Windows Server 2022: Mappare cartelle personali

Nell'articolo Windows Server 2022: Mappare automaticamente una cartella condivisa è stato mostrato come creare una cartella condivisa tra più utenti. In un'azienda può essere utile avere una cartella personale in cui salvare i propri documenti riservati e ritrovarli su qualsiasi postazione del dominio a cui si effettua l'accesso.

In quest'articolo andremo a creare una cartella individuale sul server per ciascun utente del dominio. La cartella sarà accessibile solo al proprietario e non sarà condivisa con altri utenti, inoltre verrà mappata automaticamente al logon dell'utente sulle postazioni.

La prima operazione da fare è quella di creare una cartella all'interno del server che andrà a contenere le cartelle individuali degli utenti.

Posizionarsi sul server, creare una nuova cartella e rinominarla in Dati Personali. In questo esempio la cartella è stata creata sul disco C:\ del server ServerDC2.

FIG 1 - Cartella Dati Personali

Cliccare con il tasto destro del mouse sulla cartella appena creata, selezionare Proprietà quindi, nella scheda Condivisione cliccare sul pulsante Condivisione avanzata.

FIG 2 - Proprietà cartella Dati Personali

Selezionare l'opzione Condividi questa cartella. Al nome suggerito per la condivisione aggiungere il simbolo $ alla fine. In questo modo verrà creata una condivisione nascosta: se da una workstation del dominio nella barra indirizzi di Esplora file digitiamo \\ServerDC2 la condivisione nascosta non verrà visualizzata ma sarà comunque accessibile agli utenti abilitati digitando il percorso di rete \\ServerDC2\Dati Personali$. Cliccare su Autorizzazioni.

FIG 3 - Condivisione avanzata

Selezionare il gruppo Everyone e cliccare sul pulsante Rimuovi.

FIG 4 - Autorizzazioni condivisione, rimozione gruppo Everyone

Cliccare sul pulsante Aggiungi.

FIG 5 - Autorizzazioni condivisioni, Aggiungi gruppo

All'interno della casella Immettere i nomi degli oggetti da selezionare, digitare Domain Users, cliccare sul pulsante Controlla nomi quindi su OK.

FIG 6 -  Autorizzazioni Domain Users

All'interno della finestra Autorizzazioni per Dati Personali$ assicurarsi che il gruppo Domain Users sia selezionato quindi, in Autorizzazioni per Domain Users, selezionare la casella Controllo completo e cliccare su OK per applicare la modifica.

FIG 7 - Controllo completo Domain Users

Nella finestra Condivisione avanzata cliccare su OK.

FIG 8 - Condivisione avanzata

All'interno della finestra Proprietà - Dati Personali selezionare la scheda Sicurezza quindi cliccare sul pulsante Avanzate.

FIG 9 - Sicurezza cartella condivisa

Tutti gli utenti appartenenti al dominio hanno il controllo completo sul contenuto della cartella. Il nostro obiettivo è quello di andare a creare, all'interno della cartella Dati Personali, altre cartelle individuali per ciascun utente del dominio a cui solo il proprietario potrà accedere. Per default i permessi vengono ereditati dalla cartella superiore pertanto è necessario rimuovere l'ereditarietà dei permessi per raggiungere il nostro scopo. All'interno della finestra Impostazioni avanzate di sicurezza per Dati Personali cliccare su Disabilita ereditarietà.

FIG 10 - Disabilita ereditarietà

All'interno della finestra di dialogo Blocca eredità cliccare su Converti autorizzazioni ereditate in autorizzazioni esplicite per questo oggetto.

FIG 11 - Blocca eredità, Converti autorizzazioni ereditate in autorizzazioni esplicite per questo oggetto

Selezionare il gruppo Users con i permessi di Accesso in Lettura ed esecuzione e cliccare sul pulsante Rimuovi. Eseguire la stessa operazione per l'altro gruppo Users con permessi di Accesso Speciale quindi cliccare su OK.

FIG 12 -  Impostazioni avanzate di sicurezza per Dati Personali, rimozione autorizzazioni

Cliccare sul pulsante OK per la chiusura delle finestra Proprietà - Dati Personali.

FIG 13 - Proprietà - Dati Personali

La prima fase è conclusa. Adesso non resta che creare le sottocartelle per ciascun utente. L'operazione può essere eseguita tramite Utenti e Computer di Active Directory.

Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.

FIG 14 - Server Manager

Selezionare gli utenti da abilitare (ad esempio quelli presenti nell'unità organizzativa mycompany.local\Direzione\Utenti) quindi cliccarci sul con il tasto destro del mouse e selezionare Proprietà.

FIG 15 - Proprietà account utente

All'interno della scheda Profilo, selezionare la casella Home directory quindi l'opzione Connetti. Dall'elenco a discesa selezionare la lettera con la quale si intende mappare la cartella (ad es Z:) e inserire il percorso di rete \\ServerDC2\Dati Personali$\%USERNAME%
%username% è una variabile d'ambiente contenente il nome utente. Cliccare su OK per applicare l'impostazione.

FIG 16 - Mappare cartelle personali individuali

Le cartelle individuali per ciascun utente verranno automaticamente create all'interno della cartella condivisa \\ServerDC2\Dati Personali$

FIG 17 - Cartelle personali create in \\ServerDC2\Dati Personali$

Da questo momento, quando uno degli utenti appartenenti alla UO mycompany.local\Direzione\Utenti effettuerà il logon su una workstation del dominio, si ritroverà mappata come disco Z: la cartella personale presente sul server e a cui solo lui ha accesso. Ovviamente non sarà più visibile la cartella condivisa che abbiamo creato nell'articolo Windows Server 2022: Mappare automaticamente una cartella condivisa ma a questo si può ovviare tramite uno script di logon di cui parlerò nel prossimo articolo.

FIG 18 - Windows 11, Cartella personale mappata

FIG 19 - Autorizzazioni sulla cartella personale

Windows Server 2022: Abilitare il cestino di Active Directory

Per default tutti gli oggetti che vengono cancellati in Active Directory non possono essere recuperati. Chi ha avuto la sfortuna di cancellare accidentalmente un oggetto in AD e dovuto recuperarlo da un backup del server, sa bene che si tratta di un'operazione tutt'altro che semplice e veloce. Fortunatamente, a partire da Windows Server 2008 R2, Microsoft ha introdotto il cestino per Active Directory che permette il recupero degli oggetti cancellati in modo analogo a quanto avviene con il cestino di Windows per file e cartelle. Tale funzionalità è disattivata per default e va attivata manualmente. La procedura per abilitare il cestino di Active Directory è la stessa vista per Windows Server 2019.

Prima di attivare la funzione è necessario che siano rispettati alcuni prerequisiti e bisogna tenere in considerazione alcuni limiti.

Prerequisiti Cestino di Active Directory

• Almeno un Domain Controller deve avere Windows Server 2012 R2 con Centro di amministrazione di Active Directory.
• Tutti gli altri Domain Controller all'interno del dominio devono avere almeno Windows Server 2008 R2 o superiore.
• Il livello funzionale della foresta deve essere Windows Server 2008 R2 o superiore.

In Windows Server 2008 R2 il cestino di Active Directory poteva essere gestito solamente tramite PowerShell. A partire da Windows Server 2012 R2 il cestino può essere gestito tramite interfaccia grafica del Centro di amministrazione di Active Directory rendendo più semplice l'operazione di recupero degli oggetti cancellati.
Quando non è abilitato il cestino di Active Directory e si cancella un oggetto, questo viene contrassegnato per la cancellazione (tombstoned). Tali oggetti vengono definitivamente eliminati solo quando verrà eseguito il processo di garbacecollection.

Con il cestino di Active Directory abilitato, quando si cancella un oggetto questo viene contrassegnato come oggetto cancellato per l'arco di tempo specificato dalla proprietà msDS-DeletedObjectLifetime in Active Directory Domain Services (di default è nulla). Scaduto il tempo indicato in msDS-DeletedObjectLifetime  l'oggetto viene contrassegnato come recycled e i suoi attributi vengono rimossi. L'oggetto risiede ancora nel cestino e può essere recuperato per la durata della sua vita definita dall'attributo tombstoneLifetime in Active Directory DS. Quando viene abilitato il cestino di Active Directory, gli oggetti preesistenti e contrassegnati per la cancellazione (tombstoned) vengono convertiti in oggetti recycled tuttavia non potranno essere recuperati come qualsiasi altro oggetto recycled.

Limiti

Il Centro di amministrazione di Active Directory è in grado di gestire solo partizioni di dominio pertanto non è possibile ripristinare oggetti eliminati dalle partizioni di configurazione, DNS del dominio o DNS della foresta (non è possibile eliminare oggetti dalla partizione dello schema). Per ripristinare gli oggetti da partizioni non di dominio, è possibile usare il cmdlet Restore-ADObject di PowerShell.

Nel Centro di amministrazione di Active Directory non è possibile ripristinare sottoalberi di oggetti in un'unica operazione. Se ad esempio si elimina un'unità organizzativa con unità amministrative, utenti, gruppi e computer annidati, il ripristino dell'unità organizzativa di base non ripristina gli oggetti figlio.

Il Cestino di Active Directory comporta un aumento delle dimensioni del database di Active Directory (NTDS.DIT) in ogni controller di dominio della foresta. Lo spazio su disco usato dal cestino continua ad aumentare nel tempo, in quanto conserva gli oggetti e tutti i dati degli attributi.

Abilitare il cestino di Active Directory tramite Centro di amministrazione di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.

FIG 1 - Server Manager

Selezionare il proprio dominio quindi, sul pannello delle Attività presente sulla destra della finestra, cliccare su Abilita Cestino....

FIG 2 - Centro di amministrazione di Active Directory

Una finestra di dialogo ci avvisa che l'operazione non è reversibile: una volta abilitato il cestino di Active Directory non potrà essere più disabilitato. Confermare cliccando su OK per proseguire.

FIG 3 - Conferma abilitazione cestino AD

Una nuova finestra di dialogo avvisa l'utente che il cestino non sarà disponibile finché l'abilitazione non verrà replicata a tutti i Domain Controller della foresta e non verrà aggiornato il Centro di amministrazione di Active Directory. Cliccare su OK.

FIG 4 - Abilitazione cestino AD

Terminata la replica dell'abilitazione basta cliccare sull'apposto link per aggiornare le informazioni visualizzate nella finestra del Centro di amministrazione di Active Directory e vedremo apparire un nuovo container nominato Deleted Objects. Da questo momento gli oggetti eliminati da AD potranno essere recuperati all'interno di tale container.

FIG 5 - Centro di amministrazione di Active Directory, Container Deleted Objects

Abilitare il cestino di Active Directory tramite PowerShell

In alternativa al Centro di amministrazione di Active Directory è possibile abilitare il cestino di AD tramite PowerShell e l'utilizzo del cmdlet Enable-ADOptionalFeature. 
Da Windows PowerShell avviato come amministratore eseguire il comando 
Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=mycompany,DC=local' –Scope ForestOrConfigurationSet –Target 'mycompany.local'
Rispondere affermativamente alla richiesta di esecuzione dell'operazione.

FIG 6 - Abilitazione del cestino di Active Directory mediante PowerShell

Dopo aver atteso i tempi di replica dal Centro di amministrazione di Active Directory sarà visibile il nuovo container Deleted Objects.

Windows Server 2022: Aggiungere una workstation al dominio (join al dominio)

In questo e nei prossimi articoli verranno mostrati diversi metodi per aggiungere una workstation Windows 11 al dominio mycompany.local. Per aggiungere una workstation al dominio è necessario che il server e il client riescano a comunicare tra loro pertanto devono essere entrambi connessi in rete.

La configurazione di rete del nostro server è la seguente:

Nome: ServerDC2

Indirizzo IP: 192.168.0.121

Subnet Mask: 255.255.255.0

Il nostro server si trova sulla rete 192.168.0.0.  Il passo successivo consiste nel verificare la connessione alla rete del client Windows 11 in modo che riesca a comunicare con il server. Il servizio DHCP che abbiamo configurato sul nostro server, fornirà alla nostra workstation i parametri di rete corretti.

Configurazione connessione di rete sulla workstation Windows 11 da aggiungere al dominio

Cliccare con il tasto destro del mouse sull'icona Accesso a Internet presente nell'area di notifica e selezionare Impostazioni rete e Internet.

FIG 1 - Accesso a Internet

Nella finestra Rete e Internet cliccare su Ethernet.

FIG 2 - Rete e Internet

Nella schermata successiva, verificare che l'indirizzo IP e il DNS vengano configurati in automatico tramite il servizio DHCP del nostro Server.

FIG 3 - Configurazione scheda Ethernet

Prima di procedere con la join al dominio bisogna accertarsi che la workstation riesca a comunicare con il server. Premere la combinazione di tasti WIN+R, digitare cmd e premere invio. Dal prompt dei comandi digitare ping 192.168.0.121 seguito da invio. Il comando ping esegue un test sulla comunicazione con l'indirizzo IP specificato (in questo caso si tratta dell'indirizzo IP del nostro server). Se viene generata una risposta allora le due postazioni sono in comunicazione tra loro in caso contrario bisognerà verificare la configurazione e la connessione alla rete.

FIG 4 - Ping verso l'IP del server

Per verificare che il server DNS sta facendo il proprio lavoro eseguire il comando ping -4 ServerDC2 (il parametro -4 forza l'utilizzo di IPv4). Se il server DNS funziona correttamente il comando restituirà, all'interno della risposta, l'indirizzo IP del server.

FIG 5 - Verifica server DNS tramite ping nome server

Verificata la connessione tra il client e il server possiamo passare alla fase successiva della join al dominio.

Join al dominio della workstation Windows 11

Aprire Esplora file cliccando sull'apposita icona nella barra delle applicazioni o tramite la combinazione di tasti WIN+E. Cliccare con il tasto destro del mouse su Questo PC e selezionare Proprietà dal menu contestuale.

FIG 6 - Proprietà Questo PC

Nella finestra Informazioni sul sistema cliccare sul link Dominio o gruppo di lavoro.

FIG 7 - Informazioni sul sistema

Nella finestra Proprietà del sistema cliccare sul pulsante Cambia.

FIG 8 - Proprietà del sistema, Cambia

Nella casella Nome computer inserire il nome che si intende assegnare al computer all'intero del dominio. Come per gli account utente anche il nome computer deve essere univoco all'interno del dominio ed è consigliabile stabilire uno standard relativo alla nomenclatura delle macchine. Generalmente si preferisce assegnare un nome significativo al PC che faccia capire la sua ubicazione (ad es. PCDIR001 ad indicare il pc numero 001 presente in Direzione).

Selezionare l'opzione Dominio, inserire nell'apposita casella il dominio mycompany.local e cliccare su OK.

FIG 9 - Nome computer e Dominio

Alla richiesta delle credenziali bisognerà inserire un account utente e relativa password abilitato all'inserimento della postazione all'interno del dominio. Possiamo utilizzare l'account Administrator del nostro dominio mycompany.local. Una volta inserite le credenziali, cliccare su OK e attendere al join al dominio.

FIG 10 - Richiesta credenziali per la join al dominio

Dopo qualche istante, se l'operazione è andata a buon fine, apparirà la finestra di dialogo mostrata in FIG 11. Cliccare su OK e riavviare il sistema.

FIG 11 -  Join al dominio della workstation completata

Dopo il riavvio cliccare su Altro utente presente in basso a sinistra della schermata di logon.

FIG 12 - Schermata logon, Altro utente

A questo punto è possibile eseguire il logon con un account appartenente al dominio.

FIG 13 - Logon con account utente appartenente al dominio

Sul server, in Utenti e computer di Active Directory oppure in Centro di amministrazione di Active Directory, possiamo vedere che la nostra workstation è stata aggiunta ad Active Directory

FIG 14 - Computer aggiunto in Active Directory

Windows Server 2022: Autorizzare il server DHCP per l'ambiente Active Directory

Nell'articolo Windows Server 2022: Configurazione Server DHCP è stato mostrato come configurare il server DHCP e la creazione di un ambito per la distribuzione degli indirizzi all'interno della rete. Adesso che abbiamo un controller di dominio, affinché il server DHCP funzioni correttamente è necessario autorizzarlo in Active Directory in modo che possa iniziare a distribuire gli indirizzi IP ai sistemi uniti al dominio. 

Un server DHCP non autorizzato renderebbe vulnerabile l'intera infrastruttura esponendola ad attacchi del tipo denial of service. Per tale motivo i server DHCP devono essere prima autorizzati in Active Directory per poter svolgere il proprio compito.

Per autorizzare il server DHCP, procedere come segue.

Dal menu Strumenti di Server Manager selezionare DHCP.

FIG 1 - Server Manager

Fare clic con il pulsante destro del mouse sul nome del server e selezionare Autorizza.

FIG 2 - Autorizza Server DHCP

Fare clic sul pulsante Aggiorna (FIG 3). La freccia rossa rivolta verso il basso che si trovava su IPv4 e IPv6 dovrebbe ora essere un segno di spunta verde come mostrato in FIG 4.

FIG 3 - Aggiorna

FIG 4 - Server DHCP autorizzato

Ora il DHCP è configurato per funzionare con il dominio Active Directory. Ogni volta che si creano nuovi server DHCP e si vuole che funzionino con l'ambiente Active Directory, è necessario autorizzarli.

Windows Server 2022: Conversione della zona DNS in una zona integrata di Active Directory

Nell'articolo Windows Server 2022: Configurazione Server DNS (Domain Name System) è stato mostrato come configurare le zone per il server DNS. L'operazione è stata eseguita prima dell'installazione del ruolo Servizi di dominio Active Directory pertanto, nella configurazione del DNS, sono state create le zone ma si sono scelti gli aggiornamenti manuali anziché dinamici. Ora che la zona DNS è associata ad Active Directory, è possibile tornare indietro, integrare le zone DNS con Active Directory e selezionare aggiornamenti dinamici sicuri. L'integrazione delle zone DNS e Active Directory consente di ottenere un ambiente multimaster in cui qualsiasi controller di dominio che esegue il DNS può aggiornare le zone, purché sia un server autorevole per quella zona. I dati delle zone vengono replicati attraverso Active Directory anziché con il metodo tradizionale di trasferimento delle zone. Dopo aver scelto di integrare la zona e Active Directory, è possibile anche abilitare gli aggiornamenti dinamici sicuri. Ciò consente di controllare quali sistemi possono aggiornare i nomi dei record e impedisce ai sistemi non autorizzati di sovrascrivere i nomi nel DNS. 

Per convertire la nostra zona in una zona integrata di Active Directory e per abilitare gli aggiornamenti dinamici sicuri bisogna eseguire diversi passaggi.

Da Server Manager, cliccare sul menu Strumenti e selezionare DNS.

FIG 1 - Server Manager

Espandere il nome del server, quindi espandere Zone di ricerca diretta e cliccare, con il tasto destro del mouse, sulla zona creata in precedenza. Dal menu contestuale selezionare Proprietà.

FIG 2 - Gestore DNS

Nella scheda Generale, in Tipo: Primario, cliccare sul pulsante Cambia.

FIG 3 - Proprietà Zona di ricerca diretta

Lasciare selezionata l'opzione Zona primaria quindi selezionare la casella di controllo Archivia la zona in Active Directory (disponibile solo se il server DNS è un controller di dominio) e cliccare su OK.

FIG 4 - Cambio tipo zona

Una finestra di dialogo chiede di confermare l'integrazione della zona in Active Directory. Cliccare su Sì.

FIG 5 - Richiesta conferma integrazione in AD

Nella casella Aggiornamenti dinamici selezionare Solo sicuri. La schermata dovrebbe apparire come mostrato in FIG 6. Cliccare su Applica e successivamente su OK per chiudere la finestra delle proprietà.

FIG 6 - Proprietà Zona di ricerca diretta, Aggiornamenti dinamici

Allo stesso modo bisogna procedere con la zona di ricerca inversa. Dalla finestra Gestore DNS espandere il nome del server, quindi espandere Zone di ricerca inversa e cliccare, con il tasto destro del mouse, sulla zona creata in precedenza. Dal menu contestuale selezionare Proprietà.

FIG 7 - Gestore DNS, Zona di ricerca inversa

Nella scheda Generale, in Tipo: Primario, cliccare sul pulsante Cambia.

FIG 8 - Proprietà Zona di ricerca inversa

Come già visto in precedenza per la zona di ricerca diretta, lasciare selezionata l'opzione Zona primaria quindi selezionare la casella di controllo Archivia la zona in Active Directory (disponibile solo se il server DNS è un controller di dominio) e cliccare su OK.

FIG 9 - Cambio tipo zona, zona di ricerca inversa

Una finestra di dialogo chiede di confermare l'integrazione della zona in Active Directory. Cliccare su Sì.

FIG 10 - Richiesta conferma integrazione in AD

Nella casella Aggiornamenti dinamici selezionare Solo sicuri. La schermata dovrebbe apparire come mostrato in FIG 11. Cliccare su Applica e successivamente su OK per chiudere la finestra delle proprietà.

FIG 11 - Proprietà Zona di ricerca inversa, Aggiornamenti dinamici

Nella zona di ricerca diretta va creato il record per questo server (se è stato già stato creato prima dell'installazione del ruolo Servizi di dominio Active Directory il record può essere modificato).  I record host sono utilizzati dal server DNS per mappare i nomi host agli indirizzi IP. I record A corrispondono ai nomi di host agli indirizzi IPv4, mentre i record AAAA mappano i nomi di host agli indirizzi IPv6.

In Gestore DNS espandere il nome del server, quindi espandere Zone di ricerca diretta e cliccare, con il tasto destro del mouse, sul nome del dominio. Selezionare, dal menu contestuale, Nuovo host (A o AAAA).

FIG 12 - Gestore DNS, Nuovo host

Nella casella Nome, digitare il nome del sistema. Nella casella Indirizzo IP digitare l'indirizzo IP del server, quindi selezionare la casella di controllo Crea record puntatore (PTR) associato e cliccare su Aggiungi host.

FIG 13 - Nuovo host

Nella finestra di dialogo di conferma, cliccare su OK.

FIG 14 - Conferma aggiungi nuovo host

Cliccare su Fine nella finestra Nuovo host.

FIG 15 - Nuovo host, Fine

A questo punto l'installazione di Active Directory può ritenersi conclusa. Gli aggiornamenti dinamici del DNS sono consentiti in modo sicuro ed è stato creato un record DNS per il server. 

FIG 16 - Gestore DNS

Per verificare che la risoluzione dei nomi funzioni correttamente è possibile eseguire i seguenti passaggi:

• Cliccare con il tasto destro del mouse sul menu Start e selezionare Windows PowerShell;
• Digitare il comando
  nslookup <nome server>
  Se il DNS funziona correttamente, verrà restituito l'indirizzo IP del nome del server inserito.

FIG 17 - nslookup

Come si può notare, l'integrazione del DNS a posteriori può richiedere molto tempo. Per tale motivo è consigliabile installarlo contemporaneamente ad Active Directory e risparmiare un bel po' di lavoro di configurazione.