive lingue .adml in: C:\Windows\PolicyDefinitions\
2. Riapri gpedit.msc e controlla che compaia Remove Search Active Directory.

Suggerimento: Se esiste un Central Store, esso ha priorità. ADMX troppo vecchi possono nascondere criteri nuovi. Allinea sempre le versioni.

Alternativa “soft”: disattivare Network Discovery e File Sharing

Per scenari in cui non è possibile applicare ADMX o criteri, disattivare Individuazione rete e Condivisione file e stampanti rende il pulsante di ricerca disabilitato (grigio):

1. Apri Pannello di controllo → Rete e Internet → Centro connessioni di rete e condivisione.
2. Seleziona Modifica impostazioni di condivisione avanzate.
3. Nelle sezioni Dominio/Privata, disattiva Individuazione rete e Condivisione file e stampanti. Salva.

Attenzione: questa scelta ha impatti globali sulla rete (es. visibilità dei PC, condivisioni e stampanti). Usarla solo se coerente con le policy aziendali.

Comandi PowerShell equivalenti (avanzato)

# Disabilita regole firewall tipiche per Network Discovery e File/Printer Sharing (profilo Dominio)
Get-NetFirewallRule -DisplayGroup "Network Discovery" | Set-NetFirewallRule -Enabled False
Get-NetFirewallRule -DisplayGroup "File And Printer Sharing" | Set-NetFirewallRule -Enabled False

Soluzione di emergenza: Registro di sistema

Quando serve una “patch” rapida, puoi usare un valore non ufficialmente documentato. Effettua test pilota prima del roll‑out:

Chiave e valore

• Percorso: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
• Nome: NoNetSearch (DWORD)
• Valore: 1 = disabilita/rimuove l’opzione; 0 o assente = comportamento predefinito

Applicazione con reg.exe

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v NoNetSearch /t REG_DWORD /d 1 /f
rem (Per tutti gli utenti attuali e futuri)
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v NoNetSearch /t REG_DWORD /d 1 /f

File .reg pronto all’uso

Windows Registry Editor Version 5.00

[HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"NoNetSearch"=dword:00000001 </code></pre>

<p><strong>Nota</strong>: per vedere l’effetto serve un <em>logoff/logon</em> o il riavvio di Esplora file. In alcune build può essere necessaria anche una riaccensione.</p>

<h2>Automazione con PowerShell</h2>

<h3>Utente corrente</h3>
<pre><code>New-Item -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer" -Name "Advanced" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" `
  -Name "NoNetSearch" -Value 1 -PropertyType DWORD -Force | Out-Null
</code></pre>

<h3>Tutti gli utenti esistenti (HKU) + impostazione macchina (HKLM)</h3>
<pre><code># Imposta per la macchina (nuovi profili ereditano dal contesto di sistema di molte app)
New-Item -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Explorer" -Name "Advanced" -Force | Out-Null
New-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" `
  -Name "NoNetSearch" -Value 1 -PropertyType DWORD -Force | Out-Null

Applica a tutti i profili utente caricabili (esclude account di servizio)

$loaded = Get-ChildItem HKU: | Where-Object { $.Name -match '^HKEY_USERS\S-\d-\d+-.+' -and $.Name -notmatch 'Classes$' }
foreach ($hku in $loaded) {
$path = Join-Path $hku.PSPath "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
if (-not (Test-Path $path)) { New-Item -Path $path -Force | Out-Null }
New-ItemProperty -Path $path -Name "NoNetSearch" -Value 1 -PropertyType DWORD -Force | Out-Null
} </code></pre>

<h3>Distribuzione con Microsoft Intune (2 opzioni)</h3>
<ol>
  <li><strong>Script di PowerShell</strong>: carica lo script “Utente corrente”, ambito <em>Run this script using the logged‑on credentials</em>, frequenza al login.</li>
  <li><strong>Proactive Remediations</strong>: usa una coppia <em>Detection</em>/<em>Remediation</em>.
    <details>
      <summary>Script di Detection (esempio)</summary>
      <pre><code>$val = 0
try {
  $val = Get-ItemPropertyValue -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" -Name "NoNetSearch" -ErrorAction Stop
} catch { $val = $null }
if ($val -ne 1) { Write-Output "Non conforme"; exit 1 } else { Write-Output "OK"; exit 0 }
</code></pre>
    </details>
    <details>
      <summary>Script di Remediation (esempio)</summary>
      <pre><code>New-Item -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer" -Name "Advanced" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" `
  -Name "NoNetSearch" -Value 1 -PropertyType DWORD -Force | Out-Null

</details>

Distribuzione con Microsoft Configuration Manager (SCCM)

1. Crea un’applicazione o pacchetto che esegua lo script PowerShell “Tutti gli utenti”.
2. Rilevamento: regola di detection su HKCU\...\NoNetSearch=1 (per l’Application model usa “User Experience” appropriata).
3. Distribuisci a raccolte di utenti/PC. Valuta finestra di manutenzione per evitare riavvii inattesi di Explorer.

Scenario senza dominio (workgroup, test, home lab)

• Se disponibile, applica il criterio via gpedit.msc (GPO locale, se la voce esiste).
• In alternativa, usa il Registro o lo script PowerShell come da sezioni precedenti.
• Valuta il Task Scheduler per applicazioni periodiche all’accesso utente.

Rollback e ripristino

• GPO: imposta il criterio su Not Configured o Disabled, aggiorna criteri (gpupdate /force), riavvia Explorer.
• Registro: rimuovi NoNetSearch o impostalo a 0 in HKCU/HKLM, poi logoff/logon.
• Network Discovery/File Sharing: riattiva dalle impostazioni di condivisione avanzata o riabilita le regole firewall.

Verifica e diagnostica

• RSoP: avvia rsop.msc per vedere il risultato dei criteri effettivi lato utente.
• Eventi: log Microsoft‑Windows‑GroupPolicy/Operational per eventuali errori di applicazione.
• Explorer: se la voce non cambia, riavvia explorer.exe o esegui un logoff.
• ADMX/ADML: accertati che le coppie lingua (es. it-IT\explorer.adml) corrispondano alla versione .admx.
• Conflitti: altri criteri su Esplora file (p.es. “Nascondi comandi di menu specifici”) potrebbero interagire con la UI.

Domande frequenti

Questo blocco influisce sulla ricerca locale di file?

No: riguarda la voce/il pulsante che avvia la ricerca in Active Directory, non l’indicizzazione o la ricerca locale dei file.

È valido anche su Windows Server con interfaccia desktop?

Sì, il criterio è lato utente e agisce su sessioni interattive (compreso RDS). Verifica però la presenza del criterio nei modelli ADMX della versione in uso.

Su Windows Home non trovo gpedit.msc: come faccio?

Usa la soluzione Registro/PowerShell. Le edizioni Home non includono l’Editor Criteri di Gruppo.

Non vedo il criterio “Remove Search Active Directory”. È normale?

Di solito significa che i modelli amministrativi non sono aggiornati. Installa gli ADMX corretti e/o allinea il Central Store.

Il pulsante resta grigio dopo aver disattivato Network Discovery. È la soluzione giusta?

È un workaround accettabile dove non vuoi rimuovere la voce ma solo impedirne l’uso. Considera gli effetti collaterali sul networking.

Best practice di distribuzione

• Verifica della build di Windows: controlla che i modelli ADMX corrispondano (Windows 10 vs Windows 11, release recenti).
• Ambiente senza dominio: prediligi Registro/script; su più PC automatizza con Intune o strumenti RMM.
• Test controllati: applica il GPO a una OU di prova e raccogli feedback degli utenti chiave prima del roll‑out generale.
• Documentazione: annota versioni ADMX, OU interessate, filtri WMI e gruppi di sicurezza in una runbook interna.
• Comunicazione: avvisa gli utenti che la ricerca AD tramite Esplora file è stata dismessa per motivi di sicurezza.

Checklist operativa

• ✅ Hai aggiornato/creato il Central Store o i PolicyDefinitions locali?
• ✅ Il GPO “Remove Search Active Directory” è abilitato in User Configuration e collegato all’OU giusta?
• ✅ gpresult/rsop.msc confermano l’applicazione del criterio?
• ✅ In alternativa, NoNetSearch=1 è presente in HKCU\...\Explorer\Advanced (e se serve in HKLM)?
• ✅ Hai riavviato explorer.exe o effettuato logoff/logon?
• ✅ In workaround, Network Discovery e File and Printer Sharing sono disattivati nel profilo corretto?

Conclusioni

Con le opzioni illustrate—dal criterio di gruppo dedicato all’aggiornamento ADMX, passando per Registro, PowerShell e distribuzione centralizzata—puoi eliminare o rendere inattiva in modo sostenibile l’opzione “Cerca in Active Directory” di Esplora file. Scegli l’approccio più adatto al tuo perimetro (dominio vs stand‑alone), valuta gli impatti su networking e UX, e applica sempre un ciclo di test e verifica prima del roll‑out completo.

---

Appendice: esempi pronti all’uso

GPO Preferences ▸ Registro (utente)

1. Modifica il GPO → User Configuration ▸ Preferences ▸ Windows Settings ▸ Registry.
2. New ▸ Registry Item: Action=Update, Hive=HKEYCURRENTUSER, Key Path=Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Value name=NoNetSearch, Type=REG_DWORD, Value data=1.
3. Abilita “Run in logged‑on user’s security context” se necessario. Applica e verifica con gpupdate /force.

Script di login (batch) minimal

@echo off
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v NoNetSearch /t REG_DWORD /d 1 /f

Ripristino rapido (rollback)

reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v NoNetSearch /f
rem oppure
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v NoNetSearch /t REG_DWORD /d 0 /f

Note su VDI e sessioni multi‑utente

• Preferisci il criterio utente: è per‑sessione e non richiede privilegi amministrativi locali per l’effetto.
• In immagini dorate (gold image), imposta HKLM per ereditare l’impostazione, ma applica comunque un GPO utente in produzione.

Impatto minimo garantito

• Il criterio proposto non altera indicizzazione, ricerca locale o OneDrive/SharePoint; agisce solo sulla UI di Esplora file legata ad AD.
• La soluzione “Network Discovery” è la più invasiva: applicala solo se serve davvero.

---