Windows 7: Supporto esteso fino al 2023

February 2, 2020, 9:49 am

≫ Next: Visualizzare statistiche dei download Torrent per indirizzo IP

≪ Previous: Windows Server 2019: Creare un'unità organizzativa tramite PowerShell

Windows 7 ha fatto il suo debutto nel lontano 2009 ed è stato uno dei sistemi operativi più apprezzati dagli utenti tanto da indurre Microsoft a supportarlo e ad aggiornarlo per oltre 10 anni. Il supporto per questo sistema operativo è terminato il 14 gennaio 2020 e non verranno più rilasciati aggiornamenti di sicurezza. Per venire incontro alle aziende che dispongono ancora di numerose macchine con Windows 7,Microsoft ha istituito un programma di aggiornamenti di sicurezza estesa (Extended Security Updates, Esu) che può essere sottoscritto, a pagamento, unicamente dalle aziende. La copertura per gli aggiornamenti di sicurezza è fornita per tre periodi consecutivi di 12 mesi ciascuno (tre anni) a prezzi crescenti. Per maggiori dettagli sul programma di aggiornamenti ESU è possibile consultare la pagina https://support.microsoft.com/it-it/help/4527878/faq-about-extended-security-updates-for-windows-7

La community di My Digital Life ha sviluppato il tool BypassESU che,
bypassando la verifica della chiave Esu, consente l’installazione e l’attivazione del supporto esteso su qualsiasi sistema Windows 7/Windows Server 2008 R2 e senza dover pagare la licenza annuale. Ovviamente è da tenere in considerazione che, trattandosi di una soluzione non legale, Microsoft potrebbe intervenire e bloccare il funzionamento del tool da un momento all'altro lasciando gli utenti privi di protezione.

Dopo aver effettuato la registrazione gratuita al sito e completata l'autenticazione è possibile scaricare il tool dal seguente link
https://forums.mydigitallife.net/threads/bypass-windows-7-extended-security-updates-eligibility.80606/

FIG 1 - My Digital Life, BypassESU

Il file va scompattato utilizzando la password presente sul forum. Al suo interno sono presenti tre file:
- _ReadMe.txt contenente istruzioni e informazioni sul tool.
- Installer.bat che consente l'installazione/attivazione del supporto esteso.
- Remover.bat che rimuove l'attivazione del supporto esteso.

Cliccare con il tasto destro del mouse sul file Installer.bat e selezionare Esegui come amministratore. Rispondere affermativamente all'eventuale messaggio relativo al UAC e attendere il completamento dell'installazione.

FIG 2 - Installazione BypassEsu

Il tool consente solo di installare gli aggiornamenti ESU. Gli aggiornamenti non verranno installati tramite Windows Update ma vanno scaricati manualmente, ad esempio, tramite il sito Microsoft Update Catalog https://www.catalog.update.microsoft.com.

E' possibile verificare il rilascio di aggiornamenti tramite KB consultando la seguente discussione
https://forums.mydigitallife.net/threads/19461/

↧

Visualizzare statistiche dei download Torrent per indirizzo IP

February 4, 2020, 12:08 pm

≫ Next: Windows Server 2019: Visualizzare il Distinguished Name di un oggetto in AD tramite GUI

≪ Previous: Windows 7: Supporto esteso fino al 2023

Un sito utile per la visualizzazione delle statistiche di download dei Torrent in base all'indirizzo IP è https://iknowwhatyoudownload.com. Si tratta di un sito per certi versi molto interessante che dimostra come la privacy sia una cosa molto difficile da preservare. Chi utilizza il protocollo BitTorrent per il download e la condivisione dei contenuti, accedendo alla homepage del sito si troverà dinanzi ad un elenco, abbastanza attendibile, degli ultimi Torrent scaricati. IKnowWhatYouDownload basa le proprie statistiche rilevando i dati dai siti di Torrent, dai tracker e dalla rete DHT (Distributed Hash Table).

FIG 1 - IKnowWhatYouDownload, statistiche Torrent scaricati

Oltre alle statistiche relative al proprio indirizzo IP il sito permette di specificare e verificare le statistiche relative ad altri indirizzi, visualizzare le statistiche giornaliere relative al paese di appartenenza dell'indirizzo IP e quelle globali annuali sui Torrent più scaricati.

Un ulteriore strumento messo a disposizione dal sito prevede la possibilità di tracciare l'attività BitTorrent di un amico inviandogli uno speciale link camuffato.

All'interno della homepage cliccare sul link spy on them via special generated link.
Nell'apposita casella specificare un link da condividere con l'amico che si intende spiare (ad es. digitare http://facebook.com) e cliccare sul pulsante Transform.
FIG 2 - Generazione link camuffato da inviare ad amico
Copiare il link generato e inviarlo all'amico. Quando quest'ultimo aprirà il link verrà dirottato all'indirizzo da noi specificato (facebook.com) mentre la pagina che abbiamo a video verrà aggiornata con le statistiche BitTorrent del nostro amico.
FIG 3 - Link da inviare e visualizzazione delle statistiche

I risultati di IKnowWhatYouDownload non sono attendibili al 100%. Basandosi su indirizzi IP e considerando che le connessioni domestiche dispongono di un indirizzo IP dinamico, ne consegue che che i risultati del tool vanno presi con le molle.

↧

Windows Server 2019: Visualizzare il Distinguished Name di un oggetto in AD tramite GUI

February 6, 2020, 10:48 am

≫ Next: Windows Server 2019: Aggiungere un account utente al dominio

≪ Previous: Visualizzare statistiche dei download Torrent per indirizzo IP

Nell'articolo Windows Server 2019: Creare un'unità organizzativa tramite PowerShell abbiamo parlato del Lightweight Directory Access Protocol (LDAP) e del Distinguished Name (DN). Per visualizzare il Distinguished Name di un oggetto tramite GUI è possibile procedere utilizzare il Centro di amministrazione di Active Directory oppure Utenti e computer di Active Directory.

Visualizzare il Distinguished Name di un oggetto tramite Centro di amministrazione di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
FIG 1 - Server Manager, Centro di amministrazione di Active Directory
Selezionare l'oggetto desiderato in Active Directory. Cliccare sull'oggetto con il tasto destro del mouse e selezionare Proprietà (in alternativa cliccare sul link Proprietà presente all'interno del pannello Attività).
FIG 2 - Centro di amministrazione di Active Directory, Proprietà oggetto
Sul lato sinistro della finestra relativa alle proprietà dell'oggetto cliccare su Estensioni. Selezionare la scheda Editor attributi quindi eseguire un doppio clic sull'attributo distinguishedName.
FIG 3 - Centro di amministrazione di Active Directory, Attributo distinguishedName
Come visibile in FIG 4 verrà aperta una finestra di dialogo con il Distinguished Name dell'oggetto selezionato (OU=Computer,OU=Direzione,DC=mycompany,DC=local).
FIG 4 - Centro di amministrazione di Active Directory, Editor attributo distinguishedName

Visualizzare il Distinguished Name di un oggetto tramite Utenti e computer di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
FIG 5 - Server Manager, Strumenti, Utenti e computer di Active Directory
Dal menu Visualizza di Utenti e computer di Active Directory selezionare Funzionalità avanzate.
FIG 6 - Utenti e computer di Active Directory, Funzionalità avanzate
Cliccare con il tasto destro del mouse sull'oggetto in AD desiderato e selezionare Proprietà dal menu contestuale.
FIG 7 - Utenti e computer di Active Directory, Proprietà oggetto in AD
Selezionare la scheda Editor attributi quindi eseguire un doppio clic sull'attributo distinguishedName.
FIG 8 - Utenti e computer di Active Directory, Attributo DN
In una nuova finestra di dialogo verrà mostrato il Distinguished Name dell'oggetto selezionato.
FIG 9 - Utenti e computer di Active Directory, Editor Attributo distinguishedName

Articoli precedenti

↧

Windows Server 2019: Aggiungere un account utente al dominio

February 10, 2020, 10:38 am

≫ Next: Windows Server 2019: Creazione gruppi in Active Directory

≪ Previous: Windows Server 2019: Visualizzare il Distinguished Name di un oggetto in AD tramite GUI

Negli articoli precedenti è stato mostrato come creare una foresta/dominio e come aggiungervi unità organizzative. In questo articolo verrà mostrato come creare account utente all'interno del dominio.
Per default un utente che appartiene al dominio, a prescindere dalla unità organizzativa di appartenenza, può eseguire il logon su qualsiasi workstation del dominio stesso. In maniera analoga a quanto già visto per la creazione delle unità organizzative, la creazione di un nuovo account utente all'interno del dominio può essere eseguita con lo strumento Utenti e Computer di Active Directory, mediante l'utilizzo del Centro di amministrazione di Active Directory oppure tramite PowerShell.
Prima di mostrare come aggiungere un nuovo utente al dominio è opportuno decidere uno standard da adottare relativamente ai nomi degli account utenti utilizzati per il logon. L'account utente dovrà essere univoco all'interno dell'intero dominio e può essere composto da caratteri alfanumerici e caratteri speciali ad eccezione di " / \ [ ] : ; | = , + * ? < >. Anche se gli spazi sono supportati è sconsigliabile utilizzarli all'interno dei logon name. Alcuni metodi comuni adottati prevedono l'utilizzo della prima lettera del nome seguito dal cognome, NomeCognome senza spazi, nome.cognome, matricola dipendente, ecc. Ciò non toglie che possiamo utilizzare un metodo a noi più congeniale e, per una questione di uniformità, è raccomandato applicare lo stesso metodo per tutti gli utenti che verranno aggiunti al dominio.

Creazione nuovo utente nel dominio tramite Utenti e Computer di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e computer di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsa.msc e premere invio.
FIG 1 - Server Manager, Utenti e computer di Active Directory
Andremo a creare il nostro primo utente all'interno dell'unità organizzativa Utenti presente in Direzione. Espandere il dominio e l'unità organizzativa Direzione quindi selezionare l'unità organizzativa Utenti presente al suo interno.
Cliccare sull'icona Crea nuovo utente nel contenitore corrente (in alternativa cliccare con il tasto destro del mouse sull'unità organizzativa Utenti, selezionare Nuovo quindi Utente dal menu contestuale).
FIG 2 - Utenti e computer di Active Directory, Crea nuovo utente nel contenitore corrente
Compilare i campi della nuova finestra di dialogo con il nome e cognome dell'utente da creare. Nella casella Nome accesso utente va inserito un identificativo con cui l'utente potrà effettuare il logon sulle workstation di dominio. Tale identificativo dovrà essere univoco sull'intero dominio. Una volta compilati i campi richiesti cliccare su Avanti per proseguire.
FIG 3 - Utenti e computer di Active Directory, Nuovo oggetto utente
Il passo successivo consiste nello specificare una password per l'utente appena creato. La password deve soddisfare i requisiti minimi di complessità: deve contenere almeno una lettera maiuscola, almeno un carattere numerico e avere una lunghezza di almeno 7 caratteri. In questa finestra possiamo impostare diverse opzioni:
Cambiamento obbligatorio password all'accesso successivo
Si tratta dell'opzione selezionata di default. Solitamente in questi casi l'amministratore specifica una password temporanea che l'utente dovrà cambiare al primo logon con una a propria scelta.
Cambiamento password non consentito
Selezionando tale opzione si impedisce all'utente di modificare la password. Per impedire il blocco dell'account alla scadenza della password, insieme a questa opzione va selezionata anche Nessuna scadenza password. Per default, se non diversamente specificato, la password dell'utente scadrà dopo 42 giorni.
Nessuna scadenza password
Abilitare tale opzione se non si vuole che la password dell'utente scada.
Account disabilitato
Selezionando l'opzione Account disabilitato l'utenza verrà comunque creata ma l'utente non potrà eseguire il logon al dominio finché il suo account non verrà abilitato.
Per la creazione di questo primo utente specifichiamo una password temporanea e lasciamo attiva solo l'opzione Cambiamento obbligatorio password all'accesso successivo in modo da costringere l'utente a modificarla al primo logon. Cliccare su Avanti per proseguire.
FIG 4 - Password account utente
Nella finestra di dialogo successiva verrà mostrato un riepilogo delle informazioni del nuovo utente. Cliccare su Fine per procedere alla creazione dell'account.
FIG 5 - Riepilogo impostazioni nuovo account utente
L'account è stato creato nel percorso specificato.
FIG 6 - Account utente creato in Active Directory

Creazione nuovo utente nel dominio tramite Centro di amministrazione di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
FIG 7 - Server Manager, Centro di amministrazione di Active Directory
Sul pannello laterale di sinistra selezionare il proprio dominio (mycompany.local) quindi nel pannello centrale cliccare due volte sull'unità organizzativa Direzione e successivamente eseguire la stessa operazione su Utenti.
FIG 8 - Unità Organizzativa Direzione
Nel pannello Attività (sulla destra della finestra) cliccare su Nuovo e selezionare Utente (in alternativa cliccare con il tasto destro del mouse in una parte vuota del pannello centrale e selezionare Nuovo->Utente).
FIG 9 - Centro di amministrazione di Active Directory, Nuovo account utente
Come visibile dalla finestra di dialogo che appare, ci è possibile inserire molte più informazioni rispetto a quanto visto con lo strumento Utenti e Computer di Active Directory. Una volta inserito Nome, Cognome, la password, Accesso Utente UPN e SamAccountName, cliccare su OK per creare l'account utente.
FIG 10 - Centro di amministrazione di Active Directory, Crea Utente

Creazione nuovo utente nel dominio con PowerShell

Per la creazione di un account utente in AD tramite PowerShell va utilizzato il cmdlet New-ADUser. Anche questo cmdlet, come già visto per le unità organizzative nell'articolo Windows Server 2019: Creare un'unità organizzativa tramite PowerShell, richiede l'utilizzo dei Distinguished Name.
Quello che andiamo a fare è creare un nuovo utente all'interno dell'unità organizzativa Utenti contenuta in Direzione all'interno del nostro dominio mycompany.local. Il comando PowerShell da eseguire è

New-ADUser -Path "OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -AccountPassword (ConvertTo-SecureString Password123 -AsPlainText -force) -Name "Giovanni Lubrano Lavadera" -Givenname Giovanni -Surname "Lubrano Lavadera" -DisplayName "Giovanni Lubrano Lavadera" -SamAccountName "Giovanni.Lubrano" -UserPrincipalName "Giovanni.Lubrano@mycompany.local" -ChangePasswordAtLogon 1 -Enabled 1

Parametri
-Path Al parametro path va passato il percorso (Distinguished Name) in cui creare il nuovo account utente.
-AccountPassword Consente di specificare la password da assegnare al nuovo account. Il valore viene memorizzato come stringa cifrata. Prima di poter passare la password a -AccountPassword questa va convertita in una SecureString con il comando ConvertTo-SecureString.
-Name Specifica il nome dell'oggetto (proprietà Name dell'oggetto user).
-Givenname Nome dell'utente.
-Surname Cognome dell'utente.
-DisplayName Specifica il DisplayName dell'oggetto.
-SamAccountName Specifica il nome Security Account Manager (SAM) per l'account utente. La lunghezza della stringa può arrivare a 256 caratteri ma per compatibilità con i vecchi sistemi operativi si consiglia di limitare la lunghezza a un massimo di 20 caratteri.
-UserPrincipalNameUser Principal Name (UPN) rappresenta il nome dell'utente in un formato analogo all'email. Un UPNè formato dal logon name, dal separatore/simbolo '@' e dal nome dominio (suffisso UPN).
-ChangePasswordAtLogon Necessita in input di un valore di tipo Boolean. A tale parametro può essere passato il valore 0 (per FALSO) o 1 (per VERO). Passando il valore 1 si forza l'utente a modificare la password al primo logon eseguito con la password temporanea (Password123).
-Enabled Anche tale parametro richiede in input un valore Boolean. Passandogli il valore 1 si indica che l'account creato è abilitato.

FIG 11 - PowerShell, Creazione nuovo account utente in Active Directory

Per velocizzare l'inserimento di numerosi account utente all'interno del dominio è possibile preparare un file CSV (comma-separated values): un file di testo contenente le informazioni degli utenti,separati da virgole, da aggiungere al dominio. Il file sarà simile a quello mostrato in FIG 12.

FIG 12 - File CSV contenete l'elenco degli utenti da aggiungere al dominio

Una volta creato il file sul server (nell'esempio al file è stato assegnato il nome UserAD.csv e copiato in C:\) andremo ad eseguire il seguente comando in Windows PowerShell (amministratore) che aggiunge gli utenti elencati all'interno del file al dominio.
Import-Csv -Path C:\UserAD.csv | ForEach-Object {New-ADUser -Path $_.ou -AccountPassword (ConvertTo-SecureString Password123 -AsPlainText -force) -Name $_.name -Givenname $_.fname -Surname $_.lname -DisplayName $_.name -SamAccountName $_.sam -UserPrincipalName $_.email -ChangePasswordAtLogon 1 -Enabled 1}

FIG 13 - PowerShell, Import del file CSV e creazione account utente all'interno del dominio

FIG 14 - Account utente importati dal file CSV tramite PowerShell

Il file CSV e il file di testo contenente il comando in PowerShell possono essere scaricati dal seguente link

DOWNLOAD

Articoli precedenti

Windows Server 2019: Visualizzare il Distinguished Name di un oggetto in AD tramite GUI

↧

Windows Server 2019: Creazione gruppi in Active Directory

February 13, 2020, 11:39 am

≫ Next: Windows Server 2019: Centro di amministrazione di Active Directory e Cronologia di Windows PowerShell

≪ Previous: Windows Server 2019: Aggiungere un account utente al dominio

Lo scopo principale della creazione di gruppi in Active Directoryè quello raccogliere e organizzare account utenti, account computer e altri gruppi in unità gestibili. Lavorare con i gruppi invece che con i singoli account semplifica notevolmente la manutenzione e la gestione della rete: gli amministratori devono assegnare le autorizzazioni/permessi una sola volta al gruppo anziché più volte a ogni singolo utente. Ogni account aggiunto a un gruppo riceverà automaticamente i diritti/autorizzazioni assegnati al gruppo in Active Directory.

Tipi di gruppo

In Active Directory esistono due tipi di gruppi: Distribuzione e Sicurezza.

Gruppi di Distribuzione
I gruppi di Distribuzione vengono usati per la creazione di liste di distribuzione di posta elettronica. Possono essere utilizzati solo con le applicazioni di posta elettronica, come ad es. MS Exchange Server, per inviare email ad un gruppo di utenti. I gruppi di Distribuzione, non essendo abilitati per la sicurezza, non possono essere elencati all'interno delle liste di controllo di accesso discrezionale (discretionary access control list o DACL).

Gruppi di Sicurezza
I gruppi di Sicurezza vengono utilizzati per assegnare permessi agli utenti e/o per assegnare autorizzazioni sulle risorse condivise. I gruppi di Sicurezza sono elencati negli elenchi DACL che definiscono le autorizzazioni per risorse e oggetti.
Come per i gruppi di Distribuzione, anche i gruppi di Sicurezza possono essere usati come entità di posta elettronica. Inviando un messaggio di posta elettronica al gruppo questo verrà inviato a tutti i membri del gruppo.
In Active Directory sono già presenti dei gruppi di Sicurezza, ad es. il gruppo Backup Operators. Un account utente aggiunto al gruppo Backup Operators sarà in grado di eseguire il backup e il ripristino di file/directory presenti sui Domain Controller.

Ambito di gruppo

I gruppi sono caratterizzati da un ambito che determina dove il gruppo può essere applicato all'interno della foresta o dominio. L'ambito di applicazione determina anche chi può essere membro di un gruppo. Microsoft non ha inserito molte limitazioni in Active Directory riguardo a come i gruppi possono essere annidati (nesting) tuttavia bisogna prestare molta attenzione nell'eseguire tale operazione. L'unico aiuto offerto in Active Drirectory per evitare potenziali rischi dovuti al nesting di gruppi di sicurezzaè quello dell'ambito di gruppo.
All'interno di Active Directoryè possibile trovare tre ambiti di gruppo: Globale, Locale al Dominio, Universale.

Globale
I gruppi con ambito globale vengono utilizzati per gestire gli account utente e gli account computer e possono includere altri gruppi con ambito globale appartenenti allo stesso dominio. Dato che non vengono replicati all'esterno del dominio di appartenenza, gli account di un gruppo con ambito globale possono essere modificati senza che questo crei traffico di replica verso il catalogo globale (global catalog).
Possiamo pensare ai gruppi con ambito globale come a "gruppi di account" che includono utenti con uno o più punti in comune. Ad esempio, consideriamo il reparto Marketing di una società. Tutti gli utenti di tale reparto potranno essere inseriti all'interno di un gruppo globale chiamato "GRP_Marketing"

Locale al dominio (Domain Local)
Grazie alla loro flessibilità relativa alle restrizioni, i gruppi Locali al dominio sono ideali per definire e gestire l'accesso alle risorse all'interno del singolo dominio. In particolare, questi gruppi vengono utilizzati perché ad essi possono essere aggiunti gruppi del dominio principale, nonché gruppi di altri domini e foreste trusted. Generalmente vengono utilizzati per l'accesso diretto a specifiche risorse non archiviate in Active Directory come condivisioni su file server, code di stampa, ecc. E' sconsigliato utilizzare tale ambito per l'assegnazione di autorizzazioni sugli oggetti di Active Directory.
Se i gruppi di ambito globale possono essere considerati come "gruppi di account" allora possiamo considerare i gruppi di ambito locale come "gruppi di risorse".
Supponiamo che agli utenti del gruppo GRP_Marketing dobbiamo concedere l'accesso ad una condivisione di file chiamata DocumentiMarketing (gruppo GRP_DocumentiMarketing). Annidando il gruppo globale "GRP_Marketing" all'interno del gruppo locale al dominio "GRP_DocumentiMarketing", abbiamo appena dato a tutti gli utenti del dipartimento di marketing l'accesso ai contenuti della condivisione.

Universale
I gruppi universali sono utilizzati solo in ambienti multi-dominio. I gruppi con ambito universale sono disponibili solo in domini con modalità nativa e le appartenenze vengono memorizzate all'interno del catalogo globale. Proprio per questo motivo è sconsigliabile modificare frequentemente l'appartenenza di un gruppo con ambito universale in quanto ogni modifica apportata verrà replicata sull'intera foresta
Supponiamo di avere una rete con 2 domini USA e EUROPE e un global group GRP_Marketing in ciascun dominio; è possibile creare un universal group UGRP_MArketing che racchiuda i gruppi USA\GRP_Marketing e EUROPE\GRP_Marketing. Il gruppo universale UGRP_MArketing potrà essere utilizzato ovunque all'interno dell'infrastruttura.

Nella seguente tabella, prelevata dalla documentazione Microsoft, vengono riportati gli ambiti di raggruppamento

Ambito	Membri possibili	Conversione ambiti	Può concedere autorizzazioni	Possibile membro di
Universale	Account da qualsiasi dominio della stessa foresta Gruppi globali di qualsiasi dominio della stessa foresta Altri gruppi universali di qualsiasi dominio della stessa foresta	Può essere convertito nell'ambito locale di dominio Può essere convertito in ambito globale se il gruppo non è un membro di altri gruppi universali	In qualsiasi dominio della stessa foresta o delle foreste trusting	Altri gruppi universali della stessa foresta Gruppi locali di dominio nella stessa foresta o nelle foreste trusting Gruppi locali nei computer della stessa foresta o delle foreste trusting
Globale	Account dello stesso dominio Altri gruppi globali dello stesso dominio	Può essere convertito in ambito universale se il gruppo non è membro di un altro gruppo globale	In qualsiasi dominio della stessa foresta o Trusted Domains o forests	Gruppi universali da qualsiasi dominio della stessa foresta Altri gruppi globali dello stesso dominio Gruppi locali di dominio da qualsiasi dominio della stessa foresta o da qualsiasi dominio di trusting
Dominio Locale	Account da qualsiasi dominio o da qualsiasi dominio attendibile Gruppi globali da qualsiasi dominio o da qualsiasi dominio attendibile Gruppi universali da qualsiasi dominio della stessa foresta Altri gruppi locali di dominio dello stesso dominio Account, gruppi globali e gruppi universali da altri insiemi di foreste e da domini esterni	Può essere convertito in ambito universale se il gruppo non contiene altri gruppi locali di dominio	All'interno dello stesso dominio	Altri gruppi locali di dominio dello stesso dominio Gruppi locali nei computer dello stesso dominio, esclusi i gruppi incorporati con SID noti

Una struttura AD ben progettata prevede che agli utenti vengano forniti solo i permessi/abilitazioni strettamente necessari per l'accesso alle informazioni e alle risorse essenziali per lo svolgimento del proprio lavoro. I modelli di sicurezza basati su ruoli, attributi e risorse sono tutti modi diversi che le organizzazioni utilizzano per raggiungere tale obiettivo in tutta l'infrastruttura IT e i tipi e l'ambito dei gruppi ricoprono un ruolo fondamentale. I modelli strutturali di best practice suggeriti da Microsoft per l'architettura Active Directory sono due: AGDLP e AGUDLP.

AGDLP (Accounts, Global, Domain Local, Permissions) fornisce una guida su come aggiungere i gruppi all'interno degli altri senza compromettere la sicurezza o sacrificare l'efficienza operativa. Il modello prevede quanto segue: Gli account utente e computer dovrebbero essere membri di gruppi globali, che a loro volta possono essere membri di gruppi locali di dominio che descrivono i permessi delle risorse.
AGUDLP (Accounts, Global, Universal, Domain Local, Permissions), come intuibile dal nome, è molto simile a AGDLP ma la "U" introduce i gruppi in ambito Universale. Le appartenenze di tali gruppi sono memorizzate nel catalogo globale, che è più che altro una necessità in ambienti multi-dominio. L'uso di questo modello dipende in realtà da quanto si fa affidamento sul catalogo globale nell'organizzazione. Se c'è un interesse personale ad avere il catalogo globale il più completo possibile (ad es. nel caso in cui bisogna gestire molti dipendenti mobile e permettere loro di ricercarsi l'un l'altro facilmente tramite Outlook), allora il modello AGUDLP aiuterà a raggiungere lo scopo. Tuttavia, per gli ambienti più piccoli che hanno solo un singolo dominio questo modello può aggiungere un inutile livello di complessità.

La ragione per cui i modelli strutturali AGDLP e AGUDLP suggeriti da Microsoft sono la migliore soluzione da adottare, almeno nella gran parte dei casi, è duplice. Dal punto di vista della sicurezza, utilizzando gruppi locali di domini per concedere permessi a risorse specifiche, un amministratore può dare ai membri di altri domini e foreste l'accesso alla risorsa senza dover dare loro accesso diretto al resto del dominio in cui risiede la risorsa. In questo modo si evita di aggiungere utenti di altri domini e foreste al dominio in cui risiede la risorsa. Dal punto di vista operativo, i modelli AGDLP e AGUDLP facilitano anche la gestione dei membri del gruppo consentendo di gestire i permessi e l'organizzazione degli utenti separatamente.
I modelli strutturali suggeriti da Microsoft non sempre rappresentano la migliore soluzione. In infrastrutture molto grandi l'uso dei gruppi locali al dominio per la gestione dei permessi delle risorse può portare alla generazione di un numero molto elevato di gruppi e, di conseguenza, ciò potrebbe portare un utente a diventare membro di migliaia di gruppi.

Creare un gruppo tramite il Centro di amministrazione di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory
Espandere il dominio mycompany.local quindi cliccare con il tasto destro sull'unità organizzativa Marketing e selezionare Nuovo->Raggruppa.
FIG 2 - Centro di amministrazione di Active Directory, nuovo gruppo
Nella casella Nome gruppo inserire il nome da assegnare al gruppo (ad es. GRP_Marketing).
Come Tipo gruppo lasciare selezionato Sicurezza e come Ambito del gruppo lasciare attiva l'opzione Globale.
FIG 3 - Centro di amministrazione di Active Directory, Crea Raggruppa
Cliccare su OK per completare la creazione del gruppo.
FIG 4 - Centro di amministrazione di Active Directory, Gruppo GRP_Marketing

Creare un gruppo tramite Utenti e computer di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
FIG 5 - Server Manager, Strumenti, Utenti e computer di Active Directory
Espandere il dominio mycompany.local quindi cliccare con il tasto destro sull'unità organizzativa Marketing e selezionare Nuovo->Gruppo.
FIG 6 - Utenti e computer di Active Directory, nuovo gruppo
Nella casella Nome gruppo inserire il nome da assegnare al gruppo (ad es. GRP_Marketing), come Tipo gruppo lasciare selezionato Sicurezza e come Ambito del gruppo lasciare attiva l'opzione Globale.
FIG 7 - Utenti e computer di Active Directory, Nuovo oggetto gruppo
Cliccare su OK per la creazione del gruppo.
FIG 8 - Utenti e computer di Active Directory, Gruppo GRP_Marketing

Creare un gruppo tramite PowerShell

Per creare un gruppo in Active Directory tramite PowerShell è necessario utilizzare il cmdlet New-ADGroup.

Sintassi
La sintassi del comando è la seguente
New-ADGroup
[-WhatIf]
[-Confirm]
[-AuthType <ADAuthType>]
[-Credential <PSCredential>]
[-Description <String>]
[-DisplayName <String>]
[-GroupCategory <ADGroupCategory>]
[-GroupScope] <ADGroupScope>
[-HomePage <String>]
[-Instance <ADGroup>]
[-ManagedBy <ADPrincipal>]
[-Name] <String>
[-OtherAttributes <Hashtable>]
[-PassThru]
[-Path <String>]
[-SamAccountName <String>]
[-Server <String>]

[<CommonParameters>]

Parametri

-AuthType
Specifica il metodo di autenticazione. I valori accettati dal parametro sono:

Negotiate oppure 0 (default)
Basic oppure 1

-Confirm
Se specificato, tale parametro mostra la richiesta di conferma prima di eseguire il cmdlet.

-Credential
Specifica un'account utente che ha i permessi necessari per eseguire l'operazione. Se omesso viene considerato l'utente corrente che sta eseguendo il comando. Al parametro può essere passato il nome dell'account, come ad es. "utente01" o "Dominio\utente01" oppure può essere passato un'oggetto PSCredential generato dal cmdlet Get-Credential. Se viene specificato un'account utente verrà richiesto di inserire la password all'esecuzione del comando.

-Description
Permette di specificare la descrizione dell'oggetto.

-DisplayName
Specifica il display name dell'oggetto.

-GroupCategory
Con questo parametro si va a specificare il tipo di gruppo. I valori accettati sono:

Distribution oppure 0
Security oppure 1

-GroupScope
Il parametro specifica l'ambito del gruppo. I valori accettati sono:

DomainLocal o 0
Global o 1
Universal o 2

-HomePage
Permette di specificare l'URL della home page dell'oggetto.

-Instance
Specifica l'istanza di un oggetto di tipo gruppo da usare come template per la creazione di un nuovo gruppo.
E' possibile utilizzare un gruppo già esistente o costruirne uno nuovo utilizzando PowerShell.

Metodo 1: Utilizzare il cmdlet Get-ADGroup per recuperare un oggetto gruppo esistente per poi passarlo al parametro Instance del cmdlet New-ADGroup per creare un nuovo oggetto gruppo. È possibile sovrascrivere i valori delle proprietà del nuovo oggetto impostando i parametri appropriati.

Metodo 2: Creare un nuovo oggetto ADGroup e impostare i valori delle proprietà utilizzando l'interfaccia a riga di comando di PowerShell. Quindi passare questo oggetto al parametro Instance del cmdlet New-ADGroup per creare il nuovo oggetto gruppo.

-ManagedBy
Permette di specificare l'utente o il gruppo che gestisce l'oggetto. L'utente o il gruppo può essere indicato passando al parametro:

Distinguished name;
GUID (objectGUID)
Security identifier (objectSid)
SAM account name (sAMAccountName)

-Name
Il parametro permette di impostare il nome dell'oggetto.

-OtherAttributes
Specifica i valori degli attributi degli oggetti per gli attributi che non sono rappresentati dai parametri del cmdlet.
Per specificare un singolo valore per un attributo
-OtherAttributes @{'AttributeLDAPDisplayName'=value}
Per specificare valori multipli per un attributo
-OtherAttributes @{'AttributeLDAPDisplayName'=value1,value2,...}
Per specificare valori per più attributi è necessario separare gli attributi da un punto e virgola
-OtherAttributes @{'Attribute1LDAPDisplayName'=value; 'Attribute2LDAPDisplayName'=value1,value2;...}

-PassThru
Restituisce un oggetto che rappresenta l'item su cui si sta lavorando. Per impostazione predefinita, il cmdlet non genera alcun output.

-Path
Specifica il path X.500 dell'unità organizzativa o del container dove verrà creato il nuovo oggetto.

-Server
Permette di specificare l'istanza di Active Directory Domain Services a cui connettersi per la creazione di un nuovo gruppo.

-WhatIf
Mostra cosa accadrebbe se venisse eseguito il cmdlet. Il cmdlet non viene eseguito.

Creare un gruppo in Active Directory tramite New-ADGroup
Per creare il gruppo GRP_Marketing all'interno della OU Marketing, avviare Windows PowerShell (amministratore) ed eseguire il comando
New-ADGroup -GroupCategory:"Security" -GroupScope:"Global" -Name:"GRP_Marketing" -Path:"OU=Marketing,DC=mycompany,DC=local" -SamAccountName:"GRP_Marketing" -Server:"Server1DC.mycompany.local"

FIG 9 - Windows Server 2019, Creare un gruppo in Active Directory tramite PowerShell

Come già visto per gli account utente nell'articolo Windows Server 2019: Aggiungere un account utente al dominio, per velocizzare la creazione di numerosi gruppi è possibile creare un file CSV con i valori dei parametri (FIG 10).

FIG 10 - File CSV contenente l'elenco dei gruppi da creare

Una volta creato il file sul server (nell'esempio al file è stato assegnato il nome GroupAD.csv e copiato in C:\) andremo ad eseguire il seguente comando in Windows PowerShell (amministratore) che aggiunge i gruppi elencati all'interno del file al dominio.
Import-Csv -Path C:\GroupAD.csv | ForEach-Object {New-ADGroup -GroupCategory:$_.GroupCategory -GroupScope:$_.GroupScope -Name:$_.Name -Path:$_.Path -SamAccountName:$_.SamAccountName -Server:$_.Server}

FIG 11 - PowerShell, import del file CSV e creazione dei gruppi in AD

Il file CSV e il file di testo contenente il comando in PowerShell possono essere scaricati dal seguente link
DOWNLOAD

Articoli precedenti

↧

Windows Server 2019: Centro di amministrazione di Active Directory e Cronologia di Windows PowerShell

February 17, 2020, 10:43 am

≫ Next: MS Outlook Quick Tip: Impostazioni del registro di sistema relative alla gestione dei messaggi contenenti richieste di conferma di lettura

≪ Previous: Windows Server 2019: Creazione gruppi in Active Directory

Il Centro di amministrazione di Active Directory (ADAC) si basa sulla tecnologia Windows PowerShell e rende disponibili funzionalità migliorate per la gestione dei dati di Active Directory e un'interfaccia utente grafica (GUI) avanzata.
Negli articoli precedenti abbiamo visto come creare unità organizzative, account utenti, gruppi, ecc. tramite il Centro di amministrazione di Active Directory. Tutte le operazioni effettuate da tale strumento vengono eseguite tramite comandi PowerShell.
Nell'articolo Windows Server 2019: Creazione gruppi di utenti in Active Directoryabbiamo visto come creare un gruppo all'interno di Active Directory tramite il Centro di amministrazione di Active Directory. Una volta creato il gruppo, per visualizzare il comando PowerShell che c'è dietro l'operazione, basta cliccare sull'apposita icona per espandere la sezione CRONOLOGIA DI WINDOWS POWERSHELL (FIG 1).

FIG 1 - Centro di amministrazione di Active Directory, Cronologia di Windows PowerShell

All'interno della sezione viene visualizzato il comando PowerShell eseguito per la creazione del gruppo (FIG 2).

FIG 2 - Cronologia di Windows PowerShell, New-ADGroup

Dare un occhiata alla CRONOLOGIA DI WINDOWS POWERSHELL presente nel Centro di amministrazione di Active Directory può essere utile per imparare i comandi di PowerShell e relative sintassi.
Nella parte alta della sezione CRONOLOGIA DI WINDOWS POWERSHELL ci sono diversi campi:

Cerca. Con il campo di ricerca è possibile cercare qualsiasi cmdlet all'interno della cronologia PowerShell History. Basta digitare le prime lettere, e il riquadro restringerà i risultati della ricerca.
Avvia attività e Termina attività. Per raggruppare i comandi è possibile cliccare su Avvia attività prima di effettuare qualsiasi operazione in ADAC e assegnare un nome al gruppo di comandi. Una volta eseguiti i comandi da inserire all'interno dell'attività cliccare su Termina attività. (FIG 3)
Cancella tutto. Elimina la cronologia
Mostra tutto. Attivando tale opzione vengono mostrate tutte le operazioni eseguite all'interno del Centro di amministrazione di Active Directory. Se deselezionata, verranno mostrate solo le operazioni che effettuano modifiche in Active Directory.

FIG 3 - Cronologia di Windows PowerShell, Avvia attività

Articoli precedenti

Windows Server 2019: Installazione
Windows Server 2019: Impostazione IP statico e nome Server
Windows Server 2019: Installazione Active Directory
Windows Server 2019: Modificare il nome del server da riga di comando con netdom
Windows Server 2019: Join al dominio da riga di comando tramite netdom
Windows Server 2019: Creare un'unità organizzativa (Organizational Unit)
Windows Server 2019: Creare un'unità organizzativa tramite PowerShell
Windows Server 2019: Visualizzare il Distinguished Name di un oggetto in AD tramite GUI
Windows Server 2019: Aggiungere un account utente al dominio
Windows Server 2019: Creazione gruppi in Active Directory

↧

MS Outlook Quick Tip: Impostazioni del registro di sistema relative alla gestione dei messaggi contenenti richieste di conferma di lettura

February 19, 2020, 11:08 am

≫ Next: Windows Server 2019: Aggiungere account utente ad un gruppo

≪ Previous: Windows Server 2019: Centro di amministrazione di Active Directory e Cronologia di Windows PowerShell

Quando si riceve un'email contenente una richiesta di conferma di lettura MS Outlook, per default, chiede all'utente se inviare il messaggio di conferma.

FIG 1 - Microsoft Outlook, Richiesta invio conferma di lettura

Per modificare tale comportamento è possibile agire tramite le opzioni del client di posta:

Dal menu File di Outlook selezionare Opzioni;
Sul lato sinistro selezionare Posta;
Scorrere fino alla sezione Verifica;
Selezionare uno dei tre comportamenti predefiniti quando si riceve un messaggio con una richiesta in conferma di lettura:
Invia sempre la conferma di lettura
Non inviare mai una conferma di lettura
Chiedi ogni volta se inviare una conferma di lettura
FIG 2 - Microsoft Outlook, Gestione messaggio contenente richiesta conferma lettura

L'operazione può essere eseguita anche tramite il registro di sistema:

Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'Editor del registro di sistema;
Posizionarsi sulla chiave
HKEY_CURRENT_USER\Software\Microsoft\Office\XX.0\Outlook\Options\Mail
Al posto di XX va indicata la versione di Office (16 per Office 2016, 15 per Office 2013, 14 per Office 2010, 13 per Office 2007)
Creare, se non presente, un valore DWORD (32 bit) e nominarlo Receipt Response;
Cliccare due volte sul valore appena creato e, nella casella Dati valore, digitare un valore compreso tra 0 e 2 in base all'opzione che si intende attivare:
0 = Invia sempre la conferma di lettura
1 = Non inviare mai una conferma di lettura
2 = Chiedi ogni volta se inviare una conferma di lettura
FIG 3 - Editor del Registro di sistema, valore Receipt Response
Riavviare Outlook per applicare la modifica.

↧

Windows Server 2019: Aggiungere account utente ad un gruppo

February 21, 2020, 11:04 am

≫ Next: Windows Quick Tip: Visualizzare il rapporto diagnostica efficienza energetica

≪ Previous: MS Outlook Quick Tip: Impostazioni del registro di sistema relative alla gestione dei messaggi contenenti richieste di conferma di lettura

Nell'articoloWindows Server 2019: Creazione gruppi in Active Directory abbiamo visto come creare un nuovo gruppo in Active Directory. In questo articolo verranno mostrati diverse modalità per aggiungere account utente ad un gruppo.

Aggiungere account utenti ad un gruppo tramite il Centro di amministrazione di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory
Espandere il dominio ed individuare il gruppo su cui si intende operare (nel nostro esempio mycompany.local\Marketing\GRP_Marketing).
FIG 2 - Windows Server 2019, Gruppo
Cliccare due volte sul gruppo per aprire la finestra delle proprietà.
Scorrere nella finestra fino ad individuare la sezione Membri quindi cliccare sul tasto Aggiungi.
FIG 3 - Windows Server 2019, Aggiungi membri al gruppo
Nella nuova finestra di dialogo, all'interno della casella Immettere i nomi degli oggetti da selezionare, digitare il nome (o parte di esso) dell'account utente che si intende aggiungere e cliccare su Controlla nomi.
Se l'account utente visualizzato è quello corretto cliccare su OK per completare l'operazione.
FIG 4 - Windows Server 2019, Seleziona Utenti, Contatti, Computer, Account servizio o Gruppi
FIG 5 - Windows Server 2019, Utente aggiunto al gruppo

In alternativa è possibile procedere nel senso inverso. Anziché partire dal gruppo e aggiungere gli account utente si parte da questi ultimi:

Selezionare gli account utente che si intende aggiungere al gruppo.
Nel riquadro Attività (o cliccando con il tasto destro del mouse sugli account utente) cliccare su Aggiungi al gruppo.
FIG 6 - Windows Server 2019, Aggiungi al gruppo
Nella nuova finestra di dialogo, all'interno della casella Immettere i nomi degli oggetti da selezionare, digitare il nome (o parte di esso) del gruppo a cui si intendono aggiungere gli account utente e cliccare sul pulsante Controlla nomi.
FIG 7 - Windows Server 2019, Seleziona Gruppi
Se il nome del gruppo è corretto, cliccare su OK per completare l'operazione.

Aggiungere account utente ad un gruppo tramite Utenti e Computer di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
FIG 8 - Server Manager, Strumenti, Utenti e computer di Active Directory
Espandere il dominio ed individuare il gruppo su cui si intende operare (nel nostro esempio mycompany.local\Marketing\GRP_Marketing).
FIG 9 - Selezione gruppo in Utenti e computer di Active Directory
Cliccare due volte sul gruppo per aprire la finestra delle proprietà quindi selezionare la scheda Membri e cliccare sul tasto Aggiungi.
FIG 10 - Utenti e computer di Active Directory, aggiungi membri al gruppo
Nella nuova finestra di dialogo, all'interno della casella Immettere i nomi degli oggetti da selezionare, digitare il nome (o parte di esso) dell'account utente che si intende aggiungere e cliccare su Controlla nomi.
FIG 11 - Utenti e computer di Active Directory, Seleziona Utenti, Contatti, Computer, Account servizio o Gruppi
Se l'account utente visualizzato è quello corretto cliccare su OK per completare l'operazione.
FIG 12 - Utenti e computer di Active Directory, Membri del gruppo

Anche in questo caso è possibile partire dagli account utente:

Selezionare gli account utente che si intende aggiungere la gruppo e cliccarci su con il tasto destro del mouse. Selezionare, dal menu contestuale, Aggiungi a un gruppo.
FIG 13 -Utenti e computer di Active Directory, Aggiungi a un gruppo
Nella nuova finestra di dialogo, all'interno della casella Immettere i nomi degli oggetti da selezionare, digitare il nome (o parte di esso) del gruppo a cui si intendono aggiungere gli account utente e cliccare sul pulsante Controlla nomi.
FIG 14 - Utenti e computer di Active Directory, Seleziona Gruppi
Se il nome del gruppo è corretto cliccare su OK per confermare l'operazione. Una nuova finestra di dialogo (FIG 15) confermerà l'avvenuta aggiunta al gruppo.
FIG 15 - Utenti e computer di Active Directory, Operazione di aggiunga al gruppo completata

Aggiungere account utente ad un gruppo tramite PowerShell

Per aggiungere un account utente ad un gruppo tramite PowerShell dobbiamo affidarci al cmdlet Set-ADGroup.

Sintassi
La sintassi del comando è la seguente
Set-ADGroup
[-WhatIf]
[-Confirm]
[-Add <Hashtable>]
[-AuthType <ADAuthType>]
[-Clear <String[]>]
[-Credential <PSCredential>]
[-Description <String>]
[-DisplayName <String>]
[-GroupCategory <ADGroupCategory>]
[-GroupScope <ADGroupScope>]
[-HomePage <String>]
[-Identity] <ADGroup>
[-ManagedBy <ADPrincipal>]
[-Partition <String>]
[-PassThru]
[-Remove <Hashtable>]
[-Replace <Hashtable>]
[-SamAccountName <String>]
[-Server <String>]
[<CommonParameters>]

Parametri
-Add
Specifica i valori da aggiungere alla proprietà di un oggetto. Questo parametro consente di aggiungere uno o più valori ad una proprietà. Necessita del display name Lightweight Directory Access Protocol (LDAP). E' possibile specificare più valori separati da virgole e più proprietà separate da un punto e virgola.
-Add @{Attribute1LDAPDisplayName=value1, value2, ...; Attribute2LDAPDisplayName=value1, value2, ...; AttributeNLDAPDisplayName=value1, value2, ...}

-AuthType
Specifica il metodo di autenticazione. I valori accettati dal parametro sono:

Negotiate oppure 0 (default)
Basic oppure 1

-Clear
Tale parametro viene utilizzato per cancellare i valori di una o più proprietà di un oggetto. Necessita del display name Lightweight Directory Access Protocol (LDAP). E' possibile cancellare più di una proprietà passandole al parametro e separandole da virgole
-Clear Attribute1LDAPDisplayName, Attribute2LDAPDisplayName

-Confirm
Se specificato, tale parametro mostra la richiesta di conferma prima di eseguire il cmdlet.

-Credential
Specifica un'account utente che ha i permessi necessari per eseguire l'operazione. Se omesso viene considerato l'utente corrente che sta eseguendo il comando. Al parametro può essere passato il nome dell'account, come ad es. "utente01" o "Dominio\utente01" oppure può essere passato un'oggetto PSCredential generato dal cmdlet Get-Credential. Se viene specificato un'account utente verrà richiesto di inserire la password all'esecuzione del comando.

-Description
Specifica una descrizione dell'oggetto. Tale parametro imposta il valore della proprietà Description dell'oggetto.

-DisplayName
Specifica il display name dell'oggetto: imposta la proprietà DisplayName dell'oggetto.

-GroupCategory
Con questo parametro si va a specificare il tipo di gruppo. I valori accettati sono:

Distribution oppure 0
Security oppure 1

-GroupScope
Il parametro specifica l'ambito del gruppo. I valori accettati sono:

DomainLocal o 0
Global o 1
Universal o 2

-HomePage
Permette di specificare l'URL della home page dell'oggetto.

-Instance
Specifica l'istanza di un oggetto di tipo gruppo da usare come template per la creazione di un nuovo gruppo. Insieme al parametro Instance non è possibile utilizzare altri parametri che modificano le proprietà dell'oggetto.
I valore accettati da questo parametro sono:

Distinguished Name
GUID (objectGUID)
Security Identifier (ObjectSid)
SAM account name (SAMAccountName)

-ManagedBy
Permette di specificare l'utente o il gruppo che gestisce l'oggetto. L'utente o il gruppo può essere indicato passando al parametro:

Distinguished name;
GUID (objectGUID)
Security identifier (objectSid)
SAM account name (sAMAccountName)

-Partition
A tale parametro va passato il Distinguished Name (DN)di una partizione di Active Directory. Specifies the distinguished name of an Active Directory partition. Il cmdlet utilizzerà tale partizione per ricercare l'oggetto specificato dal parametro Identity.

-PassThru
Restituisce un oggetto che rappresenta l'item su cui si sta lavorando. Per impostazione predefinita, il cmdlet non genera alcun output.

-Remove
Permette di rimuovere uno o più valori di una proprietà di un oggetto specificando il display name LDAP. E' possibile rimuovere più di una proprietà separandole da un punto e virgola.
-Remove @{Attribute1LDAPDisplayName=value[]; Attribute2LDAPDisplayName=value[]}
Quando vengono utilizzati insieme i parametri Add, Replace, Clear, e Remove all'interno dello stesso comando le operazioni vengono eseguite nel seguente ordine:
Remove
Add
Replace
Clear

-Replace
Permette di specificare i valori da sostituire all'interno della proprietà di un oggetto. Per modificare la proprietà di un oggetto, va utilizzato il display name LDAP. E' possibile modificare più di una proprietà elencandole all'interno del comando separate da virgole.
-Replace @{Attribute1LDAPDisplayName=value[], Attribute2LDAPDisplayName=value[]}

-SamAccountName
Specifica il nome dell'account Security Account Manager (SAM) dell'utente, del gruppo o del computer. La lunghezza massima della descrizione è di 256 caratteri. Per questioni di compatibilità con sistemi operativi più vecchi è consigliabile creare un SamAccountName con una lunghezza non superiore ai 20 caratteri.

-Server
Permette di specificare l'istanza di Active Directory Domain Services a cui connettersi per la creazione di un nuovo gruppo.

-WhatIf
Mostra cosa accadrebbe se venisse eseguito il cmdlet. Il cmdlet non viene eseguito.

Aggiungere un'account utente al gruppo

Avviare Windows PowerShell (amministratore) ed eseguire il comando

Set-ADGroup -Add:@{'Member'="CN=Daffy Duck,OU=Utenti,OU=Marketing,DC=mycompany,DC=local"} -Identity:"CN=GRP_Marketing,OU=Marketing,DC=mycompany,DC=local" -Server:"Server1DC.mycompany.local"
Ovviamente il comando va adattato in base al proprio dominio, nome dell'account utente, OU e al nome del gruppo.

Articoli precedenti

↧

Windows Quick Tip: Visualizzare il rapporto diagnostica efficienza energetica

February 26, 2020, 11:28 am

≫ Next: Windows Server 2019: Aggiungere una workstation al dominio (join al dominio)

≪ Previous: Windows Server 2019: Aggiungere account utente ad un gruppo

Nell'articolo Windows Quick Tip: Verificare lo stato di salute della batteria in Windows 8 e Windows 10è stato mostrato come creare un report relativo allo stato della batteria di un portatile utilizzando il comando
powercfg /batteryreport

Tramite powercfgè possibile anche generare un report contenente informazioni relative all'efficienza energetica del sistema:

Eseguire il prompt dei comandi come amministratore (nel menu start digitare CMD, cliccare con il tasto destro del mouse su Prompt dei comandi e selezionare Esegui come amministratore)
Digitare ed eseguire il comando
powercfg /energy

FIG 1 - Windows 10, powercfg /energy

Dopo qualche minuto, all'interno del percorso in cui è stato eseguito il comando, viene generato il file energy-report.html contenente il rapporto della diagnostica. Il file può essere aperto con il proprio browser.
All'interno del Rapporto diagnostica efficienza energetica troviamo informazioni utili come i profili energetici impostati (nel caso di alimentazione a batteria le impostazioni che favoriscono le prestazioni a discapito del risparmio energetico vengono segnalate come errori), le impostazioni di risparmio energetico sui dispositivi USB, i processi in esecuzione che consumano più risorse e di conseguenza richiedono più energia, gli stati di sospensione supportati dal processore, informazioni sulla batteria, ecc.
Con le informazioni contenute all'interno del rapporto possiamo capire dove andare ad intervenire per massimizzare l'efficienza energetica del sistema.

FIG 2 - Rapporto diagnostica efficienza energetica

↧

Windows Server 2019: Aggiungere una workstation al dominio (join al dominio)

February 28, 2020, 11:55 am

≫ Next: Windows Quick Tip: Utilizzare il comando FC (file compare) dal Prompt dei comandi

≪ Previous: Windows Quick Tip: Visualizzare il rapporto diagnostica efficienza energetica

In quest'articolo verranno indicati i passaggi da seguire per aggiungere una workstation Windows 10 al nostro dominio mycompany.local. Per aggiungere una workstation al dominio è necessario che il server e il client riescano a comunicare tra loro pertanto devono essere entrambi connessi in rete.

La configurazione di rete del nostro server è la seguente:
Nome: Server1DC
Indirizzo IP: 192.168.1.121
Subnet Mask: 255.255.255.0

Il nostro server si trova sulla rete 192.168.1.0. Il passo successivo consiste nel configurare la connessione alla rete del client Windows 10 in modo che riesca a comunicare con il server. Non avendo ancora implementato un server DHCP sulla rete procediamo con la configurazione manuale.

Configurazione connessione di rete sulla workstation Windows 10 da aggiungere al dominio

Cliccare con il tasto destro del mouse sull'icona Accesso a Internet presente nell'area di notifica e selezionare Impostazioni Apri connessione e Internet.
FIG 1 - Windows 10, Impostazioni Apri connessione e Internet
Cliccare sulla sezione Ethernet presente sul lato sinistro della finestra quindi cliccare su Modifica opzioni scheda.
FIG 2 - Impostazioni Ethernet, Modifica opzioni scheda
All'interno della finestra Connessioni di rete, cliccare con il tasto destro del mouse sulla scheda di rete e selezionare Proprietà dal menu contestuale.
FIG 3 - Proprietà scheda di rete
Dall'elenco selezionare Protocollo Internet versione 4 (TCP/IPv4) e cliccare sul pulsante Proprietà.
FIG 4 - Proprietà Protocollo Internet Versione 4 (TCP/IPv4)
Selezionare l'opzione Utilizza il seguente indirizzo IP. Nel campo Indirizzo IP specificare 192.168.1.131, in Subnet mask digitare l'indirizzo 255.255.255.0. Nel nostro caso non è necessario specificare un Default gateway.
Il domain controller funge anche da server DNS. All'interno del campo Server DNS preferito digitare l'IP del nostro server DNS 192.168.1.121 quindi cliccare su OK e chiudere le finestre aperte.
FIG 5 - Configurazione manuale indirizzo IP e DNS preferito

Prima di procedere con la join al dominio bisogna accertarsi che la workstation riesca a comunicare con il server:

Premere la combinazione di tasti WIN+R, digitare cmd e premere invio
Dal prompt dei comandi digitare ipconfigseguito da invio e verificare che l'indirizzo IP e la Subnet Mask siano quelli specificati nei passi precedenti.
FIG 6 - IPConfig
Per verificare la comunicazione con il server utilizziamo il comando ping. Dal prompt dei comandi digitare ping 192.168.1.121 seguito da invio. Il comando ping esegue un test sulla comunicazione con l'indirizzo IP specificato (in questo caso si tratta dell'indirizzo IP del nostro server). Se viene generata una risposta allora le due postazioni sono in comunicazione tra loro in caso contrario bisognerà verificare la configurazione e la connessione alla rete.
FIG 7 - Ping verso l'IP del server
Per verificare che il server DNS sta facendo il proprio lavoro eseguire il comando ping -4 Server1DC (il parametro -4 forza l'utilizzo di IPv4). Se il server DNS funziona correttamente il comando restituirà, all'interno della risposta, l'indirizzo IP del server.
FIG 8 - Verifica server DNS tramite ping nome server

Verificata la connessione tra il client e il server possiamo passare alla fase successiva della join al dominio.

Join al dominio della workstation Windows 10

Aprire Esplora file cliccando sull'apposita icona nella barra delle applicazioni o tramite la combinazione di tasti WIN+E.
Cliccare con il tasto destro del mouse su Questo PC e selezionare Proprietà dal menu contestuale.
FIG 9 - Proprietà Questo PC
Come visibile in FIG 10 questo computer ha un nome temporaneo e appartiene al gruppo di lavoro WORKGROUP. Cliccare sul link Cambia impostazioni.
FIG 10 - Proprietà del sistema, Cambia impostazioni
Nella finestra Proprietà del sistema cliccare sul pulsante Cambia...
FIG 11 - Proprietà del sistema, Cambia
Nella casella Nome computer inserire il nome che si intende assegnare al computer all'intero del dominio. Come per gli account utente anche il nome computer deve essere univoco all'interno del dominio ed è consigliabile stabilire uno standard relativo alla nomenclatura delle macchine. Generalmente si preferisce assegnare un nome significativo al PC che faccia capire la sua ubicazione (ad es. PCDIR001 ad indicare il pc numero 001 presente in Direzione).
Selezionare l'opzione Dominio, inserire nell'apposita casella il dominio mycompany.local e cliccare su OK.
FIG 12 - Nome computer e Dominio
Alla richiesta delle credenziali bisognerà inserire un account utente e relativa password abilitato all'inserimento della postazione all'interno del dominio. Possiamo utilizzare l'account Administrator del nostro dominio mycompany.local.
FIG 13 - Richiesta credenziali per la join al dominio
Verrà mostrato un messaggio di benvenuto al dominio, cliccare su OK.
FIG 14 - Join al dominio della workstation
Il messaggio successivo avvisa che è necessario riavviare il sistema per rendere effettive le modifiche. Cliccare su OK (FIG 15) quindi su Chiudi (FIG 16) e poi su Riavvia adesso (FIG 17).
FIG 15 - Riavvio richiesto per la join al dominio
FIG 16 - Chiudi Proprietà del sistema
FIG 17 - Riavvia ora
Dopo il riavvio cliccare su Altro utente presente in basso a sinistra della schermata di logon.
FIG 18 - Schermata logon, Altro utente
Eseguire il logon utilizzando un account utente appartenente al dominio. Inserire l'account creato nell'articolo Windows Server 2019: Creare utenti al'interno del dominio.
FIG 19 - Logon con account utente appartenente al dominio
Nella creazione dell'account utente all'interno del dominio abbiamo impostato il cambio password al primo logon dell'utente. Verrà mostrata la finestra mostrata in FIG 20. Cliccare su OK, quindi digitare e confermare la nuova password che si intende impostare rispettando i requisiti minimi di sicurezza (FIG 21).
FIG 20 - Modifica password al primo logon

FIG 21 - Nuova password per l'account del dominio

Verificare che la workstation è stata aggiunta correttamente al dominio

Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e computer di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsa.msc e premere invio.
FIG 22 - Server Manager, Utenti e computer di Active Directory
Espandere il dominio mycompany.local e selezionare il container Computers. La postazione che abbiamo aggiunto al dominio sarà presente in tale container.
FIG 23 - Active Directory, container Computers
Per spostarlo all'interno della unità organizzativa Direzione\Computer cliccarci su con il tasto destro del mouse e selezionare Sposta....
FIG 24 - Active Directory, Sposta computer
Selezionare il percorso dove si intende spostare il computer selezionato e cliccare su OK. In questo caso il percorso è mycomputer.local\Direzione\Computer.
FIG 25 - Active Directory, Sposta computer in una nuova UO
Come possibile verificare in FIG 26, il computer è stato spostato all'interno della UO specificata nel passo precedente.
FIG 26 - Active Directory, Computer spostato nella nuova UO

Articoli precedenti

↧

Windows Quick Tip: Utilizzare il comando FC (file compare) dal Prompt dei comandi

March 2, 2020, 1:22 pm

≫ Next: Windows 10: Rimuovere account utente locali da una workstation appartenente ad un dominio

≪ Previous: Windows Server 2019: Aggiungere una workstation al dominio (join al dominio)

Il comando FC (File compare) presente nel prompt de comandi, consente di confrontare il contenuto di file di testo o file binari evidenziandone le differenze.
La sintassi del comando è

FC [parametri] [file1] [file2]

Parametri
/A   Abbrevia l'output di una comparazione tra file in modo che FC mostri solo la prima e l'ultima riga per ogni gruppo di differenze.

/B Esegue una comparazione binaria. FC confronta i due file byte per byte. Si tratta della modalità di default per i file binari. Viene utilizzata per confrontare file con estensioni .exe, .com, .sys, .obj, .lib, or .bin.

/C   Nel confronto ignora maiuscole/minuscole (case insensitive).

/L Confronta i file in modalità ASCII linea per linea.

/LBn Imposta il numero specificato (n) di linee per il buffer interno. Di default il buffer è di 100 linee. Se nel confronto il numero massimo di corrispondenze mancate consecutive è superiore al numero di righe specificato FC termina il confronto.

/N Visualizza i numeri di riga in un confronto ASCII.

/T   Previene la conversione delle tabulazioni in spazi da parte di FC.Il comportamento di default prevede che le tabulazioni siano considerate come spazi.

/U   Confronta i file come file UNICODE..

/W Comprime spazi bianchi (tabulazione e spazi) durante il confronto. Se una linea contiene più spazi o tabulazioni consecutive, tale parametro le considera come un singolo spazio. Quanto si utilizza tale opzione FC ignora gli spazi all'interno della linea durante il confronto.

/nnnn Il valore di default è 2. Il numero di righe consecutive che devono corrispondere prima che la FC consideri i file da risincronizzare. Se il numero di righe corrispondenti nei file è inferiore a nnnn, FC visualizza le righe corrispondenti come differenze

Per confrontare due file di testo, dal Prompt dei comandi, è possibile utilizzare il seguente comando
fc /a file1.txt file2.txt

In FIG 1 e FIG 2 vengono mostrati i messaggi nel caso in cui i due file siano uguali e nel caso in cui siano diversi. In quest'ultimo caso viene mostrata anche la riga di testo che differisce tra i due file.

FIG 1 - Confronto file di testo, nessuna differenza

FIG 2 - Differenza rilevata nel confronto tra file di testo

Per confrontare file binari bisogna utilizzare il parametro /b come nel comando
fc /b app.exe app2.exe

FIG 3 - Confronto tra file binari

↧

Windows 10: Rimuovere account utente locali da una workstation appartenente ad un dominio

March 5, 2020, 11:29 am

≫ Next: Windows Quick Tip: Visualizzare il product key del sistema operativo tramite wmic

≪ Previous: Windows Quick Tip: Utilizzare il comando FC (file compare) dal Prompt dei comandi

Quando si esegue la join al dominio di una workstation già utilizzata come visto nell'articolo Windows Server 2019: Aggiungere una workstation al dominio (join al dominio) può essere opportuno, per questioni di sicurezza, rimuovere gli utenti locali presenti sulla workstation. Un utente locale amministratore può effettuare modifiche sulla workstation come modificare indirizzo IP, installare/rimuovere programmi, ecc. e può non essere soggetto alle policy impostate dall'amministratore del dominio. Per rimuovere gli account utente locale sulla postazione è possibile procedere anche tramite server ma in quest'articolo mostrerò come procedere direttamente dalla workstation.

Eseguire il logon sulla postazione Windows 10 con l'account amministratore del dominio. Nella schermata di logon cliccare su Altro utente (FIG 1) presente in basso a sinistra dello schermo. Come nome utente digitare administrator@mycompany.local e inserire la relativa password nell'apposito campo (FIG 2).
FIG 1 - Windows 10, Schermata di logon, Altro utente
FIG 2 - Windows 10, logon come amministratore del dominio
All'interno della barra di ricerca digitare Pannello di controllo e cliccare su Apri.
FIG 3 - Windows 10, Apertura Pannello di controllo
Cliccare su Account utente.
FIG 4 - Pannello di controllo, categoria Account utente
Nella finestra Account utente cliccare nuovamente sul link Account utente.
FIG 5 - Account utente
Cliccare su Gestisci account utente.
FIG 6 - Gestisci account utente
Come visibile da FIG 7 è presente un solo account locale (utente1) che fa parte del gruppo degli amministratori locali della workstation. Selezionare l'account utente e cliccare sul pulsante Rimuovi.
FIG 7 - Elenco account utenti locali
Rispondere Si al messaggio di conferma per procedere con la rimozione dell'account locale e quindi cliccare sul pulsante OK per chiudere la finestra Account utente.
FIG 8 - Conferma rimozione account utente locale
FIG 9 - Account utente, cliccare su OK per chiudere la finestra
Da questo momento sarà possibile accedere alla workstation solo tramite un account utente appartenente al dominio

Articoli precedenti

↧

Windows Quick Tip: Visualizzare il product key del sistema operativo tramite wmic

March 9, 2020, 1:02 pm

≫ Next: Windows Server 2019: Aggiungere workstation offline al dominio tramite djoin

≪ Previous: Windows 10: Rimuovere account utente locali da una workstation appartenente ad un dominio

In passato abbiamo già visto le potenzialità di WMIC (Windows Management Instrumentation Command-line) nella gestione dei sistemi da riga di comando. Tale strumento può anche essere utilizzato per visualizzare il product key di Windows eseguendo il comando
wmic path softwarelicensingservice get OA3xOriginalProductKey

Se è stato effettuato l'aggiornamento a Windows 10 da una versione antecedente del sistema operativo tale comando non funziona.

↧

Windows Server 2019: Aggiungere workstation offline al dominio tramite djoin

March 15, 2020, 10:48 am

≫ Next: Windows Quick Tip: Crittografare una cartella tramite Prompt dei comandi

≪ Previous: Windows Quick Tip: Visualizzare il product key del sistema operativo tramite wmic

Nell'articolo Windows Server 2019: Aggiungere una workstation al dominio (join al dominio) è stato illustrato come eseguire la join al dominio di una workstation Windows 10 tramite GUI. La condizione necessaria per portare a termine l'operazione era che il client e il server riuscissero a comunicare tra loro.
Se il Domain Controller non può essere contattato dalla workstation la join può essere comunque effettuata mediante l'utility djoin.exe; introdotta in Windows 7 e Windows Server 2012, consente di eseguire la join del computer al dominio anche in assenza di comunicazione tra il client e il Domain Controller. In pratica djoin viene prima eseguito su un client o su un server Windows che riesce a comunicare con il Domain Controller in modo da creare l'account computer in Active Directory (AD) con il nome specificato (provisioning dell'account computer nel dominio), dopodiché i dati (chiamati blob) vengono esportati in un file per essere importati, sempre tramite l'utilizzo dell'utility, sul client offline. L'utente che esegue djoin per la creazione del file dovrà disporre dell'abilitazione per aggiungere computer al dominio. Per default gli utenti appartenenti ad un dominio possono aggiungere fino ad un massimo di 10 computer, raggiunto tale limite è necessario procedere con un account abilitato all'inserimento dei computer in AD. Il file generato potrà essere utilizzato anche per un'installazione unattended. L'utilizzo di djoin torna utile in tutti quei casi in cui il Domain Controllerè temporaneamente non raggiungibile: si pensi, ad esempio, il caso in cui bisogna configurare delle postazioni prima di trasportarle e installarle fisicamente presso un cliente.

La sintassi del comando djoin.exe è la seguente:

djoin.exe [/OPZIONI]

Opzioni:
/PROVISION - Esegue il provisioning di un account computer nel dominio.

/DOMAIN<Nome> - <Nome> del dominio a cui aggiungere il computer.

/MACHINE<Nome> - <Nome> host del computer da aggiungere al dominio.

/MACHINEOU<OU> - <OU> facoltativa in cui viene creato l'account.

/DCNAME <DC> - <DC> facoltativo di destinazione per la creazione dell'account.

/REUSE - Riutilizza un eventuale account esistente (la password verrà reimpostata).

/SAVEFILE<PercorsoFile> - Salva i dati del provisioning in un file in <PercorsoFile>

/NOSEARCH - Ignora il rilevamento di conflitti relativi agli account. Richiede DCNAME (più veloce)

/DOWNLEVEL - Supporta l'uso di un controller di dominio di Windows Server 2008 o versione precedente.

/PRINTBLOB - Restituisce il BLOB dei metadati con codifica Base64 per un file di risposta.

/DEFPWD - Utilizza la password predefinita dell'account computer (scelta non consigliata).

/ROOTCACERTS - Facoltativo. Include i certificati dell'autorità di certificazione radice.

/CERTTEMPLATE <Nome> - Facoltativo. <Nome> del modello di certificato del computer. Include i certificati dell'autorià di certificazione radice.

/POLICYNAMES<Nome/i> - Facoltativo. Elenco di nomi di criteri separati da punto e virgola. Ciascun nome è il nome visualizzato dell'oggetto Criteri di gruppo in AD.

/POLICYPATHS<Percorso/i> - Facoltativo. Elenco di percorsi di criteri separati da punto e virgola. Ciascun percorso è un percorso a un file di criteri di registro.

/NETBIOS<Nome> - <Nome> nome NetBios facoltativo del computer aggiunto al dominio.

/PSITE<Nome> - <Nome> facoltativo del sito persistente in cui inserire il computer aggiunto al dominio.

/DSITE <Nome> - <Nome> facoltativo del sito dinamico in cui inserire inizialmente il computer aggiunto al dominio.

/PRIMARYDNS<Nome> - <Nome> facoltativo del dominio DNS primario del computer aggiunto al dominio.

/REQUESTODJ - Richiede l'aggiunta al dominio offline all'avvio successivo.

/LOADFILE<PercorsoFile> - <PercorsoFile> specificato in precedenza tramite /SAVEFILE

/WINDOWSPATH<Percorso> - <Percorso> della directory Windows in un'immagine offline

/LOCALOS - Consente di specificare il sistema operativo in esecuzione in locale con /WINDOWSPATH. Questo comando deve essere eseguito da un amministratore locale. Per applicare le modifiche è necessario riavviare il sistema.

Provisioning dell'account computer nel dominio

Posizionarsi su un client o un server Windows appartenente al dominio e connesso al Domain Controller ed eseguire il logon come amministratore del dominio.
All'interno del menu Start digitare cmd. Cliccare con il tasto destro su Prompt dei comandi e selezionare Esegui come amministratore.
FIG 1 - Prompt dei comandi come amministratore
Dal prompt dei comandi eseguire il comando
djoin /provision /domain <dominio> /machine <nome_host> /savefile <PercorsoFile>
Ad es. nel nostro dominio mycompany.local il comando diventa
djoin /provision /domain mycompany.local /machine PCDIR002 /savefile c:\offlinedomainjoin.txt
FIG 2 - DJOIN, Provisioning account computer
Verificando in Active Directory noteremo che la workstation specificata nel comando (PCDIR002) è stata aggiunta al container Computers come mostrato in FIG 3. Copiare il file generato (c:\offlinedomainjoin.txt) sulla workstation offline che si intende aggiungere al dominio. Anche se si tratta di un file di testo, aprendolo con un editor di testo il suo contenuto non è leggibile per un essere umano (FIG 4) tuttavia il file contiene dati sensibili come password e informazioni relative al dominio.
FIG 3 - Active Directory, container Computers
FIG 4 - File generato da djoin contenente i dati del provisioning

Join al dominio della workstation offline

Sulla workstation offline, dopo aver copiato il file generato da djoin, avviare il prompt dei comandi come amministratore ed eseguire il comando
djoin /requestODJ /loadfile c:\offlinedomainjoin.txt /windowspath %systemroot% /localos
dove al posto di c:\offlinedomainjoin.txt va indicato il percorso e il nome del file del provisioning.
FIG 5 - Windows 10, djoin sulla workstation offline
Riavviare il sistema. Dopo il riavvio, come visibile in FIG 6, la workstation appartiene al dominio ed è stata rinominata in PCDIR002 (nome specificato nella fase del provisioning).
FIG 6 - Windows 10, Dominio e nome PC

Articoli precedenti

Windows 10: Rimuovere account utente locali da una workstation appartenente ad un dominio

↧

Windows Quick Tip: Crittografare una cartella tramite Prompt dei comandi

March 20, 2020, 1:07 pm

≫ Next: Windows Server 2019: Aggiungere una workstation Windows 10 al dominio tramite PowerShell

≪ Previous: Windows Server 2019: Aggiungere workstation offline al dominio tramite djoin

Per proteggere file o cartelle e renderli inaccessibili agli estranei è possibile ricorrere alla crittografia. Dal Prompt dei comandi di Windows possiamo utilizzare il comando cipher per raggiungere il nostro scopo:
cipher /e <path e nome cartella>

ad es. per cifrare la cartella c:\Cartella cifrata e il suo contenuto basta lanciare il seguente comando dal Prompt dei comandi
cipher /e "c:\Cartella cifrata"

Se il nome della cartella o del file da cifrare contiene spazi, come nel nostro caso, è necessario racchiudere il tutto tra doppi apici. Un messaggio ci avviserà se l'operazione è andata a buon fine indicando il numero di file/cartelle criptate.

FIG 1 - Crittografare una cartella tramite cipher

Spostando qualsiasi file all'interno della cartella questo verrà automaticamente cifrato e sull'icona apparirà un lucchetto.

FIG 2 - File crittografato

Per decriptare un file o una cartella basta utilizzare il comando con il parametro /d
cipher /d "c:\Cartella cifrata"

↧

Windows Server 2019: Aggiungere una workstation Windows 10 al dominio tramite PowerShell

March 23, 2020, 12:39 pm

≫ Next: Windows Server 2019: Abilitare il cestino di Active Directory

≪ Previous: Windows Quick Tip: Crittografare una cartella tramite Prompt dei comandi

Per aggiungere un computer con sistema operativo Windows 10 al dominio è possibile utilizzare il cmdlet Add-Computer di PowerShell.

Il cmdlet Add-Computer viene utilizzato per aggiungere il computer locale o computer remoti ad un dominio, ad un gruppo di lavoro o per spostarli da un dominio all'altro. Il comando provvede anche alla creazione dell'account all'interno del dominio nel caso non fosse già presente ed è possibile utilizzare i parametri per specificare un particolare Domain Controller, un'unità organizzativa dove aggiungere il computer, visualizzare un log verboso ecc.

Sintassi

Add-Computer
[-ComputerName <String[]>]
[-LocalCredential <PSCredential>]
[-UnjoinDomainCredential <PSCredential>]
[-Credential <PSCredential>]
[-DomainName] <String>
[-OUPath <String>]
[-Server <String>]
[-Unsecure]
[-Options <JoinOptions>]
[-Restart]
[-PassThru]
[-NewName <String>]
[-Force]
[-WhatIf]
[-Confirm]
[<CommonParameters>]

Parametri

-ComputerName
Specifica il computer (o più computer separati da virgola) da aggiungere al dominio. Per default viene considerato il computer locale. Il computer può essere specificato attraverso il suo nome NetBIOS, indirizzo IP o tramite il FQDN (Fully Qualified Domain Name)

-Confirm
Permette di richiedere una conferma prima dell'esecuzione del cmdlet.

-Credential
Specifica un'account utente che ha i permessi necessari per aggiungere computer al dominio. Se omesso viene considerato l'utente corrente che sta eseguendo il comando. Al parametro può essere passato il nome dell'account, come ad es. "utente01" o "Dominio\utente01" oppure può essere passato un'oggetto PSCredential generato dal cmdlet Get-Credential. Se viene specificato un'account utente verrà richiesto di inserire la password all'esecuzione del comando.

-DomainName
Al parametro va passato il dominio a cui aggiungere il computer.

-Force
Non visualizza il messaggio di conferma per ogni computer che viene aggiunto al dominio dal comando.

-LocalCredential
Specifica un account utente che ha i permessi per accedere ai computer indicati da -ComputerName. Al parametro può essere passato il nome dell'account, come ad es. "utente01" o "Dominio\utente01" oppure può essere passato un'oggetto PSCredential generato dal cmdlet Get-Credential. Se viene specificato un'account utente verrà richiesto di inserire la password all'esecuzione del comando.

-NewName
Specifica un nuovo nome da assegnare al computer all'interno del dominio.

-OUPath
Permetti si specificare l'unità organizzativa in cui creare l'account computer. Va passato il Distinguished Name dell'unità organizzativa tra virgolette.

-Options
Permette di specificare opzioni avanzate utilizzate da Add-Computer nella join al dominio. I valori accettati sono i seguenti (nel caso vengano specificati più valori vanno separati da virgola):

AccountCreate: Crea un account all'interno del dominio. L'operazione viene già eseguita dal cmdlet Add-Computer e tale valore è incluso solo per completezza.
Win9XUpgrade: Indica che l'operazione di join al dominio fa parte di un aggiornamento del sistema operativo Windows.
UnsecuredJoin: Esegue una join non protetta.
PasswordPass: Imposta la password della macchina con il valore del parametro Credential(DomainCredential) dopo aver eseguito una join non protetta. Questa opzione indica anche che il valore del parametro Credential (DomainCredential) è una password macchina e non una password utente. L'opzione è valida solo quando viene specificata anche l'opzione UnsecuredJoin. Quando si utilizza questa opzione, le credenziali fornite al parametro -Credential devono avere un nome utente nullo.
JoinWithNewName: Rinomina il nome del computer nel nuovo dominio con il nome specificato dal parametro NewName. Quando si utilizza il parametro -NewName, questa opzione viene impostata automaticamente. Questa opzione è progettata per essere utilizzata con il cmdlet Rename-Computer. Se si utilizza il cmdlet Rename-Computer per rinominare il computer, ma non si riavvia il computer per rendere effettiva la modifica, è possibile utilizzare questo parametro per unire il computer ad un dominio con il suo nuovo nome.
JoinReadOnly: Utilizza un account macchina esistente per collegare il computer a un controllore di dominio di sola lettura. L'account macchina deve essere aggiunto all'elenco consentito per la politica di replica della password e la password dell'account deve essere replicata al controller di dominio in sola lettura prima dell'operazione di join.
InstallInvoke: Imposta i flag create (0x2) e delete (0x4) del parametro FJoinOptions del metodo JoinDomainOrWorkgroup. Per maggiori informazioni fare riferimento al documento JoinDomainOrWorkgroup method of the Win32_ComputerSystem class presente in MSDN.

-PassThru
Restituisce un oggetto che rappresenta l'item su cui si sta lavorando. Per impostazione predefinita, il cmdlet non genera alcun output.

-Restart
Riavvia il computer una volta aggiunto al dominio. Il riavvio è comunque richiesto per rendere effettive le modifiche.

-Server
Permette di specificare un Domain Controller tramite il quale aggiungere il computer al dominio. Il nome da passare al parametro va specificato nel formato dominio\NomeServer (ad es. mycompany\Server1DC). Per default non viene specificato alcun Domain Controller.

-UnjoinDomainCredential
Tale parametro viene utilizzato per rimuovere computer dal dominio. Al parametro va passato un account utente che dispone dei permessi per eseguire l'operazione, ad es. "utente01" o "Dominio\utente01" oppure può essere passato un'oggetto PSCredential generato dal cmdlet Get-Credential. Se viene specificato un'account utente verrà richiesto di inserire la password all'esecuzione del comando.

-Unsecure
Esegue una join non protetta al dominio specificato.

-WhatIf
Mostra cosa accadrebbe se venisse eseguito il cmdlet. Il cmdlet non viene eseguito.

-WorkgroupName
Permette di specificare il nome del gruppo di lavoro a cui i computer verranno aggiunti. Il valore di default è "WORKGROUP".

Join del computer al dominio tramite PowerShell

Prima di procedere con la join al dominio bisogna verificare che la workstation riesca a comunicare con il domain controller. Per i passaggi da eseguire per effettuare tale verifica rimando a quanto illustrato all'interno dell'articolo Windows Server 2019: Aggiungere una workstation al dominio (join al dominio).
Sulla workstation:

Avviare PowerShell come amministratore. Premere la combinazione di tasti Win+X quindi selezionare Windows PowerShell (amministratore).
Digitare ed eseguire il comando
Add-Computer -DomainName mycompany.local -NewName PCDIR003 -OUPath "ou=Computer,ou=Direzione,dc=mycompany,dc=local"
per aggiungere il computer al dominio mycompany.local all'interno dell'unità organizzativa Direzione\Computer con il nome PCDIR003.
Quando richiesto, specificare le credenziali di un'account abilitato ad eseguire la join al dominio (ad es. mycompany\administrator).
FIG 1 - Join al dominio tramite l'utilizzo del cmdlet PowerShell Add-Computer
Al termine dell'operazione verrà richiesto di riavviare il sistema per rendere effettive le modifiche.
FIG 2 - Riavvio richiesto dopo la join al dominio

Sul Domain Controller:

Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e computer di Active Directory.
Posizionarsi sull'unità organizzativa Direzione\Computer e verificare che sia presente il computer con nome PCDIR003 aggiunto dal cmdlet Add-Computer.
FIG 3 - Workstation aggiunta al dominio tramite Add-Computer

Esempi

Di seguito verranno mostrati altri esempi di utilizzo del cmdlet Add-Computer.

Esempio 1
Add-Computer -DomainName mycompany.local -Restart
Aggiunge il computer locale al dominio mycompany.local e lo riavvia per rendere effettive le modifiche.

Esempio 2
Add-Computer -DomainName mycompany.local -Server mycompany.local\Server1DC -PassThru -Verbose
Il comando aggiunge il computer locale al dominio mycompany.local utilizzando il domain controller mycompany.local\Server1DC. I parametri PassThru e Verbose consentono di avere informazioni dettagliate sull'esecuzione del comando.

Esempio 3
Add-Computer -DomainName mycompany.local -OUPath "ou=Computer,ou=Direzione,dc=mycompany,dc=local"
Aggiunge il computer locale al dominio mycompany.local creando l'account all'interno dell'unità organizzativa specificata.

Esempio 4
Add-Computer -ComputerName PCDIR003 -LocalCredential PCDIR003\Utente1 -DomainName mycompany.local -Credential mycompany.local\Administrator -Restart -Force
Il comando aggiunge il computer con nome PCDIR003 al dominio mycompany.local. Tramite il parametro LocalCredential viene specificato un account abilitato a connettersi al computer PCDIR003. Con il parametro -Credential viene specificato l'account del dominio abilitato ad eseguire la join dei computer. Il parametro -Restart riavvia il computer una volta eseguita la Join mentre con il parametro -Force vengono soppresse eventuali richieste di conferma all'utente.
Nel caso in cui il comando restituisca un errore:
Add-Computer : Impossibile stabilire la connessione WMI al computer 'PCDIR003' con il messaggio di errore seguente: Server RPC non disponibile. (Eccezione da HRESULT: 0x800706BA).
Verificare sulla workstation:
- Che il profilo di rete sia Privato e non Pubblico;

FIG 4 - Windows 10, Profilo di rete Privato

- Attivare la condivisione file e stampanti per il profilo di rete Privato;

FIG 5 - Windows 10, Attivazione condivisione file e stampanti su Profilo di rete Privato

- Verificare e attivare la Gestione remota di Windows con il comando winrm quickconfig;

FIG 6 - Windows 10, Attivazione gestione remota di Windows tramite winrm

- Nelle regole di connessioni in entrata del firewall abilitare Strumentazione gestione Windows (WMI-In).

FIG 7 - Windows 10, Abilitazione regola firewall Strumentazione gestione Windows (WMI-In)

Esempio 5
Add-Computer -ComputerName pc01,pc02,pc03 -DomainName mycompany.local -Credential mycompany.local\Administrator -Restart

Il comando aggiunge i computer pc01, pc02 e pc03 al dominio mycompany.local e li riavvia una volta eseguita la join.

Esempio 6
Add-Computer -ComputerName pc01 -DomainName mycompany.local -NewName PCDIR003 -Credential mycompany.local\Administrator -Restart
Il comando aggiunge il computer pc01 al dominio mycompany.local e gli cambia il nome in PCDIR003.

Esempio 7
Add-Computer -ComputerName (Get-Content ElencoComputer.txt) -DomainName mycompany.local -Credential mydomain.local\Administrator -Options Win9xUpgrade -Restart
Aggiunge i computer elencati nel file ElencoComputer.txt all'interno del dominio mycompany.local. Il parametro -Restart riavvia ciascun computer dopo la join al dominio.

Articoli precedenti

Windows 10: Rimuovere account utente locali da una workstation appartenente ad un dominio

Windows Server 2019: Aggiungere workstation offline al dominio tramite djoin

↧

Windows Server 2019: Abilitare il cestino di Active Directory

March 27, 2020, 12:13 pm

≫ Next: Windows Server 2019: Recuperare un oggetto cancellato tramite il Cestino di Active Directory

≪ Previous: Windows Server 2019: Aggiungere una workstation Windows 10 al dominio tramite PowerShell

Per default tutti gli oggetti che vengono cancellati in Active Directory non possono essere recuperati. Chi ha avuto la sfortuna di cancellare accidentalmente un oggetto in AD e dovuto recuperarlo da un backup del server, sa bene che si tratta di un'operazione tutt'altro che semplice e veloce. Fortunatamente, a partire da Windows Server 2008 R2, Microsoft ha introdotto il cestino per Active Directory che permette il recupero degli oggetti cancellati in modo analogo a quanto avviene con il cestino di Windows per file e cartelle. Tale funzionalità è disattivata per default e va attivata manualmente. Prima di attivare la funzione è necessario che siano rispettati alcuni prerequisiti.

Prerequisiti Cestino di Active Directory

Almeno un Domain Controller deve avere Windows Server 2012 R2 con Centro di amministrazione di Active Directory.
Tutti gli altri Domain Controller all'interno del dominio devono avere almeno Windows Server 2008 R2 o superiore.
Il livello funzionale della foresta deve essere Windows Server 2008 R2 o superiore.

In Windows Server 2008 R2 il cestino di Active Directory poteva essere gestito solamente tramite PowerShell. A partire da Windows Server 2012 R2 il cestino può essere gestito tramite interfaccia grafica del Centro di amministrazione di Active Directory rendendo più semplice l'operazione di recupero degli oggetti cancellati.
Quando non è abilitato il cestino di Active Directory e si cancella un oggetto, questo viene contrassegnato per la cancellazione (tombstoned). Tali oggetti vengono definitivamente eliminati solo quando verrà eseguito il processo di garbacecollection.

Con il cestino di Active Directory abilitato, quando si cancella un oggetto questo viene contrassegnato come oggetto cancellato per l'arco di tempo specificato dalla proprietà msDS-DeletedObjectLifetime in Active Directory Domain Services (di default è nulla). Scaduto il tempo indicato in msDS-DeletedObjectLifetime l'oggetto viene contrassegnato come recycled e i suoi attributi vengono rimossi. L'oggetto risiede ancora nel cestino e può essere recuperato per la durata della sua vita definita dall'attributo tombstoneLifetime in Active Directory DS. Quando viene abilitato il cestino di Active Directory, gli oggetti preesistenti e contrassegnati per la cancellazione (tombstoned) vengono convertiti in oggetti recycled tuttavia non potranno essere recuperati come qualsiasi altro oggetto recycled.

Abilitare il cestino di Active Directory tramite Centro di amministrazione di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
FIG 1 - Server Manager, Centro di amministrazione di Active Directory
Selezionare il proprio dominio quindi, sul pannello delle Attività presente sulla destra della finestra, cliccare su Abilita Cestino....
FIG 2 - Centro di amministrazione di Active Directory, Abilita Cestino...
Una finestra di dialogo ci avvisa che l'operazione non è reversibile: una volta abilitato il cestino di Active Directory non potrà essere più disabilitato. Confermare cliccando su OK per proseguire.
FIG 3 - Conferma abilitazione cestino AD
Una nuova finestra di dialogo avvisa l'utente che il cestino non sarà disponibile finché l'abilitazione non verrà replicata a tutti i Domain Controller della foresta e non verrà aggiornato il Centro di amministrazione di Active Directory. Cliccare su OK.
FIG 4 - Abilitazione cestino AD
Terminata la replica dell'abilitazione basta cliccare sull'apposto link per aggiornare le informazioni visualizzate nella finestra del Centro di amministrazione di Active Directory e vedremo apparire un nuovo container nominato Deleted Objects. Da questo momento gli oggetti eliminati da AD potranno essere recuperati all'interno di tale container.
FIG 5 - Centro di amministrazione di Active Directory, Container Deleted Objects

Abilitare il cestino di Active Directory tramite PowerShell

In alternativa al Centro di amministrazione di Active Directory è possibile abilitare il cestino di AD tramite PowerShell e l'utilizzo del cmdlet Enable-ADOptionalFeature.
Da Windows PowerShell avviato come amministratore eseguire il comando
Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=mycompany,DC=local'–Scope ForestOrConfigurationSet –Target 'mycompany.local'
Rispondere affermativamente alla richiesta di esecuzione dell'operazione.

FIG 6 - Abilitazione del cestino di Active Directory mediante PowerShell

Dopo aver atteso i tempi di replica dal Centro di amministrazione di Active Directory sarà visibile il nuovo container Deleted Objects.

Articoli precedenti

Windows 10: Rimuovere account utente locali da una workstation appartenente ad un dominio

Windows Server 2019: Aggiungere workstation offline al dominio tramite djoin
Windows Server 2019: Aggiungere una workstation Windows 10 al dominio tramite PowerShell

↧

Windows Server 2019: Recuperare un oggetto cancellato tramite il Cestino di Active Directory

April 1, 2020, 10:16 am

≫ Next: Windows Server 2019: Impostare la complessità della password tramite Password Settings Object

≪ Previous: Windows Server 2019: Abilitare il cestino di Active Directory

Se è stato eliminato accidentalmente un'oggetto in AD e il cestino di Active Directoryè attivo (si veda articolo Windows Server 2019: Abilitare il cestino di Active Directory), è possibile recuperarlo velocemente seguendo questi semplici passaggi:

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
FIG 1 - Server Manager, Centro di amministrazione di Active Directory
Dal navigation pane (sul lato sinistro della finestra) selezionare il proprio dominio quindi eseguire un doppio click sul container Deleted Objects.
FIG 2 - Centro di amministrazione di Active Directory, container Deleted Objects
Cliccare, con il tasto destro del mouse, sull'oggetto che si intende recuperare e, dal menu contestuale, selezionare l'opzione Ripristina.
FIG 3 - Centro di amministrazione di Active Directory, ripristina oggetto eliminato
L'oggetto sarà ripristinato all'interno del container/UO da cui era stato eliminato.
FIG 4 - Centro di amministrazione di Active Directory, oggetto recuperato dal cestino di Active Directory

Articoli precedenti

Windows 10: Rimuovere account utente locali da una workstation appartenente ad un dominio

Windows Server 2019: Aggiungere workstation offline al dominio tramite djoin
Windows Server 2019: Aggiungere una workstation Windows 10 al dominio tramite PowerShell

Windows Server 2019: Abilitare il cestino di Active Directory

↧

Windows Server 2019: Impostare la complessità della password tramite Password Settings Object

April 6, 2020, 10:24 am

≫ Next: Windows Server 2019: Assegnare ad un gruppo restrizioni sulla password (PSO)

≪ Previous: Windows Server 2019: Recuperare un oggetto cancellato tramite il Cestino di Active Directory

All'interno di un dominio è sempre consigliabile stabilire una policy aziendale per forzare l'utilizzo di password complesse al fine di prevenire (o quantomeno rendere difficili) accessi non autorizzati.
Già a partire da Windows Server 2012è possibile controllare la complessità delle password attraverso l'utilizzo dei criteri granulari per le password (FINE-GRAINED password policy) e la creazione di Password Settings Object (PSO). I requisiti minimi per procedere sono i seguenti:

Sia presente almeno un Domain Controller con Windows Server 2012 o superiore;
Il livello di funzionalità della foresta sia impostata almeno su Windows Server 2008.

Utilizzando Windows Server 2019 e il livello di funzionalità della foresta di Windows Server 2016 i requisiti sono ampiamente rispettati. Solo i membri del gruppo Domain Admin possono creare PSO.

Creazione di Password Settings Object (PSO) tramite il Centro di amministrazione di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory
Selezionare il proprio dominio quindi aprire il container System con un doppio click;
FIG 2 - Centro di amministrazione di Active Directory, container System
Cliccare due volte su Password Settings container;
FIG 3 - Centro di amministrazione di Active Directory, Password Settings Container
Sul pannello Attività (sul lato destro della finestra) cliccare su Nuovo quindi Impostazioni password;
FIG 4 - Impostazioni password
All'interno della casella Nome specificare il nome da assegnare all'oggetto. E' consigliabile utilizzare un nome significativo che consenta di capire il suo scopo. Ad es. dovendo creare un PSO per gli amministratori di dominio un nome significativo potrebbe essere PSO_Domain_Admin.
All'interno del campo Precedenza inserire il valore 1. Il valore di tale campo ci permette di specificare la precedenza dell'oggetto: nel caso in cui su un account utente o su un gruppo siano definite più PSO, quello con il valore più basso avrà la precedenza.
Il campo Lunghezza minima password consente di specificare il numero minimo di caratteri da utilizzare per la password. Impostare tale campo a 15 caratteri.
Imponi cronologia delle password.Tale campo, se selezionato, permette di impedire che l'utente riutilizzi una password già utilizzata in precedenza. Il valore di default di tale campo è 24 il che comporta che l'utente può reinserire una password già utilizzata in passato solo dopo 24 cambi password. Lasciare l'opzione attiva con il valore di default.
Imponi validità minima password. Permette di specificare dopo quanto tempo dal cambio password l'utente potrà nuovamente modificarla. Il valore di default è 1 quindi quando l'utente cambia la password dovrà aspettare il giorno successivo (24h) per poterla cambiare nuovamente.
Imponi validità massima password. Il valore di default è 42. Modificare tale valore in 30. Il campo permette di specificare dopo quanti giorni l'utente è obbligato a cambiare password.
Attivare l'opzione Applica criteri di blocco account. Nel campo Numero di tentativi di accesso non riusciti consentiti inserire 5. Nel campo Ripristina conteggio tentativi di accesso non riusciti lasciare il valore 30. Lasciare attiva l'opzione Per un periodo di tempo pari a (minuti) valorizzata a 30. Con tali opzioni, dopo 5 tentativi di accesso non riusciti, l'account verrà bloccato per 30 minuti. Il contatore degli accessi non riusciti verrà resettato dopo 30 accessi riusciti consecutivi.
Cliccare su OK per completare la creazione del PSO con le impostazioni settate.
FIG 5 - Creazione PSO

FIG 6 - Nuovo oggetto impostazioni password (PSO)

Creazione di Password Settings Object (PSO) tramite PowerShell

Per eseguire la stessa operazione tramite PowerShellè necessario utilizzare il cmdlet New-ADFineGrainedPasswordPolicy. Avviare Windows PowerShell (amministratore) ed eseguire il seguente comando
New-ADFineGrainedPasswordPolicy -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"5" -MaxPasswordAge:"30.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"15" -Name:"PSO_Domain_Admin" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -Server:"Server1DC.mycompany.local"

Articoli precedenti

Windows 10: Rimuovere account utente locali da una workstation appartenente ad un dominio

Windows Server 2019: Aggiungere workstation offline al dominio tramite djoin
Windows Server 2019: Aggiungere una workstation Windows 10 al dominio tramite PowerShell

Windows Server 2019: Abilitare il cestino di Active Directory

Windows Server 2019: Recuperare un oggetto cancellato tramite il Cestino di Active Directory

↧

Windows Server 2019: Assegnare ad un gruppo restrizioni sulla password (PSO)

April 9, 2020, 8:59 am

≫ Next: Windows 10: Visualizzazione attività in stile Windows XP

≪ Previous: Windows Server 2019: Impostare la complessità della password tramite Password Settings Object

Nell'articolo Windows Server 2019: Impostare la complessità della password tramite Password Settings Object è stato mostrato come creare un oggetto contenente impostazioni/restrizioni relative alla password (FINE-GRAINED password policy). In questo articolo mostrerò come assegnare tali restrizioni ad un gruppo.
Supponiamo di voler assegnare tali impostazioni a tutti gli utenti che fanno parte del gruppo GRP_Marketing (creato negli articoli precedenti all'intero del nostro dominio nell'unità organizzativa Marketing). Vediamo come è possibile effettuare l'operazione tramite il Centro di amministrazione di Active Directory e PowerShell.

Assegnare ad un gruppo restrizioni sulla password (PSO) tramite Centro di amministrazione di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory
Selezionare il proprio dominio quindi cliccare sulla UO Marketing, selezionare il gruppo GRP_Marketing, cliccarci su con il tasto destro del mouse e selezionare Proprietà dal menu contestuale.
FIG 2 - Centro di amministrazione di Active Directory, Proprietà gruppo
Cliccare su Impostazioni password. In Impostazioni password associate direttamente cliccare sul pulsante Assegnare.
FIG 3 - Impostazioni password associate direttamente
Nella casella Immettere il nome dell'oggetto da selezionare digitare il nome del PSO creato nell'articolo precedente, cliccare su Controlla nomi, quindi cliccare su OK per procedere con l'assegnazione.
FIG 4 - Seleziona Oggetto impostazioni password
Da questo momento gli utenti che appartengono al gruppo GRP_Marketing, nel cambio password, dovrà rispettare le condizioni impostate.
FIG 5 - PSO aggiunto al gruppo

Assegnare ad un gruppo restrizioni sulla password (PSO) tramite PowerShell

Per assegnare ad un gruppo la policy FINE-GRAINED policy tramite PowerShell, viene utilizzato il cmdlet Add-ADFineGrainedPasswordPolicySubject. Avviare Windows PowerShell (amministratore) ed eseguire il comando
Add-ADFineGrainedPasswordPolicySubject -Identity:"CN=PSO_Domain_Admin,CN=Password Settings Container,CN=System,DC=mycompany,DC=local" -Server:"Server1DC.mycompany.local" -Subjects:"CN=GRP_Marketing,OU=Marketing,DC=mycompany,DC=local"

Verificare Impostazioni password di un account utente

Nei paragrafi precedenti è stato assegnato al gruppo GRP_Marketing la restrizione sulle password tramite l'assegnazione del PSO. Per verificare le restrizioni attribuite ad un account utente che fa parte del gruppo:

Dal Centro di amministrazione di Active Directory navigare all'interno del dominio fino all'account utente che si intende verificare (ne nostro caso mycompany.local\Marketing\Utenti)
Cliccare sull'account da verificare con il tasto destro del mouse e selezionare Visualizza impostazioni password risultanti.
FIG 6 - Centro di amministrazione di Active Directory, Visualizza impostazioni password risultanti
Apparirà a video l'oggetto PSO che è stato assegnato al gruppo GRP_Marketing e di conseguenza agli account utente appartenenti al gruppo.
FIG 7 - Password Settings Object

Articoli precedenti

Windows 10: Rimuovere account utente locali da una workstation appartenente ad un dominio

Windows Server 2019: Aggiungere workstation offline al dominio tramite djoin
Windows Server 2019: Aggiungere una workstation Windows 10 al dominio tramite PowerShell

Windows Server 2019: Abilitare il cestino di Active Directory
Windows Server 2019: Recuperare un oggetto cancellato tramite il Cestino di Active Directory
Windows Server 2019: Impostare la complessità della password tramite Password Settings Object

↧