Visualizzazione post con etichetta Utenti e computer di Active Directory. Mostra tutti i post
Visualizzazione post con etichetta Utenti e computer di Active Directory. Mostra tutti i post

domenica 25 febbraio 2024

Windows Server 2022: Mappare cartella condivisa tramite script di logon

Negli articoli Windows Server 2022: Mappare automaticamente una cartella condivisa e Windows Server 2022: Mappare cartelle personali abbiamo visto come fare in modo che una cartella venga automaticamente mappata all'utente. In particolare nell'ultimo articolo, quando abbiamo mappato la cartella personale, abbiamo perso il collegamento alla cartella condivisa tra più utenti che ripristineremo con i passaggi di seguito indicati. Quando bisogna gestire numerosi account è consigliabile l'utilizzo delle group policy. In questo articolo verrà mostrato come agire manualmente su un gruppo ristretto di utenti e mappare una cartella condivisa tramite l'utilizzo di uno script di logon. Tratterò le group policy più in là in appositi articoli.


La cartella condivisa che andremo a mappare al logon tramite script sarà \\SERVERDC2\Cartella condivisa creata nell'articolo 
Windows Server 2022: Mappare automaticamente una cartella condivisa.


Creazione dello script di logon

Posizionarsi sul server e avviare un editor di testo come Blocco note (premere la combinazione di tasti WIN+R, digitare notepad seguito da invio).
Digitare il seguente comando
net use Y: "\\SERVERDC2\Cartella condivisa"
i doppi apici sono necessari in quanto il nome della cartella contiene uno spazio. Il comando mappa il percorso specificato \\SERVERDC2\Cartella condivisa con la lettera di unità Y:.
Blocco note
FIG 1 - Blocco note
Dal menu File selezionare Salva con nome. Salvare il file con il nome logon.bat (nella casella Nome file il nome del file va digitato tra apici per fare in modo che notepad non aggiunga l'estensione .txt)  nel percorso C:\Windows\SYSVOL\sysvol\mycompany.local\scripts
Salva con nome
FIG 2 - Salva con nome

Impostare lo script di accesso per gli account utente

Creato lo script e salvato nell'opportuno percorso, non resta che impostarlo come script di logon per uno o più account utente. L'operazione può essere eseguita tramite Utenti e computer di Active DirectoryCentro di amministrazione di Active Directory o PowerShell. Vediamo i passaggi da seguire


Utenti e computer di Active Directory
Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc seguito da invio.
Server Manager, Utenti e Computer di Active Directory
FIG 3 - Server Manager, Utenti e Computer di Active Directory

Selezionare gli utenti presenti nella UO mycompany.local\Direzione\Utenti e cliccare sul pulsante Proprietà (in alternativa cliccare con il tasto destro del mouse sugli utenti selezionati e scegliere Proprietà dal menu contestuale);
Utenti e computer di Active Directory, Visualizzare le proprietà degli account utenti
FIG 4 - Utenti e computer di Active Directory, Visualizzare le proprietà degli account utenti
Selezionare la scheda Profilo. Spuntare la casella Script di accesso e digitare il nome dello script da richiamare (Logon.bat) quindi cliccare su OK.
Configurazione Script di accesso per gli account utente
FIG 5 - Configurazione Script di accesso per gli account utente

Da questo momento quando gli utenti effettueranno il logon su una workstation del dominio verrà avviato lo script che mapperà la cartella condivisa con la lettera di unità specificata.


Centro di amministrazione di Active Directory
I passaggi da eseguire utilizzando il Centro di amministrazione di Active Directory sono simili a quelli già visti per Utenti e computer di Active Directory
.

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe seguito da invio.
Server Manager, Centro di amministrazione di Active Directory
FIG 6 - Server Manager, Centro di amministrazione di Active Directory

Selezionare gli utenti presenti nella UO mycompany.local\Direzione\Utenti e cliccare sul link Proprietà nel riquadro Attività.
Proprietà account utente
FIG 7 - Proprietà account utente

Cliccare sulla sezione Profilo, abilitare la casella Script di accesso e digitare il nome dello script da eseguire al logon (logon.bat) quindi cliccare su OK per confermare la modifica.
Attivazione script di accesso
FIG 8 - Attivazione script di accesso

PowerShell
La stessa operazione può essere eseguita, per ogni utente, tramite PowerShell e l'utilizzo del cmdlet Set-ADUSer. Una volta avviato Windows PowerShell (amministratore) basta eseguire il comando
Set-ADUser -Identity:"CN=Giovanni Lubrano Lavadera,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -ScriptPath:"logon.bat" -Server:"ServerDC2.mycompany.local"




domenica 18 febbraio 2024

Windows Server 2022: Mappare automaticamente una cartella condivisa

In un’azienda, è fondamentale che gli utenti possano condividere informazioni e documenti tra loro. Una soluzione comune consiste nel creare una cartella pubblica condivisa a cui gli utenti del dominio possono accedere. In questo articolo verrà mostrato come creare una cartella condivisa e fornire a tutti gli utenti del dominio le abilitazioni per scrivere e cancellare file all’interno della stessa. Per rendere l’utilizzo di tale cartella il più semplice possibile per gli utenti, questa verrà automaticamente mappata dal sistema al logon.
Si tratta di un semplice esempio che può andare bene all'interno delle piccole aziende ma non è adatto in ambiente Enterprise. Andremo a creare una cartella all'interno del disco C:\ del server (anche questa operazione è generalmente sconsigliata e si preferisce creare cartelle contenenti dati su un disco diverso, o quantomeno su una partizione diversa, da quello utilizzato dal sistema operativo) per poi abilitare gli utenti del dominio.

Creazione cartella condivisa e abilitazione degli account utente appartenenti al dominio

Sul server, creare una nuova cartella sul disco C: e rinominarla utilizzando possibilmente un nome mnemonico (ad es. Cartella condivisa).
Cliccare, con il tasto destro del mouse, sulla nuova cartella e selezionare, dal menu contestuale, la voce Proprietà.
Nella finestra Proprietà, selezionare la scheda Condivisione e cliccare sul pulsante Condivisione avanzata.
Proprietà, Condivisione
FIG 1 - Proprietà, Condivisione

Abilitare la casella Condividi la cartella. In questa finestra è possibile modificare il nome con cui la cartella condivisa appare agli utenti, impostare un limite massimo di utenti che possono accedere simultaneamente alla condivisione e aggiungere un commento. Lasciare i valori di default e cliccare sul pulsante Autorizzazioni.
Condivisione avanzata
FIG 2 - Condivisione avanzata
Come visibile dalla FIG 3, sulla cartella è abilitato il gruppo Everyone con i permessi in lettura, ciò significa che chiunque può visualizzare il contenuto della cartella. Nei prossimi passi faremo in modo che solo gli utenti appartenenti al dominio possono accedere alla cartella, visualizzare e modificare il contenuto.
Selezionare il gruppo Everyone e cliccare sul pulsante Rimuovi.
Rimozione gruppo Everyone
FIG 3 - Rimozione gruppo Everyone
Una volta rimosso il gruppo Everyone, cliccare sul pulsante Aggiungi.
Aggiungi autorizzazioni
FIG 4 - Aggiungi autorizzazioni
All'interno della casella Immettere i nomi degli oggetti da selezionare, digitare Domain e cliccare sul pulsante Controlla nomi.
FIG 5 - Seleziona Utenti, Computer, Account servizio o Gruppi

Selezionare il gruppo Domain Users e cliccare su OK.
Autorizzazioni Domain Users
FIG 6 - Autorizzazioni Domain Users

Selezionare il gruppo Domain Users e cliccare su OK.
Autorizzazioni Domain Users
FIG 7 - Autorizzazioni Domain Users

Nella finestra di dialogo Seleziona Utenti, Computer, Account servizio o Gruppo cliccare su OK.
Conferma Autorizzazione a Domain Users
FIG 8 - Conferma Autorizzazione a Domain Users

All'interno della finestra Autorizzazioni per Cartella condivisa assicurarsi che il gruppo Domain Users sia selezionato quindi, in Autorizzazioni per Domain Users, selezionare la casella Controllo completo e cliccare su OK per applicare la modifica.
Domain Users, Controllo completo
FIG 9 - Domain Users, Controllo completo

Cliccare su OK all'interno della finestra Condivisione avanzata
Condivisione avanzata
FIG 10 - Condivisione avanzata

All'interno della finestra Proprietà - Cartella condivisa noteremo che adesso viene mostrato il percorso di rete \\SERVERDC2\Cartella condivisa attraverso il quale gli utenti potranno accedere alla cartella. Cliccare su Chiudi.
Proprietà Cartella condivisa, Percorso di rete
FIG 11 -  Proprietà Cartella condivisa, Percorso di rete

Il prossimo passo consiste nel fare in modo che agli utenti abilitati questa condivisione venga mappata automaticamente. Per eseguire l'operazione su un gran numero di account utente si utilizzano le group policy. Nel nostro caso, trattandosi di un gruppo ristretto di utenti, agiremo manualmente sugli account in Active Directory. Vedremo come eseguire la stessa operazione tramite group policy in un prossimo articolo. 


Mappare automaticamente una cartella condivisa tramite Utenti e computer di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
Server Manager
FIG 12 - Server Manager

Selezionare gli utenti da abilitare (ad esempio quelli presenti nell'unità organizzativa mycompany.local\Direzione\Utenti) quindi cliccarci sul con il tasto destro del mouse e selezionare Proprietà.
Proprietà account utente
FIG 13 - Proprietà account utente

All'interno della scheda Profilo e attivare l'opzione Home directory. Nel gruppo Home directory è possibile impostare un percorso locale o un percorso mappato. Selezionare l'opzione Connetti quindi specificare la lettera con la quale si intende mappare la condivisione e, nell'apposita casella, specificare il percorso di rete della cartella condivisa (\\SERVERDC2\Cartella condivisa). Al termine cliccare su OK.
Home directory, connessione automatica Percorso di rete
FIG 14 - Home directory, connessione automatica Percorso di rete

Un messaggio di avviso ci informa che la directory specificata esiste già e di assicurarsi che tutti gli utenti dispongano delle opportune abilitazione per accedere/gestire il contenuto della cartella. Cliccare su OK.
Avviso verifica permessi su cartella condivisa
FIG 15 - Avviso verifica permessi su cartella condivisa

Da questo momento, gli utenti abilitati, si ritroveranno la cartella \\SERVERDC2\Cartella condivisa automaticamente mappata al logon con la lettera di unità impostata (Z:).


Eseguendo il logon su un client del dominio (Windows 10/Windows 11) con uno degli account abilitati alla share e aprendo Esplora file, verrà visualizzata la cartella condivisa mappata con la lettera di unità specificata nei passaggi precedenti.
Creando/copiando un file in tale cartella sarà visibile anche agli altri utenti abilitati.

Windows 11, Cartella condivisa mappata con la lettera di unità specificata
FIG 16 - Windows 11, Cartella condivisa mappata con la lettera di unità specificata


Mappare automaticamente una cartella condivisa tramite Centro di amministrazione di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
Server Manager
FIG 17 - Server Manager

Selezionare gli utenti da abilitare (ad esempio quelli presenti nell'unità organizzativa mycompany.local\Direzione\Utenti) quindi cliccare su Proprietà presente nel riquadro Attività.
Centro di amministrazione di Active Directory, Proprietà account utente
FIG 18 - Centro di amministrazione di Active Directory, Proprietà account utente

Nella nuova finestra, cliccare sulla sezione ProfiloSelezionare la casella Home directory quindi l'opzione Connetti. Specificare la lettera con cui si intende mappare la cartella condivisa e nella relativa casella inserire il relativo percorso di rete \\SERVERDC2\Cartella condivisa quindi cliccare su OK.
Home directory
FIG 19 - Home directory



Mappare automaticamente una cartella condivisa tramite Powershell

La stessa operazione può essere eseguita, per ogni utente, tramite PowerShell e l'utilizzo del cmdlet Set-ADUSer. Una volta avviato Windows PowerShell (amministratore) basta eseguire il comando

Set-ADUser -HomeDirectory:"\\SERVERDC2\Cartella condivisa" -HomeDrive:"Z:" -Identity:"CN=Foghorn Leghorn,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -Server:"ServerDC2.mycompany.local"

in cui il parametro
-HomeDirectory consente di specificare il percorso di rete della cartella condivisa.
-HomeDrive permette di specificare la lettera di unità con la quale la cartella viene mappata.
-Identity specifica l'utente, nel formato Distinguished Name (DN), a cui mappare la cartella condivisa.
-Server specifica l'istanza AD DS a cui connettersi per eseguire l'operazione.








lunedì 25 settembre 2023

Windows Server 2022: Aggiungere account utente ad un gruppo

La creazione di un nuovo gruppo in Active Directory è stata mostrata all'interno dell'articolo Windows Server 2022: Creazione gruppi in Active Directory. In questo articolo verranno illustrate diverse modalità per aggiungere un account utente ad un gruppo precedentemente creato.


Aggiungere account utenti ad un gruppo tramite il Centro di amministrazione di Active Directory

  • Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.

    Server Manager
    FIG 1 - Server Manager

  • Espandere il dominio ed individuare il gruppo su cui si intende operare (nel nostro esempio mycompany.local\Marketing\GRP_Marketing).

    Gruppo
    FIG 2 - Gruppo

  • Cliccare due volte sul gruppo per aprire la finestra delle proprietà.
  • Scorrere nella finestra fino ad individuare la sezione Membri quindi cliccare sul tasto Aggiungi.

    Aggiungi membri al gruppo
    FIG 3 - Aggiungi membri al gruppo

  • Nella nuova finestra di dialogo, all'interno della casella Immettere i nomi degli oggetti da selezionare, digitare il nome (o parte di esso) dell'account utente che si intende aggiungere e cliccare su Controlla nomi.
  • Se l'account utente visualizzato è quello corretto cliccare su OK per completare l'operazione.
    Seleziona Utenti, Contatti, Computer, Account servizio o Gruppi
    FIG 4 - Seleziona Utenti, Contatti, Computer, Account servizio o Gruppi

    Utente aggiunto al gruppo
    FIG 5 - Utente aggiunto al gruppo

In alternativa è possibile procedere nel senso inverso. Anziché partire dal gruppo e aggiungere gli account utente si parte da questi ultimi:
  • Selezionare gli account utente che si intende aggiungere al gruppo.
  • Nel riquadro Attività (o cliccando con il tasto destro del mouse sugli account utente) cliccare su Aggiungi al gruppo.

    Aggiungi al gruppo
    FIG 6 - Aggiungi al gruppo

  • Nella nuova finestra di dialogo, all'interno della casella Immettere i nomi degli oggetti da selezionare, digitare il nome (o parte di esso) del gruppo a cui si intendono aggiungere gli account utente e cliccare sul pulsante Controlla nomi.

    Seleziona Gruppi
    FIG 7 - Seleziona Gruppi

  • Se il nome del gruppo è corretto, cliccare su OK per completare l'operazione.



Aggiungere account utente ad un gruppo tramite Utenti e Computer di Active Directory

  • Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.

    Server Manager
    FIG 8 - Server Manager

  • Espandere il dominio ed individuare il gruppo su cui si intende operare (nel nostro esempio mycompany.local\Marketing\GRP_Marketing).
    Selezione gruppo in Utenti e computer di Active Directory
    FIG 9 - Selezione gruppo in Utenti e computer di Active Directory

  • Cliccare due volte sul gruppo per aprire la finestra delle proprietà quindi selezionare la scheda Membri e cliccare sul tasto Aggiungi.
    Aggiungi membri al gruppo
    FIG 10 - Aggiungi membri al gruppo

  • Nella nuova finestra di dialogo, all'interno della casella Immettere i nomi degli oggetti da selezionare, digitare il nome (o parte di esso) dell'account utente che si intende aggiungere e cliccare su Controlla nomi.
    Seleziona Utenti, Contatti, Computer, Account servizio o Gruppi
    FIG 11 - Seleziona Utenti, Contatti, Computer, Account servizio o Gruppi

  • Se l'account utente visualizzato è quello corretto cliccare su OK per completare l'operazione.
    Membri del gruppo
    FIG 12 - Membri del gruppo

Anche in questo caso è possibile partire dagli account utente:
  • Selezionare gli account utente da aggiungere al gruppo quindi cliccare sul pulsante Aggiungere gli oggetti selezionati a un gruppo prescelto.  In alternativa, cliccarci su con il tasto destro del mouse e selezionare, dal menu contestuale, Aggiungi a un gruppo.
    Aggiungi a un gruppo
    FIG 13 - Aggiungi a un gruppo

  • Nella nuova finestra di dialogo, all'interno della casella Immettere i nomi degli oggetti da selezionare, digitare il nome (o parte di esso) del gruppo a cui si intendono aggiungere gli account utente e cliccare sul pulsante Controlla nomi.
    Seleziona Gruppi
    FIG 14 - Seleziona Gruppi

  • Se il nome del gruppo è corretto cliccare su OK per confermare l'operazione. Una nuova finestra di dialogo (FIG 15) confermerà l'avvenuta aggiunta al gruppo.
    Operazione di aggiunga al gruppo completata
    FIG 15 - Operazione di aggiunga al gruppo completata




Aggiungere account utente ad un gruppo tramite PowerShell

Per aggiungere un account utente ad un gruppo tramite PowerShell dobbiamo affidarci al cmdlet Set-ADGroup

Sintassi
La sintassi del comando è la seguente
Set-ADGroup
   [-WhatIf]
   [-Confirm]
   [-Add <Hashtable>]
   [-AuthType <ADAuthType>]
   [-Clear <String[]>]
   [-Credential <PSCredential>]
   [-Description <String>]
   [-DisplayName <String>]
   [-GroupCategory <ADGroupCategory>]
   [-GroupScope <ADGroupScope>]
   [-HomePage <String>]
   [-Identity] <ADGroup>
   [-ManagedBy <ADPrincipal>]
   [-Partition <String>]
   [-PassThru]
   [-Remove <Hashtable>]
   [-Replace <Hashtable>]
   [-SamAccountName <String>]
   [-Server <String>]
   [<CommonParameters>]
   

   
   
Parametri
-Add
Specifica i valori da aggiungere alla proprietà di un oggetto. Questo parametro consente di aggiungere uno o più valori ad una proprietà. Necessita del display name Lightweight Directory Access Protocol (LDAP). E' possibile specificare più valori separati da virgole e più proprietà separate da un punto e virgola.
-Add @{Attribute1LDAPDisplayName=value1, value2, ...; Attribute2LDAPDisplayName=value1, value2, ...; AttributeNLDAPDisplayName=value1, value2, ...}

-AuthType 
Specifica il metodo di autenticazione. I valori accettati dal parametro sono:
  • Negotiate oppure 0 (default)
  • Basic oppure 1

-Clear
Tale parametro viene utilizzato per cancellare i valori di una o più proprietà di un oggetto. Necessita del display name Lightweight Directory Access Protocol (LDAP). E' possibile cancellare più di una proprietà passandole al parametro e separandole da virgole 
-Clear Attribute1LDAPDisplayName, Attribute2LDAPDisplayName

-Confirm
Se specificato, tale parametro mostra la richiesta di conferma prima di eseguire il cmdlet.

-Credential
Specifica un'account utente che ha i permessi necessari per eseguire l'operazione. Se omesso viene considerato l'utente corrente che sta eseguendo il comando. Al parametro può essere passato il nome dell'account, come ad es. "utente01" o "Dominio\utente01" oppure può essere passato un'oggetto PSCredential generato dal cmdlet Get-Credential. Se viene specificato un'account utente verrà richiesto di inserire la password all'esecuzione del comando.

-Description
Specifica una descrizione dell'oggetto. Tale parametro imposta il valore della proprietà Description dell'oggetto.


-DisplayName
Specifica il display name dell'oggetto: imposta la proprietà DisplayName dell'oggetto.

-GroupCategory
Con questo parametro si va a specificare il tipo di gruppo. I valori accettati sono:
  • Distribution oppure 0
  • Security oppure 1

-GroupScope
Il parametro specifica l'ambito del gruppo. I valori accettati sono:
  • DomainLocal o 0
  • Global o 1
  • Universal o 2

-HomePage
Permette di specificare l'URL della home page dell'oggetto.

-Instance
Specifica l'istanza di un oggetto di tipo gruppo da usare come template per la creazione di un nuovo gruppo. Insieme al parametro Instance non è possibile utilizzare altri parametri che modificano le proprietà dell'oggetto.
I valore accettati da questo parametro sono:
  • Distinguished Name
  • GUID (objectGUID)
  • Security Identifier (ObjectSid)
  • SAM account name (SAMAccountName)


-ManagedBy
Permette di specificare l'utente o il gruppo che gestisce l'oggetto. L'utente o il gruppo può essere indicato passando al parametro:
  • Distinguished name;
  • GUID (objectGUID)
  • Security identifier (objectSid)
  • SAM account name (sAMAccountName)

-Partition
A tale parametro va passato il Distinguished Name (DN)di una partizione di Active Directory. Il cmdlet utilizzerà tale partizione per ricercare l'oggetto specificato dal parametro Identity.

-PassThru
Restituisce un oggetto che rappresenta l'item su cui si sta lavorando. Per impostazione predefinita, il cmdlet non genera alcun output.

-Remove
Permette di rimuovere uno o più valori di una proprietà di un oggetto specificando il display name LDAP. E' possibile rimuovere più di una proprietà separandole da un punto e virgola.
-Remove @{Attribute1LDAPDisplayName=value[]; Attribute2LDAPDisplayName=value[]}
Quando vengono utilizzati insieme i parametri AddReplaceClear, e Remove  all'interno dello stesso comando le operazioni vengono eseguite nel seguente ordine:
Remove
Add
Replace
Clear

-Replace
Permette di specificare i valori da sostituire all'interno della proprietà di un oggetto. Per modificare la proprietà di un oggetto, va utilizzato il display name LDAP. E' possibile modificare più di una proprietà elencandole all'interno del comando separate da virgole.
-Replace @{Attribute1LDAPDisplayName=value[], Attribute2LDAPDisplayName=value[]}

-SamAccountName
Specifica il nome dell'account Security Account Manager (SAM) dell'utente, del gruppo o del computer. La lunghezza massima della descrizione è di 256 caratteri. Per questioni di compatibilità con sistemi operativi più vecchi è consigliabile creare un SamAccountName con una lunghezza non superiore ai 20 caratteri.

-Server
Permette di specificare l'istanza di Active Directory Domain Services a cui connettersi per la creazione di un nuovo gruppo.

-WhatIf
Mostra cosa accadrebbe se venisse eseguito il cmdlet. Il cmdlet non viene eseguito.



Aggiungere un'account utente al gruppo

Avviare Windows PowerShell (amministratore) ed eseguire il comando
 Set-ADGroup -Add:@{'Member'="CN=Daffy Duck,OU=Utenti,OU=Marketing,DC=mycompany,DC=local"} -Identity:"CN=GRP_Marketing,OU=Marketing,DC=mycompany,DC=local" -Server:"ServerDC2.mycompany.local"  

Ovviamente il comando va adattato in base al proprio dominio, nome dell'account utente, OU e al nome del gruppo.

PowerShell, Aggiungere utente ad un gruppo
FIG 16 - PowerShell, Aggiungere utente ad un gruppo





mercoledì 20 settembre 2023

Windows Server 2022: Rimuovere la protezione da eliminazione accidentale da un account utente

Nell'articolo Windows Server 2022: Aggiungere account utente al dominio è stato illustrato come creare un nuovo account utente all'interno del dominio e come proteggerlo da cancellazioni accidentali sia tramite GUI (attraverso il Centro di amministrazione di Active DirectoryUtenti e Computer di Active Directory) sia tramite PowerShell (utilizzando il cmdlet  Set-ADObject e il parametro -ProtectedFromAccidentalDeletion).

Se si cerca di eliminare un account protetto da cancellazioni accidentali, verrà visualizzato un messaggio simile a quello mostrato in FIG  1.
Credenziali insufficienti per eliminare l'account
FIG 1 - Credenziali insufficienti per eliminare l'account


In questo articolo verrà mostrata l'operazione inversa, ovvero come rimuovere la protezione da eliminazione accidentale da un account utente (operazione necessaria prima di poter eliminare un account).

Rimuovere la protezione da eliminazione accidentale tramite Utenti e Computer di Active Directory

Avviare Utenti e Computer di Active Directory tramite il menu Strumenti di Server Manager o eseguendo il comando dsa.msc.
Dal menu Visualizza di Utenti e computer di Active Directory selezionare Funzionalità avanzate.
Utenti e computer di Active Directory, Visualizza funzionalità avanzate
FIG 2 - Utenti e computer di Active Directory, Visualizza funzionalità avanzate

Cliccare, con il tasto destro del mouse, sull'account utente che si intende cancellare (ad es. Marketing\Utenti\Duffy Duck) e selezionare Proprietà.
Utenti e computer di Active Directory, Proprietà account utente
FIG 3 - Utenti e computer di Active Directory, Proprietà account utente
Nella finestra di dialogo relativa alle Proprietà, selezionare la scheda Oggetto e rimuovere la spunta alla casella Proteggi oggetto da eliminazioni accidentali quindi cliccare su OK.
Proprietà account, Proteggi oggetto da eliminazioni accidentali
FIG 4 - Proprietà account, Proteggi oggetto da eliminazioni accidentali

Dopo tale operazione sarà possibile eliminare l'account cliccandoci su con il tasto destro del mouse e selezionando Elimina dal menu contestuale.


Rimuovere la protezione da eliminazione accidentale tramite Centro di amministrazione di Active Directory

Avviare Centro di amministrazione di Active Directory tramite il menu Strumenti di Server Manager o eseguendo il comando dsac.exe.
Cliccare con il tasto destro del mouse sull'account utente su cui si intende eseguire l'operazione e, dal menu contestuale, selezionare Proprietà.
Centro di amministrazione di Active Directory, Proprietà account
FIG 5 - Centro di amministrazione di Active Directory, Proprietà account
Rimuovere la selezione all'opzione Proteggi da eliminazioni accidentali e cliccare su OK.
Proprietà account, Proteggi da eliminazioni accidentali
FIG 6 - Proprietà account, Proteggi da eliminazioni accidentali


Rimuovere la protezione da eliminazione accidentale tramite PowerShell

Per rimuovere la protezione da eliminazione accidentale di un account utente tramite PowerShell si utilizza il cmdlet Set-ADObject. Ad esempio, per rimuovere la protezione dall'account dell'utente Daffy Duck presente in Marketing\Utenti il comando sarà simile a
 Set-ADObject -Identity:"CN=Daffy Duck,OU=Utenti,OU=Marketing,DC=mycompany,DC=local" -ProtectedFromAccidentalDeletion:$false -Server:"ServerDC2.mycompany.local"  
PowerShell, Rimuovere la protezione da eliminazione accidentale da un account utente
FIG 7 - PowerShell, Rimuovere la protezione da eliminazione accidentale da un account utente

Per l'eliminazione di un account utente in AD tramite PowerShell va utilizzato il cmdlet Remove-ADObject. (lo stesso cmdlet utilizzato per l'eliminazione delle UO)
Con il seguente comando andremo ad eliminare l'account utente Daffy Duck presente all'interno dell'unità organizzativa Marketing\Utenti del nostro dominio mycompany.local. Il comando PowerShell da eseguire è

 Remove-ADObject -Confirm:$false -Identity:"CN=Daffy Duck,OU=Utenti,OU=Marketing,DC=mycompany,DC=local" -Server:"ServerDC2.mycompany.local"  

PowerShell, Elimina account utente
FIG 8 - PowerShell, Elimina account utente