Windows Server 2019: Disabilitare l'accesso al Pannello di Controllo tramite GPO

Nelle aziende, al fine di evitare che utenti poco esperti possano compromettere il sistema operativo, viene bloccato, tra le altre cose, l'accesso al Pannello di Controllo. In quest'articolo mostrerò come procedere creando un apposita Group Policy che andrà ad agire su tutti gli account utente appartenenti al Dominio.

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 1 - Server Manager

• Cliccare, con il tasto destro del mouse, sul dominio mycompany.local quindi dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
  

  

  FIG 2 - Gestione Criteri di gruppo

• Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_Blocca_Pannello_di_Controllo e cliccare su OK.
  

  

  FIG 3 - Nuovo oggetto Criteri di gruppo

• Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
  

  

  FIG 4 - Modifica oggetto Criteri di gruppo

• La policy dovrà essere applicata agli utenti. All'interno della sezione Configurazione utente cliccare su Criteri, quindi su Modelli Amministrativi e successivamente su Pannello di controllo.
  

  

  FIG 5 - Oggetto Criteri di gruppo, Configurazione utente, Pannello di controllo

• Cliccare due volte su Impedisci l'accesso al Pannello di controllo e a Impostazioni PC.
  

  

  FIG 6 - Impedisci l'accesso al Pannello di controllo e a Impostazioni PC

• Selezionare Attivata e cliccare su OK.
  

  

  FIG 7 - Attivazione Criterio di gruppo

• Chiudere la finestra Editor Gestione criteri di gruppo e la finestra Gestione criteri di gruppo.

A questo punto se un utente del dominio tenterà di accedere al Pannello di controllo, visualizzerà il messaggio mostrato in FIG 8.

FIG 8 - Restrizioni attive sul computer

Così come è stato creato, l'oggetto Criteri di gruppo agirà su tutti gli utenti del dominio compresi gli utenti Amministratori di Dominio (Domain Admins). Generalmente si preferisce non imporre restrizioni agli Amministratori di Dominio pertanto nel prossimo articolo verrà illustrato come abilitare l'accesso al Pannello di controllo e alle impostazioni del PC a tale gruppo di utenti.

Windows Server 2019: Limitare l'accesso a orari e giorni specifici di un account utente

Tramite Active Directory è possibile limitare il logon di un'account utente a determinati orari e giorni.

Limitare l'accesso di un account utente tramite il Centro di Amministrazione di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
  

  

  FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory

• Espandere il domino e le unità organizzative fino a raggiungere l'account utente di proprio interesse. Cliccare con il tasto destro del mouse sull'account utente e selezionare Proprietà.
  

  

  FIG 2 - Centro di amministrazione di Active Directory, Proprietà account utente

• All'interno della finestra relativa all'account utente, cliccare sul link Orario di accesso....
  

  

  FIG 3 - Proprietà account utente, Orario di accesso

• Come visibile in FIG 4 le caselle blu evidenziano quando l'utente può effettuare il logon mentre quelle in bianco indicano quando il logon è inibito. Per default l'utente è sempre abilitato ad effettuare il logon. Per impedire che l'utente possa effettuare il logon a determinate ore/giorni, selezionare le caselle corrispondenti e cliccare sull'opzione Accesso negato.
  

  

  FIG 4 - Impostazione Orario di accesso

• Cliccare su OK per confermare la restrizione.
• Per ripristinare il logon basta selezionare le relative caselle di colore bianco e cliccare sull'opzione Accesso autorizzato.

Da questo momento se l'utente tenterà di effettuare il logon in un'ora/giorno non previsto visualizzerà il messaggio mostrato in FIG 5. Da tenere in considerazione che la restrizione non esegue automaticamente il logoff forzato di un utente già loggato.

FIG 5 - Windows 10, Restrizioni dell'account sull'orario di accesso

Limitare l'accesso di un account utente tramite Utenti e Computer di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
  

  

  FIG 6 - Server Manager, Strumenti, Utenti e computer di Active Directory

• Espandere il domino e le unità organizzative fino a raggiungere l'account utente di proprio interesse. Cliccare con il tasto destro del mouse sull'account utente e selezionare Proprietà.
  

  

  FIG 7 - Utenti e computer di Active Directory, Account utente

• Selezionare la scheda Account quindi cliccare sul pulsante Orario di accesso...
  

  

  FIG 8 - Account utente, Orario di accesso

• Per impedire che l'utente possa effettuare il logon a determinate ore/giorni, selezionare le caselle relative e cliccare sull'opzione Accesso negato.
  

  

  FIG 9 - Impostazione Orario di accesso

• Cliccare su OK per confermare la restrizione.

Limitare l'accesso di un account utente tramite tramite PowerShell

Per limitare l'accesso di un account utente a specifiche ore/giorni della settimana tramite PowerShell è possibile utilizzare il cmdlet Set-AdUser. Ad es. per impedire all'utente Yosemite Sam (presente nel dominio mycompany.local\Direzione\Utenti) di loggarsi la domenica, da Windows PowerShell (amministratore) eseguire il comando:
Set-ADUser -Identity:"CN=Yosemite Sam,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -Replace:@{"logonHours"="0","0","128","255","255","255","255","255","255","255","255","255","255","255","255","255","255","255","255","255","127"} -Server:"Server1DC.mycompany.local"

Windows Quick Tip: Limitare i tempi di utilizzo del sistema da parte di un account tramite Net User

Per attivare una restrizione sui tempi di accesso e utilizzo del sistema da parte di un account è possibile agire tramite il prompt dei comandi.

Avviare il prompt dei comandi come amministratore (In Windows 8 e 10 premere la combinazione di tasti WIN+X e dal menu selezionare la voce Prompt dei comandi (amministratore) )

FIG 1 - Prompt dei comandi (amministratore)

Il comando da utilizzare per limitare il tempo di utilizzo del sistema da parte di un account ha la seguente sintassi:
net user <account_utente> /time:<intervallo-giorni>,<intervallo-ore>

Al posto di <account_utente> è necessario specificare l'account che si vuole limitare, <intervallo-giorni> e <intervallo-ore> rappresentano l'intervallo temporale in cui l'account è autorizzato ad accedere e ad utilizzare il sistema. I giorni della settimana vanno specificati con le lettere D, L, Ma, Me, G, V, S. Vediamo alcuni esempi.

FIG 2 - Net User <account_utente> /time:<Intervallo-giorni>,<intervallo-ore>

Per limitare l'accesso all'account Virtual2 dal Lunedì al Venerdì e dalle ore 7 alle ore 21
Net User Virtual2 /time:L-V,7-21
oppure
Net User Virtual2 /time:L-V,7am-9pm

Se all'intervallo vogliamo aggiungere anche Sabato e Domenica basta aggiungere il nuovo intervallo separandolo dal precedente con un punto e virgola
Net User Virtual2 /time:L-V,7-21; S-D,8-14

Per rimuovere la restrizione
Net User Virtual2 /time:all

Attenzione! Nel caso in cui dopo lo switch /time non venga specificato alcun intervallo, all'utente specificato sarà inibito sempre l'accesso al sistema.

La limitazione può essere impostata solo per gli utenti standard e non per gli account amministratore.

Per verificare se un account ha limitazioni temporali è possibile usare il comando
Net User <account_utente>
Ad es.
Net User Virtual2

FIG 3 - Net User <account_utente>