Windows Server 2022: Configurazione IP Address Management

L'installazione di IPAM, vista nell'articolo precedente, è molto semplice. Terminata l'installazione passiamo, in questo articolo, alla sua configurazione. Tutte le operazioni da eseguire per la configurazione di IPAM vengono visualizzate come attività numerate nella barra di avvio rapido dopo aver fatto clic su Gestione indirizzi IP in Srever Manager.

Configurazione IPAM

Colleghiamoci, con un account che abbia i privilegi di amministratore del dominio (per semplificarci la vita), al server su cui è installata la funzionalità IPAM. In Server Manager, cliccare su Gestione indirizzi IP presente nel menu di sinistra.

FIG 1 - Server Manager, Gestione indirizzi IP

Come visibile in FIG 2, nel riquadro di avvio rapido, l'attività 1 Connetti a server  di Gestione indirizzi IP è già stata completata. Cliccare sul link relativa all'attività 2 Esegui provisioning server Gestione indirizzi IP per avviare il Wizard.

FIG 2 - Gestione indirizzi IP

Nella schermata Prima di iniziare vengono fornite informazioni relative alla Gestione indirizzi IP.

Gestione indirizzi IP offre una piattaforma di gestione monitoraggio e controllo centralizzata per lo spazio di indirizzi IP e i server infrastruttura corrispondenti nella rete. Gestione indirizzi offre tali funzionalità nei server Windows seguenti:

• Server DHCP
• Server DNS
• Server dei criteri di rete
• Controller di dominio Active Directory

É possibile scegliere che i server vengano o meno gestiti da Gestione indirizzi IP. I server gestiti devono essere configurati con impostazioni di accesso che consentano a Gestione indirizzi IP di gestirli, monitorarli o controllarli in remoto. É possibile configurare le impostazioni manualmente in ogni server oppure eseguire automaticamente il provisioning dei server gestiti mediante oggetti Criteri di gruppo.

Questa procedura guidata consente inoltre di scegliere ed eventualmente creare un database di Gestione indirizzi IP. Durante il provisioning vengono inoltre creati gruppi di sicurezza locali che possono essere utilizzati per assegnare i ruoli di amministratore.

Se si sceglie il metodo di provisioning basato sugli oggetti Criteri di gruppo, non è possibile passare al metodo manuale dopo il completamento della procedura guidata. É tuttavia possibile utilizzare il cmdlet Windows PowerShell Set-IpamConfiguration per passare dal provisioning manuale a quello basato sugli oggetti Criteri di gruppo in un secondo momento, se lo si desidera.

Cliccare su Avanti per proseguire.

FIG 3 - Esegui provisioning server Gestione indirizzi IP

É possibile configurare Gestione indirizzi IP per l'archiviazione dei dati in Database interno di Windows o in un database di Microsoft SQL Server. Per utilizzare SQL, nel server di database deve essere in esecuzione SQL Server 2008 R2 o versione successiva. Nella schermata Configura database, accettare il database interno di Windows predefinito e fare clic su Avanti.

FIG 4 - Configura database

Nella schermata Metodo di provisioning, selezionare l'opzione Basata su Criteri di gruppo e digitare, nell'apposita casella, il prefisso del nome dell'Oggetto Criteri di gruppo (in FIG è stato inserito il prefisso IPAM che permette di identificare rapidamente le GPO create da Gestione indirizzi IP). Una GPO è una raccolta di impostazioni che descrivono il comportamento o l'aspetto di un sistema per gli utenti. Può essere indirizzata agli utenti e/o ai computer. Come indicato nella descrizione dell'opzione:

Il metodo di provisioning basato su Criteri di gruppo richiede la creazione di oggetti Criteri di gruppo in ogni dominio gestito con il server di Gestione indirizzi IP. Gestione indirizzi IP configurerà automaticamente le impostazioni nei server gestiti aggiungendo il server all'oggetto Criteri di gruppo appropriato. Ciò può risultare particolarmente utile in una rete di grandi dimensioni con moti server gestiti. Gli oggetti Criteri di gruppo creati dall'utente devono rispettare le convenzioni di denominazione utilizzate da Gestione indirizzi IP. É tuttavia possibile personalizzare il nome dell'oggetto Criteri di gruppo con un prefisso a scelta. Tale prefisso deve essere univoco per ogni server di Gestione indirizzi IP in una foresta Active Directory.

Una volta specificato il prefisso, cliccare sul pulsante Avanti per proseguire.

FIG 5 - Metodo di provisioning

Nella schermata Riepilogo vengono elencate le modifiche che verranno apportate dalla procedure guidata:

• Esegue il provisioning del server di Gestione indirizzi IP per l'utilizzo del metodo di provisioning basato su oggetti Criteri di gruppo. Gestione indirizzi IP utilizza i Criteri di gruppo per configurare le impostazioni di accesso richieste nei server gestiti. Tali impostazioni verranno applicate ai server gestiti utilizzando gli oggetti Criteri di gruppo seguenti:
  - IPAM_DHCP per server DHCP
  - IPAM_DNS per server DNS
  - IPAM_DC_NPS per controller di dominio e Server dei criteri di rete
  
  Creare gli oggetti Criteri di gruppo in ogni dominio gestito di Gestione indirizzi IP tramite il cmdlet Windows PowerShell di Gestione indirizzi IP Invoke-IpamGpoProvisioning. Per creare e applicare questi oggetti Criteri di gruppo, sono necessari privilegi Domain Admins.
• Crea il database di Gestione indirizzi IP in WID e configura l'accesso.
• Creare nel server Gestione indirizzi IP attività pianificate per raccogliere dati dalla rete.
• Creare nel server Gestione indirizzi IP i gruppi di sicurezza locali utilizzati per assegnare i ruoli di amministratore.
• Abilita la funzionalità di monitoraggio degli indirizzi IP nel server Gestione indirizzi IP.

Cliccare su Applica.

FIG 6 - Riepilogo

Nella finestra Completamento cliccare su Chiudi per terminare la procedura guidata. 

FIG 7 - Completamento

Il passo successivo consiste nell'estendere i nuovi criteri di gruppo al dominio. L'operazione va eseguita in ogni dominio che si desidera far gestire a IPAM.

Fare clic con il pulsante destro del mouse sul menu Start del server IPAM e selezionare Windows PowerShell (amministratore).

Il seguente passaggio dovrà essere eseguito da un account appartenente al gruppo amministratori di dominio. Il comando da eseguire sarà del tipo

Invoke-IpamGpoProvisioning -Domain <nome del dominio> -GpoPrefixName "IPAM" -force

Ad esempio, nel nostro caso il comando sarà

Invoke-IpamGpoProvisioning -Domain mycompany.local -GpoPrefixName "IPAM" -force

Confermare che si desidera eseguire questa operazione tre volte, una per ogni criterio creato. I criteri sono: IPAM_DC_NPS, IPAM_DHCP e IPAM_DNS.

FIG 8 - PowerShell cmdlet Invoke-IpamGpoProvisioning

Tornare al riquadro di avvio rapido di Gestione indirizzi IP in Server Manager. Cliccare sul link relativa all'attività 3 Configura individuazione server.

FIG 9 Gestione indirizzi IP, Configura individuazione server

Cliccare sul pulsante Recupera foreste.

FIG 10 - Configura individuazione server

Verrà avviata un'attività in background per recuperare le foreste trusted. cliccare sul pulsante OK presente nella finestra di dialogo. Quindi chiudere la finestra Configura individuazione server e attendere che l'attività venga completata.

FIG 11 - Configura individuazione server, avvio attività in background

Cliccare nuovamente su 3 Configura individuazione server. Questa volta verranno inseriti la foresta e il dominio. Cliccare sul pulsante Aggiungi accanto al dominio.

FIG 12 - Configura individuazione server

Selezionare i ruoli del server che si desidera far rilevare a IPAM. La schermata dovrebbe essere simile a quella della FIG 13. Cliccare su OK.

FIG 13 - Selezione ruoli server da individuare

Cliccare su 4 Avvia individuazione server.  Questa operazione pianifica un lavoro di rilevamento. Attendere il completamento. L'utente verrà avvisato al termine del lavoro (tramite le notifiche di Server Manager)

FIG 14 - Avvia individuazione server

Terminata l'attività di individuazione server, cliccare su 5 Seleziona o aggiungi server per gestire e verificare l'accesso di Gestione indirizzi IP. 

FIG 15 - Seleziona o aggiungi server per gestire e verificare l'accesso di Gestione indirizzi IP

Fare clic con il pulsante destro del mouse sul server e scegliere Modifica server.

FIG 16 - Inventario Server

Modificare l'elenco a discesa Stato gestibilità da Non specificato a Gestito, come mostrato in FIG 17 e assicurarsi che in Tipo server siano selezionati i server che si intendono rilevare. Cliccare su OK.

FIG 17 - Aggiungi o modifica server

Questo aggiunge il server gestito alle GPO create in precedenza. In questa fase è possibile che venga visualizzato lo stato di accesso IPAM bloccato (FIG 18). In genere, ciò significa che i criteri di gruppo non sono ancora stati applicati all'altro sistema (supponendo di aver utilizzato Criteri di gruppo per il metodo di provisioning). Per risolvere questo problema, accedere all'altro sistema, aprire una finestra PowerShell e digitare Invoke-GPUpdate -Force seguito da invio. Quindi tornate al server IPAM, fate clic con il pulsante destro del mouse sul sistema in questione e scegliete Aggiorna stato accesso server. Se ancora non funziona, potrebbe essere necessario riavviare il server da gestire.

FIG 18 - Stato di Accesso bloccato

FIG 19 - Aggiorna stato accesso server

Cliccare, con il tasto destro del mouse, sul server gestito e scegliere Recupera tutti i dati del server. Al termine del processo di recupero, è possibile iniziare a gestire il server aggiunto tramite IPAM. 

FIG 20 - Recupera tutti i dati server

Windows Server 2022: Installazione di IP Address Management

In un'organizzazione di piccole dimensioni, la gestione dei server DNS (Domain Name System) e DHCP (Dynamic Host Configuration Protocol) non rappresenta un grosso problema; potrebbe bastare un solo server o una manciata di server. Nelle grandi organizzazioni la gestione di numerosi server DNS e DHCP è più complessa e risulta difficile tenere traccia di tutte le zone e gli ambiti. In questi casi Microsoft ci viene incontro fornendoci una nuova funzionalità nota come IPAM (IP Address Management).

IPAM combina la gestione dei servizi di rete come il DNS e il DHCP in un'unica applicazione, in modo da poter gestire sia l'infrastruttura DNS che quella DHCP da una console di gestione centrale.

Uno degli aspetti più interessanti di IPAM è che è in grado di indicare quando una sottorete viene utilizzata in modo intensivo. In questo modo è possibile tenere traccia di quando è necessario aggiungere altre sottoreti per evitare che gli utenti o i sistemi rimangano senza indirizzi IP utilizzabili.

In questo articolo verrà illustrato solo come installare IPAM. La configurazione e la gestione verranno mostrati in articoli successivi.

Prerequisiti

Prima di procedere con l'installazione di IPAM bisogna considerare i seguenti requisiti:

• IPAM non può essere installato sui controller di dominio.
• IPAM non dovrebbe essere installato su un server DHCP o DNS perché può causare problemi di rilevamento.
• IPAM deve essere installato su un sistema unito al dominio.
• IPAM è incentrato su Microsoft. Non è possibile gestire prodotti di terze parti come BIND su Linux.

Una volta verificato che i requisiti sopra riportati siano soddisfatti, si può passare all'installazione di IPAM.

Installazione di IPAM tramite GUI

Da Server Manager, nella sezione Dashboard, cliccare sul link Aggiungi ruoli e funzionalità (in alternativa cliccare sul menu Gestione e selezionare Aggiungi ruoli e funzionalità).

FIG 1 - Server Manager

Verrà avviato il Wizard Aggiunta guidata ruoli e funzionalità che ci guiderà nell'installazione della funzionalità. Nella finestra Prima di iniziare vengono fornite alcune informazioni preliminari sull'installazione/rimozione dei ruoli e funzionalità. Cliccare su Avanti.

FIG 2 - Aggiunta guidata ruoli e funzionalità, Prima di iniziare

Nella pagina Selezione tipo di installazione è possibile scegliere tra installare ruoli e funzionalità su un server oppure installare una specifica risorsa sull'infrastruttura VDI. Lasciare selezionata l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.  

FIG 3 - Selezione tipo di installazione

Nella pagina Selezione server di destinazione cliccare su Avanti.

FIG 4 - Selezione server di destinazione

Nella schermata Selezione ruoli server cliccare su Avanti.

FIG 5 - Selezione ruoli server

Scorrere l'elenco delle funzionalità mostrate nella finestra Selezione funzionalità e selezionare Server di Gestione indirizzi IP. Come indicato dalla descrizione:

Gestione indirizzi IP fornisce un framework centrale per la gestione dello spazio di indirizzi IP e dei server di infrastruttura corrispondenti, come DHCP e DNS. Oltre a supportare l'individuazione automatizzata dei server di infrastruttura in una foresta Active Directory, Gestione indirizzi IP consente di gestire lo spazio di indirizzi IPv4 e IPv6 statici e dinamici, registra le tendenze relative all'utilizzo degli indirizzi IP e supporta il monitoraggio e la gestione dei servizi DNS e DHCP nella rete.

FIG 6 - Selezione funzionalità

Si aprirà una nuova finestra di dialogo che mostra l'elenco di ulteriori funzionalità che verranno installate per il corretto funzionamento di Server di Gestione indirizzi IP. Cliccare su Aggiungi funzionalità.

FIG 7 - Funzionalità necessarie per Server di Gestione indirizzi IP

Si ritorna alla schermata precedente e, questa volta, la funzionalità Server di Gestione IP risulta selezionata. Cliccare su Avanti per proseguire.

FIG 8 - Selezione funzionalità

Nella schermata Conferma selezioni per l'installazione, viene mostrato un resoconto di quello che verrà installato. Se si desidera che il server si riavvii automaticamente, se necessario, a seguito dell'installazione della funzionalità è possibile selezionare la casella di controllo Riavvia automaticamente il server di destinazione se necessario. Cliccare su Installa per procedere con l'installazione di IPAM.

FIG 9 - Conferma selezioni per l'installazione

Al termine dell'installazione cliccare su Chiudi per chiudere la finestra del Wizard.

FIG 10 - Stato installazione

Installazione di IPAM tramite PowerShell

Per l'installazione di IPAM da PowerShell, aprire una finestra Windows PowerShell (amministratore) ed eseguire il seguente comando

 Install-WindowsFeature –Name IPAM -Restart  

Il parametro -Restart provvederà a riavviare il server al termine dell'installazione se necessario.

FIG 11 - PowerShell, installazione di IPAM

Windows 11: Rimuovere account utente locali da una workstation appartenente ad un dominio

Per questioni di sicurezza, dopo aver eseguito la join di una workstation al dominio, è consigliabile procedere all'eliminazione degli account locali presenti. In questo modo si evita che un account amministratore locale possa, ad esempio, modificare le impostazioni del sistema sulla workstation oppure installare/rimuovere programmi. La procedura può essere eseguita sia tramite server che agendo direttamente sulla workstation. In questo articolo prenderemo in considerazione questo secondo caso.

Eseguire il logon sulla postazione Windows 11 con l'account amministratore del dominio. 

FIG 1 - Windows 11, Schermata di logon

All'interno della barra di ricerca digitare Pannello di controllo e cliccare su Apri.

FIG 2 - Avvio Pannello di controllo

All'interno del Pannello di controllo, con la visualizzazione per Categoria, cliccare su Account utente.

FIG 3 - Pannello di controllo

Nella finestra Account utente cliccare nuovamente sul link Account utente.

FIG 4 - Account utente

Cliccare su Gestisci account utente.

FIG 5 - Gestisci account utente

Come visibile da FIG 6 è presente un solo account locale (Virtual) che fa parte del gruppo degli amministratori locali della workstation. Selezionare l'account utente e cliccare sul pulsante Rimuovi.

FIG 6 -  Elenco account utenti locali

Rispondere Si al messaggio di conferma per procedere con la rimozione dell'account locale e quindi cliccare sul pulsante OK per chiudere la finestra Account utente.

FIG 7 - Conferma rimozione account utente locale

FIG 8 -  Account utente, cliccare su OK per chiudere la finestra

Da questo momento sarà possibile accedere alla workstation solo tramite un account utente appartenente al dominio.

PowerShell: Aggiungere una workstation ad un dominio

Per aggiungere un server o una workstation ad un dominio tramite PowerShell, è possibile utilizzare il cmdlet Add-Computer. Il cmdlet lo abbiamo già incontrato nell'articolo Windows Server 2022: Aggiungere il server ad un dominio (Join)  e in questo articolo verrà illustrato più dettagliatamente e lo utilizzeremo per aggiungere una workstation Windows 11 al nostro dominio.

Il cmdlet Add-Computer può essere utilizzato per aggiungere il computer locale o i computer remoti a un dominio o a un gruppo di lavoro oppure per spostarli da un dominio a un altro. 

È possibile usare i parametri di questo cmdlet per specificare un'unità organizzativa e il controller di dominio o per eseguire un join non sicuro. Per ottenere i risultati del comando, si utilizzano i parametri Verbose e PassThru .

Sintassi

Add-Computer

   [-ComputerName <String[]>]

   [-LocalCredential <PSCredential>]

   [-UnjoinDomainCredential <PSCredential>]

   -Credential <PSCredential>

   [-DomainName] <String>

   [-OUPath <String>]

   [-Server <String>]

   [-Unsecure]

   [-Options <JoinOptions>]

   [-Restart]

   [-PassThru]

   [-NewName <String>]

   [-Force]

   [-WhatIf]

   [-Confirm]

   [<CommonParameters>]

   

Add-Computer

   [-ComputerName <String[]>]

   [-LocalCredential <PSCredential>]

   [-Credential <PSCredential>]

   [-WorkgroupName] <String>

   [-Restart]

   [-PassThru]

   [-NewName <String>]

   [-Force]

   [-WhatIf]

   [-Confirm]

   [<CommonParameters>]  

Parametri

-ComputerName

Specifica i computer da aggiungere a un dominio o un gruppo di lavoro. Il valore predefinito è il computer locale. Al parametro può essere passato il nome NetBIOS, un indirizzo IP (Internet Protocol) o un nome di dominio completo di ogni computer remoto. Per specificare il computer locale, digitare il nome del computer, un punto (.) o "localhost".

Questo parametro non si basa sulla comunicazione remota di Windows PowerShell. È possibile utilizzare il parametro ComputerName di Add-Computer anche se il computer non è configurato per eseguire comandi remoti.  

-Confirm

Richiede conferma prima di eseguire il cmdlet.

-Credential

Specifica un account utente che dispone dell'autorizzazione per aggiungere computer a un nuovo dominio. Il valore predefinito è l'utente corrente.

Digitare un nome utente, ad esempio "User01" o "Domain01\User01" o immettere un oggetto PSCredential , ad esempio quello generato dal Get-Credential cmdlet. Se si digita un nome utente, viene richiesta una password.

Per specificare un account utente autorizzato a rimuovere il computer dal dominio corrente, usare il parametro UnjoinDomainCredential. Per specificare un account utente autorizzato a connettersi a un computer remoto, usare il parametro LocalCredential.

-DomainName

Specifica il dominio a cui vengono aggiunti i computer. Questo parametro è obbligatorio quando si aggiunge il computer a un dominio.

-Force

Elimina la richiesta di conferma dell'utente. Senza questo parametro, Add-Computer è necessario confermare l'aggiunta di ogni computer.

-LocalCredential

Specifica un account utente autorizzato a connettersi ai computer specificati dal parametro ComputerName . Il valore predefinito è l'utente corrente.

Digitare un nome utente, ad esempio "User01" o "Domain01\User01" o immettere un oggetto PSCredential , ad esempio quello generato dal Get-Credential cmdlet. Se si digita un nome utente, viene richiesta una password.

Per specificare un account utente con l'autorizzazione per aggiungere i computer a un nuovo dominio, usare il parametro Credential . Per specificare un account utente autorizzato a rimuovere i computer dal dominio corrente, usare il parametro UnjoinDomainCredential.

-NewName

Specifica un nuovo nome per il computer nel nuovo dominio. Questo parametro è valido solo quando un computer viene aggiunto o spostato.

-Options

Specifica le opzioni avanzate per l'operazione Add-Computer di join. Immettere uno o più valori delimitati da virgole in una stringa.

I valori validi per questo parametro sono:

• AccountCreate: crea un account di dominio. Il Add-Computer cmdlet crea automaticamente un account di dominio quando aggiunge un computer a un dominio. Questa opzione è inclusa per completezza.
• Win9XUpgrade: indica che l'operazione di join fa parte di un aggiornamento del sistema operativo Windows.
• UnsecuredJoin: esegue un join non protetto. Per richiedere un join non protetto, usare il parametro Unsecure o questa opzione. Se si vuole passare una password del computer, è necessario usare questa opzione in combinazione con PasswordPass l'opzione .
• PasswordPass: imposta la password del computer sul valore del parametro Credential(DomainCredential) dopo l'esecuzione di un join non protetto. Questa opzione indica anche che il valore del parametro Credential (DomainCredential) è una password del computer, non una password utente. Questa opzione è valida solo quando viene specificata l'opzione UnsecuredJoin . Quando si usa questa opzione, le credenziali fornite al -Credential parametro devono avere un nome utente Null.
• JoinWithNewName: rinomina il nome del computer nel nuovo dominio con il nome specificato dal parametro NewName. Quando si usa il parametro NewName, questa opzione viene impostata automaticamente. Questa opzione è progettata per essere usata con il cmdlet Rename-Computer. Se si utilizza il Rename-Computer cmdlet per rinominare il computer, ma non riavviare il computer per rendere effettiva la modifica, è possibile utilizzare questo parametro per aggiungere il computer a un dominio con il nuovo nome.
• JoinReadOnly: usa un account computer esistente per aggiungere il computer a un controller di dominio di sola lettura. L'account computer deve essere aggiunto all'elenco consentito per i criteri di replica delle password e la password dell'account deve essere replicata nel controller di dominio di sola lettura prima dell'operazione di aggiunta.
• InstallInvoke: imposta i flag di creazione (0x2) ed eliminazione (0x4) del parametro FJoinOptions del metodo JoinDomainOrWorkgroup . Per altre informazioni sul metodo JoinDomainOrWorkgroup , vedere Metodo JoinDomainOrWorkgroup della classe Win32_ComputerSystem. Per altre informazioni su queste opzioni, vedere Funzione NetJoinDomain.

-OUPath

Specifica un'unità organizzativa per l'account di dominio. Immettere il nome distinto completo dell'unità organizzativa racchiuso tra virgolette. Il valore predefinito è l'unità organizzativa predefinita per gli oggetti computer del dominio.

-PassThru

Restituisce un oggetto che rappresenta l'elemento in uso. Per impostazione predefinita, il cmdlet non genera alcun output.

-Restart

Riavvia i computer aggiunti al dominio o al gruppo di lavoro. Spesso è necessario un riavvio per rendere effettiva la modifica.

-Server

Specifica il nome di un controller di dominio che aggiunge il computer al dominio. Immettere il nome in formato NomeDominio\NomeComputer. Per impostazione predefinita, non viene specificato alcun controller di dominio.

-UnjoinDomainCredential

Specifica un account utente che dispone dell'autorizzazione per rimuovere computer dal dominio corrente. Il valore predefinito è l'utente corrente.

Digitare un nome utente, ad esempio "User01" o "Domain01\User01" o immettere un oggetto PSCredential , ad esempio quello generato dal Get-Credential cmdlet. Se si digita un nome utente, viene richiesta una password.

Usare questo parametro quando si spostano computer in un dominio diverso. Per specificare un account utente con l'autorizzazione per l'aggiunta al nuovo dominio, usare il parametro Credential . Per specificare un account utente autorizzato a connettersi a un computer remoto, usare il parametro LocalCredential.

-Unsecure

Esegue un join non sicuro al dominio specificato.

-WhatIf

Mostra gli effetti dell'esecuzione del cmdlet. Il cmdlet non viene eseguito.

-WorkgroupName

Specifica il nome di un gruppo di lavoro a cui vengono aggiunti i computer. Il valore predefinito è "WORKGROUP".

Esempi

Esempio 1

Add-Computer -DomainName mycompany.local -Restart

Questo comando aggiunge il computer locale al dominio mycompany.local e riavvia il computer per rendere effettiva la modifica.

Esempio 2

Add-Computer -WorkgroupName WORKGROUP1

Questo comando aggiunge il computer locale al gruppo di lavoro Workgroup1.

Esempio 3

Add-Computer -DomainName mycompany.local -Server mycompany.local\ServerDC2 -PassThru -Verbose

Questo comando aggiunge il computer locale al dominio mycompany.local tramite il controller di dominio mycompany.local\ServerDC2.

Il comando usa i parametri PassThru e Verbose per ottenere informazioni dettagliate sui risultati del comando.

Esempio 4 

Add-Computer -DomainName mycompany.local -OUPath "OU=Direzione,DC=mycompany,DC=local"

Questo comando aggiunge il computer locale al dominio Domain02. Usa il parametro OUPath per specificare l'unità organizzativa per i nuovi account.

Esempio 5

Add-Computer -ComputerName Server01 -LocalCredential Server01\Admin01 -DomainName Domain02 -Credential Domain02\Admin02 -Restart -Force

Questo comando aggiunge il computer Server01 al dominio Domain02. Usa il parametro LocalCredential per specificare un account utente autorizzato a connettersi al computer Server01. Usa il parametro Credential per specificare un account utente con l'autorizzazione per aggiungere computer al dominio. Usa il parametro Restart per riavviare il computer al termine dell'operazione di join e il parametro Force per eliminare i messaggi di conferma dell'utente.

Esempio 6

Add-Computer -ComputerName Server01, Server02, localhost -DomainName Domain02 -LocalCredential Domain01\User01 -UnjoinDomainCredential Domain01\Admin01 -Credential Domain02\Admin01 -Restart

Questo comando sposta i computer Server01 e Server02 e il computer locale, da Domain01 a Domain02.

Usa il parametro LocalCredential per specificare un account utente autorizzato a connettersi ai tre computer interessati. Usa il parametro UnjoinDomainCredential per specificare un account utente autorizzato a annullare la partecipazione dei computer dal dominio Domain01 e al parametro Credential per specificare un account utente che abbia l'autorizzazione per aggiungere i computer al dominio Domain02. Usa il parametro Restart per riavviare tutti e tre i computer al termine dello spostamento.

Esempio 7

Add-Computer -ComputerName Server01 -DomainName Domain02 -NewName Server044 -Credential Domain02\Admin01 -Restart

Questo comando sposta il computer Server01 nel dominio Domain02 e modifica il nome del computer in Server044.

Il comando usa le credenziali dell'utente corrente per connettersi al computer Server01 e separarsi dal dominio corrente. Usa il parametro Credential per specificare un account utente con l'autorizzazione per aggiungere il computer al dominio Domain02.

Esempio 8

Add-Computer -ComputerName (Get-Content Servers.txt) -DomainName Domain02 -Credential Domain02\Admin02 -Options Win9xUpgrade  -Restart

Questo comando aggiunge i computer elencati nel Servers.txt file al dominio Domain02. Usa il parametro Options per specificare l'opzione Win9xUpgrade . Il parametro Restart riavvia tutti i computer appena aggiunti al termine dell'operazione di join.

Esempio 9

 New-ADComputer -Name "Server02" -AccountPassword (ConvertTo-SecureString -String 'TempJoinPA$$' -AsPlainText -Force)  
 $joinCred = New-Object pscredential -ArgumentList ([pscustomobject]@{  
   UserName = $null  
   Password = (ConvertTo-SecureString -String 'TempJoinPA$$' -AsPlainText -Force)[0]  
 })  
 Add-Computer -Domain "Domain03" -Options UnsecuredJoin,PasswordPass -Credential $joinCred  

Questa combinazione di comandi crea un nuovo account computer con un nome predefinito e una password di aggiunta temporanea in un dominio usando un computer aggiunto a un dominio esistente. Quindi separatamente, un computer con il nome predefinito unisce il dominio usando solo il nome del computer e la password di aggiunta temporanea. La password predefinita viene usata solo per supportare l'operazione di join e viene sostituita come parte delle normali procedure di account computer dopo che il computer ha completato l'aggiunta.

Aggiungere una workstation Windows 11 al dominio

Prima di poter procedere alla join al dominio della workstation è opportuno assicurarsi che il server sia raggiungibile come indicato nell'articolo Windows Server 2022: Aggiungere una workstation al dominio (join al dominio).

Dalla workstation, avviare PowerShell come amministratore ed eseguire il comando

Add-Computer -DomainName mycompany.local -NewName PCDIR003 -Restart

Verranno richieste le credenziali di un account abilitato all'inserimento del computer al dominio. 

FIG 1 - Add-Computer, Aggiungere il computer al dominio

Una volta specificate le credenziali e cliccato su OK, dopo qualche secondo il computer verrà aggiunto al dominio con il nome specificato dal parametro -NewName.

FIG 2 - Utenti e computer di Active Directory

Windows Server 2022: Aggiungere workstation offline al dominio tramite djoin

Nell'articolo precedente Windows Server 2022: Aggiungere una workstation al dominio (join al dominio)  è stato illustrato come eseguire la join al dominio di una workstation Windows 11 tramite GUI. In questi casi la condizione imprescindibile affinché la procedura venga portata correttamente a termine è la comunicazione tra client e Server Domain Controller. 

Se il Domain Controller, per qualche motivo, non può essere contattato dalla workstation, la join potrà essere comunque effettuata mediante l'utility djoin.exe. L'utility djoin.exe, introdotta in Windows 7 e Windows Server 2012, consente di eseguire la join del computer al dominio anche in assenza di comunicazione tra il client e il Domain Controller. In pratica djoin verrà prima eseguito su un client o su un server Windows che riesce a comunicare con il Domain Controller in modo da creare l'account computer in Active Directory (AD) con il nome specificato (provisioning dell'account computer nel dominio), dopodiché i dati (chiamati blob) verranno esportati in un file per essere importati, sempre tramite l'utilizzo dell'utility, sul client offline. L'utente che esegue djoin per la creazione del file dovrà disporre dell'abilitazione per aggiungere computer al dominio. Per default gli utenti appartenenti ad un dominio possono aggiungere fino ad un massimo di 10 computer, raggiunto tale limite è necessario procedere con un account abilitato all'inserimento dei computer in AD. Il file generato potrà essere utilizzato anche per un'installazione unattended. L'utilizzo di djoin torna utile in tutti quei casi in cui il Domain Controller è temporaneamente non raggiungibile: si pensi, ad esempio, il caso in cui bisogna configurare delle postazioni prima di trasportarle e installarle fisicamente presso un cliente.

La sintassi del comando djoin.exe è la seguente:

djoin.exe [/OPZIONI]

Opzioni:

/PROVISION - Esegue il provisioning di un account computer nel dominio.

  /DOMAIN <Nome> - <Nome> del dominio a cui aggiungere il computer.

  /MACHINE <Nome> - <Nome> host del computer da aggiungere al dominio.

  /MACHINEOU <OU> - <OU> facoltativa in cui viene creato l'account.

  /DCNAME <DC> - <DC> facoltativo di destinazione per la creazione dell'account.

  /REUSE - Riutilizza un eventuale account esistente (la password verrà reimpostata).

  /SAVEFILE <PercorsoFile> - Salva i dati del provisioning in un file in <PercorsoFile>

  /NOSEARCH - Ignora il rilevamento di conflitti relativi agli account. Richiede DCNAME (più veloce)

  /DOWNLEVEL - Supporta l'uso di un controller di dominio di Windows Server 2008 o versione precedente.

  /PRINTBLOB - Restituisce il BLOB dei metadati con codifica Base64 per un file di risposta.

  /DEFPWD - Utilizza la password predefinita dell'account computer (scelta non consigliata).

  /ROOTCACERTS - Facoltativo. Include i certificati dell'autorità di certificazione radice.

  /CERTTEMPLATE <Nome> - Facoltativo. <Nome> del modello di certificato del computer. Include i certificati dell'autorià di certificazione radice.

  /POLICYNAMES <Nome/i> - Facoltativo. Elenco di nomi di criteri separati da punto e virgola. Ciascun nome è il nome visualizzato dell'oggetto Criteri di gruppo in AD.

  /POLICYPATHS <Percorso/i> - Facoltativo. Elenco di percorsi di criteri separati da punto e virgola. Ciascun percorso è un percorso a un file di criteri di registro.

  /NETBIOS <Nome> - <Nome> nome NetBios facoltativo del computer aggiunto al dominio.

  /PSITE <Nome> - <Nome> facoltativo del sito persistente in cui inserire il computer aggiunto al dominio.

  /DSITE <Nome> - <Nome> facoltativo del sito dinamico in cui inserire inizialmente il computer aggiunto al dominio.

  /PRIMARYDNS <Nome> - <Nome> facoltativo del dominio DNS primario del computer aggiunto al dominio.

/REQUESTODJ - Richiede l'aggiunta al dominio offline all'avvio successivo.

  /LOADFILE <PercorsoFile> - <PercorsoFile> specificato in precedenza tramite /SAVEFILE

  /WINDOWSPATH <Percorso> - <Percorso> della directory Windows in un'immagine offline

  /LOCALOS - Consente di specificare il sistema operativo in esecuzione in locale con /WINDOWSPATH. Questo comando deve essere eseguito da un amministratore locale. Per applicare le modifiche è necessario riavviare il sistema.

Provisioning dell'account computer nel dominio

Posizionarsi su un client o un server Windows appartenente al dominio e connesso al Domain Controller ed eseguire il logon come amministratore del dominio.

All'interno del menu Start digitare cmd quindi cliccare su Esegui come amministratore.

FIG 1 - Prompt dei comandi come amministratore

Dal prompt dei comandi eseguire il comando

djoin /provision /domain <dominio> /machine <nome_host> /savefile <PercorsoFile>

Ad es. nel nostro dominio mycompany.local il comando diventa

djoin /provision /domain mycompany.local /machine PCDIR002 /savefile c:\offlinedomainjoin.txt

FIG 2 - DJOIN, Provisioning account computer

Verificando in Active Directory noteremo che la workstation specificata nel comando (PCDIR002) è stata aggiunta al container Computers come mostrato in FIG 3. Copiare il file generato (c:\offlinedomainjoin.txt) sulla workstation offline che si intende aggiungere al dominio. Anche se si tratta di un file di testo, aprendolo con un editor di testo il suo contenuto non è leggibile per un essere umano (FIG 4) tuttavia il file contiene dati sensibili come password e informazioni relative al dominio.

FIG 3 - Active Directory, container Computers

FIG 4 - File generato da djoin contenente i dati del provisioning

Join al dominio della workstation offline

Sulla workstation offline, dopo aver copiato il file generato da djoin, avviare il prompt dei comandi come amministratore ed eseguire il comando

djoin /requestODJ /loadfile c:\offlinedomainjoin.txt /windowspath %systemroot% /localos 

dove al posto di c:\offlinedomainjoin.txt va indicato il percorso e il nome del file del provisioning.

FIG 5 - Windows 11, djoin sulla workstation offline

Riavviare il sistema. Dopo il riavvio, come visibile in FIG 6, la workstation appartiene al dominio ed è stata rinominata in PCDIR002 (nome specificato nella fase del provisioning).

FIG 6 - Windows 11, Dominio e nome PC