Visualizzazione post con etichetta Group Policy. Mostra tutti i post
Visualizzazione post con etichetta Group Policy. Mostra tutti i post

giovedì 25 gennaio 2024

Windows Server 2022: Introduzione alle Group Policy (GPO)

In aziende medio-grandi, la modifica manuale delle impostazioni sui singoli computer diventa un compito impossibile. È qui che entrano in gioco le Group Policy (Criteri di gruppo).
I Criteri di gruppo consentono di creare un criterio e di indirizzarlo agli utenti o ai sistemi all'interno di unità organizzative (OU), gruppi di sicurezza o persino su base individuale. 

Le Group Policy sono un insieme di regole che controllano l'ambiente di lavoro degli utenti e dei computer fornendo una gestione centralizzata e consentendo la configurazione dei sistemi operativi, impostazioni degli utenti e applicazioni in un ambiente Active Directory. In pratica le Group Policy stabiliscono, in parte, cosa l'utente può e non può fare su un computer del dominio e possono essere utilizzate, ad esempio, per bloccare l'accesso al pannello di controllo/gestione attività, impedire/autorizzare l'accesso a cartelle condivise, disabilitare il download di file eseguibili, consentire l'installazione automatica di software, implementare restrizioni su quote disco, sulla lunghezza della password, gestire le impostazioni di BitLocker e tanto altro. Le Group policy vengono gestite tramite lo strumento Gestione Criteri di gruppo (Group Policy Management Console o GPMC) e create/modificate tramite l'Editor Gestione Criteri di gruppo (Group Policy Management Editor o GPME).

Prima di mostrare come creare le Group Policy è bene chiarire e approfondire alcuni concetti basilari.

Le Group Policy vengono configurate e distribuite dagli amministratori di dominio mediante la creazione di oggetti Criteri di gruppo (Group Policy Object o GPO). Gli oggetti Criteri di gruppo sono container per gruppi di impostazioni (policy settings) che possono essere applicate agli account utente, agli account computer o ad entrambi attraverso Active Directory. Tali oggetti vengono creati utilizzando l'Editor Gestione Criteri di gruppo (GPME) che viene invocato quando si modifica un GPO all'interno dello strumento Gestione Criteri di gruppo (GPMC). 
Contrariamente a quanto possa far credere il nome, gli oggetti Criteri di gruppo non sono affatto orientati al gruppo: non è possibile applicarli direttamente ai gruppi. Possono essere applicati a livello locale, a siti, ai domini e alle OU (Microsoft li abbrevia con LSDOU: Locale, Sito, Dominio, OU) all'interno di una data foresta. 
Le Group Policy applicano le impostazioni nel seguente ordine prestabilito:
  1. Criteri locali (impostati da gpedit.msc)
  2. Criteri del sito
  3. Criteri di dominio
  4. Criteri delle OU
Si tratta di un approccio all'elaborazione dall'alto verso il basso: dopo l'applicazione dei criteri locali, le GPO del sito sono le più ampie, seguite dalle GPO del dominio e quindi dalle GPO dell'OU. La maggior parte degli amministratori di sistema ha esperienza nella gestione delle GPO a livello di dominio e OU. Un problema comune che si verifica è quando un amministratore di sistema apporta una modifica a un criterio a livello di dominio, ma la modifica non sembra essere applicata. La causa più comune è un criterio a livello di OU che sovrascrive l'impostazione del criterio di dominio.

L'assegnazione delle policy viene anche chiamata linking. Il rapporto tra GPO e LSDOU può essere del tipo molti a uno (ad es. più GPO assegnati ad un sola OU) o di uno a molti (ad es. una sola GPO assegnata a più OU). Quando viene assegnato un oggetto Group Policy ad un'unità organizzativa questo agisce su tutti gli account in essa contenuti e sulle OU sottostanti.  

Affermare che i Criteri di Gruppo/GPO vengono memorizzati all'interno di Active Directory non è del tutto corretto. Gli oggetti Criteri di gruppo vengono memorizzati in due posti distinti: all'interno di un container di Group Policy (Group Policy Container o GPC) e all'interno di un Group Policy Template (GPT). Il GPC è memorizzato all'interno del database Active Directory e contiene informazioni sulla proprietà, versione, stato e una lista dei componenti. Il GPT, invece, viene conservato all'interno della cartella Windows\SYSVOL\sysvol\<Nome del dominio>\Policies\GUID\ dove GUID rappresenta il Global Unique Identifier dell'oggetto Criteri di gruppo. Tale cartella contiene impostazioni amministrative, impostazioni di sicurezza, informazioni sulle applicazioni disponibili, impostazioni del registro di sistema, script e altro.

Anche se una Group Policy può contenere numerose impostazioni è buona norma configurarne solo un numero ristretto. Le Group Policy sono cumulative e supportano l'ereditarietà (possono essere ereditate dai container superiori in Active Directory). Le policy vengono applicate in background. Generalmente il computer effettua un refresh delle policy ogni 90 minuti ma è possibile forzarne la sincronizzazione tramite il comando gpupdate /force dal Prompt dei comandi. I domain controller, a differenza dei normali computer, eseguono il refresh delle Group Policy ogni 5 minuti. Un eccezione alla regola viene fatta per le policy che includono il reindirizzamento di cartelle, l'installazione del software, l'applicazione di script, impostazioni Stampanti e dischi di rete mappati. Tali policy, infatti, vengono applicate solo al logon dell'utente (per gli account utente) o all'avvio del sistema (per gli account computer).
Le Group Policy vengono replicate automaticamente. L'Active Directory viene replicato utilizzando AD Replication (controllato da Knowledge Consistency Checker e Intersite Topology Generator) ed è controllato dal servizio File Replication o dal servizio Distributed File Replication.
Le impostazioni specificate all'interno di un oggetto Group Policy vengono scritte all'interno del registro di sistema e vengono eliminate quando l'impostazione della policy viene eliminata o l'oggetto Group Policy viene cancellato. Tale comportamento previene l'effetto "tattooing", un tempo presente, che costringeva gli amministratori a creare un nuovo GPO per annullare le impostazioni di un GPO cancellato. 


Nell'Editor Gestione Criteri di gruppo le impostazioni, sia per il computer che per l'utente, possono essere configurate con Criteri e Preferenze. Le principali differenze tra i due tipi di configurazioni sono riportate nella seguente tabella.

Criteri Preferenze
Quando un criterio dei Criteri di gruppo non è più applicabile, l'impostazione viene rimossa e viene ripristinato il valore originale.
Quando una preferenza dei Criteri di gruppo non è più applicabile, l'impostazione rimane nel registro.
Quando un criterio dei Criteri di gruppo è impostato su un determinato valore per un'applicazione, quest'ultima utilizza il valore impostato dal criterio. Se il criterio viene rimosso, l'applicazione utilizzerà il valore originale.
Quando una preferenza dei Criteri di gruppo è impostata su un determinato valore per un'applicazione, sovrascrive il valore predefinito dell'applicazione. Se la preferenza viene rimossa, il valore dell'applicazione rimane invariato.
Quando un criterio dei Criteri di gruppo viene utilizzato per applicare le impostazioni, gli utenti visualizzano opzioni in grigio per informarli che l'impostazione è gestita dai loro amministratori.
Quando una preferenza dei Criteri di gruppo viene utilizzata per applicare le impostazioni, gli utenti possono modificarle manualmente. Criteri di gruppo non riapplicherà il valore configurato dopo la prima applicazione.


Editor Gestione Criteri di gruppo
FIG 1 - Editor Gestione Criteri di gruppo

Fin dal rilascio di Windows Server 2000, le Group Policy hanno permesso agli amministratori di rete di poter configurare in maniera centralizzata i computer della propria organizzazione. Tuttavia esiste un modo più recente di configurare i sistemi: PowerShell Desired State Configuration (DSC).
Per evitare conflitti tra i due metodi, i Criteri di gruppo e PowerShell DSC non devono essere utilizzati contemporaneamente per settare impostazioni sugli stessi sistemi. In un ambiente aziendale che utilizza già i Criteri di gruppo,  è consigliabile proseguire con tale metodo. Se, invece, si sta configurando un ambiente da zero, allora PowerShell DSC potrebbe essere la scelta migliore. 

Nei prossimi articoli approfondirò il discorso sui Criteri di gruppo mentre Powershell DSC è un argomento che tratterò più avanti.







mercoledì 30 giugno 2021

Windows Server 2019: Attivare log per installazione software tramite Group Policy

Nell'articolo Windows Server 2019: Installare software tramite i Criteri di gruppo (GPO) abbiamo visto come sia possibile installare software tramite l'utilizzo dei Criteri di gruppo. Purtroppo non sempre le installazioni vanno a buon fine e in questi casi è bene disporre del maggior numero di informazioni possibili per risalire alla causa del problema. Nelle prossime righe verrà mostrato come attivare il log di Windows Installer che ci fornirà maggiori dettagli nel caso in cui l'installazione di un software fallisse.

Attivazione Log Windows Installar tramite Criteri di gruppo

  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 1 - Server Manager

  • Il Criterio di gruppo che andremo a creare agirà su tutte i computer appartenenti al dominio. Cliccare, con il tasto destro del mouse, sul dominio mycompany.local e selezionare Crea un oggetto Criteri di gruppo in questo domino e crea qui un collegamento.
    Gestione Criteri di gruppo
    FIG 2 - Gestione Criteri di gruppo

  • Assegnare il nome al nuovo criterio di gruppo (ad es. GPO_LogWindowsInstaller) e cliccare su OK.
    Nuovo oggetto Criteri di gruppo
    FIG 3 - Nuovo oggetto Criteri di gruppo

  • Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare Modifica.
    Modifica GPO
    FIG 4 - Modifica GPO

  • Posizionarsi su Configurazione computer -> Modelli amministrativi -> Componenti di Windows -> Windows Installer. Aprire il criterio Specifica i tipi di eventi registrati nel registro delle transazioni di Windows Installer eseguendo un doppio click del mouse.

    GPO Windows Installer
    FIG 5 - GPO Windows Installer

  • Tramite questo criterio è possibile specificare i tipi di eventi che si desidera registrare. Per indicare che un tipo di evento è da registrare basta digitare la lettera che rappresenta il tipo di evento nell'apposita casella. È possibile digitare le lettere in qualsiasi ordine e aggiungere all'elenco tutti i tipi di eventi desiderati. Gli eventi registrabili sono rappresentati dalle seguenti lettere:
    i - Messaggi di stato
    w - Avvisi di errori non gravi
    e - Tutti i messaggi di errore
    a - Avvio di azioni
    r - Record specifici di azioni
    u - Richieste utente
    c - Parametri interfaccia utente iniziali
    m - Memoria insufficiente
    p - Proprietà terminale
    v - Output dettagliato
    o - Messaggi di spazio su disco insufficiente
    x - Informazioni di debug aggiuntive
    Inserendo nell'apposita caselle tutte le lettere (iwearucmpvox), registreremo ogni cosa ma l'installazione sarà molto rallentata. Selezionare l'opzione Attivata e nell'apposita casella specificare le lettere degli eventi che si desidera registrare quindi cliccare su OK.

    Specifica i tipi di eventi nel registro delle transazioni di Windows Installer
    FIG 6 - Specifica i tipi di eventi nel registro delle transazioni di Windows Installer

Il file di Log dell'installazione verrà generato in %WinDir%\Temp con il nome MsiXXXX.log (dove XXXX sono 4 caratteri alfanumerici). Una volta terminata l'analisi dei log e risolto il problema di installazione è consigliabile disattivare il criterio di gruppo per evitare rallentamenti e spreco di spazio su disco.



Attivazione Log Windows Installar tramite registro di sistema

Per l'attivazione del Log di Windows Installer tramite il registro di sistema basta creare, all'interno della chiave di registro
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer
il valore Logging di tipo Reg_SZ e come Dati valore vanno specificate le lettere relative agli eventi che si intendono monitorare.
Logging
FIG 7 - Logging







lunedì 29 giugno 2020

Windows Server 2019: Creare una cartella locale e copiare file tramite GPO

Via Group Policy è possibile creare una cartella su una workstation e copiarvi all'interno alcuni file. Tale operazione può essere utile, ad esempio, nel caso in cui sulle postazioni sia installato un software che richiede la presenza di alcuni file esterni per funzionare correttamente o semplicemente quando si intende mettere a disposizione degli utenti dei file in locale sulla postazione. Vediamo come creare la policy adatta al nostro scopo.
  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 1 - Server Manager
  • Cliccare, con il tasto destro del mouse, sull'unità organizzativa per la quale si intende creare la policy. Se si intende creare un'oggetto Group Policy che agisca su tutte le workstation, cliccare con il tasto destro del mouse sul dominio mycompany.local quindi, dal menu contestuale, selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
    Gestione Criteri di gruppo
    FIG 2 - Gestione Criteri di gruppo
  • Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_CopiaFile e cliccare su OK.
    Nuovo oggetto Criteri di gruppo
    FIG 3 - Nuovo oggetto Criteri di gruppo
  • Cliccare con il tasto destro del mouse, sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
    Modifica oggetto Criteri di gruppo
    FIG 4 - Modifica oggetto Criteri di gruppo
  • Posizionarsi su Configurazione utente\Preferenze\Impostazioni di Windows\Cartelle.
    GPO, Impostazioni di Windows, Cartelle
    FIG 5 - GPO, Impostazioni di Windows, Cartelle
  • Cliccare con il tasto destro del mouse in uno spazio vuoto della finestra e selezionare Nuovo quindi Cartella.
    GPO, Nuova cartella
    FIG 6 - GPO, Nuova cartella
  • Nella casella Azione selezionare Crea. In Percorso indicare il percorso e il nome della cartella che dovrà essere creata sulla postazione (ad es. C:\File) quindi cliccare su OK.
    GPO, Nuove proprietà cartella
    FIG 7 - GPO, Nuove proprietà cartella
  • Il prossimo passo consiste nello specificare quali file dovranno essere copiati all'interno della cartella. Cliccare su File.
    GPO, Impostazioni di Windows, File
    FIG 8 - GPO, Impostazioni di Windows, File
  • Cliccare con il tasto destro del mouse, in un punto vuoto della finestra, selezionare Nuovo quindi File.
    GPO, Nuovo file
    FIG 9 - GPO, Nuovo file
  • Anche in questo caso, all'interno della casella Azione, selezionare Crea. All'interno della casella File di origine specificare il nome del file che si intende copiare compreso il percorso (ad es. \\SERVER1DC\Direzione$\Documento.txt). In File di destinazione indicare la cartella locale sulla postazione in cui il file dovrà essere copiato e con quale nome (ad es. C:\File\Documento.txt). Cliccare su OK.
    GPO, Proprietà file
    FIG 10 - GPO, Proprietà file
    Editor Gestione Criteri di gruppo
    FIG 11 - Editor Gestione Criteri di gruppo
Assicurarsi che il file che abbiamo specificato (Documento.txt) sia effettivamente presente all'interno della cartella di origine (\\SERVER1DC\Direzione$) quindi eseguiamo il logon su una workstation appartenente al dominio. Come visibile in FIG 12 sul disco C:\ della postazione è stata creata la cartella con all'interno il file che abbiamo specificato.
Cartella creata e file copiato tramite oggetto Criteri di gruppo
FIG 12 - Cartella creata e file copiato tramite oggetto Criteri di gruppo






lunedì 22 giugno 2020

Windows Server 2019: Usare le Group Policy per impostare le password e blocco account

Un elemento fondamentale per la sicurezza di un sistema è la gestione delle credenziali di autenticazione. Lasciare eccessiva libertà agli utenti nella scelta della password da utilizzare non è una buona idea. E' sempre opportuno adottare un'adeguata politica restrittiva che definisca le caratteristiche che la password utente debba possedere per essere accettata (lunghezza minima, caratteri obbligatori, validità minima e massima, divieto di usare una password già utilizzata in precedenza, ecc) inoltre è opportuno prevedere anche il blocco temporaneo dell'account a seguito di diversi tentativi di accesso con credenziali errate (che potrebbero indicare che l'account è sotto attacco da parte di un malintenzionato).
Nell'articolo Windows Server 2019: Impostare la complessità della password tramite Password Settings Object abbiamo visto come fare in modo che la password scelta dagli utenti rispetti alcuni criteri di complessità. Attraverso l'utilizzo dei criteri granulari per le password (FINE-GRAINED password policy) è possibile fare in modo che gli utenti di un dominio abbiano policy relative alle password diverse. In altri termini, è possibile fare in modo, ad esempio, che gli utenti che appartengono al gruppo amministratori di dominio o del reparto IT di un azienda siano obbligati ad usare password più complesse e/o più lunghe degli altri utenti.

In questo articolo vedremo come gestire le password e blocchi degli account del Dominio tramite i Criteri di gruppo.

Per default, in un dominio Windows Server 2012 R2 o successivi, Le impostazioni di default delle password e criteri di gruppo locali sono già impostati all'interno del GPO Default Domain Policy. Vediamo come modificare le impostazioni di default.
  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 1 - Server Manager
  • Espandere il dominio mycompany.local quindi cliccare, con il tasto destro del mouse, su Default Domain Policy e dal menu contestuale selezionare Modifica.
    Gestione Criteri di gruppo
    FIG 2 - Gestione Criteri di gruppo
  • Le impostazioni relative alle password degli account e le policy locali sono memorizzate all'interno della sezione Configurazione computer. Questo significa che indipendentemente da quale utente esegue il logon sul computer, la policy verrà sempre applicata. Posizionarsi su Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni sicurezza\Criteri account (FIG 3). Le due impostazioni che ci interessano in questo articolo sono Criteri password e Criterio di blocco account. Iniziamo con il primo. Cliccare su Criteri password.
    Criteri Default Domain Policy
    FIG 3 - Criteri Default Domain Policy
    Criteri password
    FIG 4 - Criteri password

    In Criteri password troviamo diverse impostazioni (FIG 4).

    Archivia password mediante crittografia reversibile
    Le password sono normalmente memorizzate in una crittografia hash a senso unico. Questo criterio, se attivato, comporta un decadimento della sicurezza e fa in modo che la cifratura sia reversibile. L'impostazione predefinita prevede che il criterio sia disattivato e, generalmente, è sconsigliabile attivarlo tuttavia è necessario attivarlo nel caso in cui si utilizza l'autenticazione Challenge-Handshake Authentication Protocol (CHAP) tramite una connessione di accesso remoto o Servizio autenticazione Internet (IAS, Internet Authentication Service), nonché quando si utilizza l'autenticazione del digest in Internet Information Services (IIS).

    Imponi cronologia delle password
    Questo criterio consente di migliorare la sicurezza garantendo che le vecchie password non vengano riutilizzate continuamente. Il criterio consente di specificare il numero delle nuove password univoche che devono essere associate a un account utente prima che sia possibile riutilizzare una vecchia password. Il valore deve essere compreso tra 0 e 24 (24 è il valore di default nei controller di dominio).

    Le password devono essere conformi ai requisiti di complessità
    Consente di specificare se le password devono essere conformi ai requisiti di complessità.I requisiti di complessità vengono verificati al momento della creazione o della modifica delle password. Se tale criterio è attivato, le password devono soddisfare i seguenti requisiti minimi:
    - Non possono contenere più di due caratteri consecutivi del nome completo dell'utente o del nome dell'account utente.
    - Devono includere almeno sei caratteri.
    - Devono contenere caratteri appartenenti ad almeno tre delle quattro categorie seguenti:
    1. Caratteri maiuscoli dell'alfabeto inglese (A-Z)
    2. Caratteri minuscoli dell'alfabeto inglese (a-z)
    3. Cifre decimali (0-9)
    4. Caratteri non alfabetici, ad esempio !, $, #, % 

    Lunghezza minima password
    Questa impostazione di sicurezza consente di specificare il numero minimo di caratteri delle password per gli account utente. È possibile impostare un valore da 1 a 20 oppure impostare su 0 il numero dei caratteri, per specificare che non è richiesta alcuna password. L'impostazione predefinita nei controller di dominio prevede che la password abbia una lunghezza minima di 7 caratteri.

    Validità massima password
    Questa impostazione di sicurezza specifica il periodo di tempo (in giorni) per cui è possibile utilizzare una password prima che il sistema richieda all'utente di modificarla. È possibile impostare un periodo di validità da 1 a 999 giorni oppure impostare su 0 il numero dei giorni per specificare che le password non hanno scadenza. Se per Validità massima password si specifica un numero da 1 a 999 giorni, il valore di Validità minima password dovrà essere inferiore. Se Validità massima password è 0, per Validità minima password sarà possibile specificare qualsiasi valore compreso tra 0 e 998 giorni. Generalmente si consiglia di utilizzare password con scadenza da 30 a 90 giorni. L'impostazione predefinita prevede la scadenza dopo 42 giorni.

    Validità minima password
    Tale criterio permette di specificare il periodo di tempo (in giorni) per cui è necessario utilizzare una password prima che sia possibile modificarla. È possibile impostare un valore da 1 a 998 giorni oppure impostare su 0 il numero dei giorni per consentire la modifica immediata. Il valore di Validità minima password deve essere minore di quello di Validità massima password, a meno che quest'ultimo non sia impostato su 0 per specificare che le password non hanno scadenza. Se Validità massima password è 0, per Validità minima password sarà possibile specificare qualsiasi valore compreso tra 0 e 998 giorni. Per garantire l'efficacia dell'impostazione Imponi cronologia delle password, impostare Validità minima password su un valore maggiore di 0. Se la validità minima delle password non è configurata, infatti, gli utenti potranno modificare ripetutamente le password finché non potranno riutilizzare le proprie vecchie password preferite. Per default nei controller di dominio il valore è impostato a 1.

  • Cliccare due volte su Validità massima password, nella casella La password scadrà tra inserire 30 giorni (in alternativa indicare il numero di giorni desiderato) e cliccare su OK.
    Validità massima password
    FIG 5 - Validità massima password
  • Posizionarsi su Criterio di blocco account (Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni sicurezza\Criteri account\Criterio di blocco account).
    Criterio di blocco account
    FIG 6 - Criterio di blocco account
  • In Criterio di blocco account troviamo 3 impostazioni

    Blocca account per
    L'impostazione Blocca account per specifica il numero di minuti per cui un account bloccato deve rimanere bloccato prima di essere sbloccato automaticamente. È possibile impostare un intervallo da 0 a 99.999 minuti. Se la durata del blocco dell'account viene impostata su 0, l'account rimarrà bloccato finché non verrà esplicitamente sbloccato da un amministratore. Se viene definita l'impostazione Soglia di blocchi dell'account, la durata del blocco dell'account dovrà essere maggiore o uguale all'intervallo di reimpostazione del contatore. Per default l'impostazione non è definita.

    Reimposta contatore blocco account dopo
    Questa impostazione di sicurezza specifica il numero di minuti che deve trascorrere dopo un tentativo di accesso non riuscito prima che il contatore dei tentativi di accesso non riusciti venga reimpostato su 0. È possibile impostare un intervallo da 1 a 99.999 minuti. Se viene definita l'impostazione Soglia di blocchi dell'account, l'intervallo per la reimpostazione deve essere minore o uguale al valore di Durata blocco account. Anche in questo caso l'impostazione, per default, non è definita.

    Soglia di blocchi dell'account
    Tale impostazioni permette di specificare il numero di tentativi di accesso non riusciti dopo il quale l'account verrà bloccato. Un account bloccato non può essere utilizzato finché non viene ripristinato da un amministratore oppure fino alla scadenza della durata del blocco per l'account. È possibile impostare da 0 a 999 tentativi di accesso non riusciti. Se viene impostato il valore 0, l'account non verrà mai bloccato. Il valore di default di tale impostazione è 0.

  • Cliccare due volte su Blocca account per, selezionare l'opzione Definisci le impostazioni relative al criterio e, nella casella L'account è bloccato per, impostare 30 minuti quindi cliccare su OK.
    Blocca account per 30 minuti
    FIG 7 - Blocca account per 30 minuti
  • Nella finestra di dialogo Cambiamenti ai valori suggeriti, cliccare su OK per valorizzare anche i valori dei criteri Soglia di blocchi dell'account e Reimposta contatori blocco account come indicato nel messaggio.
    Cambimenti ai valori suggeriti
    FIG 8 - Cambimenti ai valori suggeriti
  • Cliccare due volte su Soglia di blocchi dell'account  (dopo al modifica precedente anche tale valore risulta modificato da 0 a 5). Assicurarsi che  l'opzione Definisci le impostazioni relative al criterio sia flaggata e che nella casella L'account verrà bloccato dopo sia inserito il valore 5 (o specificare il valore desiderato) come mostrato in figura, quindi cliccare su OK.
    Soglia di blocchi dell'account
    FIG 9 - Soglia di blocchi dell'account
  • Cliccare due volte su Reimposta contatore blocco account dopo (dopo al modifica precedente anche tale criterio viene attivato e impostato a 30 minuti). Assicurarsi che  l'opzione Definisci le impostazioni relative al criterio sia flaggata e che nella casella Reimposta contatore blocco account dopo sia indicato 30 minuti (o specificare il valore desiderato) come mostrato in figura, quindi cliccare su OK.
    Reimposta contatore blocco account
    FIG 10 - Reimposta contatore blocco account

Con le impostazioni sopra indicate, se un utente sbaglia per 5 volte l'inserimento della password durante il logon (o sblocco) su un PC del dominio, verrà visualizzato il messaggio mostrato in FIG 11 e l'account utente verrà bloccato per 30 minuti. Lo sblocco può essere comunque forzato da un amministratore di dominio ma questo verrà illustrato nel prossimo articolo.
Account bloccato
FIG 11 - Account bloccato






sabato 6 giugno 2020

Windows Server 2019: Group Policy, mappare una cartella solo per utenti appartenenti ad un determinato gruppo

Nell'articolo precedente è stato mostrato come mappare una cartella condivisa tramite GPO. La Policy (configurazione utente) è stata creata all'interno del dominio pertanto va ad agire su tutti gli account utente.
In quest'articolo vedremo come creare un oggetto criteri di gruppo da applicare esclusivamente ad un determinato gruppo in AD.
Il primo passo da seguire consiste nella creazione del gruppo. In questo caso andremo a creare il gruppo GRP_Direzione contenente tutti gli utenti della unità organizzativa Direzione. I passaggi sono del tutto analoghi a quelli già visti in precedenti articoli.


Creare un gruppo tramite Utenti e computer di Active Directory

  • Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
    Windows Server 2019, Server Manager
    FIG 1 - Windows Server 2019, Server Manager
  • Espandere il dominio mycompany.local e posizionarsi sull'unità organizzativa Direzione\Utenti. Cliccare, con il tasto destro del mouse, sulla UO Utenti e selezionare Nuovo->Gruppo.
    FIG 2 - Utenti e computer di Active Directory, Nuovo Gruppo
  • Nella casella Nome gruppo inserire il nome da assegnare al gruppo (ad es. GRP_Direzione), come Tipo gruppo lasciare selezionato Sicurezza e come Ambito del gruppo lasciare attiva l'opzione Globale. Cliccare su OK per la creazione del gruppo.
    Nuovo oggetto Gruppo
    FIG 3 - Nuovo oggetto Gruppo
  • Selezionare tutti gli account utente presenti nell'unità organizzativa Direzione\Utenti e cliccarci su con il tasto destro del mouse. Selezionare, dal menu contestuale, Aggiungi a un gruppo.
    Aggiungi a un gruppo
    FIG 4 - Aggiungi a un gruppo
  • Nella nuova finestra di dialogo, all'interno della casella Immettere i nomi degli oggetti da selezionare, digitare il nome (o parte di esso) del gruppo (GRP_Direzione) a cui si intendono  aggiungere gli account utente e cliccare sul pulsante Controlla nomiSe il nome del gruppo è corretto cliccare su OK per confermare l'operazione. Una nuova finestra di dialogo (FIG 6 ) confermerà l'avvenuta aggiunta al gruppo.
    Seleziona Gruppi
    FIG 5 - Seleziona Gruppi

    Aggiunta al gruppo completata
    FIG 6 - Aggiunta al gruppo completata




Creazione cartella condivisa

  • Avviare Esplora file, cliccare su Questo PC quindi sul Disco locale (C:).
    Esplora file, disco C:
    FIG 7 - Esplora file, disco C:
  • Creare una nuova cartella e rinominarla in Direzione.
  • Cliccare, con il tasto destro del mouse, sulla cartella appena creata e selezionare Proprietà.
    Proprietà cartella
    FIG 8 - Proprietà cartella
  • Selezionare la scheda Condivisione e cliccare sul pulsante Condivisione avanzata.
    Condivisione cartella
    FIG 9 - Condivisione cartella
  • Selezionare l'opzione Condividi la cartellaAll'interno della casella Nome condivisione aggiungere il simbolo $ per creare una condivisione nascosta. Cliccare sul pulsante Autorizzazioni.
    Condivisione avanzata
    FIG 10 - Condivisione avanzata
  • Selezionare il gruppo Everyone, quindi cliccare su Rimuovi. Il nostro scopo è fare in modo che alla cartella possano accedere solo utenti che appartengono al gruppo GRP_Direzione.
    Autorizzazioni, rimuovere gruppo Everyone
    FIG 11 - Autorizzazioni, rimuovere gruppo Everyone
  • Cliccare sul tasto Aggiungi e, all'interno della nuova finestra di dialogo, digitare il nome del gruppo GRP_Direzione quindi cliccare su OK per ritornare alla schermata precedente.
    Autorizzazioni, aggiungi gruppo
    FIG 12 - Autorizzazioni, aggiungi gruppo
  • Dato che intendiamo fornire al gruppo GRP_Direzione permessi completi sulla cartella condivisa, selezionare il gruppo quindi flaggare la casella Controllo completo e cliccare su OK.
    Autorizzazioni, controllo completo al gruppo GRP_Direzione
    FIG 13 - Autorizzazioni, controllo completo al gruppo GRP_Direzione
  • Nella finestra Condivisione avanzata (FIG 10), cliccare ancora su OK.
  • Come visibile in FIG 14 verrà mostrato il percorso della cartella condivisa. Cliccare su Chiudi.
    Percorso di rete condivisione
    FIG 14 - Percorso di rete condivisione

Il prossimo passo consiste nel mappare la cartella condivisa agli utenti che appartengono al gruppo GRP_Direzione mediante GPO.





Creazione GPO per mappare la cartella agli utenti del gruppo GRP_Direzione

  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 15 - Server Manager
  • Espandere il dominio mycompany.local quindi cliccare, con il tasto destro del mouse, sull'unità organizzativa Direzione e dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
    Gestione Criteri di gruppo
    FIG 16 - Gestione Criteri di gruppo
  • Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_Direzione_mappa_condivisione e cliccare su OK.
    Nuovo oggetto Criteri di gruppo
    FIG 17 - Nuovo oggetto Criteri di gruppo
  • Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
    Modifica oggetto Criteri di gruppo
    FIG 18 - Modifica oggetto Criteri di gruppo
  • La policy dovrà essere applicata agli utenti. All'interno della sezione Configurazione utente cliccare su Preferenze, quindi su Impostazioni di Windows e successivamente su Mapping unità.
    Configurazone utente, Mapping unità
    FIG 19 - Configurazone utente, Mapping unità
  • Cliccare, con il tasto destro del mouse, sul pannello sulla destra e selezionare Nuovo->Unità mappata.
  • Nella casella Azione selezionare Aggiorna, all'interno della casella percorso digitare il percorso della cartella condivisa \\SERVER1DC\Direzione$. Attivare la casella Riconnetti e in label digitare il nome con cui la cartella verrà mappata (ad es. Share Direzione).
    Proprietà unità mappata
    FIG 20 - Proprietà unità mappata
  • Selezionare l'opzione Usa e specificare la lettera di unità con cui la cartella condivisa verrà mappata (ad es. J:).
    Proprietà unità mappata
    FIG 21 - Proprietà unità mappata
  • Cliccare su OK e chiudere la finestra Editor Gestione criteri di gruppo e la finestra Gestione criteri di gruppo.


A questo punto gli utenti che appartengono al gruppo GRP_Direzione, quando eseguiranno il logon su una postazione del dominio, si ritroveranno la cartella \\SERVER1DC\Direzione$ mappata come unità J:.