Windows Server 2022: Gruppo di lavoro, Dominio, Foresta e ruoli FSMO

Come mostrato negli articoli precedenti, quando si installa il sistema operativo Windows, il computer viene automaticamente aggiunto ad un gruppo di lavoro chiamato WORKGROUP (o HOME). Sebbene i gruppi di lavoro funzionino bene per ambienti piccoli con pochi dispositivi, non sono scalabili in ambienti aziendali. Nella maggior parte degli ambienti aziendali, si utilizzerà un dominio.

I computer connessi ad una rete possono essere parte di un gruppo di lavoro o di un dominio. La principale differenza tra un gruppo di lavoro e un dominio è data da come le risorse di rete vengono gestite. Generalmente i computer connessi a reti di piccole dimensioni, come quelle all'interno della propria abitazione, fanno parte di un gruppo di lavoro mentre i computer connessi a reti di grande dimensioni o di un'azienda fanno solitamente parte di un dominio. 

Per capire meglio la differenza tra un gruppo di lavoro e un dominio supponiamo di voler inibire l'accesso al Pannello di Controllo agli utenti su tutte le postazioni di una rete. 

In un gruppo di lavoro dovremmo connetterci, come amministratore, su ciascuna postazione e procedere all'impostazione manualmente. 

In un dominio tutte le impostazioni possono essere gestite centralmente attraverso un software, presente sui server, chiamato Active Directory. Tramite Active Directory è possibile, ad esempio, fare anche in modo che un determinato utente possa eseguire il logon solo su una determinata workstation dell'azienda, specificare a che ora l'utente può effettuare il login sulle postazioni, personalizzare lo sfondo delle postazioni di un particolare dipartimento dell'azienda, ecc. Un altro caso in cui è utile utilizzare il dominio è nella distribuzione del software. Supponiamo di dover installare MS Office su tutti i computer dell'azienda. Possiamo effettuare tale operazione attraverso le group policy e utilizzando un dominio (in un prossimo articolo mostrerò come effettuare tale operazione).

Prima di procedere con la creazione di un Dominio facciamo un po' di chiarezza su alcuni termini.

Prima di passare alla creazione di un controller di dominio, è importante fare un po' di chiarezza su alcuni termini e capire cos'è un dominio Active Directory, come è strutturato e alcuni dei gruppi predefiniti che vengono creati quando si crea un dominio Active Directory.

Workgroup

Un gruppo di lavoro è un'insieme composto da uno o più computer su una stessa rete locale o subnet che non appartengono ad un dominio. Tutti i computer sono alla pari e indipendenti e non esiste un computer che ha il controllo sugli altri. Ciascun computer dispone di un insieme di account utente e, per poter utilizzare tutti i computer di un gruppo di lavoro, è necessario disporre di un account utente su ciascun computer.

Dominio

Un dominio è la massima unità amministrativa su una rete di computer e può essere considerato come un insieme di oggetti (account utente, computer, unità organizzative, stampanti, ecc) che condividono lo stesso database consentendo notevoli vantaggi nella gestione delle risorse IT. La stessa Microsoft definisce il dominio come un insieme di computer che condividono un database di risorse di rete e che vengono amministrati come un'unità con regole e procedure comuni. 

Uno o più computer della rete sono server. Gli amministratori del dominio utilizzano i server per gestire la sicurezza e i permessi di tutti i computer/account/risorse del dominio (gestione centralizzata tramite Active Directory). 

Gli utenti che dispongono di un account di dominio possono eseguire l'accesso su tutti i computer del dominio (salvo eventuali restrizioni imposte dagli amministratori) senza che sia già presente un account locale sulla postazione. I computer possono essere su reti diverse e un dominio può a sua volta far parte di un dominio di livello superiore. 

Domain Controller

Il Domain Controller è un server con installato Windows Server e Active Directory Domain Services che, all'interno del dominio, gestisce le richieste di autenticazione relative alla sicurezza (login, controllo permessi, abilitazioni, ecc) e permette l'organizzazione della struttura del dominio gestendo utenti, gruppi, computer, unità organizzative, risorse di rete, ecc. Il server su cui è installato Active Directory che gestisce il dominio di livello superiore è definito Primary Domain Controller.

Servizi di dominio Active Directory

Active Directory Domain Services (AD DS) è un servizio integrato nei sistemi operativi Windows Server ma non viene installato di default. Affinché un server possa essere promosso a Domain Controller è necessario installare Active Directory Domain Services, il relativo database e altre funzionalità necessarie al suo corretto funzionamento. Ciascun controller di dominio dispone di una copia locale del database Active Directory che viene aggiornata dinamicamente dagli stessi domain controller. Dato che tutti i sistemi di un dominio fanno riferimento ad Active Directory è opportuno avere almeno due controller di dominio a fini di ridondanza; in questo modo se un controller di dominio presenta problemi o non si avvia, l'intera infrastruttura continuerà a funzionare.

Foresta

Una Foresta è una singola istanza di Active Directory. All'interno di una Foresta è possibile avere uno o più domini che condividono lo stesso schema. Un singolo dominio su un singolo Domain Controller rappresenta la più piccola Foresta che è possibile creare. La Foresta è indicata anche come recinto di sicurezza in cui gli utenti, i computer e altri oggetti sono accessibili.

L'utilizzo di più foreste può rivelarsi utile in un ambiente in cui la separazione dei confini della sicurezza è fondamentale ad esempio per la separazione della rete aziendale dalla rete di produzione. La foresta aziendale viene utilizzata per gestire le workstation aziendali da cui si accede alla posta elettronica e a Internet. La foresta di produzione viene utilizzata solo per gestire il traffico di autenticazione verso i server o i dispositivi di rete. Separando le foreste e, per estensione, i confini di sicurezza di queste due reti, si salvaguarda l'ambiente di produzione da quello aziendale potenzialmente infetto da malware.

Catalogo Globale (Global Catalog)

Un catalogo globale contiene tutte le informazioni relative al suo dominio più le informazioni relative agli altri domini della foresta. Risiede sui controller di dominio che sono stati abilitati come server del catalogo globale e i dati sono distribuiti attraverso la replica di Active Directory. Un Domain Controller configurato come Global Catalog conserva, oltre alla intera partizione del suo dominio, alle partizioni schema e configuration della foresta anche una replica parziale e di sola lettura delle partizioni degli altri domini. Esiste un unico Global Catalog all'interno di una Foresta ma ci sono più copie distribuite tra i domain controller. Un Global Catalog oltre ad essere usato dai client per le ricerche in Active Directory, fornisce anche altri servizi come ad esempio fornire riferimenti ad altri oggetti in diversi domini, la risoluzione dei nomi principali degli utenti (UPN) e l'universal group membership caching.

Unità Organizzative (UO)

Le unità organizzative sono una sorta di contenitori di oggetti memorizzati in Active Directory e utilizzati per la loro organizzazione. Le unità organizzative vengono utilizzate principalmente per formare una gerarchia di contenitori all'interno di un dominio a scopo amministrativo come ad esempio per l'applicazione dei Criteri di gruppo o per delegare il controllo. Il controllo su un'unità organizzativa e sugli oggetti in essa contenuti viene fornita tramite liste di controllo degli accessi (access control list o ACL). La delega del controllo supportata in Active Directory consente di trasferire il controllo amministrativo completo o limitato sugli oggetti ad altri utenti o gruppi. In questo modo è possibile distribuire la gestione di un numero elevato di oggetti ad una serie di utenti ritenuti attendibli.

Schema

Lo schema di Microsoft Active Directory  è simile a un dizionario in quanto contiene definizioni formali di ogni classe oggetto che può essere creata in una foresta di Active Directory. Lo schema contiene anche definizioni formali di ogni attributo che può esistere in un oggetto Active Directory.

Gruppi di dominio predefiniti

Quando si crea un dominio Active Directory, per impostazione predefinita vengono creati diversi gruppi amministrativi. In qualità di amministratori di sistema, bisogna fare attenzione ad applicare il concetto di minimo privilegio, ovvero che gli utenti devono avere i permessi minimi necessari per svolgere il proprio lavoro, ma niente di più. Il gruppo Enterprise Admins è un gruppo molto privilegiato e non dovrebbe essere la soluzione a tutti i problemi di autorizzazioni.

Tra i gruppi predefiniti troviamo:

• Enterprise Admins
  Questo gruppo si trova nel dominio radice della foresta. È un membro degli amministratori incorporati in ogni dominio della foresta. I membri del gruppo Enterprise Admins possono apportare modifiche alla foresta, aggiungere o rimuovere domini, stabilire trust della foresta e aumentare i livelli funzionali della foresta. Questo gruppo deve essere usato solo se necessario (ad esempio quando si costruisce una foresta per la prima volta o quando si apportano modifiche all'intera foresta) perché è un gruppo altamente privilegiato.
• Domain Admins
  I membri del gruppo Domain Admins sono membri del gruppo Built-in Administrators del dominio. Vengono aggiunti automaticamente al gruppo Amministratore locale su ogni sistema unito al loro dominio.
• Administrator
  Gli amministratori di dominio (Domain Admins) sono membri del gruppo Administrator del dominio in cui risiede il loro account. Gli Enterprise Admins sono membri di questo gruppo in tutti i domini della loro foresta. Questo gruppo garantisce l'accesso al gruppo degli amministratori locali su tutti i sistemi collegati al dominio. Il gruppo Administrator ha la possibilità di gestire la maggior parte degli oggetti del dominio con autorizzazioni complete e può assumere la proprietà di quasi tutti gli oggetti del dominio.
• Schema Admins
  Schema Admins è un gruppo speciale. Esiste nel dominio radice della foresta, come il gruppo Enterprise Admins. Gli amministratori di schema hanno il permesso di gestire lo schema in Active Directory, ma nient'altro. Questo rende gli amministratori di schema un gruppo meno privilegiato, ma bisogna fare attenzione a chi viene assegnato tale gruppo. Le modifiche allo schema che non vanno a buon fine possono danneggiare Active Directory. Questo gruppo dovrebbe essere assegnato solo nei casi rari in cui è necessario apportare modifiche allo schema.
• Gruppi amministrativi aggiuntivi
  I gruppi amministrativi aggiuntivi vengono creati man mano che si installano ruoli e applicazioni. DHCP, DNS e Exchange Server sono solo alcuni esempi di ruoli o applicazioni che creano nuovi gruppi amministrativi in Active Directory.

FIG 1 - Gruppi di dominio predefiniti

Ruoli FSMO (Flexible Single Master Operation)

Qualsiasi controller di dominio autorevole (DC) in Active Directory (AD) può eseguire la creazione, l'aggiornamento e la cancellazione degli oggetti. Questo è possibile perché ogni DC (tranne quelli di sola lettura) mantiene una copia scrivibile della partizione del proprio dominio. Una volta che una modifica viene applicata, essa viene automaticamente comunicata agli altri DC attraverso un processo chiamato replica multi-master. Questo comportamento consente alla maggior parte delle operazioni di essere elaborate in modo affidabile da più controller di dominio fornendo alti livelli di ridondanza, disponibilità e accessibilità in Active Directory.

Tuttavia ci sono alcune operazioni sensibili la cui esecuzione è limitata ad uno specifico controller di dominio, in questi casi Active Directory indirizza tali operazioni a server con una serie speciali di ruoli. Microsoft chiama tali ruoli "ruoli operativi" ma sono più comunemente noti con il loro nome originale: ruoli FSMO (Flexible Single Master Operation).

In Active Directory sono presenti 5 ruoli FSMO assegnati a uno o più controller di dominio:

• Schema Master
• Domain Naming Master
• Infrastructure Master
• Relative ID (RID) Master
• PDC Emulator

Schema Master 

Schema Master (o Master dello schema) è un ruolo FSMO di livello enterprise. In una foresta Active Directory esiste un solo Schema Master. Il Domain Controller in Active Directory che ricopre il ruolo di Schema Master è l'unico DC, all'interno della foresta, che contiene una partizione di schema scrivibile e controlla tutti gli aggiornamenti e le modifiche dello schema. Di conseguenza per aggiornare lo schema di una foresta, è necessario avere accesso allo Schema Master. Esempi di azioni che aggiornano lo schema sono l'innalzamento del livello funzionale della foresta e l'aggiornamento del sistema operativo di un DC a una versione superiore a quella presente nella foresta.

Se il Domain Controller con il ruolo di Schema Master dovesse andare offline, l'impatto immediato sarà minimo o nullo. Infatti, a meno che non siano necessarie modifiche allo schema, il ruolo può rimanere offline senza effetti rilevanti. Se il Domain Controller con il ruolo di Schema Master non può essere riportato online è possibile trasferire il ruolo ad altro Domain Controller.

Domain Naming Master

Domain Naming Master (Master per la denominazione dei domini) è un ruolo FSMO di livello enterprise. Nell'intera foresta può essere presente un solo master per la denominazione dei domini. Il controller di dominio master per la denominazione dei domini è l'unico controller di dominio, in una foresta Active Directory, in grado di aggiungere e rimuovere domini nella foresta. Nel caso in cui il Domain Controller che ricopre tale ruolo dovesse andare offline, l'impatto operativo sarebbe minimo o nullo, poiché l'aggiunta e la rimozione di domini e partizioni sono operazioni eseguite di rado e sono raramente critiche dal punto di vista temporale.

Infrastructure Master

L'Infrastructure Master (Master dell'infrastruttura) è un ruolo a livello di dominio; in ogni dominio può essere presente un solo controller di dominio che funge da master dell'infrastruttura. Il master dell'infrastruttura sincronizza gli oggetti con i server del catalogo globale (global catalog) ed è responsabile dell'aggiornamento dei riferimenti da oggetti nel relativo dominio a oggetti in altri domini. L'Infrastructure Master confronta i propri dati con quelli di un server del catalogo globale e riceve dal server del catalogo globale tutti i dati non presenti nel proprio database. Se tutti i DC di un dominio sono anche server del catalogo globale, tutti i DC disporranno di informazioni aggiornate (supponendo che la replica sia funzionale). In questo scenario, la posizione del ruolo Infrastructure Master è irrilevante, poiché non ha alcun lavoro da svolgere.

Il ruolo Infrastructure Master è anche responsabile della gestione degli oggetti fantasma. Gli oggetti fantasma sono utilizzati per tracciare e gestire i riferimenti persistenti agli oggetti eliminati e agli attributi con valore di collegamento che si riferiscono a oggetti in un altro dominio della foresta (ad esempio, un gruppo di sicurezza del dominio locale con un utente membro di un altro dominio).

Il ruolo può essere installato su qualsiasi controller di dominio in un dominio. Nel caso in cui la foresta Active Directory includa DC che non siano global catalog allora il ruolo va installato su uno di questi DC. La perdita del DC che possiede il ruolo di Infrastructure Master sarà probabilmente percepita solo dagli amministratori e potrà essere tollerata per un periodo prolungato. Sebbene la sua assenza comporti la mancata risoluzione corretta dei nomi dei collegamenti di oggetti cross-domain, la capacità di utilizzare le appartenenze di gruppo cross-domain non sarà compromessa.

RID Master

Il Relative Identifier Master (RID Master) è un ruolo a livello di dominio; in ogni dominio può essere presente un solo controller di dominio che funge da RID Master. Il RID Master è responsabile dell'elaborazione delle richieste del pool RID da tutti i controller di dominio in un determinato dominio. I pool di RID sono costituiti da un intervallo contiguo univoco di RID, che vengono utilizzati durante la creazione dell'oggetto per generare l'identificativo di sicurezza (SID) unico del nuovo oggetto. Il RID Master è anche responsabile dello spostamento degli oggetti da un dominio all'altro all'interno della foresta.

La perdita del RID Master di un dominio finirà per causare l'impossibilità di creare nuovi oggetti nel dominio, man mano che i pool di RID nei DC rimanenti si esauriscono. Sebbene possa sembrare che l'indisponibilità del DC che detiene il ruolo di RID Master possa causare un'interruzione significativa dell'operatività, negli ambienti maturi l'impatto è solitamente tollerabile per un periodo di tempo considerevole, a causa di un volume relativamente basso di eventi di creazione di oggetti.

PDC Emulator

L'emulatore del controller di dominio primario (PDC Emulator o PDCE) è un ruolo a livello di dominio; può essere presente un solo controller di dominio che funge da master dell'emulatore PDC in ogni dominio della foresta. L'emulatore PDC è un controller di dominio che si annuncia come controller di dominio primario (PDC) per workstation, server membri e controller di dominio che eseguono versioni precedenti di Windows. L'emulatore PDC controlla l'autenticazione all'interno di un dominio, sia Kerberos v5 che NTLM. Quando un utente cambia la password, la modifica viene elaborata dall'emulatore PDC. 

PDC Emulator è responsabile di diverse operazioni cruciali:

Retrocompatibilità. Il PDCE imita il comportamento single-master di un controller di dominio primario di Windows NT. Per risolvere i problemi di retrocompatibilità, il PDCE si registra come DC di destinazione per le applicazioni legacy che eseguono operazioni scrivibili e per alcuni strumenti amministrativi che non conoscono il comportamento multi-master dei DC di Active Directory.

Sincronizzazione dell'ora. Ogni PDCE funge da sorgente temporale master all'interno del proprio dominio. Il PDCE nel dominio radice della foresta funge da server NTP (Network Time Protocol) preferito nella foresta. Il PDCE di ogni altro dominio della foresta sincronizza il suo orologio con il PDCE radice della foresta; i DC non PDCE sincronizzano i loro orologi con il PDCE del loro dominio e gli host collegati al dominio sincronizzano i loro orologi con il DC preferito. Un esempio dell'importanza della sincronizzazione temporale è l'autenticazione Kerberos: l'autenticazione Kerberos fallisce se la differenza tra l'orologio di un host richiedente e l'orologio del DC di autenticazione supera il massimo specificato (5 minuti per impostazione predefinita); questo aiuta a contrastare alcune attività dannose, come gli attacchi replay.

Aggiornamenti delle password. Quando le password di computer e utenti vengono modificate o reimpostate da un controller di dominio non PDCE, l'aggiornamento impegnato viene immediatamente replicato al PDCE del dominio. Se un account tenta di autenticarsi in un DC che non ha ancora ricevuto una modifica recente della password tramite la replica programmata, la richiesta viene passata al PDCE del dominio, che la elabora e indica al DC richiedente di accettarla o rifiutarla. Questo comportamento garantisce che le password possano essere elaborate in modo affidabile anche se le modifiche recenti non si sono propagate completamente attraverso la replica programmata. Il PDCE è anche responsabile dell'elaborazione dei blocchi degli account, poiché tutte le autenticazioni di password fallite vengono passate al PDCE.

Aggiornamenti dei Criteri di gruppo. Tutti gli aggiornamenti degli oggetti Criteri di gruppo (GPO) sono assegnate al PDCE del dominio. In questo modo si evitano i conflitti di versione che potrebbero verificarsi se una GPO venisse modificata su due DC nello stesso momento.

File system distribuito. Per impostazione predefinita, i server root del file system distribuito (DFS) richiedono periodicamente informazioni aggiornate sullo spazio dei nomi DFS al PDCE. Sebbene questo comportamento possa causare colli di bottiglia nelle risorse, l'attivazione del parametro Dfsutil.exe Root Scalability consentirà ai server root DFS di richiedere gli aggiornamenti dal DC più vicino.

Il PDCE deve essere collocato su un DC ad alta accessibilità, ben collegato e ad alte prestazioni. La perdita del DC che possiede il ruolo PDC Emulator può avere un impatto immediato e significativo sulle operazioni.

Identificare i DC con ruoli FSMO

Per identificare i controller di dominio con ruolo FSMO è possibile procedere tramite il prompt dei comandi o tramite PowerShell.

Dal prompt dei comandi è possibile eseguire il comando

netdom query fsmo /domain:<DomainName>

Ad esempio

netdom query fsmo /domain:mycompany.local

FIG 2 - Visualizzare i server DC con ruoli FSMO da prompt dei comandi

Da PowerShell il comando da eseguire è

(Get-ADForest).Domains | ForEach-Object{Get-ADDomainController -Server $_ -Filter {OperationMasterRoles -like "*"}} | Select-Object Domain, HostName, OperationMasterRoles

FIG 3 - Visualizzare i server DC con ruoli FSMO da PowerShell

Windows Server 2022: Gestione dei gruppi di lavoro

In qualità di amministratore di un gruppo di lavoro è necessario occuparsi di diverse attività di gestione tra cui, le più comuni, troviamo la reimpostazione delle password e la modifica del ruolo dell'utente. In quest'articolo verranno illustrati alcuni metodi per la gestione degli account utente e dei gruppi di lavoro.

Gestione computer

La console Gestione computer è un ottimo punto di partenza per la gestione degli utenti e dei gruppi locali. Ad esempio, dalla console è possibile modificare la password di un account utente e/o visualizzarne e modificarne le proprietà:

• In Server Manager, cliccare sul menu Strumenti e selezionare Gestione computer.
  

  

  FIG 1 - Server manager, Gestione computer

  
  
• Fate doppio clic su Utenti e gruppi locali per espanderlo quindi selezionare Utenti per visualizzare l'elenco degli utenti.
  

  

  FIG 2 - Gestione computer, Utenti

  
  
• Se si desidera solo reimpostare la password, fare clic con il pulsante destro del mouse sull'account utente e scegliere Impostazione password.
  

  

  FIG 3 - Impostazione password

  
  
• Una finestra di dialogo ci avvisa che alcune informazioni potrebbero non essere più accessibili a seguito reimpostazione della password (ad es. per le informazioni cifrate). Cliccare su Continua per proseguire.
  

  

  FIG 4 - Avviso reimpostazione password

  
  
• Digitare, due volte, la nuova password e confermare cliccando su OK.

  

  FIG 5 - Nuova password

  
  
• Per visualizzare le proprietà di un account utente, cliccarci su con il tasto destro del mouse e selezionare la voce Proprietà.
• Nella finestra di dialogo Proprietà sono presenti diverse schede. Di seguito le vediamo in dettaglio.
  Generale
  In questa scheda è possibile obbligare l'utente a modificare la password all'accesso successivo, impedire che l'utente possa cambiare la password, disabilitare la scadenza della password e disabilitare l'account.
  

  

  FIG 6 - Proprietà, Generale

  Membro di
  Consente di visualizzare e modificare l'appartenenza ai gruppi dell'utente.
  

  

  FIG 7 - Proprietà, Membro di

  
  Profilo
  Nella scheda Profilo è possibile impostare il percorso del profilo utente, script di logon e la home directory.
  

  

  FIG 8 - Proprietà, Profilo

  
  Ambiente
  Nella scheda Ambiente è possibile specificare un programma da avviare al logon dell'utente e impostare il comportamento desiderato per i dispositivi client.
  

  

  FIG 9 - Proprietà, Ambiente

  
  Sessioni
  Consente di configurare il timeout e le impostazioni di riconnessione di Servizi Desktop remoto.
  

  

  FIG 10 - Proprietà, Sessioni

  
  Controllo remoto
  Permette di abilitare/disabilitare il controllo remoto della sessione di un utente. Utile per connettersi alla macchina da remoto per la risoluzione di problemi.
  

  

  FIG 11 - Proprietà, Controllo remoto

  
  
  Profilo Servizi Desktop remoto
  Simile alla scheda Profilo, ma si applica solo alle sessioni di Remote Desktop.
  

  

  FIG 12 - Proprietà, Profilo Servizi Desktop Remoto

  
  Chiamate in ingresso
  Controlla le opzioni di connessione alternative.
  

  

  FIG 13 - Proprietà, Chiamate in ingresso

  
  

Finestra Account

La finestra Account consente di eseguire le stesse funzioni di gestione degli utenti della console Gestione computer, ma con un'interfaccia più semplice.

Per accedere alla finestra Account:

• Accedere alle Impostazioni di Windows tramite il menu Start oppure tramite la combinazione di tasti WIN+I.
• Cliccare su Account.
  

  

  FIG 14 - Impostazioni

  
  
• Selezionare Altri utenti. Da qui è possibile modificare il tipo di account, rimuovere o aggiungere un account locale.
  

  

  FIG 15 - Account

  
  

PowerShell

Per la gestione dei gruppi di lavoro è possibile utilizzare PowerShell. Alcune operazioni amministrative non possono essere eseguite tramite GUI ma esclusivamente tramite PowerShell.

Avviare PowerShell come amministratore:cliccare con il tasto destro del mouse su Start e selezionare Windows PowerShell (amministratore)

Tramite l'utilizzo del cmdlet Get-LocalUser è possibile interrogare il sistema per ottenere informazioni sull'account corrente specificato. Ad esempio, per visualizzare le impostazioni correnti dell'account Utente1, digitare quanto segue:

Get-LocalUser -Name "Utente1"

Per modificare la password dell'utente e possibile eseguire i seguenti comandi:

$Password = Read-Host -Prompt 'Inserisci Password' -AsSecureString

Get-LocalUser -Name "Utente1" | Set-LocalUser -Password $Password

In PowerShell le variabili sono rappresentate da stringhe di testo che iniziano con un segno di dollaro ($) e possono essere considerate come contenitori di oggetti. 

Per esempio, il primo comando (Read-Host -Prompt 'Inserisci Password' 

-AsSecureString) richiede la digitazione di una password che viene salvata nella variabile $Password come stringa sicura. Il cmdlet Get-LocalUser recupera le informazioni relative all'account utente Utente1 a cui, tramite il cmdlet Set-LocalUser, viene assegnata la password memorizzata in precedenza.

FIG 16 - PowerShell, Nuova password account locale

Windows Server 2022: Gruppi di lavoro

Nelle reti di piccole dimensioni potrebbe non avere senso implementare un controller di dominio con Active Directory. In questi casi, per la condivisione di risorse tra i vari host, potrebbe essere sufficiente il gruppo di lavoro.

Cos'è un gruppo di lavoro

Un gruppo di lavoro è un gruppo peer-to-peer di computer che condividono risorse ma che non appartengono a un dominio Active Directory. Un gruppo di lavoro può avere un server centrale che fornisce alcuni servizi, oppure può semplicemente condividere i dati con le singole workstation. La presenza di uno o più server all'interno di un gruppo di lavoro non è necessaria, si può creare un gruppo di lavoro con i soli sistemi client. Un gruppo di lavoro può essere piccolo, composto da due computer, o di grandi dimensioni. Più il gruppo di lavoro diventa grande più diventa complesso da amministrare.

Affinché un gruppo di lavoro funzioni correttamente, tutti i sistemi devono condividere lo stesso nome di gruppo. Per impostazione predefinita, in Windows, un sistema non collegato a un dominio appartiene a un gruppo di lavoro chiamato WORKGROUP. La differenza principale da tenere presente tra le relazioni peer-to-peer e quelle client-server, come quelle realizzate in Active Directory, è che le relazioni peer-to-peer sono completamente decentralizzate. È necessario impostare esplicitamente l'accesso per gli utenti e le risorse su ogni server/workstation a cui si desidera connettere. 

Uno dei vantaggi principali dei gruppi di lavoro è che possono essere molto semplici da gestire, purché siano piccoli. È sufficiente configurare una risorsa per la condivisione e definire con chi si vuole condividere quella risorsa.

Per capire se un gruppo di lavoro è adatto al proprio ambiente è necessario capire che cosa si può fare o non si può fare con un gruppo di lavoro. Innanzitutto bisogna considerare la dimensione della rete. Ad esempio, se la rete è piccola, con meno di 15-20 host, un gruppo di lavoro può essere una buona soluzione. Se invece la rete è composta da 100 o più host, un gruppo di lavoro probabilmente non è una buona scelta, perché comporterebbe una grande quantità di lavoro per la sua gestione.

In un gruppo di lavoro è possibile condividere file, database e stampanti. Se questo è tutto ciò di cui si ha bisogno e la rete è di piccole dimensioni, allora un gruppo di lavoro potrebbe rappresentare una buona soluzione. In questo modo si risparmia la spesa per la creazione di un controller di dominio, che necessita di un ulteriore licenza per il sistema operativo del server, e il costo dell'assunzione di un amministratore di sistema che sappia come gestire Active Directory.

Tuttavia, non si dispone di un'autenticazione centralizzata: ogni utente deve avere un account sul sistema in cui vuole accedere alle risorse. Non è possibile gestire i sistemi con i Criteri di gruppo: è necessario utilizzare solo i criteri di sicurezza locali. Infine, non è possibile eseguire applicazioni che richiedono Active Directory. 

Confronto tra condivisione centralizzata e di gruppo

Se si decide di utilizzare un gruppo di lavoro bisognerà decidere anche il modello di condivisione da utilizzare: modello di condivisione centralizzato o un modello di condivisione di gruppo. Nel modello di condivisione centralizzato, tutti i dati sono archiviati su un unico sistema, una workstation o un server. Tutti gli altri membri del gruppo di lavoro si collegano a questa postazione centrale per utilizzare le risorse condivise. Il modello di condivisione centralizzata è il più semplice da sostenere, perché è possibile impostare gli account dei membri del gruppo di lavoro sul server e questi saranno in grado di condividere le risorse. Nel modello di condivisione di gruppo, tutte le workstation del gruppo condividono risorse diverse. Il modello di condivisione di gruppo può essere molto più complesso da gestire, perché tutti gli utenti devono avere accesso a ogni sistema su cui risiede la risorsa a cui si intende accedere.

 

Configurazione di un server per un gruppo di lavoro

Quando si configura un server come server di un gruppo di lavoro, è necessario aggiungere gruppi, utenti e le risorse che si desidera condividere. Prima di fare tutto ciò, è necessario cambiare il nome del gruppo di lavoro.

1. Modifica del nome del gruppo di lavoro

Il nome predefinito del gruppo di lavoro di Windows è WORKGROUP. In una piccola azienda è opportuno modificare il nome del gruppo di lavoro con qualcosa di più significativo (anche per una questione di sicurezza e di best practice). Ecco come fare: 

• In Server Manager, cliccare su Server locale quindi sul collegamento WORKGROUP accanto alla scritta Gruppo di lavoro.
  

  

  FIG 1- Server Manager, Server locale

  
  
• All'interno della finestra Proprietà del sistema cliccare sul pulsante Cambia.
  
  

  

  FIG 2 - Proprietà del sistema

  
  
• Nella casella di testo Gruppo di lavoro sostituire la scritta WORKGROUP con il nome che si desidera assegnare al gruppo di lavoro, quindi cliccare su OK.
  

  

  FIG 3 - Cambiamenti dominio/nome computer

  
  
• Verrà mostrata una finestra di dialogo con il nuovo nome. Cliccare su OK.
  

  

  FIG 4 - Nuovo gruppo di lavoro

  
  
• Nella finestra successiva veniamo avvisati che è necessario riavviare il sistema per rendere effettive le modifiche. Cliccare su OK.
  

  

  FIG 5 - Riavvio del sistema

  
  
• Si ritorna alla  finestra Proprietà del sistema. Cliccare su Chiudi.
  

  

  FIG 6 - Proprietà del sistema

  
  
• A questo punto verrà mostrata una nuova finestra di dialogo che ci chiede se desideriamo riavviare il sistema o farlo in un momento successivo. Cliccare su Riavvia ora. Dopo il riavvio la modifica del nome del gruppo di lavoro sarà effettiva.
  

  

  FIG 7 - Riavvio necessario

  
  

2. Creazione di gruppi

Anziché lavorare sui singoli account utente è preferibile lavorare sui gruppi: si concedono le autorizzazioni per le risorse condivise al gruppo piuttosto che direttamente agli account utente. Questo garantisce agli utenti l'accesso a tutto ciò di cui hanno bisogno ed è molto più facile da gestire rispetto alle autorizzazioni dei singoli utenti. Per questo motivo, è consigliabile creare gruppi prima di creare utenti. Per creare un gruppo:

• In Server Manager, cliccare sul menu Strumenti e selezionare Gestione computer.
  

  

  FIG 8 - Server manager, Gestione computer

  
  
• Selezionare Utenti e gruppi locali quindi fare doppio clic su Gruppi.
  

  

  FIG 9 - Gestione computer

  
  
• Windows Server 2022 include diversi gruppi già pronti. Per creare un nuovo gruppo, cliccare sul menu Azione e selezionare Nuovo gruppo.
  
  

  

  FIG 10 - Creazione nuovo gruppo

• Nella casella Nome gruppo digitare il nome che si intende assegnare al gruppo che si sta creando. Nella casella Descrizione è possibile scrivere una breve descrizione del gruppo. Cliccare su Crea per procedere alla creazione del gruppo.
  

  

  FIG 11 - Nuovo gruppo

• Cliccare su Chiudi per chiudere la finestra di dialogo Nuovo gruppo.

 

3. Creazione di utenti e aggiunta di utenti al gruppo

Per poter accedere a un gruppo di lavoro, un utente deve disporre di un account locale sul sistema a cui sta cercando di connettersi. Quando si crea l'account utente, è possibile concedere direttamente le autorizzazioni, ma aggiungere l'utente a un gruppo con le autorizzazioni corrette è molto più semplice. 

Ecco come creare un utente e aggiungerlo a un gruppo:

• In Server Manager, dal menu Strumenti, selezionare Gestione computer.
• Selezionare Utenti e gruppi locali quindi doppio click su Utenti.
  

  

  FIG 12 - Gestione computer

  
  
• Windows Server 2022 include alcuni account utente già pronti. In questo esempio, andremo a creare un account utente chiamato Utente1. Cliccare sul menu Azione e selezionare Nuovo utente (in alternativa cliccare su Altre azioni sul lato destro della finestra e scegliere Nuovo utente).
  

  

  FIG 13 - Creazione nuovo utente

  
  
• Nella finestra di dialogo Nuovo utente, compilare i campi Nome utente, Nome completo e Password. In un ambiente di produzione, si consiglia di lasciare selezionata la casella di controllo Cambiamento obbligatorio password all'accesso successivo. Cliccare su Crea.
  

  

  FIG 14 - Nuovo utente

• Cliccare su Chiudi per chiudere la finestra di dialogo Nuovo utente.
  
• Fare clic con il tasto destro del mouse sull'utente appena creato e scegliere Proprietà. Verrà visualizzata la finestra di dialogo Proprietà nome utente (dove nome utente è il nome dell'utente di cui si sta esaminando le proprietà).
  
  

  

  FIG 15 - Visualizzazione Proprietà account utente

  
  
• Fare clic sulla scheda Membro di e cliccare sul pulsante Aggiungi. 
  

  

  FIG 16 - Membro di

  
  
• Viene visualizzata la finestra di dialogo Seleziona Gruppi. Nel campo Immettere i nomi degli oggetti da selezionare, digitare il nome del gruppo creato in precedenza e fare clic su Controlla nomi. Se il gruppo viene trovato, sarà sottolineato e inizierà con il nome del server, come mostrato in FIG 17. Cliccare su OK per chiudere la finestra di dialogo.
  

  

  FIG 17 - Seleziona Gruppi

  
  
• Cliccare su OK per chiudere la finestra delle proprietà.
  

  

  FIG 18 - Proprietà utente

A questo punto abbiamo inserito il nuovo utente nel gruppo creato in precedenza.

4. Risorse condivise

Le cose più comuni che vengono condivise in uno scenario di gruppo di lavoro sono le stampanti e i file. Ecco come condividere file e cartelle:

• In Server Manager, dal menu Strumenti, selezionare Gestione computer.
• Cliccare su Cartelle condivise, quindi doppio clic su Condivisioni.
  

  

  FIG 19 - Cartelle condivise

  
  
• Dal menu Azione selezionare Nuova condivisione per avviare la creazione guidata di una cartella condivisa.
  

  

  FIG 20 - Nuova condivisione

  
  
• Nella prima schermata della creazione guidata, cliccare su Avanti per proseguire.

  

  FIG 21 - Creazione guidata cartella condivisa

  
  
• Nella schermata Percorso cartella, fare clic su Sfoglia. 
  

  

  FIG 22 - Percorso cartella

  
  
• Nella finestra di dialogo Cerca cartella, navigare fino alla cartella che si desidera condividere, selezionarla e cliccare su OK.
  
  

  

  FIG 23 - Cerca cartella

  
  
• Riappare la finestra Percorso cartella con la cartella selezionata nel passo precedente. Cliccare su Avanti per proseguire.
• La schermata successiva consente di modificare il nome della condivisione e di impostare le impostazioni offline. Ciò consente agli utenti offline di accedere ai file della condivisione. Cliccare su Avanti.
  

  

  FIG 24 - Nome, descrizione e impostazioni

  
  
• La schermata successiva consente di personalizzare le autorizzazioni per la condivisione. Selezionare l'opzione Personalizza autorizzazioni, quindi fare clic su Personalizzate. 
  

  

  FIG 25 - Personalizza autorizzazioni

  
  
• Viene visualizzata la finestra di dialogo Personalizza autorizzazioni. Di default il gruppo Everyone può accedere in lettura alla share. Per autorizzare un nuovo utente/gruppo cliccare su Aggiungi.
  

  

  FIG 26 - Personalizza autorizzazioni

  
  
• Nella casella Immettere i nomi degli oggetti da selezionare, digitare il nome del gruppo creato in precedenza e fare clic su Controlla nomi per assicurarsi che venga risolto, quindi cliccare su OK.
  

  

  FIG 27 - Seleziona Utenti o Gruppi

• Nella sezione Autorizzazioni per gli utenti della workstation, impostare le autorizzazioni desiderate per la condivisione. In genere, si selezionano le caselle di controllo Modifica e Lettura. Una volta selezionate le autorizzazioni desiderate cliccare su OK.
  
  

  

  FIG 28 - Autorizzazioni per il gruppo

  
  
• Cliccare su Fine.
  

  

  FIG 29 - Autorizzazioni cartella condivisa

  
  
• Nella schermata Condivisione riuscita, fare nuovamente clic su Fine.
  

  

  FIG 30 - Condivisione riuscita

  
  
• Dopo che la condivisione è stata aggiunta, verrà visualizzata in Condivisioni sotto Cartelle condivise, come mostrato in FIG 31.
  
  

  

  FIG 31 - Condivisioni

  
  

Se avete mai creato dei gruppi di lavoro su una versione precedente di Windows, sapete che il passo successivo consisteva nell'aggiungere il gruppo creato alle autorizzazioni di condivisione della cartella nel file system. Si trattava di un doppio lavoro. Fortunatamente, Microsoft ha posto rimedio a questa situazione. Quando si condivide la cartella nell'area Cartelle condivise di Gestione computer, vengono impostate anche le autorizzazioni di condivisione. Per controllare le impostazioni:

• Avviare Esplora file, quindi posizionarsi sulla cartella condivisa.
• Cliccare, con il tasto destro del mouse, sulla cartella condivisa e selezionare Proprietà dal menu contestuale.
• Selezionare la scheda Condivisione e cliccare su Condivisione avanzata.
  

  

  FIG 32 - Proprietà

  
  
• In questa schermata è possibile modificare il numero di utenti che possono connettersi contemporaneamente, modificare le autorizzazioni e modificare la cache. In questo contesto, il caching si riferisce all'accesso offline. Cliccare su Autorizzazioni.
  

  

  FIG 33 - Condivisione avanzata

  
  
• Come visibile in FIG 34, le autorizzazioni saranno quelle impostate attraverso la procedura guidata.
  

  

  FIG 34 - Autorizzazioni