Tuttavia ci sono situazioni in cui sarebbe opportuno limitare l'accesso ad un account utente a specifiche workstation. Active Directory consente di applicare delle restrizioni sui computer ai quali un account o un gruppo di account utente può eseguire il logon. In questo articolo verranno mostrati i passaggi per applicare tali restrizioni agendo manualmente in Active Directory. Non si tratta di un'operazione raccomandata. Come mostrerò in un prossimo articolo, per questo tipo di operazioni, è preferibile agire tramite l'utilizzo delle group policy.
All'interno del nostro dominio mycompany.local abbiamo creato l'unità organizzativa Direzione al cui interno sono presenti ulteriori due unità organizzative: Computer contente, al momento, un unica workstation con nome PCDIR001 e Utenti contenente diversi account utente. Vediamo come fare in modo che uno o più utenti di direzione (mycompany.local\Direzione\Utenti) possano accedere esclusivamente alla workstation PCDIR001.
Limitare il logon degli account utente a determinate workstation tramite il Centro di amministrazione di Active Directory
- Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory - Posizionarsi sull'unità organizzativa mycompany.local\Direzione\Utenti.
- Selezionare un'account utente (ad es. Yosemite Sam), cliccarci su con il tasto destro del mouse e selezionare Proprietà dal menu contestuale.
FIG 2 - Centro di amministrazione di Active Directory, Proprietà account utente - Cliccare sul link Accedi a...
FIG 3 - Proprietà account utente, Accedi a... - Selezionare l'opzione I computer seguenti. Nell'apposita casella digitare il nome della workstation a cui l'account utente potrà accedere quindi cliccare sul tasto Aggiungi. Ripetere l'operazione nel caso si vogliano aggiungere altre workstation.
FIG 4 - Specificare le workstation alle quali l'account utente potrà accedere - Terminata l'aggiunta delle workstation cliccare su OK all'interno della finestra Accedi a quindi nuovamente su OK per chiudere la finestra delle proprietà dell'account.
FIG 5 - Proprietà per più account utente |
Limitare il logon degli account utente a determinate workstation tramite Utenti e computer di Active Directory
- Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
FIG 6 - Server Manager, Strumenti, Utenti e computer di Active Directory - Posizionarsi sull'unità organizzativa mycompany.local\Direzione\Utenti.
- Selezionare un'account utente (ad es. Yosemite Sam), cliccarci su con il tasto destro del mouse e selezionare Proprietà dal menu contestuale.
FIG 7 - Utenti e computer di Active Directory, Proprietà account utente - All'interno della scheda Account, selezionare la casella Restrizioni computer quindi cliccare sul pulsante Accedi a.
FIG 8 - Account utente, Accedi a... - Selezionare l'opzione I seguenti computer. Nell'apposita casella digitare il nome del computer a cui l'account utente selezionato potrà accedere e cliccare sul pulsante Aggiungi.
FIG 9 - Specificare le workstation alle quali l'account utente potrà accedere - Terminata l'aggiunta delle workstation cliccare su OK all'interno della finestra Accedi a quindi su Applica all'interno della finestra delle proprietà dell'account.
Anche in questo caso è possibile eseguire l'operazione contemporaneamente su più account selezionandoli e procedendo in maniera analoga a quanto mostrato sopra. Nella finestra Proprietà di più oggetti selezionare la scheda Account (FIG 10), spuntare la casella Restrizioni computer quindi cliccare sul pulsante Accedi a per specificare le workstation a cui gli account selezionati potranno accedere.
FIG 10 - Restrizioni computer per più account utente |
Limitare il logon degli account utente a determinate workstation tramite PowerShell
Per applicare la restrizione ad un account utente tramite PowerShell si utilizza il cmdlet Set-ADUser.Avviare Windows PowerShell (amministratore) ed eseguire il comando
Set-ADUser -Identity:"CN=Yosemite Sam,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -LogonWorkstations:"PCDIR001" -Server:"Server1DC.mycompany.local"
è possibile specificare più workstation passando i nomi, separati da virgola, al parametro LogonWorkstations come nel comando
Set-ADUser -Identity:"CN=Yosemite Sam,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -LogonWorkstations:"PCDIR001,PCDIR003" -Server:"Server1DC.mycompany.local"