Information Technology: Windows Server 2022

Visualizzazione post con etichetta Windows Server 2022. Mostra tutti i post

giovedì 19 ottobre 2023

Windows Server 2022: Installazione di IP Address Management

In un'organizzazione di piccole dimensioni, la gestione dei server DNS (Domain Name System) e DHCP (Dynamic Host Configuration Protocol) non rappresenta un grosso problema; potrebbe bastare un solo server o una manciata di server. Nelle grandi organizzazioni la gestione di numerosi server DNS e DHCP è più complessa e risulta difficile tenere traccia di tutte le zone e gli ambiti. In questi casi Microsoft ci viene incontro fornendoci una nuova funzionalità nota come IPAM (IP Address Management).

IPAM combina la gestione dei servizi di rete come il DNS e il DHCP in un'unica applicazione, in modo da poter gestire sia l'infrastruttura DNS che quella DHCP da una console di gestione centrale.

Uno degli aspetti più interessanti di IPAM è che è in grado di indicare quando una sottorete viene utilizzata in modo intensivo. In questo modo è possibile tenere traccia di quando è necessario aggiungere altre sottoreti per evitare che gli utenti o i sistemi rimangano senza indirizzi IP utilizzabili.

In questo articolo verrà illustrato solo come installare IPAM. La configurazione e la gestione verranno mostrati in articoli successivi.

Prerequisiti

Prima di procedere con l'installazione di IPAM bisogna considerare i seguenti requisiti:

IPAM non può essere installato sui controller di dominio.
IPAM non dovrebbe essere installato su un server DHCP o DNS perché può causare problemi di rilevamento.
IPAM deve essere installato su un sistema unito al dominio.
IPAM è incentrato su Microsoft. Non è possibile gestire prodotti di terze parti come BIND su Linux.

Una volta verificato che i requisiti sopra riportati siano soddisfatti, si può passare all'installazione di IPAM.

Installazione di IPAM tramite GUI

Da Server Manager, nella sezione Dashboard, cliccare sul link Aggiungi ruoli e funzionalità (in alternativa cliccare sul menu Gestione e selezionare Aggiungi ruoli e funzionalità).

FIG 1 - Server Manager

Verrà avviato il Wizard Aggiunta guidata ruoli e funzionalità che ci guiderà nell'installazione della funzionalità. Nella finestra Prima di iniziare vengono fornite alcune informazioni preliminari sull'installazione/rimozione dei ruoli e funzionalità. Cliccare su Avanti.

FIG 2 - Aggiunta guidata ruoli e funzionalità, Prima di iniziare

Nella pagina Selezione tipo di installazione è possibile scegliere tra installare ruoli e funzionalità su un server oppure installare una specifica risorsa sull'infrastruttura VDI. Lasciare selezionata l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.

FIG 3 - Selezione tipo di installazione

Nella pagina Selezione server di destinazione cliccare su Avanti.

FIG 4 - Selezione server di destinazione

Nella schermata Selezione ruoli server cliccare su Avanti.

FIG 5 - Selezione ruoli server

Scorrere l'elenco delle funzionalità mostrate nella finestra Selezione funzionalità e selezionare Server di Gestione indirizzi IP. Come indicato dalla descrizione:

Gestione indirizzi IP fornisce un framework centrale per la gestione dello spazio di indirizzi IP e dei server di infrastruttura corrispondenti, come DHCP e DNS. Oltre a supportare l'individuazione automatizzata dei server di infrastruttura in una foresta Active Directory, Gestione indirizzi IP consente di gestire lo spazio di indirizzi IPv4 e IPv6 statici e dinamici, registra le tendenze relative all'utilizzo degli indirizzi IP e supporta il monitoraggio e la gestione dei servizi DNS e DHCP nella rete.

FIG 6 - Selezione funzionalità

Si aprirà una nuova finestra di dialogo che mostra l'elenco di ulteriori funzionalità che verranno installate per il corretto funzionamento di Server di Gestione indirizzi IP. Cliccare su Aggiungi funzionalità.

FIG 7 - Funzionalità necessarie per Server di Gestione indirizzi IP

Si ritorna alla schermata precedente e, questa volta, la funzionalità Server di Gestione IP risulta selezionata. Cliccare su Avanti per proseguire.

FIG 8 - Selezione funzionalità

Nella schermata Conferma selezioni per l'installazione, viene mostrato un resoconto di quello che verrà installato. Se si desidera che il server si riavvii automaticamente, se necessario, a seguito dell'installazione della funzionalità è possibile selezionare la casella di controllo Riavvia automaticamente il server di destinazione se necessario. Cliccare su Installa per procedere con l'installazione di IPAM.

FIG 9 - Conferma selezioni per l'installazione

Al termine dell'installazione cliccare su Chiudi per chiudere la finestra del Wizard.

FIG 10 - Stato installazione

Installazione di IPAM tramite PowerShell

Per l'installazione di IPAM da PowerShell, aprire una finestra Windows PowerShell (amministratore) ed eseguire il seguente comando

 Install-WindowsFeature –Name IPAM -Restart

Il parametro -Restart provvederà a riavviare il server al termine dell'installazione se necessario.

FIG 11 - PowerShell, installazione di IPAM

lunedì 16 ottobre 2023

PowerShell: Aggiungere una workstation ad un dominio

Per aggiungere un server o una workstation ad un dominio tramite PowerShell, è possibile utilizzare il cmdlet Add-Computer. Il cmdlet lo abbiamo già incontrato nell'articolo Windows Server 2022: Aggiungere il server ad un dominio (Join) e in questo articolo verrà illustrato più dettagliatamente e lo utilizzeremo per aggiungere una workstation Windows 11 al nostro dominio.

Il cmdlet Add-Computer può essere utilizzato per aggiungere il computer locale o i computer remoti a un dominio o a un gruppo di lavoro oppure per spostarli da un dominio a un altro.

È possibile usare i parametri di questo cmdlet per specificare un'unità organizzativa e il controller di dominio o per eseguire un join non sicuro. Per ottenere i risultati del comando, si utilizzano i parametri Verbose e PassThru .

Sintassi

Add-Computer

[-ComputerName <String[]>]

[-LocalCredential <PSCredential>]

[-UnjoinDomainCredential <PSCredential>]

-Credential <PSCredential>

[-DomainName] <String>

[-OUPath <String>]

[-Server <String>]

[-Unsecure]

[-Options <JoinOptions>]

[-Restart]

[-PassThru]

[-NewName <String>]

[-Force]

[-WhatIf]

[-Confirm]

[<CommonParameters>]

Add-Computer

[-ComputerName <String[]>]

[-LocalCredential <PSCredential>]

[-Credential <PSCredential>]

[-WorkgroupName] <String>

[-Restart]

[-PassThru]

[-NewName <String>]

[-Force]

[-WhatIf]

[-Confirm]

[<CommonParameters>]

Parametri

-ComputerName

Specifica i computer da aggiungere a un dominio o un gruppo di lavoro. Il valore predefinito è il computer locale. Al parametro può essere passato il nome NetBIOS, un indirizzo IP (Internet Protocol) o un nome di dominio completo di ogni computer remoto. Per specificare il computer locale, digitare il nome del computer, un punto (.) o "localhost".

Questo parametro non si basa sulla comunicazione remota di Windows PowerShell. È possibile utilizzare il parametro ComputerName di Add-Computer anche se il computer non è configurato per eseguire comandi remoti.

-Confirm

Richiede conferma prima di eseguire il cmdlet.

-Credential

Specifica un account utente che dispone dell'autorizzazione per aggiungere computer a un nuovo dominio. Il valore predefinito è l'utente corrente.

Digitare un nome utente, ad esempio "User01" o "Domain01\User01" o immettere un oggetto PSCredential , ad esempio quello generato dal Get-Credential cmdlet. Se si digita un nome utente, viene richiesta una password.

Per specificare un account utente autorizzato a rimuovere il computer dal dominio corrente, usare il parametro UnjoinDomainCredential. Per specificare un account utente autorizzato a connettersi a un computer remoto, usare il parametro LocalCredential.

-DomainName

Specifica il dominio a cui vengono aggiunti i computer. Questo parametro è obbligatorio quando si aggiunge il computer a un dominio.

-Force

Elimina la richiesta di conferma dell'utente. Senza questo parametro, Add-Computer è necessario confermare l'aggiunta di ogni computer.

-LocalCredential

Specifica un account utente autorizzato a connettersi ai computer specificati dal parametro ComputerName . Il valore predefinito è l'utente corrente.

Per specificare un account utente con l'autorizzazione per aggiungere i computer a un nuovo dominio, usare il parametro Credential . Per specificare un account utente autorizzato a rimuovere i computer dal dominio corrente, usare il parametro UnjoinDomainCredential.

-NewName

Specifica un nuovo nome per il computer nel nuovo dominio. Questo parametro è valido solo quando un computer viene aggiunto o spostato.

-Options

Specifica le opzioni avanzate per l'operazione Add-Computer di join. Immettere uno o più valori delimitati da virgole in una stringa.

I valori validi per questo parametro sono:

AccountCreate: crea un account di dominio. Il Add-Computer cmdlet crea automaticamente un account di dominio quando aggiunge un computer a un dominio. Questa opzione è inclusa per completezza.
Win9XUpgrade: indica che l'operazione di join fa parte di un aggiornamento del sistema operativo Windows.
UnsecuredJoin: esegue un join non protetto. Per richiedere un join non protetto, usare il parametro Unsecure o questa opzione. Se si vuole passare una password del computer, è necessario usare questa opzione in combinazione con PasswordPass l'opzione .
PasswordPass: imposta la password del computer sul valore del parametro Credential(DomainCredential) dopo l'esecuzione di un join non protetto. Questa opzione indica anche che il valore del parametro Credential (DomainCredential) è una password del computer, non una password utente. Questa opzione è valida solo quando viene specificata l'opzione UnsecuredJoin . Quando si usa questa opzione, le credenziali fornite al -Credential parametro devono avere un nome utente Null.
JoinWithNewName: rinomina il nome del computer nel nuovo dominio con il nome specificato dal parametro NewName. Quando si usa il parametro NewName, questa opzione viene impostata automaticamente. Questa opzione è progettata per essere usata con il cmdlet Rename-Computer. Se si utilizza il Rename-Computer cmdlet per rinominare il computer, ma non riavviare il computer per rendere effettiva la modifica, è possibile utilizzare questo parametro per aggiungere il computer a un dominio con il nuovo nome.
JoinReadOnly: usa un account computer esistente per aggiungere il computer a un controller di dominio di sola lettura. L'account computer deve essere aggiunto all'elenco consentito per i criteri di replica delle password e la password dell'account deve essere replicata nel controller di dominio di sola lettura prima dell'operazione di aggiunta.
InstallInvoke: imposta i flag di creazione (0x2) ed eliminazione (0x4) del parametro FJoinOptions del metodo JoinDomainOrWorkgroup . Per altre informazioni sul metodo JoinDomainOrWorkgroup , vedere Metodo JoinDomainOrWorkgroup della classe Win32_ComputerSystem. Per altre informazioni su queste opzioni, vedere Funzione NetJoinDomain.

-OUPath

Specifica un'unità organizzativa per l'account di dominio. Immettere il nome distinto completo dell'unità organizzativa racchiuso tra virgolette. Il valore predefinito è l'unità organizzativa predefinita per gli oggetti computer del dominio.

-PassThru

Restituisce un oggetto che rappresenta l'elemento in uso. Per impostazione predefinita, il cmdlet non genera alcun output.

-Restart

Riavvia i computer aggiunti al dominio o al gruppo di lavoro. Spesso è necessario un riavvio per rendere effettiva la modifica.

-Server

Specifica il nome di un controller di dominio che aggiunge il computer al dominio. Immettere il nome in formato NomeDominio\NomeComputer. Per impostazione predefinita, non viene specificato alcun controller di dominio.

-UnjoinDomainCredential

Specifica un account utente che dispone dell'autorizzazione per rimuovere computer dal dominio corrente. Il valore predefinito è l'utente corrente.

Usare questo parametro quando si spostano computer in un dominio diverso. Per specificare un account utente con l'autorizzazione per l'aggiunta al nuovo dominio, usare il parametro Credential . Per specificare un account utente autorizzato a connettersi a un computer remoto, usare il parametro LocalCredential.

-Unsecure

Esegue un join non sicuro al dominio specificato.

-WhatIf

Mostra gli effetti dell'esecuzione del cmdlet. Il cmdlet non viene eseguito.

-WorkgroupName

Specifica il nome di un gruppo di lavoro a cui vengono aggiunti i computer. Il valore predefinito è "WORKGROUP".

Esempi

Esempio 1

Add-Computer -DomainName mycompany.local -Restart

Questo comando aggiunge il computer locale al dominio mycompany.local e riavvia il computer per rendere effettiva la modifica.

Esempio 2

Add-Computer -WorkgroupName WORKGROUP1

Questo comando aggiunge il computer locale al gruppo di lavoro Workgroup1.

Esempio 3

Add-Computer -DomainName mycompany.local -Server mycompany.local\ServerDC2 -PassThru -Verbose

Questo comando aggiunge il computer locale al dominio mycompany.local tramite il controller di dominio mycompany.local\ServerDC2.

Il comando usa i parametri PassThru e Verbose per ottenere informazioni dettagliate sui risultati del comando.

Esempio 4

Add-Computer -DomainName mycompany.local -OUPath "OU=Direzione,DC=mycompany,DC=local"

Questo comando aggiunge il computer locale al dominio Domain02. Usa il parametro OUPath per specificare l'unità organizzativa per i nuovi account.

Esempio 5

Add-Computer -ComputerName Server01 -LocalCredential Server01\Admin01 -DomainName Domain02 -Credential Domain02\Admin02 -Restart -Force

Questo comando aggiunge il computer Server01 al dominio Domain02. Usa il parametro LocalCredential per specificare un account utente autorizzato a connettersi al computer Server01. Usa il parametro Credential per specificare un account utente con l'autorizzazione per aggiungere computer al dominio. Usa il parametro Restart per riavviare il computer al termine dell'operazione di join e il parametro Force per eliminare i messaggi di conferma dell'utente.

Esempio 6

Add-Computer -ComputerName Server01, Server02, localhost -DomainName Domain02 -LocalCredential Domain01\User01 -UnjoinDomainCredential Domain01\Admin01 -Credential Domain02\Admin01 -Restart

Questo comando sposta i computer Server01 e Server02 e il computer locale, da Domain01 a Domain02.

Usa il parametro LocalCredential per specificare un account utente autorizzato a connettersi ai tre computer interessati. Usa il parametro UnjoinDomainCredential per specificare un account utente autorizzato a annullare la partecipazione dei computer dal dominio Domain01 e al parametro Credential per specificare un account utente che abbia l'autorizzazione per aggiungere i computer al dominio Domain02. Usa il parametro Restart per riavviare tutti e tre i computer al termine dello spostamento.

Esempio 7

Add-Computer -ComputerName Server01 -DomainName Domain02 -NewName Server044 -Credential Domain02\Admin01 -Restart

Questo comando sposta il computer Server01 nel dominio Domain02 e modifica il nome del computer in Server044.

Il comando usa le credenziali dell'utente corrente per connettersi al computer Server01 e separarsi dal dominio corrente. Usa il parametro Credential per specificare un account utente con l'autorizzazione per aggiungere il computer al dominio Domain02.

Esempio 8

Add-Computer -ComputerName (Get-Content Servers.txt) -DomainName Domain02 -Credential Domain02\Admin02 -Options Win9xUpgrade -Restart

Questo comando aggiunge i computer elencati nel Servers.txt file al dominio Domain02. Usa il parametro Options per specificare l'opzione Win9xUpgrade . Il parametro Restart riavvia tutti i computer appena aggiunti al termine dell'operazione di join.

Esempio 9

 New-ADComputer -Name "Server02" -AccountPassword (ConvertTo-SecureString -String 'TempJoinPA$$' -AsPlainText -Force)  
 $joinCred = New-Object pscredential -ArgumentList ([pscustomobject]@{  
   UserName = $null  
   Password = (ConvertTo-SecureString -String 'TempJoinPA$$' -AsPlainText -Force)[0]  
 })  
 Add-Computer -Domain "Domain03" -Options UnsecuredJoin,PasswordPass -Credential $joinCred

Questa combinazione di comandi crea un nuovo account computer con un nome predefinito e una password di aggiunta temporanea in un dominio usando un computer aggiunto a un dominio esistente. Quindi separatamente, un computer con il nome predefinito unisce il dominio usando solo il nome del computer e la password di aggiunta temporanea. La password predefinita viene usata solo per supportare l'operazione di join e viene sostituita come parte delle normali procedure di account computer dopo che il computer ha completato l'aggiunta.

Aggiungere una workstation Windows 11 al dominio

Prima di poter procedere alla join al dominio della workstation è opportuno assicurarsi che il server sia raggiungibile come indicato nell'articolo Windows Server 2022: Aggiungere una workstation al dominio (join al dominio).

Dalla workstation, avviare PowerShell come amministratore ed eseguire il comando

Add-Computer -DomainName mycompany.local -NewName PCDIR003 -Restart

Verranno richieste le credenziali di un account abilitato all'inserimento del computer al dominio.

FIG 1 - Add-Computer, Aggiungere il computer al dominio

Una volta specificate le credenziali e cliccato su OK, dopo qualche secondo il computer verrà aggiunto al dominio con il nome specificato dal parametro -NewName.

FIG 2 - Utenti e computer di Active Directory

giovedì 5 ottobre 2023

Windows Server 2022: Aggiungere una workstation al dominio (join al dominio)

In questo e nei prossimi articoli verranno mostrati diversi metodi per aggiungere una workstation Windows 11 al dominio mycompany.local. Per aggiungere una workstation al dominio è necessario che il server e il client riescano a comunicare tra loro pertanto devono essere entrambi connessi in rete.

La configurazione di rete del nostro server è la seguente:

Nome: ServerDC2

Indirizzo IP: 192.168.0.121

Subnet Mask: 255.255.255.0

Il nostro server si trova sulla rete 192.168.0.0. Il passo successivo consiste nel verificare la connessione alla rete del client Windows 11 in modo che riesca a comunicare con il server. Il servizio DHCP che abbiamo configurato sul nostro server, fornirà alla nostra workstation i parametri di rete corretti.

Configurazione connessione di rete sulla workstation Windows 11 da aggiungere al dominio

Cliccare con il tasto destro del mouse sull'icona Accesso a Internet presente nell'area di notifica e selezionare Impostazioni rete e Internet.

FIG 1 - Accesso a Internet

Nella finestra Rete e Internet cliccare su Ethernet.

FIG 2 - Rete e Internet

Nella schermata successiva, verificare che l'indirizzo IP e il DNS vengano configurati in automatico tramite il servizio DHCP del nostro Server.

FIG 3 - Configurazione scheda Ethernet

Prima di procedere con la join al dominio bisogna accertarsi che la workstation riesca a comunicare con il server. Premere la combinazione di tasti WIN+R, digitare cmd e premere invio. Dal prompt dei comandi digitare ping 192.168.0.121 seguito da invio. Il comando ping esegue un test sulla comunicazione con l'indirizzo IP specificato (in questo caso si tratta dell'indirizzo IP del nostro server). Se viene generata una risposta allora le due postazioni sono in comunicazione tra loro in caso contrario bisognerà verificare la configurazione e la connessione alla rete.

FIG 4 - Ping verso l'IP del server

Per verificare che il server DNS sta facendo il proprio lavoro eseguire il comando ping -4 ServerDC2 (il parametro -4 forza l'utilizzo di IPv4). Se il server DNS funziona correttamente il comando restituirà, all'interno della risposta, l'indirizzo IP del server.

FIG 5 - Verifica server DNS tramite ping nome server

Verificata la connessione tra il client e il server possiamo passare alla fase successiva della join al dominio.

Join al dominio della workstation Windows 11

Aprire Esplora file cliccando sull'apposita icona nella barra delle applicazioni o tramite la combinazione di tasti WIN+E. Cliccare con il tasto destro del mouse su Questo PC e selezionare Proprietà dal menu contestuale.

FIG 6 - Proprietà Questo PC

Nella finestra Informazioni sul sistema cliccare sul link Dominio o gruppo di lavoro.

FIG 7 - Informazioni sul sistema

Nella finestra Proprietà del sistema cliccare sul pulsante Cambia.

FIG 8 - Proprietà del sistema, Cambia

Nella casella Nome computer inserire il nome che si intende assegnare al computer all'intero del dominio. Come per gli account utente anche il nome computer deve essere univoco all'interno del dominio ed è consigliabile stabilire uno standard relativo alla nomenclatura delle macchine. Generalmente si preferisce assegnare un nome significativo al PC che faccia capire la sua ubicazione (ad es. PCDIR001 ad indicare il pc numero 001 presente in Direzione).

Selezionare l'opzione Dominio, inserire nell'apposita casella il dominio mycompany.local e cliccare su OK.

FIG 9 - Nome computer e Dominio

Alla richiesta delle credenziali bisognerà inserire un account utente e relativa password abilitato all'inserimento della postazione all'interno del dominio. Possiamo utilizzare l'account Administrator del nostro dominio mycompany.local. Una volta inserite le credenziali, cliccare su OK e attendere al join al dominio.

FIG 10 - Richiesta credenziali per la join al dominio

Dopo qualche istante, se l'operazione è andata a buon fine, apparirà la finestra di dialogo mostrata in FIG 11. Cliccare su OK e riavviare il sistema.

FIG 11 - Join al dominio della workstation completata

Dopo il riavvio cliccare su Altro utente presente in basso a sinistra della schermata di logon.

FIG 12 - Schermata logon, Altro utente

A questo punto è possibile eseguire il logon con un account appartenente al dominio.

FIG 13 - Logon con account utente appartenente al dominio

Sul server, in Utenti e computer di Active Directory oppure in Centro di amministrazione di Active Directory, possiamo vedere che la nostra workstation è stata aggiunta ad Active Directory

FIG 14 - Computer aggiunto in Active Directory

lunedì 25 settembre 2023

Windows Server 2022: Aggiungere account utente ad un gruppo

La creazione di un nuovo gruppo in Active Directory è stata mostrata all'interno dell'articolo Windows Server 2022: Creazione gruppi in Active Directory. In questo articolo verranno illustrate diverse modalità per aggiungere un account utente ad un gruppo precedentemente creato.

Aggiungere account utenti ad un gruppo tramite il Centro di amministrazione di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.

FIG 1 - Server Manager
Espandere il dominio ed individuare il gruppo su cui si intende operare (nel nostro esempio mycompany.local\Marketing\GRP_Marketing).

FIG 2 - Gruppo
Cliccare due volte sul gruppo per aprire la finestra delle proprietà.
Scorrere nella finestra fino ad individuare la sezione Membri quindi cliccare sul tasto Aggiungi.

FIG 3 - Aggiungi membri al gruppo
Nella nuova finestra di dialogo, all'interno della casella Immettere i nomi degli oggetti da selezionare, digitare il nome (o parte di esso) dell'account utente che si intende aggiungere e cliccare su Controlla nomi.
Se l'account utente visualizzato è quello corretto cliccare su OK per completare l'operazione.
FIG 4 - Seleziona Utenti, Contatti, Computer, Account servizio o Gruppi

FIG 5 - Utente aggiunto al gruppo

In alternativa è possibile procedere nel senso inverso. Anziché partire dal gruppo e aggiungere gli account utente si parte da questi ultimi:

Selezionare gli account utente che si intende aggiungere al gruppo.
Nel riquadro Attività (o cliccando con il tasto destro del mouse sugli account utente) cliccare su Aggiungi al gruppo.

FIG 6 - Aggiungi al gruppo
Nella nuova finestra di dialogo, all'interno della casella Immettere i nomi degli oggetti da selezionare, digitare il nome (o parte di esso) del gruppo a cui si intendono aggiungere gli account utente e cliccare sul pulsante Controlla nomi.

FIG 7 - Seleziona Gruppi
Se il nome del gruppo è corretto, cliccare su OK per completare l'operazione.

Aggiungere account utente ad un gruppo tramite Utenti e Computer di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.

FIG 8 - Server Manager
Espandere il dominio ed individuare il gruppo su cui si intende operare (nel nostro esempio mycompany.local\Marketing\GRP_Marketing).
FIG 9 - Selezione gruppo in Utenti e computer di Active Directory
Cliccare due volte sul gruppo per aprire la finestra delle proprietà quindi selezionare la scheda Membri e cliccare sul tasto Aggiungi.
FIG 10 - Aggiungi membri al gruppo
Nella nuova finestra di dialogo, all'interno della casella Immettere i nomi degli oggetti da selezionare, digitare il nome (o parte di esso) dell'account utente che si intende aggiungere e cliccare su Controlla nomi.
FIG 11 - Seleziona Utenti, Contatti, Computer, Account servizio o Gruppi
Se l'account utente visualizzato è quello corretto cliccare su OK per completare l'operazione.
FIG 12 - Membri del gruppo

Anche in questo caso è possibile partire dagli account utente:

Selezionare gli account utente da aggiungere al gruppo quindi cliccare sul pulsante Aggiungere gli oggetti selezionati a un gruppo prescelto. In alternativa, cliccarci su con il tasto destro del mouse e selezionare, dal menu contestuale, Aggiungi a un gruppo.
FIG 13 - Aggiungi a un gruppo
Nella nuova finestra di dialogo, all'interno della casella Immettere i nomi degli oggetti da selezionare, digitare il nome (o parte di esso) del gruppo a cui si intendono aggiungere gli account utente e cliccare sul pulsante Controlla nomi.
FIG 14 - Seleziona Gruppi
Se il nome del gruppo è corretto cliccare su OK per confermare l'operazione. Una nuova finestra di dialogo (FIG 15) confermerà l'avvenuta aggiunta al gruppo.
FIG 15 - Operazione di aggiunga al gruppo completata

Aggiungere account utente ad un gruppo tramite PowerShell

Per aggiungere un account utente ad un gruppo tramite PowerShell dobbiamo affidarci al cmdlet Set-ADGroup.

Sintassi
La sintassi del comando è la seguente
Set-ADGroup
[-WhatIf]
[-Confirm]
[-Add <Hashtable>]
[-AuthType <ADAuthType>]
[-Clear <String[]>]
[-Credential <PSCredential>]
[-Description <String>]
[-DisplayName <String>]
[-GroupCategory <ADGroupCategory>]
[-GroupScope <ADGroupScope>]
[-HomePage <String>]
[-Identity] <ADGroup>
[-ManagedBy <ADPrincipal>]
[-Partition <String>]
[-PassThru]
[-Remove <Hashtable>]
[-Replace <Hashtable>]
[-SamAccountName <String>]
[-Server <String>]
[<CommonParameters>]

Parametri
-Add
Specifica i valori da aggiungere alla proprietà di un oggetto. Questo parametro consente di aggiungere uno o più valori ad una proprietà. Necessita del display name Lightweight Directory Access Protocol (LDAP). E' possibile specificare più valori separati da virgole e più proprietà separate da un punto e virgola.
-Add @{Attribute1LDAPDisplayName=value1, value2, ...; Attribute2LDAPDisplayName=value1, value2, ...; AttributeNLDAPDisplayName=value1, value2, ...}

-AuthType
Specifica il metodo di autenticazione. I valori accettati dal parametro sono:

Negotiate oppure 0 (default)
Basic oppure 1

-Clear
Tale parametro viene utilizzato per cancellare i valori di una o più proprietà di un oggetto. Necessita del display name Lightweight Directory Access Protocol (LDAP). E' possibile cancellare più di una proprietà passandole al parametro e separandole da virgole
-Clear Attribute1LDAPDisplayName, Attribute2LDAPDisplayName

-Confirm
Se specificato, tale parametro mostra la richiesta di conferma prima di eseguire il cmdlet.

-Credential
Specifica un'account utente che ha i permessi necessari per eseguire l'operazione. Se omesso viene considerato l'utente corrente che sta eseguendo il comando. Al parametro può essere passato il nome dell'account, come ad es. "utente01" o "Dominio\utente01" oppure può essere passato un'oggetto PSCredential generato dal cmdlet Get-Credential. Se viene specificato un'account utente verrà richiesto di inserire la password all'esecuzione del comando.

-Description
Specifica una descrizione dell'oggetto. Tale parametro imposta il valore della proprietà Description dell'oggetto.

-DisplayName
Specifica il display name dell'oggetto: imposta la proprietà DisplayName dell'oggetto.

-GroupCategory
Con questo parametro si va a specificare il tipo di gruppo. I valori accettati sono:

Distribution oppure 0
Security oppure 1

-GroupScope
Il parametro specifica l'ambito del gruppo. I valori accettati sono:

DomainLocal o 0
Global o 1
Universal o 2

-HomePage
Permette di specificare l'URL della home page dell'oggetto.

-Instance
Specifica l'istanza di un oggetto di tipo gruppo da usare come template per la creazione di un nuovo gruppo. Insieme al parametro Instance non è possibile utilizzare altri parametri che modificano le proprietà dell'oggetto.
I valore accettati da questo parametro sono:

Distinguished Name
GUID (objectGUID)
Security Identifier (ObjectSid)
SAM account name (SAMAccountName)

-ManagedBy
Permette di specificare l'utente o il gruppo che gestisce l'oggetto. L'utente o il gruppo può essere indicato passando al parametro:

Distinguished name;
GUID (objectGUID)
Security identifier (objectSid)
SAM account name (sAMAccountName)

-Partition
A tale parametro va passato il Distinguished Name (DN)di una partizione di Active Directory. Il cmdlet utilizzerà tale partizione per ricercare l'oggetto specificato dal parametro Identity.

-PassThru
Restituisce un oggetto che rappresenta l'item su cui si sta lavorando. Per impostazione predefinita, il cmdlet non genera alcun output.

-Remove
Permette di rimuovere uno o più valori di una proprietà di un oggetto specificando il display name LDAP. E' possibile rimuovere più di una proprietà separandole da un punto e virgola.
-Remove @{Attribute1LDAPDisplayName=value[]; Attribute2LDAPDisplayName=value[]}
Quando vengono utilizzati insieme i parametri Add, Replace, Clear, e Remove all'interno dello stesso comando le operazioni vengono eseguite nel seguente ordine:
Remove
Add
Replace
Clear

-Replace
Permette di specificare i valori da sostituire all'interno della proprietà di un oggetto. Per modificare la proprietà di un oggetto, va utilizzato il display name LDAP. E' possibile modificare più di una proprietà elencandole all'interno del comando separate da virgole.
-Replace @{Attribute1LDAPDisplayName=value[], Attribute2LDAPDisplayName=value[]}

-SamAccountName
Specifica il nome dell'account Security Account Manager (SAM) dell'utente, del gruppo o del computer. La lunghezza massima della descrizione è di 256 caratteri. Per questioni di compatibilità con sistemi operativi più vecchi è consigliabile creare un SamAccountName con una lunghezza non superiore ai 20 caratteri.

-Server
Permette di specificare l'istanza di Active Directory Domain Services a cui connettersi per la creazione di un nuovo gruppo.

-WhatIf
Mostra cosa accadrebbe se venisse eseguito il cmdlet. Il cmdlet non viene eseguito.

Aggiungere un'account utente al gruppo

Avviare Windows PowerShell (amministratore) ed eseguire il comando

 Set-ADGroup -Add:@{'Member'="CN=Daffy Duck,OU=Utenti,OU=Marketing,DC=mycompany,DC=local"} -Identity:"CN=GRP_Marketing,OU=Marketing,DC=mycompany,DC=local" -Server:"ServerDC2.mycompany.local"

Ovviamente il comando va adattato in base al proprio dominio, nome dell'account utente, OU e al nome del gruppo.

FIG 16 - PowerShell, Aggiungere utente ad un gruppo