Scenario iniziale: una scuola, due sedi, troppi account
In molte scuole italiane, la tecnologia non si è evoluta secondo una visione unitaria, ma per necessità contingenti. Così anche nella nostra, divisa in due plessi con reti indipendenti, server locali e domini Active Directory separati. Ogni sede aveva un suo dominio, un suo print server, una sua gestione utenti.
Gli utenti — docenti e studenti — spesso si spostavano tra una sede e l’altra, e per ciascuna avevano:
- Un account Windows per accedere ai PC locali
- Un account per il Wi-Fi (con o senza RADIUS/AD)
- Un account Google Workspace (identico per entrambi i plessi, ma non collegato all’AD)
- Un PIN fotocopie per ogni sede
Il risultato? Confusione per gli utenti, doppio lavoro per il personale IT, e un senso costante di “frizione” nell’uso della tecnologia.
Unire i domini AD? Una soluzione a metà
Una delle ipotesi valutate era quella più classica: unire i due domini AD e creare un controller di replica tra i due plessi. Una strada percorribile, ma che avrebbe risolto solo una parte del problema: l’account Windows. L’account Google Workspace sarebbe comunque rimasto separato, e quindi avremmo continuato ad avere due identità digitali scollegate per ogni persona.
Anche strumenti come Google Cloud Directory Sync (GCDS) o Google Password Sync non convincevano: configurazioni complesse, sincronizzazione unidirezionale, e difficoltà nel gestire tutto questo ad anno scolastico in corso.
La realtà quotidiana: doppio accesso Windows – Google
Nel frattempo, la realtà parlava chiaro: la stragrande maggioranza degli utenti, una volta fatto accesso a Windows, apriva subito Chrome per accedere a Gmail, Classroom o Drive. Due login consecutivi, spesso su PC diversi, ogni giorno.
Era evidente che bisognava invertire il paradigma: mettere al centro l’identità Google Workspace, e farla diventare l’unica credenziale anche per accedere ai PC Windows.
GCPW: Google Credential Provider for Windows
La svolta è arrivata con l’adozione di Google Credential Provider for Windows (GCPW), uno strumento che consente l’accesso a Windows con le credenziali Google. In pratica:
- L’utente accede a Windows con email e password di Google Workspace
- Viene creato un utente locale sul PC
- Chrome è già configurato e loggato
- La password è unica
Avevo già testato GCPW in passato, ma l’avevo scartato per alcune criticità:
- L’utente creato è locale, quindi non può accedere alle risorse AD come condivisioni o stampanti
- Non vengono applicate policy o roaming di profilo
- Stampare su print server Windows è problematico
Ma oggi quelle criticità sono superabili — soprattutto se l’intero ecosistema viene pensato attorno a Google e non più all’AD.
Stampanti: da server Windows a Linux + PaperCut
Nel plesso dove c’era già un print server Windows, ho deciso di sostituirlo con un server Linux, usando CUPS e PaperCut MF. Le motivazioni:
- Cups è open source, stabile e leggero
- Non richiede licenze Windows Server
- Nessun problema di autenticazione di dominio
- Tutto funziona via IPP/HTTP
- Stampanti installabili con uno script, anche su BYOD
- Uno strumento centralizzato per razionalizzare le stampe era necessario, quindi seppur a pagamento serviva qualcosa di centralizzato, trasparente per l’utente e con funzionalità comode
- Ogni utente ha un PIN unificato, valido ovunque per stampa e copia
Grazie a PaperCut:
- Gli utenti possono stampare via web o email e andare a ritirarsi la stampa indifferentemente su una stampante in uno dei plessi
- È disponibile Mobility Print per ogni device
- Tutto è tracciato e gestito centralmente
- Non serve più l’autenticazione AD: l’utente è riconosciuto automaticamente anche col nome utente Google, il PIN è usato solo per le fotocopie
Insomma, abbiamo tolto di mezzo il dominio anche per la stampa, e funziona molto bene.
VPN tra sedi: un unico print server per tutta la scuola
Una volta sistemata la sede più difficile, ho completato il lavoro unendo i due plessi con una VPN site-to-site. In questo modo, il server CUPS è diventato unico per tutta la scuola, e tutte le stampanti risiedono lì.
A costo zero, abbiamo centralizzato la gestione, semplificato le installazioni e reso il sistema più snello, più moderno e molto più vicino all’uso reale che utenti e docenti fanno della tecnologia scolastica.
Conclusione: meno sistemi, più efficienza
Il passaggio da una gestione “vecchio stile” basata su Active Directory e print server Windows a un sistema unificato Google Workspace + GCPW + CUPS + PaperCut ha portato:
- Una sola identità per ogni utente, valida ovunque
- Meno manutenzione per il personale IT
- Più semplicità per studenti e docenti
- Nessun vincolo AD per la stampa o l’accesso
- Un’infrastruttura più aperta, compatibile e scalabile
L’utente che usa un Chromebook accede con Google, senza dover sapere nient’altro.
Chi usa Windows, invece, si ritrova già loggato in Chrome senza alcun passaggio aggiuntivo: con un solo clic può sincronizzare preferiti, cronologia e password. E non solo: posso anche precaricargli i preferiti più utili, diversi a seconda del gruppo Google di appartenenza (docenti, studenti, amministrativi, ecc.).
In più, anche se ancora in modo limitato, è possibile gestire alcune policy Windows direttamente dalla console di Google. Non siamo ancora al livello delle GPO di AD, ma è un primo passo che rende possibile una gestione centralizzata, anche in ambienti misti.
Ci tengo a precisare che, pur essendo un utilizzatore convinto degli strumenti Google, non credo che Google sia “la salvezza dell’istruzione” né una soluzione universale valida per tutto e per tutti. Non è una questione ideologica: semplicemente, in un contesto scolastico dove Google Workspace è già ampiamente adottato e integrato — tra account, Chromebook, Drive, Classroom, ecc. — mi è sembrato naturale costruire attorno a questa realtà esistente, semplificando la vita agli utenti e riducendo il carico sul personale tecnico.
Non me ne vogliano quindi i fan di Microsoft, di Azure o di qualsiasi altra piattaforma simile. Non si tratta di fare il tifo, ma di fare funzionare bene ciò che già c’è!
