Windows Server 2022: Aggiungere account utente al dominio

Ora che Active Directory è installato, che il dominio e le unità organizzative sono state create è possibile passare alla creazione degli account utente.

Per default un utente che appartiene al dominio, a prescindere dalla unità organizzativa di appartenenza, può eseguire il logon su qualsiasi workstation del dominio stesso. In maniera analoga a quanto già visto per la creazione delle unità organizzative, la creazione di un nuovo account utente all'interno del dominio può essere eseguita con lo strumento Utenti e Computer di Active Directory, mediante l'utilizzo del Centro di amministrazione di Active Directory oppure tramite PowerShell. 

Prima di mostrare come aggiungere un nuovo utente al dominio è opportuno decidere uno standard da adottare relativamente ai nomi degli account utenti utilizzati per il logon. L'account utente dovrà essere univoco all'interno dell'intero dominio e può essere composto da caratteri alfanumerici e caratteri speciali ad eccezione di " / \ [ ] : ; | = , + * ? < >. Anche se gli spazi sono supportati è sconsigliabile utilizzarli all'interno dei logon name. Alcuni metodi comuni adottati prevedono l'utilizzo della prima lettera del nome seguito dal cognome, NomeCognome senza spazi, nome.cognome, matricola dipendente, ecc. Ciò non toglie che possiamo utilizzare un metodo a noi più congeniale e, per una questione di uniformità, è raccomandato applicare lo stesso metodo per tutti gli utenti che verranno aggiunti al dominio.

Creazione nuovo utente nel dominio tramite Utenti e Computer di Active Directory 

Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e computer di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsa.msc e premere invio.

FIG 1 - Server Manager

L'UO standard contenente gli utenti è quella nominata Users presente all'interno del dominio. In questo articolo, invece, andremo a creare il nostro primo utente all'interno dell'unità organizzativa Utenti presente in Direzione (UO create negli articoli precedenti). Espandere il dominio e l'unità organizzativa Direzione quindi selezionare l'unità organizzativa Utenti presente al suo interno.

Cliccare sull'icona Crea nuovo utente nel contenitore corrente (in alternativa cliccare con il tasto destro del mouse sull'unità organizzativa Utenti, selezionare Nuovo quindi Utente dal menu contestuale).

FIG 2 - Crea un nuovo utente nel contenitore corrente

Compilare i campi della nuova finestra di dialogo con il nome e cognome dell'utente da creare (il campo Nome completo verrà automaticamente compilato). Nella casella Nome accesso utente va inserito un identificativo con cui l'utente potrà effettuare il logon sulle workstation di dominio. Tale identificativo dovrà essere univoco sull'intero dominio. Una volta compilati i campi richiesti cliccare su Avanti per proseguire.

FIG 3 - Nuovo oggetto Utente

Il passo successivo consiste nello specificare una password per l'utente appena creato. La password deve soddisfare i requisiti minimi di complessità: deve contenere almeno una lettera maiuscola, almeno un carattere numerico e avere una lunghezza di almeno 7 caratteri. In questa finestra possiamo impostare diverse opzioni:

• Cambiamento obbligatorio password all'accesso successivo 
  Si tratta dell'opzione selezionata di default. Solitamente in questi casi l'amministratore specifica una password temporanea che l'utente dovrà cambiare al primo logon con una a propria scelta.
• Cambiamento password non consentito
  Selezionando tale opzione si impedisce all'utente di modificare la password. Per impedire il blocco dell'account alla scadenza della password, insieme a questa opzione va selezionata anche Nessuna scadenza password. Per default, se non diversamente specificato, la password dell'utente scadrà dopo 42 giorni.
• Nessuna scadenza password
  Abilitare tale opzione se non si vuole che la password dell'utente scada.
• Account disabilitato
  Selezionando l'opzione Account disabilitato l'utenza verrà comunque creata ma l'utente non potrà eseguire il logon al dominio finché il suo account non verrà abilitato.

Per la creazione di questo primo utente specifichiamo una password temporanea e lasciamo attiva solo l'opzione Cambiamento obbligatorio password all'accesso successivo in modo da costringere l'utente a modificarla al primo logon. Cliccare su Avanti per proseguire.

FIG 4 - Password account utente

Nella finestra di dialogo successiva verrà mostrato un riepilogo delle informazioni del nuovo utente. Cliccare su Fine per procedere alla creazione dell'account.

FIG 5 - Riepilogo impostazioni nuovo account utente

L'account è stato creato nel percorso specificato.

FIG 6 - Account utente creato in Active Directory

Anche per gli account utente può essere attivata la protezione contro le cancellazioni accidentali come visto per le unità organizzative. Una volta creato l'account cliccarci su con il tasto destro del mouse e selezionare Proprietà dal menu contestuale. Per proteggere l'account selezionare la casella Proteggi oggetto da eliminazioni accidentali e cliccare su OK.

FIG 7 - Proprietà account utente

Creazione nuovo utente nel dominio tramite Centro di amministrazione di Active Directory 

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.

FIG 8 - Server Manager

Sul pannello laterale di sinistra selezionare il proprio dominio (mycompany.local) quindi nel pannello centrale cliccare due volte sull'unità organizzativa Direzione e successivamente eseguire la stessa operazione su Utenti.

Nel pannello Attività (sulla destra della finestra) cliccare su Nuovo e selezionare Utente (in alternativa cliccare con il tasto destro del mouse in una parte vuota del pannello centrale e selezionare Nuovo->Utente).

FIG 9 - Nuovo account utente

Come visibile dalla finestra di dialogo che appare, ci è possibile inserire molte più informazioni rispetto a quanto visto con lo strumento Utenti e Computer di Active Directory. Da questa schermata, spuntando l'apposita casella (Proteggi da eliminazioni accidentali), possiamo anche proteggere l'account da eliminazioni accidentali come visto per le UO. Una volta inserito Nome, Cognome, la password, Accesso Utente UPN e SamAccountName, cliccare su OK per creare l'account utente.

FIG 10 - Crea utente

FIG 11 - Account utente creato in Active Directory 

Creazione nuovo utente nel dominio con PowerShell

Per la creazione di un account utente in AD tramite PowerShell va utilizzato il cmdlet New-ADUser. 

Con il seguente comando andremo a creare un nuovo utente all'interno dell'unità organizzativa Utenti contenuta in Direzione all'interno del nostro dominio mycompany.local. Il comando PowerShell da eseguire è

 New-ADUser -Path "OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -AccountPassword (ConvertTo-SecureString Password123 -AsPlainText -force) -Name "Giovanni Lubrano Lavadera" -Givenname Giovanni -Surname "Lubrano Lavadera" -DisplayName "Giovanni Lubrano Lavadera" -SamAccountName "Giovanni.Lubrano" -UserPrincipalName "Giovanni.Lubrano@mycompany.local" -ChangePasswordAtLogon 1 -Enabled 1  

Parametri

• -Path Al parametro path va passato il percorso (Distinguished Name) in cui creare il nuovo account utente.
• -AccountPassword Consente di specificare la password da assegnare al nuovo account. Il valore viene memorizzato come stringa cifrata. Prima di poter passare la password a -AccountPassword questa va convertita in una SecureString con il comando ConvertTo-SecureString. 
• -Name Specifica il nome dell'oggetto (proprietà Name dell'oggetto user).
• -Givenname Nome dell'utente.
• -Surname Cognome dell'utente.
• -DisplayName Specifica il DisplayName dell'oggetto.
• -SamAccountName Specifica il nome Security Account Manager (SAM) per l'account utente. La lunghezza della stringa può arrivare a 256 caratteri ma per compatibilità con i vecchi sistemi operativi si consiglia di limitare la lunghezza a un massimo di 20 caratteri.
• -UserPrincipalName User Principal Name (UPN) rappresenta il nome dell'utente in un formato analogo all'email. Un UPN è formato dal logon name, dal separatore/simbolo '@' e dal nome dominio (suffisso UPN).
• -ChangePasswordAtLogon Necessita in input di un valore di tipo Boolean. A tale parametro può essere passato il valore 0 (per FALSO) o 1 (per VERO). Passando il valore 1 si forza l'utente a modificare la password al primo logon eseguito con la password temporanea (Password123).
• -Enabled Anche tale parametro richiede in input un valore Boolean. Passandogli il valore 1 si indica che l'account creato è abilitato.

FIG 12 - PowerShell, Creazione nuovo account utente in Active Directory

Per proteggere l'account da eliminazioni accidentali, è possibile utilizzare il cmdlet Set-ADObject insieme al parametro -ProtectedFromAccidentalDeletion:$true come indicato nel seguente comando

 Set-ADObject -Identity:"CN=Giovanni Lubrano Lavadera,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -ProtectedFromAccidentalDeletion:$true -Server:"ServerDC2.mycompany.local"  

Per velocizzare l'inserimento di numerosi account utente all'interno del dominio è possibile preparare un file CSV (comma-separated values): un file di testo contenente le informazioni degli utenti, separati da virgole, da aggiungere al dominio. Il file sarà simile a quello mostrato in FIG 13.

FIG 13 - File CSV contenete l'elenco degli utenti da aggiungere al dominio

Una volta creato il file sul server (nell'esempio al file è stato assegnato il nome UserAD.csv e copiato in C:\) andremo ad eseguire il seguente comando in Windows PowerShell (amministratore) che aggiunge gli utenti elencati all'interno del file al dominio.

 Import-Csv -Path C:\UserAD.csv | ForEach-Object {New-ADUser -Path $_.ou -AccountPassword (ConvertTo-SecureString Password123 -AsPlainText -force) -Name $_.name -Givenname $_.fname -Surname $_.lname -DisplayName $_.name -SamAccountName $_.sam -UserPrincipalName $_.email -ChangePasswordAtLogon 1 -Enabled 1}  

FIG 14 - PowerShell, Import del file CSV e creazione account utente all'interno del dominio

FIG 15 - Account utente importati dal file CSV tramite PowerShell

Il file CSV e il file di testo contenente il comando in PowerShell possono essere scaricati dal seguente link

DOWNLOAD

Windows Server 2022: Visualizzare il Distinguished Name di un oggetto in AD

Nell'articolo Windows Server 2022: Creare un'unità organizzativa (Organizational Unit) abbiamo accennato al Lightweight Directory Access Protocol (LDAP) e al Distinguished Name (DN). Per visualizzare il Distinguished Name di un oggetto è possibile utilizzare il Centro di amministrazione di Active Directory, Utenti e computer di Active Directory oppure PowerShell.

Visualizzare il Distinguished Name di un oggetto tramite Utenti e computer di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.

FIG 1 - Server Manager

Dal menu Visualizza di Utenti e computer di Active Directory selezionare Funzionalità avanzate.

FIG 2 - Utenti e computer di Active Directory, Funzionalità avanzate

Cliccare con il tasto destro del mouse sull'oggetto in AD desiderato e selezionare Proprietà dal menu contestuale.

FIG 3 - Utenti e computer di Active Directory, Proprietà UO

Selezionare la scheda Editor attributi quindi eseguire un doppio clic sull'attributo distinguishedName.

FIG 4 - Proprietà, Editor attributi

In una nuova finestra di dialogo verrà mostrato il Distinguished Name dell'oggetto selezionato.

FIG 5 - Editor attributo stringa, Distinguished Name

Visualizzare il Distinguished Name di un oggetto tramite Centro di amministrazione di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.

FIG 6 - Server Manager

Selezionare l'oggetto desiderato in Active Directory. Cliccare sull'oggetto con il tasto destro del mouse e selezionare Proprietà (in alternativa cliccare sul link Proprietà presente all'interno del pannello Attività).

FIG 7 - Centro di amministrazione di Active Directory, Proprietà Oggetto

Sul lato sinistro della finestra relativa alle proprietà dell'oggetto cliccare su Estensioni. Selezionare la scheda Editor attributi quindi eseguire un doppio clic sull'attributo distinguishedName.

FIG 8 - Centro di amministrazione di Active Directory, Attributo distinguishedName 

Come visibile in FIG 9 verrà aperta una finestra di dialogo con il Distinguished Name dell'oggetto selezionato (OU=Direzione,DC=mycompany,DC=local).

FIG 9 - Editor attributo stringa, Distinguished Name

Visualizzare il Distinguished Name di un oggetto tramite PowerShell

Per visualizzare il Distinguished Name di un unità organizzativa tramite PowerShell, è possibile utilizzare il cmdlet Get-ADOrganizationalUnit. Ad esempio, per visualizzare il Distinguished Name della UO Direzione il comando sarà

 Get-ADOrganizationalUnit -Filter 'Name -eq "Direzione"'  

FIG 10 - PowerShell, DistinguishedName

Windows Server 2022: Eliminare una unità organizzativa

Una volta rimossa la protezione da eliminazione accidentale (Windows Server 2022: Rimuovere la protezione da eliminazione accidentale da un'unità organizzativa) eliminare un'unità organizzativa tramite Utenti e Computer di Active Directory o tramite  Centro di amministrazione di Active Directory è molto semplice. Basta cliccare con il tasto destro del mouse sull'unità organizzativa da eliminare, selezionare dal menu contestuale la voce elimina e rispondere affermativamente alla richiesta di conferma.

FIG 1 - Utenti e computer di Active Directory, Elimina UO

FIG 2 - Centro di amministrazione di Active Directory, Elimina UO

Per eseguire la stessa operazione tramite PowerShell si utilizza il cmdlet Remove-ADObject. Il comando per eliminare l'UO Direzione\Computer creata negli articoli precedenti sarà

 Remove-ADObject -Confirm:$false -Identity:"OU=Computer,OU=Direzione,DC=mycompany,DC=local" -Server:"ServerDC2.mycompany.local"  

il parametro -Confirm:$false elimina l'unità organizzativa senza richiedere conferma.

FIG 3 - PowerShell, Elimina UO

Windows Server 2022: Rimuovere la protezione da eliminazione accidentale da un'unità organizzativa

Al fine di prevenire la cancellazione accidentale di un'unità organizzativa, è buona norma lasciare attiva l'opzione Proteggi contenitore da eliminazioni accidentali durante la creazione. Provando a cancellare un'unità organizzativa protetta dalle cancellazione verrò visualizzato il messaggio mostrato in FIG 1.

FIG 1 - Privilegi insufficienti per eliminare l'UO

Prima di poter eliminare una UO protetta da cancellazione accidentale, è necessario procedere alla rimozione della protezione. Se l'UO che si intende eliminare contiene al suo interno altre UO, la protezione va rimossa anche da queste ultime: non è possibile eliminare UO contenenti elementi protetti dalla cancellazione accidentale.

In questo articolo verrà mostrato come rimuovere la protezione di una unità organizzativa tramite Utenti e Computer di Active Directory, Centro di amministrazione di Active Directory  e tramite PowerShell.

Rimuovere la protezione da eliminazione accidentale tramite Utenti e Computer di Active Directory

Avviare Utenti e Computer di Active Directory tramite il menu Strumenti di Server Manager o eseguendo il comando dsa.msc.

Dal menu Visualizza di Utenti e computer di Active Directory selezionare Funzionalità avanzate.

FIG 2 - Utenti e computer di Active Directory, Visualizza funzionalità avanzate

Cliccare, con il tasto destro del mouse, sull'unità organizzativa che si intende cancellare (ad es. Direzione\Computer) e selezionare Proprietà.

FIG 3 - Utenti e computer di Active Directory, Proprietà UO

Nella finestra di dialogo relativa alle Proprietà, selezionare la scheda Oggetto e rimuovere la spunta alla casella Proteggi oggetto da eliminazioni accidentali quindi cliccare su OK.

FIG 4 - Proprietà UO, Proteggi oggetto da eliminazioni accidentali

Dopo tale operazione l'unità organizzativa potrà essere eliminata normalmente.

Rimuovere la protezione da eliminazione accidentale tramite Centro di amministrazione di Active Directory

Avviare Centro di amministrazione di Active Directory tramite il menu Strumenti di Server Manager o eseguendo il comando dsac.exe.

Cliccare con il tasto destro del mouse sull'unità organizzativa su cui si intende eseguire l'operazione e, dal menu contestuale, selezionare Proprietà.

FIG 5 - Centro di amministrazione di Active Directory, Proprietà UO

Rimuovere la selezione all'opzione Proteggi da eliminazioni accidentali e cliccare su OK.

FIG 6 - Proprietà UO, Proteggi da eliminazioni accidentali

Rimuovere la protezione da eliminazione accidentale tramite PowerShell

Per rimuovere la protezione da eliminazione accidentale di una UO tramite PowerShell si utilizza il cmdlet Set-ADObject. Ad esempio, per rimuovere la protezione alla UO Direzione\Computer creata in precedenza il comando sarà simile a

 Set-ADObject -Identity:"OU=Computer,OU=Direzione,DC=mycompany,DC=local" -ProtectedFromAccidentalDeletion:$true -Server:"ServerDC2.mycompany.local"  

FIG 7 - PowerShell, Rimozione protezione da eliminazione accidentale

Windows Server 2022: Creare un'unità organizzativa (Organizational Unit)

L'organizzazione degli oggetti (computer, utenti, gruppi, ecc) in Active Directory è implementata mediante le unità organizzative. Come suggerisce il nome, le unità organizzative sono una sorta di contenitori utilizzati per organizzare gli oggetti all'interno di Active Directory. Le unità organizzative vengono utilizzate principalmente per formare una gerarchia di contenitori all'interno di un dominio a scopo amministrativo come ad esempio per l'applicazione dei Criteri di gruppo o per delegare il controllo. Il controllo su un'unità organizzativa e sugli oggetti in essa contenuti viene fornito tramite liste di controllo degli accessi (access control list o ACL). La delega del controllo supportata in Active Directory consente di trasferire il controllo amministrativo completo o limitato sugli oggetti ad altri utenti o gruppi. In questo modo è possibile distribuire la gestione di un numero elevato di oggetti ad una serie di utenti ritenuti attendibili.

In AD sono già presenti le unità organizzative relative a Computer (Computers) e Utenti (Users) come visibile in FIG 1. Tuttavia utilizzare solo queste UO in una grande azienda potrebbe non essere una buona idea.

FIG 1 - Utenti e computer di Active Directory

Una grande azienda è generalmente suddivisa in diversi dipartimenti come Direzione, Vendite, Acquisti, Ricerca & Sviluppo, ecc. L'organizzazione degli oggetti in Active Directory può rispecchiare tale schema suddividendo e organizzando gli oggetti di un dominio.

In questi articolo andremo a creare due unità organizzative: una relativa Direzione e l'altra relativa all'ufficio Marketing.

Per la creazione di unità organizzative è possibile utilizzare diversi strumenti. In questo articolo verrà mostrato come creare un'unità organizzativa utilizzando Utenti e Computer di Active Directory, Centro di amministrazione di Active Directory e tramite PowerShell.

Creazione unità organizzativa tramite Utenti e Computer di Active Directory 

Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.

FIG 2 - Server Manager

Espandere il dominio della propria azienda (mycompany.local) per visualizzare i container e le unità organizzative in esso contenute. Cliccare con il tasto destro del mouse sul nome del dominio e, dal menu contestuale, selezionare Nuovo quindi Unità organizzativa.

FIG 3 - Utenti e computer di Active Directory, Nuova unità organizzativa

Digitare, nell'apposita casella, il nome da assegnare all'unità organizzativa, ad es. Direzione, e assicurarsi che sia selezionata l'opzione Proteggi contenitore da eliminazioni accidentali (l'opzione è attiva di default) quindi cliccare su OK per procedere alla creazione.

FIG 4 - Nuovo oggetto Unità organizzativa

In maniera analoga, all'interno dell'unità organizzativa appena creata andremo a crearne altre due: una relativa agli utenti e l'altra relativa ai computer. 

Cliccare con il tasto destro sull'unità organizzativa Direzione, selezionare Nuovo quindi Unità organizzativa. Assegnare il nome Utenti all'unità organizzativa e cliccare su OK per confermare. 

Cliccare nuovamente con il tasto destro sull'unità organizzativa Direzione, selezionare Nuovo, Unità organizzativa. Assegnare il nome Computer all'unità organizzativa e cliccare su OK per confermare. 

Ripetere i passaggi sopra indicati per l'unità organizzativa nominata Marketing. Al termine delle operazioni la situazione è quella mostra in FIG 5.

FIG 5 - Unità Organizzative Direzione e Marketing

 

Creazione unità organizzativa tramite Centro di amministrazione di Active Directory 

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.

FIG 6 - Server Manager

Cliccare con il tasto destro del mouse sul dominio e dal menu contestuale selezionare Nuovo quindi Unità organizzativa.

FIG 7 - Centro di amministrazione di Active Directory

Inserire il nome da assegnare all'unità organizzativa, ad es. Direzione, e verificare che sia selezionata l'opzione Proteggi contenitore da eliminazioni accidentali (l'opzione è attiva di default). In questa schermata, nell'apposito campo, possiamo anche aggiungere una descrizione all'unità organizzativa che stiamo andando a creare. Cliccare su OK per procedere alla creazione.

FIG 8 - Crea Unità organizzativa

Selezionare l'UO Direzione appena creata, cliccarci su con il tasto destro del mouse e selezionare Nuovo, Unità organizzativa.

*

FIG 9 - Nuova unità organizzativa

Come nome dell'unità organizzativa digitare Computer e cliccare su OK

Cliccare nuovamente con il tasto destro del mouse su Direzione e creare una nuova unità organizzativa nominandola Utenti.

Ripetere i passaggi precedenti per l'unità organizzativa nominata Marketing.

Lightweight Directory Access Protocol e Distinguished Name

Prima di mostrare come aggiungere una nuova unità organizzativa tramite PowerShell è necessario fare un accenno veloce ad alcuni argomenti come LDAP e DN.
Active Directory utilizza il protocollo Lightweight Directory Access Protocol (LDAP) per le interrogazioni. Per identificare in maniera univoca un oggetto all'interno di Active Directory, LDAP utilizza il Distinguished Name (DN). Il formato utilizzato da DN per identificare un oggetto è tipo_oggetto=Nome_oggetto e più oggetti sono separati da virgola.
Ad es. il dominio mycompany.local è composto da due componenti di dominio (mycompany e local) e da DN vengono rappresentati come oggetti di tipo DC (domain component) nel seguente modo
dc=mycompany,dc=local

Le unità organizzative sono oggetti di tipo OU (organizational unit) mentre i container Users e Computers vengono identificati come tipo CN (common name).

L'unità Organizzativa Direzione creata precedentemente ha il seguente DN:
ou=Direzione,dc=mycompany,dc=local

Il container Users viene identificato dal Distinguished Name
cn=Users,dc=mycompany,dc=local

Un account utente con nome Elmer.Fudd presente all'interno dell'unità organizzativa Utenti in Direzione avrà il seguente DN
cn=Elmer.Fudd,ou=Utenti,ou=Direzione,dc=mycompany,dc=local

Dopo questo doveroso chiarimento, vediamo come procedere alla creazione di una nuova unità organizzativa tramite PowerShell.

Creazione unità organizzativa tramite PowerShell

In Windows Server 2008 R2 e nei sistemi operativi più recenti, è presente il modulo PowerShell Active Directory (parte di RSAT) che permette l'iterazione con AD. Tramite PowerShell è possibile creare un'unità organizzativa utilizzando il cmdlet New-ADOrganizationalUnit. Ad esempio, per creare una nuova OU denominata Direzione nella radice del dominio (come visto precedentemente mediante GUI) e le altre due UO, Utenti e Computer, al suo interno è possibile utilizzare i seguenti comandi:

 New-ADOrganizationalUnit -Name:"Direzione" -Path:"DC=mycompany,DC=local" -ProtectedFromAccidentalDeletion:$true -Server:"ServerDC2.mycompany.local"  
 New-ADOrganizationalUnit -Name:"Utenti" -Path:"OU=Direzione,DC=mycompany,DC=local" -ProtectedFromAccidentalDeletion:$true -Server:"ServerDC2.mycompany.local"  
 New-ADOrganizationalUnit -Name:"Computer" -Path:"OU=Direzione,DC=mycompany,DC=local" -ProtectedFromAccidentalDeletion:$true -Server:"ServerDC2.mycompany.local"  

FIG 10 - PowerShell, Nuova unità organizzativa

I comandi creano un'unità organizzativa con il nome specificato dal parametro -Name, nel percorso specificato da -Path, protetta dalla cancellazione accidentale (-ProtectedFromAccidentalDeletion:$true) e sul server specificato dal parametro -Server. Volendo è possibile aggiungere una descrizione all'unità organizzativa mediante il parametro -Description. Ad esempio

 New-ADOrganizationalUnit -Name:"Direzione" -Path:"DC=mycompany,DC=local" -ProtectedFromAccidentalDeletion:$true -Description "Uffici Direzione" -Server:"ServerDC2.mycompany.local"  

Tramite PowerShell è possibile anche automatizzare la creazione di più unità organizzative. Ad esempio, supponiamo di avere un file ElencoUO.csv con all'interno l'elenco delle UO da creare all'interno della root del dominio.

FIG 11 - File di testo con elenco UO

Tramite un semplice script come quello indicato di seguito possiamo caricare l'elenco e creare le unità organizzative risparmiando tempo rispetto alla creazione manuale.

  $targetOU="DC=mycompany,DC=local"   
  $OUs = Import-csv "C:\PS\ElencoUO.csv"   
  foreach ($ou in $OUs)   
  {   
     write-host $ou.name   
     New-ADOrganizationalUnit -Name $ou.name -path $targetOU -ProtectedFromAccidentalDeletion:$true   
  }