Visualizzazione post con etichetta Gestione Criteri di gruppo. Mostra tutti i post
Visualizzazione post con etichetta Gestione Criteri di gruppo. Mostra tutti i post

giovedì 3 dicembre 2020

Windows Server 2019: File Auditing

In questo articolo verrà mostrato come implementare un controllo per individuare i file creati/cancellati da un utente all'interno di una cartella. Nello specifico andremo ad impostare l'audit sul contenuto della Cartella condivisa, creata nell'articolo Windows Server 2019: Mappare automaticamente una cartella condivisa, per gli utenti che appartengono alla UO Direzione. In questo modo tutte le operazioni effettuate sui file presenti all'interno della Cartella condivisa (come la creazione/eliminazione/modifica) da tali utenti, verranno registrare.

  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 1 - Server Manager
  • Espandere il dominio mycompany.local e cliccare, con il tasto destro del mouse, sull'unità organizzativa Direzione. Dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento...

    Crea un oggetto Criteri di gruppo
    FIG 2 - Crea un oggetto Criteri di gruppo

  • Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_File_Auditing_PF e cliccare su OK

    Nuovo oggetto Criteri di gruppo
    FIG 3 - Nuovo oggetto Criteri di gruppo

  • Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica. 
    Modifica GPO
    FIG 4 - Modifica GPO

  • Posizionarsi su Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo e cliccare due volte su Controlla accesso agli oggetti.
    Controlla accesso agli oggetti
    FIG 5 - Controlla accesso agli oggetti

  • Selezionare la casella Definisci le impostazioni relative ai criteri quindi selezionare anche le caselle Operazioni riuscite e Operazioni non riuscite e confermare cliccando su OK.
    Proprietà Controlla accesso agli oggetti
    FIG 6 - Proprietà Controlla accesso agli oggetti

  • Lo stesso criterio di gruppo deve essere applicato anche al container Domain Controllers. Da Gestione Criteri di gruppo, cliccare su Domain Controllers con il tasto destro del mouse e dal menu contestuale selezionare Collega oggetto Criteri di gruppo esistente.
    Collega oggetto Criteri di gruppo esistente
    FIG 7 - Collega oggetto Criteri di gruppo esistente

  • Selezionare il criterio di gruppo GPO_File_Auditing_PF creato in precedenza e cliccare su OK.
    Seleziona oggetto Criteri di gruppo
    FIG 8 - Seleziona oggetto Criteri di gruppo

  • Il prossimo passo consiste nello specificare il target di questo Audit. Da Esplora file posizionarsi sulla cartella c:\Cartella condivisa, cliccarci su con il tasto destro del mouse e selezionare Proprietà.
    Visualizzazione proprietà Cartella condivisa
    FIG 8 - Visualizzazione proprietà Cartella condivisa

  • Nella scheda Sicurezza cliccare sul pulsante Avanzate.
    Proprietà Cartella condivisa
    FIG 9 - Proprietà Cartella condivisa

  • Selezionare la scheda Controllo e cliccare sul pulsante Aggiungi.
    Impostazioni avanzate di sicurezza
    FIG 10 - Impostazioni avanzate di sicurezza
  • Cliccare sul link Seleziona un'entità.
    Voci di controllo per Cartella condivisa
    FIG 11 - Voci di controllo per Cartella condivisa
  • Negli articoli precedenti abbiamo creato il gruppo GRP_Direzione contenente tutti gli utenti dell'unità organizzativa Direzione. In questo passaggio utilizzeremo proprio tale gruppo per fare in modo di applicare il controllo a tutti gli utenti che appartengono all'unità organizzativa. Nel campo Immettere il nome dell'oggetto da selezionare digitare GRP_Direzione e cliccare sul pulsante Controlla nomi quindi su OK.
    Seleziona Utente, Computer, Account servizio o Gruppo
    FIG 12 - Seleziona Utente, Computer, Account servizio o Gruppo

  • All'interno della casella Tipo selezionare Tutto quindi cliccare sul link Mostra autorizzazioni avanzate.
    Voci di controllo per Cartella condivisa
    FIG 13 - Voci di controllo per Cartella condivisa

  • Selezionare le caselle Elimina, Creazione file/Scrittura dati e Creazione cartelle/Aggiunta dati e cliccare su OK.
    Voci di controllo per Cartella condivisa, Autorizzazioni avanzate
    FIG 14 - Voci di controllo per Cartella condivisa, Autorizzazioni avanzate

  • Nella finestra Impostazioni avanzate di sicurezza per Cartella condivisa cliccare su OK per chiudere la finestra. Fare lo stesso per la finestra Proprietà - Cartella condivisa.



  • Verificare il funzionamento del Audit

    Non ci resta che testare il funzionamento del nostro audit. 
    • Su una workstation del dominio loggarsi con un utenza appartenente alla UO Direzione. Accedere alla cartella condivisa (\\Server1DC\Cartella condivisa) e creare/cancellare qualche file.
    • Ritornare sul server e avviare il Visualizzatore Eventi (premere la combinazione WIN+R e digitare eventvwr seguito da invio).
    • Posizionarsi su Registri di Windows -> Sicurezza e cliccare su Trova.
      Visualizzatore eventi
      FIG 15 - Visualizzatore eventi

    • Possiamo effettuare la nostra ricerca immettendo il nome dell'utente che intendiamo verificare (Ad es. giovanni.lubrano) oppure il nome del file che è stato cancellato dalla Cartella condivisa ( ad es test1.txt). Cliccando su Trova successivo verrà ricercato ed eventualmente visualizzato l'evento di proprio interesse. Come visibile da FIG 17 la ricerca degli eventi relativi al file test1.txt presente all'interno di Cartella condivisa ha dato i suoi frutti: il file risulta essere stato cancellato dall'utente Giovanni.Lubrano alle ore 22:37 del giorno 03/09/2020.
      Visualizzatore eventi, Trova
      FIG 16 - Visualizzatore eventi, Trova

      Informazioni Audit
      FIG 17 - Informazioni Audit






    lunedì 6 luglio 2020

    Windows Server 2019: Installare software tramite i Criteri di gruppo (GPO)

    Supponiamo di dover installare un software come il browser Google Chrome su tutti i computer appartenenti al dominio. In aziende con un numero medio/alto di computer l'installazione manuale è da escludere. In questo articolo verrà mostrato come procedere con l'installazione servendosi dei Criteri di gruppo.

    Per l'installazione di un software tramite GPO bisogna predisporre il file di installazione in formato MSI (Microsoft Installer). Non tutti i software sono disponibili in tale formato e non tutti gli MSI supportano l'installazione tramite GPO

    Predisposizione file di installazione del software
    • Scaricare la versione di Chrome per le aziende dal link https://cloud.google.com/chrome-enterprise/browser/download . Tale versione supporta l'installazione tramite Criteri di gruppo. Disponendo di computer con sistema operativo a 64 bit scaricare Chrome per Windows a 64 bit.
      Google Chrome per le aziende
      FIG 1 - Google Chrome per le aziende
    • Copiare il file in una cartella condivisa. Ad es. all'interno della cartella \\SERVER1DC\Cartella condivisa creata nell'articolo Windows Server 2019: Introduzione alle Group Policy (GPO) e mapping cartella condivisa. 
    • Cliccare, con il tasto destro del mouse, sulla cartella condivisa e selezionare Proprietà dal menu contestuale. Selezionare la scheda Condivisione quindi cliccare sul pulsante Condivisione avanzata.
      Cartella condivisa, Condivisione avanzata
      FIG 2 - Cartella condivisa, Condivisione avanzata
    • Cliccare sul pulsante Autorizzazioni.
      Cartella condivisa, Autorizzazioni
      FIG 3 - Cartella condivisa, Autorizzazioni
    • Selezionare il gruppo Domain Users e assicurarsi che sia impostato il controllo completo quindi cliccare sul pulsante Aggiungi.
      Aggiungi autorizzazioni per cartella condivisa
      FIG 4 - Aggiungi autorizzazioni per cartella condivisa
    • Nella casella Immettere i nomi degli oggetti da selezionare, digitare Computer del dominio quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.
      Seleziona Utenti, Computer, Account servizio o Gruppi
      FIG 5 - Seleziona Utenti, Computer, Account servizio o Gruppi
    • Selezionare il gruppo Computer del dominio e fornire anche a tale gruppo il controllo completo ponendo il flag sulla relativa casella. Cliccare su OK quindi nuovamente su OK nelle finestra Condivisione avanzata e in fine su Chiudi.
      Computer del dominio, controllo completo su cartella condivisa
      FIG 6 - Computer del dominio, controllo completo su cartella condivisa
    • Scompattare il file zip scaricato precedentemente e contenente i file di installazione di Chrome all'interno della cartella (cliccarci su con il tasto destro del mouse e selezionare estrai tutto e successivamente sul pulsante Estrai). 
      Estrai file ZIP
      FIG 7 - Estrai file ZIP


    Creazione Criterio di gruppo per l'installazione di Google Chrome
    • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
      Server Manager
      FIG 8 - Server Manager
    • Cliccare, con il tasto destro del mouse, sul dominio mycompany.local e selezionare Crea un oggetto Criteri di gruppo in questo domino e crea qui un collegamento
      Crea un oggetto Criteri di gruppo
      FIG 9 - Crea un oggetto Criteri di gruppo
    • Assegnare il nome al nuovo criterio di gruppo (ad es. GPO_ChromeSetup) e cliccare su OK.
      Nome nuovo oggetto di Criteri di gruppo
      FIG 10 - Nome nuovo oggetto di Criteri di gruppo
    • Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare Modifica.
    • Posizionarsi su Configurazione computer->Criteri->Impostazioni del software->Installazione software. Sul lato destro della finestra cliccare con il tasto destro in uno spazio vuoto. Dal menu contestuale selezionare Nuovo quindi Pacchetto.
      GPO Installazione software, Nuovo Pacchetto
      FIG 11 - GPO Installazione software, Nuovo Pacchetto
    • Digitare il percorso della cartella condivisa \\SERVER1DC\Cartella condivisa\GoogleChromeEnterpriseBundle64\Installers quindi il selezionare il file MSI da installare GoogleChromeStandaloneEnterprise64 e cliccare su Apri.
      Selezione file MSI
      FIG 12 - Selezione file MSI
    • Nella schermata successiva selezionare l'opzione Assegnata per distribuire l'applicazione senza alcuna modifica e cliccare su OK.
      Distribuisci applicazione
      FIG 13 - Distribuisci applicazione
    • Chiudere la finestra Editor Gestione Criteri di gruppo. Selezionare nuovamente il criterio di gruppo appena creato. Nella sezione Filtri di sicurezza cliccare sul pulsante Aggiungi.
      GPO Filtri di sicurezza
      FIG 14 - GPO Filtri di sicurezza
    • Nella casella Immettere i nomi degli oggetti da selezionare, digitare Computer del dominio quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.
      Filtri di sicurezza Computer del dominio
      FIG 15 - Filtri di sicurezza, Computer del dominio



    Eseguiamo il logon su una postazione del dominio e noteremo che Google Chrome è stato installato.
    Chrome installato mediante Criteri di gruppo
    FIG 16 - Chrome installato mediante Criteri di gruppo


    In questo articolo è stato preso in considerazione uno scenario ideale in cui tutte le postazioni del dominio dispongono della stessa versione di Windows a 64 bit. In un ambiente reale raramente ci troveremo in questa situazione, piuttosto avremo computer con diverse configurazioni hardware e software pertanto è sempre opportuno effettuare una verifica sulla compatibilità del software prima di installarlo tramite GPO. In un prossimo articolo verrà mostrato come eseguire diverse installazioni in base al sistema operativo presente sul computer e all'architettura.










    sabato 4 luglio 2020

    Windows Server 2019: Inibire il logon su determinate workstation ad un gruppo di utenti tramite GPO

    Nell'articolo Windows Server 2019: Limitare il logon degli account utente a determinate workstation abbiamo visto come, attraverso Active Directory, limitare il logon di un utente solo a determinate postazioni. In questo articolo vedremo come effettuare un'operazione analoga attraverso l'utilizzo dei Criteri di gruppo (GPO).
    Nei nostri esempi precedenti abbiamo creato 2 unità organizzative (Direzione e Marketing) ciascuna con i suoi account utente e computer. Supponiamo di voler fare in modo che agli utenti appartenenti all'unità organizzativa Marketing venga inibito il logon sulle postazioni della OU Direzione. Il primo passo consiste nel creare un gruppo in Active Directory contenente tutti gli account utente dell'unità organizzativa Marketing. Chi ha seguito tutti articoli che sto pubblicando su Windows Server 2019 ricorderà che l'operazione è già stata eseguita all'interno dell'articolo Windows Server 2019: Creazione gruppi in Active Directory. Il nome che è stato assegnato al gruppo è GRP_Marketing. Il passo successivo consiste nella creazione del Criterio di gruppo:
    • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
      Server Manager
      FIG 1 - Server Manager
    • Espandere il dominio mycompany.local quindi cliccare, con il tasto destro del mouse, sull'unità organizzativa Direzione e dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
      Gestione Criteri di gruppo
      FIG 2 - Gestione Criteri di gruppo

    • Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_Inibisci_Logon e cliccare su OK.
      Nuovo oggetto Criteri di gruppo
      FIG 3 - Nuovo oggetto Criteri di gruppo
    • Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
      Modifica Criterio di gruppo
      FIG 4 - Modifica Criterio di gruppo
    • La policy dovrà essere applicata ai computer. All'interno della sezione Configurazione computer cliccare su Criteri, quindi su Impostazioni di Windows , Impostazioni sicurezza, Criteri localie successivamente su Assegnazione diritti utente.
      GPO, Assegnazione diritti utente
      FIG 5 - GPO, Assegnazione diritti utente
    • Eseguire un doppio click sul criterio Nega accesso locale.
      Criterio di gruppo - Nega accesso locale
      FIG 6 - Criterio di gruppo, Nega accesso locale
    • Selezionare la casella Definisci le impostazioni relative ai criteri e cliccare sul pulsante Aggiungi utente o gruppo.
      Proprietà Nega accesso locale
      FIG 7 - Proprietà Nega accesso locale
    • Cliccare su Sfoglia.
      Aggiungi utente o gruppo
      FIG 8 - Aggiungi utente o gruppo
    • Digitare il nome del gruppo GRP_Marketing (o parte di esso) e cliccare sul pulsante Controlla nomi per assicurarsi di averlo digitato correttamente, quindi cliccare su OK.
      Seleziona Utenti, Computer, Account servizio o Gruppi
      FIG 9 - Seleziona Utenti, Computer, Account servizio o Gruppi
    • Nella finestra di dialogo Aggiungi utente o gruppo cliccare nuovamente su OK.
      Aggiungi utente o gruppo
      FIG 10 - Aggiungi utente o gruppo
    • Nella finestra Proprietà - Nega accesso locale cliccare su OK.
      Proprietà Nega accesso locale
      FIG 11 - Proprietà Nega accesso locale

    Ora non ci resta che testare il corretto funzionamento della nostra GPO. Provando ad eseguire il logon con un account utente appartenente all'unità organizzativa Marketing su una workstation dell'unità organizzativa Direzione verrà visualizzato un messaggio come quello mostrato in FIG 12.
    Logon inibito
    FIG 12 - Logon inibito







    venerdì 19 giugno 2020

    Windows Server 2019: Impostare lo sfondo di Windows tramite GPO

    Come anticipato negli articoli precedenti, tramite i Criteri di gruppo è possibile  personalizzare anche le impostazioni del sistema operativo sui computer del dominio. In questo articolo verranno mostrati i passaggi per la creazione di un oggetto Criteri di gruppo che imposti uno sfondo prestabilito (wallpaper) di Windows su tutte le postazioni che appartengono al dominio. La prima operazione da effettuare consiste nel copiare il file contenente l'immagine da mettere come sfondo in una cartella condivisa sul server. Nel nostro caso il file World-Wallpaper.jpg, contenente l'immagine, è stato copiato nella share \\SERVER1DC\Cartella condivisa creata nell'articolo Windows Server 2019: Mappare automaticamente una cartella condivisa.
    File contenente l'immagine di sfondo all'interno della cartella condivisa
    FIG 1 - File contenente l'immagine di sfondo all'interno della cartella condivisa

    La fase successiva consiste nella creazione dell'oggetto Criteri di gruppo:
    • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
      Server Manager
      FIG 2 - Server Manager
    • Cliccare, con il tasto destro del mouse, sul dominio mycompany.local quindi dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
      Gestione Criteri di gruppo
      FIG 3 - Gestione Criteri di gruppo
    • Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_Wallpaper e cliccare su OK.
      Nuovo oggetto Criteri di gruppo
      FIG 4 - Nuovo oggetto Criteri di gruppo
    • Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
      Modifica oggetto Criteri di gruppo
      FIG 5 - Modifica oggetto Criteri di gruppo
    • All'interno della sezione Configurazione utente cliccare su Criteri, quindi su Modelli Amministrativi, Desktop e in fine su Active Desktop.
      Editor Gestione Criteri di gruppo
      FIG 6 - Editor Gestione Criteri di gruppo
    • Cliccare due volte su Sfondo del desktop.
      FIG 7 - Oggetto Criteri di gruppo, Sfondo del desktop
    • Nella finestra Sfondo del desktop selezionare l'opzione Attivata e all'interno della casella Nome sfondo indicare il percorso e il nome del file contenente l'immagine di sfondo (nel nostro caso \\SERVER1DC\Cartella condivisa\World-Wallpaper.jpg) quindi cliccare su OK.
      Impostazione sfondo desktop tramite Criteri di gruppo
      FIG 8 - Impostazione sfondo desktop tramite Criteri di gruppo
    Eseguendo il logon su una postazione appartenente al domino visualizzeremo il nuovo sfondo.
    Nuovo sfondo impostato tramite GPO su una postazione appartenente al dominio
    FIG 9 - Nuovo sfondo impostato tramite GPO su una postazione appartenente al dominio