Windows Server 2019: Limitare il logon degli account utente a determinate workstation

Come specificato negli articoli precedenti un account utente può, per default, eseguire il logon su qualsiasi workstation appartenente al dominio.
Tuttavia ci sono situazioni in cui sarebbe opportuno limitare l'accesso ad un account utente a specifiche workstation. Active Directory consente di applicare delle restrizioni sui computer ai quali un account o un gruppo di account utente può eseguire il logon. In questo articolo verranno mostrati i passaggi per applicare tali restrizioni agendo manualmente in Active Directory. Non si tratta di un'operazione raccomandata. Come mostrerò in un prossimo articolo, per questo tipo di operazioni, è preferibile agire tramite l'utilizzo delle group policy.

All'interno del nostro dominio mycompany.local abbiamo creato l'unità organizzativa Direzione al cui interno sono presenti ulteriori due unità organizzative: Computer contente, al momento, un unica workstation con nome PCDIR001 e Utenti contenente diversi account utente. Vediamo come fare in modo che uno o più utenti di direzione (mycompany.local\Direzione\Utenti) possano accedere esclusivamente alla workstation PCDIR001.

Limitare il logon degli account utente a determinate workstation tramite il Centro di amministrazione di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
  

  

  FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory

• Posizionarsi sull'unità organizzativa mycompany.local\Direzione\Utenti.
• Selezionare un'account utente (ad es. Yosemite Sam), cliccarci su con il tasto destro del mouse e selezionare Proprietà dal menu contestuale.
  

  

  FIG 2 - Centro di amministrazione di Active Directory, Proprietà account utente

• Cliccare sul link Accedi a...
  

  

  FIG 3 - Proprietà account utente, Accedi a...

• Selezionare l'opzione I computer seguenti. Nell'apposita casella digitare il nome della workstation a cui l'account utente potrà accedere quindi cliccare sul tasto Aggiungi. Ripetere l'operazione nel caso si vogliano aggiungere altre workstation.
  

  

  FIG 4 - Specificare le workstation alle quali l'account utente potrà accedere

• Terminata l'aggiunta delle workstation cliccare su OK all'interno della finestra Accedi a quindi nuovamente su OK per chiudere la finestra delle proprietà dell'account.

E' possibile eseguire l'operazione contemporaneamente su più account selezionandoli e procedendo in maniera analoga a quanto mostrato sopra. L'unica differenza è nella finestra Proprietà che sarà come quella mostrata in FIG 5. Spuntare la casella accanto al link Accedi a quindi cliccare su quest'ultimo per specificare le workstation a cui gli account selezionati potranno accedere.

FIG 5 - Proprietà per più account utente

Limitare il logon degli account utente a determinate workstation tramite Utenti e computer di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
  

  

  FIG 6 - Server Manager, Strumenti, Utenti e computer di Active Directory

• Posizionarsi sull'unità organizzativa mycompany.local\Direzione\Utenti.
• Selezionare un'account utente (ad es. Yosemite Sam), cliccarci su con il tasto destro del mouse e selezionare Proprietà dal menu contestuale.
  

  

  FIG 7 - Utenti e computer di Active Directory, Proprietà account utente

• All'interno della scheda Account, selezionare la casella Restrizioni computer quindi cliccare sul pulsante Accedi a.
  

  

  FIG 8 - Account utente, Accedi a...

• Selezionare l'opzione I seguenti computer. Nell'apposita casella digitare il nome del computer a cui l'account utente selezionato potrà accedere e cliccare sul pulsante Aggiungi.
  

  

  FIG 9 - Specificare le workstation alle quali l'account utente potrà accedere

• Terminata l'aggiunta delle workstation cliccare su OK all'interno della finestra Accedi a quindi su Applica all'interno della finestra delle proprietà dell'account.

Anche in questo caso è possibile eseguire l'operazione contemporaneamente su più account selezionandoli e procedendo in maniera analoga a quanto mostrato sopra. Nella finestra Proprietà di più oggetti selezionare la scheda Account (FIG 10), spuntare la casella Restrizioni computer quindi cliccare sul pulsante Accedi a per specificare le workstation a cui gli account selezionati potranno accedere.

FIG 10 - Restrizioni computer per più account utente

Limitare il logon degli account utente a determinate workstation tramite PowerShell

Per applicare la restrizione ad un account utente tramite PowerShell si utilizza il cmdlet Set-ADUser. 
Avviare Windows PowerShell (amministratore) ed eseguire il comando
Set-ADUser -Identity:"CN=Yosemite Sam,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -LogonWorkstations:"PCDIR001" -Server:"Server1DC.mycompany.local"
è possibile specificare più workstation passando i nomi, separati da virgola, al parametro LogonWorkstations come nel comando
Set-ADUser -Identity:"CN=Yosemite Sam,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -LogonWorkstations:"PCDIR001,PCDIR003" -Server:"Server1DC.mycompany.local"