Windows Server 2019: Sbloccare un account bloccato

Nell'articolo precedente Windows Server 2019: Usare le Group Policy per impostare le password e blocco account abbiamo visto come usare i Criteri di gruppo per settare la complessità delle password utilizzate dagli utenti e come bloccare gli account a seguito di diversi tentativi di accesso con credenziali errate. 
Con le impostazioni mostrate all'interno dell'articolo, se l'utente sbaglia per 5 volte l'inserimento della password, il sui account verrà bloccato per 30 minuti. Un amministratore di dominio può sbloccare all'istante un'account bloccato tramite l'utilizzo del Centro di amministrazione di Active Directory, tramite Utenti e computer di Active Directory o con l'utilizzo di un comando PowerShell. In questo articolo verranno mostrati tutti e 3 i casi.

Sblocco account bloccato mediante Centro di amministrazione di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
  

  

  FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory

• Il modo più veloce di trovare l'account all'interno del dominio senza navigare tra le unità organizzative è quello di utilizzare la Ricerca globale. Digitare il nome dell'utente o il suo account nell'apposita casella e premere Invio.
  

  

  FIG 2 - Ricerca Globale

• Dai risultati della ricerca cliccare 2 volte sull'account desiderato (in alternativa selezionarlo e cliccare sul link Proprietà)
  

  

  FIG 3 - Risultati Ricerca globale

• Nelle proprietà dell'account bloccato noteremo la presenza di un lucchetto con la scritta Sblocca account (non presente normalmente). Per sbloccare l'account basta cliccare sull'icona o sulla scritta Sblocca account (FIG 4) in modo che il lucchetto si apra (FIG 5) quindi cliccare su OK.
  

  

  FIG 4 - Sblocca account

  
  

  

  FIG 5 - Account sbloccato

Sblocco account bloccato mediante Utenti e computer di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
  

  

  FIG 6 - Server Manager, Strumenti, Utenti e computer di Active Directory

• Cliccare con il tasto destro del mouse sul dominio mycompany.local e dal menu contestuale selezionare Trova.
  

  

  FIG 7 - Utente e computer di Active Directory

• Nell'apposita casella digitare il nome dell'account che si intende ricercare e cliccare su Trova.
  

  

  FIG 8 - Trova Utenti, contatti e gruppi

• Nei risultati della ricerca cliccare due volte sull'account di nostro interesse.
  

  

  FIG 9 - Risultati ricerca account in AD

• Nella finestra relative alle Proprietà, posizionarsi sulla scheda Account. Come visibile in FIG 10, accanto alla casella Sblocca account, viene indicato che questo è attualmente bloccato. Selezionare la casella Sblocca account e cliccare su OK per procedere allo sblocco.
  

  

  FIG 10 - Sblocca account

Sblocco account bloccato mediante PowerShell

Lo sblocco di un account bloccato può essere eseguito da PowerShell tramite l'utilizzo del cmdlet Unlock-ADAccount. 

Sintassi
La sintassi del comando è la seguente
Unlock-ADAccount
      [-WhatIf]
      [-Confirm]
      [-AuthType <ADAuthType>]
      [-Credential <PSCredential>]
      [-Identity] <ADAccount>
      [-Partition <String>]
      [-PassThru]
      [-Server <String>]

      [<CommonParameters>]


Parametri
-AuthType 
Specifica il metodo di autenticazione. I valori accettati dal parametro sono:

• Negotiate oppure 0 (default)
• Basic oppure 1

-Confirm
Se specificato, tale parametro mostra la richiesta di conferma prima di eseguire il cmdlet.

-Credential
Specifica un'account utente che ha i permessi necessari per eseguire l'operazione. Se omesso viene considerato l'utente corrente che sta eseguendo il comando. Al parametro può essere passato il nome dell'account, come ad es. "utente01" o "Dominio\utente01" oppure può essere passato un'oggetto PSCredential generato dal cmdlet Get-Credential. Se viene specificato un'account utente verrà richiesto di inserire la password all'esecuzione del comando.

-Identity
Specifica un oggetto account in Active Directory.
I valore accettati da questo parametro sono:

• Distinguished Name
• GUID (objectGUID)
• Security Identifier (ObjectSid)
• SAM account name (SAMAccountName)

-Partition
A tale parametro va passato il Distinguished Name (DN)di una partizione di Active Directory. Specifies the distinguished name of an Active Directory partition. Il cmdlet utilizzerà tale partizione per ricercare l'oggetto specificato dal parametro Identity.

-PassThru

Restituisce un oggetto che rappresenta l'item su cui si sta lavorando. Per impostazione predefinita, il cmdlet non genera alcun output.

-Server

Permette di specificare l'istanza di Active Directory Domain Services a cui connettersi.

-WhatIf
Mostra cosa accadrebbe se venisse eseguito il cmdlet. Il cmdlet non viene eseguito.


Sbloccare l'account
Avviare Windows PowerShell ed eseguire il comando Unlock-ADAccount -Identity:"CN=Giovanni Lubrano Lavadera,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -Server:"Server1DC.mycompany.local"

Windows Server 2019: Mappare cartella condivisa tramite script di logon

Negli articoli Windows Server 2019: Mappare automaticamente una cartella condivisa e Windows Server 2019: Mappare cartelle personali abbiamo visto come fare in modo che una cartella venga automaticamente mappata all'utente. In particolare nell'ultimo articolo, quando abbiamo mappato la cartella personale, abbiamo perso il collegamento alla cartella condivisa tra più utenti che ripristineremo con i passaggi di seguito indicati. Quando bisogna gestire numerosi account è consigliabile l'utilizzo delle group policy. In questo articolo verrà mostrato come agire manualmente su un gruppo ristretto di utenti e mappare una cartella condivisa tramite l'utilizzo di uno script di logon. Tratterò le group policy più in là in appositi articoli.


La cartella condivisa che andremo a mappare al logon tramite script sarà \\SERVER1DC\Cartella condivisa creata nell'articolo Windows Server 2019: Mappare automaticamente una cartella condivisa.

Creazione dello script di logon

• Posizionarsi sul server e avviare un editor di testo come Blocco note (premere la combinazione di tasti WIN+R, digitare notepad seguito da invio);
• Digitare il seguente comando
  net use Y: "\\SERVER1DC\Cartella condivisa"
  i doppi apici sono necessari in quanto il nome della cartella contiene uno spazio;
  

  

  FIG 1 - Creazione del logon script tramite Blocco note

• Dal menu File selezionare Salva con nome;
• Salvare il file con il nome logon.bat nel percorso C:\Windows\SYSVOL\sysvol\mycompany.local\scripts
  

  

  FIG 2 - Salvare lo script in C:\Windows\SYSVOL\sysvol\mycompany.local\scripts

Impostare lo script di accesso per gli account utente

Creato lo script e salvato nell'opportuno percorso non resta che impostarlo per uno o più account utente. L'operazione può essere eseguita tramite Utenti e computer di Active Directory, Centro di amministrazione di Active Directory o PowerShell. Vediamo i passaggi da seguire

Utenti e computer di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
  

  

  FIG 3 - Server Manager, Strumenti, Utenti e computer di Active Directory

• Selezionare gli utenti presenti nella UO mycompany.local\Direzione\Utenti e cliccare sul pulsante Proprietà (in alternativa cliccare con il tasto destro del mouse sugli utenti selezionati e scegliere Proprietà dal menu contestuale);
  

  

  FIG 4 - Utenti e computer di Active Directory, Visualizzare le proprietà degli account utenti

• Selezionare la scheda Profilo. Spuntare la casella Script di accesso e digitare il nome dello script da richiamare (Logon.bat) quindi cliccare su OK.
  

  

  FIG 5 - Configurazione Script di accesso per gli account utente

Da questo momento quando gli utenti effettueranno il logon su una workstation del dominio verrà avviato lo script che mapperà la cartella condivisa con la lettera di unità specificata.


Centro di amministrazione di Active Directory
I passaggi da eseguire utilizzando il Centro di amministrazione di Active Directory sono simili a quelli già visti per Utenti e computer di Active Directory:

• Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
  

  

  FIG 6 - Windows Server 2019, Centro di amministrazione di Active Directory

• Selezionare gli utenti presenti nella UO mycompany.local\Direzione\Utenti e cliccare sul link Proprietà nel riquadro Attività.
  

  

  FIG 7 - Centro di amministrazione di Active Directory, Proprietà account utente

• Cliccare sulla sezione Profilo, abilitare la casella Script di accesso e digitare il nome dello script da eseguire al logon (logon.bat) quindi cliccare su OK per confermare la modifica.
  

  

  FIG 8 - Centro di amministrazione di Active Directory, Attivazione script di accesso

PowerShell
La stessa operazione può essere eseguita, per ogni utente, tramite PowerShell e l'utilizzo del cmdlet Set-ADUSer. Una volta avviato Windows PowerShell (amministratore) basta eseguire il comando
Set-ADUser -Identity:"CN=Giovanni Lubrano Lavadera,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -ScriptPath:"logon.bat" -Server:"Server1DC.mycompany.local"

Windows Server 2019: Mappare automaticamente una cartella condivisa

In un'azienda è importante che gli utenti abbiano la possibilità di condividere informazioni e documenti tra loro. Una soluzione consiste nel creare una cartella pubblica condivisa a cui gli utenti del dominio possano accedere. In questo articolo verrà mostrato come creare una cartella condivisa e fornire a tutti gli utenti del dominio le abilitazioni per scrivere e cancellare file all'interno della stessa. Per rendere l'utilizzo di tale cartella il più semplice possibile per gli utenti, faremo in modo che venga automaticamente mappata dal sistema al logon.
Si tratta di un semplice esempio che può andare bene all'interno delle piccole aziende ma non è adatto in ambiente Enterprise. Andremo a creare una cartella all'interno del disco C:\ del server (anche questa operazione è generalmente sconsigliata e si preferisce creare cartelle contenenti dati su un disco diverso, o quantomeno su una partizione diversa, da quello utilizzato dal sistema operativo) per poi abilitare gli utenti del dominio.

Creazione cartella condivisa e abilitazione degli account utente appartenenti al dominio

• Posizioniamoci sul server Server1DC, apriamo Esplora file, Questo PC, doppio clic su Disco locale (C:).
  

  

  FIG 1 - Windows Server 2019, Disco locale (C:)

• Cliccare, con il tasto destro del mouse, su un punto vuoto della finestra e, dal menu contestuale, selezionare Nuovo quindi Cartella.
  

  

  FIG 2 - Creazione nuova cartella

• Assegnare alla cartella un nome (ad es. Cartella condivisa).
  

  

  FIG 3 - Rinomina cartella

• Cliccare con il tasto destro del mouse sulla cartella appena creata e selezionare Proprietà.
  

  

  FIG 4 - Proprietà cartella

• Selezionare la scheda Condivisione e cliccare sul pulsante Condivisione avanzata.
  

  

  FIG 5 - Condivisione avanzata

• Abilitare la casella Condividi la cartella. In questa finestra possiamo modificare il nome con cui la cartella condivisa appare agli utenti, impostare un limite massimo di utenti che possono accedere simultaneamente alla condivisione e aggiungere un commento. Lasciare i valori di default e cliccare sul pulsante Autorizzazioni.
  

  

  FIG 6 - Condivisione avanzata, Autorizzazioni

• Come visibile dalla FIG 7, sulla cartella è abilitato il gruppo Everyone con i permessi in lettura, ciò significa che chiunque può visualizzare il contenuto della cartella.
  

  

  FIG 7 - Autorizzazione cartella, Everyone in Lettura

Nei prossimi passi faremo in modo che solo gli utenti appartenenti al dominio possono accedere alla cartella, visualizzare e modificare il contenuto.

• Selezionare il gruppo Everyone e cliccare sul pulsante Rimuovi.
  

  

  FIG 8 - Rimuovere il gruppo Everyone

• Cliccare sul pulsante Aggiungi.
  
  

  

  FIG 9 - Autorizzazioni, Aggiungi

• All'interno della casella Immettere i nomi degli oggetti da selezionare, digitare Domain e cliccare sul pulsante Controlla nomi.
  

  

  FIG 10 - Autorizzazioni cartelle condivisa

• Selezionare il gruppo Domain Users e cliccare su OK.
  

  

  FIG 11 - Autorizzazioni Domain Users

• Nella finestra di dialogo Seleziona Utenti, Computer, Account servizio o Gruppo cliccare su OK.
  

  

  FIG 12 - Conferma Autorizzazione a Domain Users

• All'interno della finestra Autorizzazioni per Cartella condivisa assicurarsi che il gruppo Domain Users sia selezionato quindi, in Autorizzazioni per Domain Users, selezionare la casella Controllo completo e cliccare su OK per applicare la modifica.
  

  

  FIG 13 - Domain Users, Controllo completo

• Cliccare su OK all'interno della finestra Condivisione avanzata.
  

  

  FIG 14 - Condivisione avanzata

• All'interno della finestra Proprietà - Cartella condivisa noteremo che adesso viene mostrato il percorso di rete \\SERVER1DC\Cartella condivisa attraverso il quale gli utenti potranno accedere alla cartella. Cliccare su Chiudi.
  

  

  FIG 15 - Proprietà Cartella condivisa, Percorso di rete

Il prossimo passo consiste nel fare in modo che agli utenti abilitati questa condivisione venga mappata automaticamente. Per eseguire l'operazione su un gran numero di account utente si utilizzano le group policy. Nel nostro caso, trattandosi di un gruppo ristretto di utenti, agiremo manualmente sugli account in Active Directory. Tratterò le group policy più avanti in altri articoli. Nei prossimi paragrafi verrà mostrato come eseguire l'operazione tramite Utenti e computer di Active Directory, Centro di amministrazione di Active Directory e tramite PowerShell.

Mappare automaticamente una cartella condivisa tramite Utenti e computer di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
  

  

  FIG 16 - Server Manager, Strumenti, Utenti e computer di Active Directory

• Selezionare gli utenti presenti nell'unità organizzativa mycompany.local\Direzione\Utenti
• Cliccare sugli utenti selezionati con il tasto destro del mouse e selezionare Proprietà.
  

  

  FIG 17 - Proprietà account utente

• All'interno della scheda Profilo e attivare l'opzione Home directory.
  

  

  FIG 18 - Profilo, Home directory

• Nella sezione Home directory è possibile impostare un percorso locale o un percorso mappato. Selezionare l'opzione Connetti quindi specificare la lettera con la quale si intende mappare la condivisione e, nell'apposita casella, specificare il percorso di rete della cartella condivisa (\\SERVER1DC\Cartella condivisa). Al termine cliccare su OK.
  

  

  FIG 19 - Home directory, connessione automatica Percorso di rete

• Un messaggio di avviso ci informa che la directory specificata esiste già e di assicurarsi che tutti gli utenti dispongano delle opportune abilitazione per accedere/gestire il contenuto della cartella. Cliccare su OK.
  

  

  FIG 20 - Avviso verifica permessi su cartella condivisa

Da questo momento, gli utenti abilitati, si ritroveranno la cartella \\SERVER1DC\Cartella condivisa automaticamente mappata al logon con la lettera di unità impostata (Z:).


Eseguendo il logon su un client Windows 10 con uno degli account abilitati alla share e aprendo Esplora file, verrà visualizzata la cartella condivisa mappata con la lettera di unità specificata nei passaggi precedenti.
Creando/copiando un file in tale cartella sarà visibile anche agli altri utenti abilitati.

FIG 21 - Windows 10, Cartella condivisa mappata con la lettera di unità specificata

Mappare automaticamente una cartella condivisa tramite Centro di amministrazione di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
  

  

  FIG 22 - Windows Server 2019, Centro di amministrazione di Active Directory

• Posizionarsi sull'unità organizzativa mycompany.local\Direzione\Utenti, selezionare tutti gli utenti e cliccare su Proprietà presente nel riquadro Attività.
  

  

  FIG 23 - Centro di amministrazione di Active Directory, Proprietà account utente

• Cliccare sulla sezione Profilo.
  

  

  FIG 24 - Profilo account utente

• Selezionare la casella Home directory quindi l'opzione Connetti. Specificare la lettera con cui si intende mappare la cartella condivisa e nella relativa casella inserire il relativo percorso di rete \\SERVER1DC\Cartella condivisa quindi cliccare su OK.
  

  

  FIG 25 - Home directory

Mappare automaticamente una cartella condivisa tramite Powershell

La stessa operazione può essere eseguita, per ogni utente, tramite PowerShell e l'utilizzo del cmdlet Set-ADUSer. Una volta avviato Windows PowerShell (amministratore) basta eseguire il comando

Set-ADUser -HomeDirectory:"\\SERVER1DC\Cartella condivisa" -HomeDrive:"Z:" -Identity:"CN=Yosemite Sam,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -Server:"Server1DC.mycompany.local"

in cui il parametro
-HomeDirectory consente di specificare il percorso di rete della cartella condivisa.
-HomeDrive permette di specificare la lettera di unità con la quale la cartella viene mappata.
-Identity specifica l'utente, nel formato Distinguished Name (DN), a cui mappare la cartella condivisa.
-Server specifica l'istanza AD DS a cui connettersi per eseguire l'operazione.

Windows Server 2019: Limitare il logon degli account utente a determinate workstation

Come specificato negli articoli precedenti un account utente può, per default, eseguire il logon su qualsiasi workstation appartenente al dominio.
Tuttavia ci sono situazioni in cui sarebbe opportuno limitare l'accesso ad un account utente a specifiche workstation. Active Directory consente di applicare delle restrizioni sui computer ai quali un account o un gruppo di account utente può eseguire il logon. In questo articolo verranno mostrati i passaggi per applicare tali restrizioni agendo manualmente in Active Directory. Non si tratta di un'operazione raccomandata. Come mostrerò in un prossimo articolo, per questo tipo di operazioni, è preferibile agire tramite l'utilizzo delle group policy.

All'interno del nostro dominio mycompany.local abbiamo creato l'unità organizzativa Direzione al cui interno sono presenti ulteriori due unità organizzative: Computer contente, al momento, un unica workstation con nome PCDIR001 e Utenti contenente diversi account utente. Vediamo come fare in modo che uno o più utenti di direzione (mycompany.local\Direzione\Utenti) possano accedere esclusivamente alla workstation PCDIR001.

Limitare il logon degli account utente a determinate workstation tramite il Centro di amministrazione di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
  

  

  FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory

• Posizionarsi sull'unità organizzativa mycompany.local\Direzione\Utenti.
• Selezionare un'account utente (ad es. Yosemite Sam), cliccarci su con il tasto destro del mouse e selezionare Proprietà dal menu contestuale.
  

  

  FIG 2 - Centro di amministrazione di Active Directory, Proprietà account utente

• Cliccare sul link Accedi a...
  

  

  FIG 3 - Proprietà account utente, Accedi a...

• Selezionare l'opzione I computer seguenti. Nell'apposita casella digitare il nome della workstation a cui l'account utente potrà accedere quindi cliccare sul tasto Aggiungi. Ripetere l'operazione nel caso si vogliano aggiungere altre workstation.
  

  

  FIG 4 - Specificare le workstation alle quali l'account utente potrà accedere

• Terminata l'aggiunta delle workstation cliccare su OK all'interno della finestra Accedi a quindi nuovamente su OK per chiudere la finestra delle proprietà dell'account.

E' possibile eseguire l'operazione contemporaneamente su più account selezionandoli e procedendo in maniera analoga a quanto mostrato sopra. L'unica differenza è nella finestra Proprietà che sarà come quella mostrata in FIG 5. Spuntare la casella accanto al link Accedi a quindi cliccare su quest'ultimo per specificare le workstation a cui gli account selezionati potranno accedere.

FIG 5 - Proprietà per più account utente

Limitare il logon degli account utente a determinate workstation tramite Utenti e computer di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
  

  

  FIG 6 - Server Manager, Strumenti, Utenti e computer di Active Directory

• Posizionarsi sull'unità organizzativa mycompany.local\Direzione\Utenti.
• Selezionare un'account utente (ad es. Yosemite Sam), cliccarci su con il tasto destro del mouse e selezionare Proprietà dal menu contestuale.
  

  

  FIG 7 - Utenti e computer di Active Directory, Proprietà account utente

• All'interno della scheda Account, selezionare la casella Restrizioni computer quindi cliccare sul pulsante Accedi a.
  

  

  FIG 8 - Account utente, Accedi a...

• Selezionare l'opzione I seguenti computer. Nell'apposita casella digitare il nome del computer a cui l'account utente selezionato potrà accedere e cliccare sul pulsante Aggiungi.
  

  

  FIG 9 - Specificare le workstation alle quali l'account utente potrà accedere

• Terminata l'aggiunta delle workstation cliccare su OK all'interno della finestra Accedi a quindi su Applica all'interno della finestra delle proprietà dell'account.

Anche in questo caso è possibile eseguire l'operazione contemporaneamente su più account selezionandoli e procedendo in maniera analoga a quanto mostrato sopra. Nella finestra Proprietà di più oggetti selezionare la scheda Account (FIG 10), spuntare la casella Restrizioni computer quindi cliccare sul pulsante Accedi a per specificare le workstation a cui gli account selezionati potranno accedere.

FIG 10 - Restrizioni computer per più account utente

Limitare il logon degli account utente a determinate workstation tramite PowerShell

Per applicare la restrizione ad un account utente tramite PowerShell si utilizza il cmdlet Set-ADUser. 
Avviare Windows PowerShell (amministratore) ed eseguire il comando
Set-ADUser -Identity:"CN=Yosemite Sam,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -LogonWorkstations:"PCDIR001" -Server:"Server1DC.mycompany.local"
è possibile specificare più workstation passando i nomi, separati da virgola, al parametro LogonWorkstations come nel comando
Set-ADUser -Identity:"CN=Yosemite Sam,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -LogonWorkstations:"PCDIR001,PCDIR003" -Server:"Server1DC.mycompany.local"