mercoledì 1 luglio 2020

Windows Server 2019: Configurare le stampanti sulle postazioni mediante GPO

In questo articolo verrà mostrato come configurare una stampante (condivisa o di rete) sulle postazioni del domino mediante l'utilizzo di un Criterio di gruppo. Per semplicità andremo ad installare una stampante generica sul server e a mapparla per tutti gli utenti del dominio.

Installazione stampante su server
  • Dal menu Start avviare il Pannello di controllo.
    Avvio Pannello di controllo
    FIG 1 - Avvio Pannello di controllo
  • Cliccare su Hardware.
    Pannello di controllo, Hardware
    FIG 2 - Pannello di controllo, Hardware
  • In Dispositivi e stampanti cliccare sul link Impostazioni avanzate stampante.
    Impostazioni avanzate stampante
    FIG 3 - Impostazioni avanzate stampante
  • Cliccare sul link La stampante che voglio non è elencata.
    La stampante che voglio non è elencata
    FIG 4 - La stampante che voglio non è elencata
  • Selezionare l'opzione Aggiungi stampante locale o di rete con impostazioni manuali e cliccare su Avanti.
    Aggiungi stampante locale o di rete con impostazioni manuali
    FIG 5 - Aggiungi stampante locale o di rete con impostazioni manuali
  • Trattandosi solo di un esempio, lasciamo l'impostazione di default e clicchiamo su Avanti.
    Imposta porta stampante
    FIG 6 - Imposta porta stampante
  • Come produttore lasciamo Generic e come stampante selezioniamo Generic IBM Graphics 9pin, quindi click su Avanti per proseguire.
    Generic IBM Graphics 9pin
    FIG 7 - Generic IBM Graphics 9pin
  • Come nome da assegnare alla stampante lasciamo quello proposto e proseguiamo cliccando su Avanti.
    Nome stampante
    FIG 8 - Nome stampante
  • Nella schermata successiva lasciamo attiva l'opzione Condividi la stampante per consentire agli altri utenti della rete locale di trovarla e utilizzarla, prendiamo visione del Nome della condivisione e clicchiamo su Avanti.
    Condivisione stampante
    FIG 9 - Condivisione stampante
  • Lasciare attiva l'opzione Imposta come stampante predefinita e cliccare su Fine.
    Imposta come stampante predefinita
    FIG 10 - Imposta come stampante predefinita


Per rendere più semplice la mappatura della stampante rendiamola visibile in Active Directory.
  • Cliccare su Dispositivi e stampanti.
    Dispositivi e stampanti
    FIG 11 - Dispositivi e stampanti
  • Cliccare con il tasto destro del mouse sulla stampante e selezionare Proprietà stampante.
    Proprietà stampante
    FIG 12 - Proprietà stampante
  • Selezionare la scheda Condivisione e spuntare la voce Pubblica nell'elenco in linea quindi cliccare su OK.
    Pubblica nell'elenco in linea
    FIG 13 - Pubblica nell'elenco in linea

Il prossimo passo consiste nel fare in modo che la stampante venga mappata dagli altri utenti.


Creazione GPO
  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 14 - Server Manager
  • Cliccare, con il tasto destro del mouse, sul dominio mycompany.local e selezionare Crea un oggetto Criteri di gruppo in questo domino e crea qui un collegamento.
    Crea un oggetto Criteri di gruppo
    FIG 15 - Crea un oggetto Criteri di gruppo
  • Nell'apposita casella digitare il nome da assegnare al nuovo criterio di gruppo GPO_Configurazione_Stampante e cliccare su OK.
    Nuovo oggetto Criteri di gruppo
    FIG 16 - Nuovo oggetto Criteri di gruppo
  • Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare, dal menu contestuale, Modifica.
    Modifica criterio di gruppo
    FIG 17 - Modifica criterio di gruppo
  • Posizionarsi su Configurazione utente->Preferenze->Impostazioni del Pannello di controllo->Stampanti.
    GPO Stampanti
    FIG 18 - GPO Stampanti
  • Cliccare, con il tasto destro del mouse, in un punto vuoto sul pannello sulla destra della finestra. Dal menu contestuale selezionare Nuovo->Stampante condivisa.
    GPO Stampante condivisa
    FIG 19 - GPO Stampante condivisa
  • Nella finesra Nuove proprietà stampante condivisa, cliccare sul pulsante con i 3 puntini.
    Nuove proprietà stampante condivisa
    FIG 20 - Nuove proprietà stampante condivisa
  • Selezionare la stampante desiderata (nel caso siano presenti più stampanti la finestra ci consente di effettuare una ricerca in Active Directory) e cliccare su OK per ritornare alla schermata precedente.
    Trova ricerca personalizzata
    FIG 21 - Trova ricerca personalizzata
  • Cliccare su OK per terminare la configurazione del criterio di gruppo.
    Nuove proprietà stampante condivisa
    FIG 22 - Nuove proprietà stampante condivisa

Terminata la creazione del Criterio di gruppo, gli utenti che eseguiranno il logon su una postazione del dominio si ritroveranno la stampante configurata.





lunedì 29 giugno 2020

Windows Server 2019: Creare una cartella locale e copiare file tramite GPO

Via Group Policy è possibile creare una cartella su una workstation e copiarvi all'interno alcuni file. Tale operazione può essere utile, ad esempio, nel caso in cui sulle postazioni sia installato un software che richiede la presenza di alcuni file esterni per funzionare correttamente o semplicemente quando si intende mettere a disposizione degli utenti dei file in locale sulla postazione. Vediamo come creare la policy adatta al nostro scopo.
  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 1 - Server Manager
  • Cliccare, con il tasto destro del mouse, sull'unità organizzativa per la quale si intende creare la policy. Se si intende creare un'oggetto Group Policy che agisca su tutte le workstation, cliccare con il tasto destro del mouse sul dominio mycompany.local quindi, dal menu contestuale, selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
    Gestione Criteri di gruppo
    FIG 2 - Gestione Criteri di gruppo
  • Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_CopiaFile e cliccare su OK.
    Nuovo oggetto Criteri di gruppo
    FIG 3 - Nuovo oggetto Criteri di gruppo
  • Cliccare con il tasto destro del mouse, sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
    Modifica oggetto Criteri di gruppo
    FIG 4 - Modifica oggetto Criteri di gruppo
  • Posizionarsi su Configurazione utente\Preferenze\Impostazioni di Windows\Cartelle.
    GPO, Impostazioni di Windows, Cartelle
    FIG 5 - GPO, Impostazioni di Windows, Cartelle
  • Cliccare con il tasto destro del mouse in uno spazio vuoto della finestra e selezionare Nuovo quindi Cartella.
    GPO, Nuova cartella
    FIG 6 - GPO, Nuova cartella
  • Nella casella Azione selezionare Crea. In Percorso indicare il percorso e il nome della cartella che dovrà essere creata sulla postazione (ad es. C:\File) quindi cliccare su OK.
    GPO, Nuove proprietà cartella
    FIG 7 - GPO, Nuove proprietà cartella
  • Il prossimo passo consiste nello specificare quali file dovranno essere copiati all'interno della cartella. Cliccare su File.
    GPO, Impostazioni di Windows, File
    FIG 8 - GPO, Impostazioni di Windows, File
  • Cliccare con il tasto destro del mouse, in un punto vuoto della finestra, selezionare Nuovo quindi File.
    GPO, Nuovo file
    FIG 9 - GPO, Nuovo file
  • Anche in questo caso, all'interno della casella Azione, selezionare Crea. All'interno della casella File di origine specificare il nome del file che si intende copiare compreso il percorso (ad es. \\SERVER1DC\Direzione$\Documento.txt). In File di destinazione indicare la cartella locale sulla postazione in cui il file dovrà essere copiato e con quale nome (ad es. C:\File\Documento.txt). Cliccare su OK.
    GPO, Proprietà file
    FIG 10 - GPO, Proprietà file
    Editor Gestione Criteri di gruppo
    FIG 11 - Editor Gestione Criteri di gruppo
Assicurarsi che il file che abbiamo specificato (Documento.txt) sia effettivamente presente all'interno della cartella di origine (\\SERVER1DC\Direzione$) quindi eseguiamo il logon su una workstation appartenente al dominio. Come visibile in FIG 12 sul disco C:\ della postazione è stata creata la cartella con all'interno il file che abbiamo specificato.
Cartella creata e file copiato tramite oggetto Criteri di gruppo
FIG 12 - Cartella creata e file copiato tramite oggetto Criteri di gruppo






mercoledì 24 giugno 2020

Windows Server 2019: Sbloccare un account bloccato

Nell'articolo precedente Windows Server 2019: Usare le Group Policy per impostare le password e blocco account abbiamo visto come usare i Criteri di gruppo per settare la complessità delle password utilizzate dagli utenti e come bloccare gli account a seguito di diversi tentativi di accesso con credenziali errate. 
Con le impostazioni mostrate all'interno dell'articolo, se l'utente sbaglia per 5 volte l'inserimento della password, il sui account verrà bloccato per 30 minuti. Un amministratore di dominio può sbloccare all'istante un'account bloccato tramite l'utilizzo del Centro di amministrazione di Active Directory, tramite Utenti e computer di Active Directory o con l'utilizzo di un comando PowerShell. In questo articolo verranno mostrati tutti e 3 i casi.



Sblocco account bloccato mediante Centro di amministrazione di Active Directory

  • Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
    Windows Server 2019, Centro di amministrazione di Active Directory
    FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory
  • Il modo più veloce di trovare l'account all'interno del dominio senza navigare tra le unità organizzative è quello di utilizzare la Ricerca globale. Digitare il nome dell'utente o il suo account nell'apposita casella e premere Invio.
    FIG 2 - Ricerca Globale
  • Dai risultati della ricerca cliccare 2 volte sull'account desiderato (in alternativa selezionarlo e cliccare sul link Proprietà)
    Risultati Ricerca globale
    FIG 3 - Risultati Ricerca globale
  • Nelle proprietà dell'account bloccato noteremo la presenza di un lucchetto con la scritta Sblocca account (non presente normalmente). Per sbloccare l'account basta cliccare sull'icona o sulla scritta Sblocca account (FIG 4) in modo che il lucchetto si apra (FIG 5) quindi cliccare su OK.
    Sblocca account
    FIG 4 - Sblocca account

    Account sbloccato
    FIG 5 - Account sbloccato



Sblocco account bloccato mediante Utenti e computer di Active Directory

  • Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
    Server Manager, Strumenti, Utenti e computer di Active Directory
    FIG 6 - Server Manager, Strumenti, Utenti e computer di Active Directory
  • Cliccare con il tasto destro del mouse sul dominio mycompany.local e dal menu contestuale selezionare Trova.
    Utente e computer di Active Directory
    FIG 7 - Utente e computer di Active Directory
  • Nell'apposita casella digitare il nome dell'account che si intende ricercare e cliccare su Trova.
    Trova Utenti, contatti e gruppi
    FIG 8 - Trova Utenti, contatti e gruppi
  • Nei risultati della ricerca cliccare due volte sull'account di nostro interesse.
    Risultati ricerca account in AD
    FIG 9 - Risultati ricerca account in AD
  • Nella finestra relative alle Proprietà, posizionarsi sulla scheda Account. Come visibile in FIG 10, accanto alla casella Sblocca account, viene indicato che questo è attualmente bloccato. Selezionare la casella Sblocca account e cliccare su OK per procedere allo sblocco.
    FIG 10 - Sblocca account


Sblocco account bloccato mediante PowerShell

Lo sblocco di un account bloccato può essere eseguito da PowerShell tramite l'utilizzo del cmdlet Unlock-ADAccount

Sintassi
La sintassi del comando è la seguente
Unlock-ADAccount
      [-WhatIf]
      [-Confirm]
      [-AuthType <ADAuthType>]
      [-Credential <PSCredential>]
      [-Identity] <ADAccount>
      [-Partition <String>]
      [-PassThru]
      [-Server <String>]

      [<CommonParameters>]


Parametri
-AuthType 
Specifica il metodo di autenticazione. I valori accettati dal parametro sono:
  • Negotiate oppure 0 (default)
  • Basic oppure 1

-Confirm
Se specificato, tale parametro mostra la richiesta di conferma prima di eseguire il cmdlet.

-Credential
Specifica un'account utente che ha i permessi necessari per eseguire l'operazione. Se omesso viene considerato l'utente corrente che sta eseguendo il comando. Al parametro può essere passato il nome dell'account, come ad es. "utente01" o "Dominio\utente01" oppure può essere passato un'oggetto PSCredential generato dal cmdlet Get-Credential. Se viene specificato un'account utente verrà richiesto di inserire la password all'esecuzione del comando.

-Identity
Specifica un oggetto account in Active Directory.
I valore accettati da questo parametro sono:

  • Distinguished Name
  • GUID (objectGUID)
  • Security Identifier (ObjectSid)
  • SAM account name (SAMAccountName)

-Partition
A tale parametro va passato il Distinguished Name (DN)di una partizione di Active Directory. Specifies the distinguished name of an Active Directory partition. Il cmdlet utilizzerà tale partizione per ricercare l'oggetto specificato dal parametro Identity.

-PassThru

Restituisce un oggetto che rappresenta l'item su cui si sta lavorando. Per impostazione predefinita, il cmdlet non genera alcun output.

-Server

Permette di specificare l'istanza di Active Directory Domain Services a cui connettersi.

-WhatIf
Mostra cosa accadrebbe se venisse eseguito il cmdlet. Il cmdlet non viene eseguito.


Sbloccare l'account
Avviare Windows PowerShell ed eseguire il comando Unlock-ADAccount -Identity:"CN=Giovanni Lubrano Lavadera,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -Server:"Server1DC.mycompany.local"







lunedì 22 giugno 2020

Windows Server 2019: Usare le Group Policy per impostare le password e blocco account

Un elemento fondamentale per la sicurezza di un sistema è la gestione delle credenziali di autenticazione. Lasciare eccessiva libertà agli utenti nella scelta della password da utilizzare non è una buona idea. E' sempre opportuno adottare un'adeguata politica restrittiva che definisca le caratteristiche che la password utente debba possedere per essere accettata (lunghezza minima, caratteri obbligatori, validità minima e massima, divieto di usare una password già utilizzata in precedenza, ecc) inoltre è opportuno prevedere anche il blocco temporaneo dell'account a seguito di diversi tentativi di accesso con credenziali errate (che potrebbero indicare che l'account è sotto attacco da parte di un malintenzionato).
Nell'articolo Windows Server 2019: Impostare la complessità della password tramite Password Settings Object abbiamo visto come fare in modo che la password scelta dagli utenti rispetti alcuni criteri di complessità. Attraverso l'utilizzo dei criteri granulari per le password (FINE-GRAINED password policy) è possibile fare in modo che gli utenti di un dominio abbiano policy relative alle password diverse. In altri termini, è possibile fare in modo, ad esempio, che gli utenti che appartengono al gruppo amministratori di dominio o del reparto IT di un azienda siano obbligati ad usare password più complesse e/o più lunghe degli altri utenti.

In questo articolo vedremo come gestire le password e blocchi degli account del Dominio tramite i Criteri di gruppo.

Per default, in un dominio Windows Server 2012 R2 o successivi, Le impostazioni di default delle password e criteri di gruppo locali sono già impostati all'interno del GPO Default Domain Policy. Vediamo come modificare le impostazioni di default.
  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 1 - Server Manager
  • Espandere il dominio mycompany.local quindi cliccare, con il tasto destro del mouse, su Default Domain Policy e dal menu contestuale selezionare Modifica.
    Gestione Criteri di gruppo
    FIG 2 - Gestione Criteri di gruppo
  • Le impostazioni relative alle password degli account e le policy locali sono memorizzate all'interno della sezione Configurazione computer. Questo significa che indipendentemente da quale utente esegue il logon sul computer, la policy verrà sempre applicata. Posizionarsi su Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni sicurezza\Criteri account (FIG 3). Le due impostazioni che ci interessano in questo articolo sono Criteri password e Criterio di blocco account. Iniziamo con il primo. Cliccare su Criteri password.
    Criteri Default Domain Policy
    FIG 3 - Criteri Default Domain Policy
    Criteri password
    FIG 4 - Criteri password

    In Criteri password troviamo diverse impostazioni (FIG 4).

    Archivia password mediante crittografia reversibile
    Le password sono normalmente memorizzate in una crittografia hash a senso unico. Questo criterio, se attivato, comporta un decadimento della sicurezza e fa in modo che la cifratura sia reversibile. L'impostazione predefinita prevede che il criterio sia disattivato e, generalmente, è sconsigliabile attivarlo tuttavia è necessario attivarlo nel caso in cui si utilizza l'autenticazione Challenge-Handshake Authentication Protocol (CHAP) tramite una connessione di accesso remoto o Servizio autenticazione Internet (IAS, Internet Authentication Service), nonché quando si utilizza l'autenticazione del digest in Internet Information Services (IIS).

    Imponi cronologia delle password
    Questo criterio consente di migliorare la sicurezza garantendo che le vecchie password non vengano riutilizzate continuamente. Il criterio consente di specificare il numero delle nuove password univoche che devono essere associate a un account utente prima che sia possibile riutilizzare una vecchia password. Il valore deve essere compreso tra 0 e 24 (24 è il valore di default nei controller di dominio).

    Le password devono essere conformi ai requisiti di complessità
    Consente di specificare se le password devono essere conformi ai requisiti di complessità.I requisiti di complessità vengono verificati al momento della creazione o della modifica delle password. Se tale criterio è attivato, le password devono soddisfare i seguenti requisiti minimi:
    - Non possono contenere più di due caratteri consecutivi del nome completo dell'utente o del nome dell'account utente.
    - Devono includere almeno sei caratteri.
    - Devono contenere caratteri appartenenti ad almeno tre delle quattro categorie seguenti:
    1. Caratteri maiuscoli dell'alfabeto inglese (A-Z)
    2. Caratteri minuscoli dell'alfabeto inglese (a-z)
    3. Cifre decimali (0-9)
    4. Caratteri non alfabetici, ad esempio !, $, #, % 

    Lunghezza minima password
    Questa impostazione di sicurezza consente di specificare il numero minimo di caratteri delle password per gli account utente. È possibile impostare un valore da 1 a 20 oppure impostare su 0 il numero dei caratteri, per specificare che non è richiesta alcuna password. L'impostazione predefinita nei controller di dominio prevede che la password abbia una lunghezza minima di 7 caratteri.

    Validità massima password
    Questa impostazione di sicurezza specifica il periodo di tempo (in giorni) per cui è possibile utilizzare una password prima che il sistema richieda all'utente di modificarla. È possibile impostare un periodo di validità da 1 a 999 giorni oppure impostare su 0 il numero dei giorni per specificare che le password non hanno scadenza. Se per Validità massima password si specifica un numero da 1 a 999 giorni, il valore di Validità minima password dovrà essere inferiore. Se Validità massima password è 0, per Validità minima password sarà possibile specificare qualsiasi valore compreso tra 0 e 998 giorni. Generalmente si consiglia di utilizzare password con scadenza da 30 a 90 giorni. L'impostazione predefinita prevede la scadenza dopo 42 giorni.

    Validità minima password
    Tale criterio permette di specificare il periodo di tempo (in giorni) per cui è necessario utilizzare una password prima che sia possibile modificarla. È possibile impostare un valore da 1 a 998 giorni oppure impostare su 0 il numero dei giorni per consentire la modifica immediata. Il valore di Validità minima password deve essere minore di quello di Validità massima password, a meno che quest'ultimo non sia impostato su 0 per specificare che le password non hanno scadenza. Se Validità massima password è 0, per Validità minima password sarà possibile specificare qualsiasi valore compreso tra 0 e 998 giorni. Per garantire l'efficacia dell'impostazione Imponi cronologia delle password, impostare Validità minima password su un valore maggiore di 0. Se la validità minima delle password non è configurata, infatti, gli utenti potranno modificare ripetutamente le password finché non potranno riutilizzare le proprie vecchie password preferite. Per default nei controller di dominio il valore è impostato a 1.

  • Cliccare due volte su Validità massima password, nella casella La password scadrà tra inserire 30 giorni (in alternativa indicare il numero di giorni desiderato) e cliccare su OK.
    Validità massima password
    FIG 5 - Validità massima password
  • Posizionarsi su Criterio di blocco account (Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni sicurezza\Criteri account\Criterio di blocco account).
    Criterio di blocco account
    FIG 6 - Criterio di blocco account
  • In Criterio di blocco account troviamo 3 impostazioni

    Blocca account per
    L'impostazione Blocca account per specifica il numero di minuti per cui un account bloccato deve rimanere bloccato prima di essere sbloccato automaticamente. È possibile impostare un intervallo da 0 a 99.999 minuti. Se la durata del blocco dell'account viene impostata su 0, l'account rimarrà bloccato finché non verrà esplicitamente sbloccato da un amministratore. Se viene definita l'impostazione Soglia di blocchi dell'account, la durata del blocco dell'account dovrà essere maggiore o uguale all'intervallo di reimpostazione del contatore. Per default l'impostazione non è definita.

    Reimposta contatore blocco account dopo
    Questa impostazione di sicurezza specifica il numero di minuti che deve trascorrere dopo un tentativo di accesso non riuscito prima che il contatore dei tentativi di accesso non riusciti venga reimpostato su 0. È possibile impostare un intervallo da 1 a 99.999 minuti. Se viene definita l'impostazione Soglia di blocchi dell'account, l'intervallo per la reimpostazione deve essere minore o uguale al valore di Durata blocco account. Anche in questo caso l'impostazione, per default, non è definita.

    Soglia di blocchi dell'account
    Tale impostazioni permette di specificare il numero di tentativi di accesso non riusciti dopo il quale l'account verrà bloccato. Un account bloccato non può essere utilizzato finché non viene ripristinato da un amministratore oppure fino alla scadenza della durata del blocco per l'account. È possibile impostare da 0 a 999 tentativi di accesso non riusciti. Se viene impostato il valore 0, l'account non verrà mai bloccato. Il valore di default di tale impostazione è 0.

  • Cliccare due volte su Blocca account per, selezionare l'opzione Definisci le impostazioni relative al criterio e, nella casella L'account è bloccato per, impostare 30 minuti quindi cliccare su OK.
    Blocca account per 30 minuti
    FIG 7 - Blocca account per 30 minuti
  • Nella finestra di dialogo Cambiamenti ai valori suggeriti, cliccare su OK per valorizzare anche i valori dei criteri Soglia di blocchi dell'account e Reimposta contatori blocco account come indicato nel messaggio.
    Cambimenti ai valori suggeriti
    FIG 8 - Cambimenti ai valori suggeriti
  • Cliccare due volte su Soglia di blocchi dell'account  (dopo al modifica precedente anche tale valore risulta modificato da 0 a 5). Assicurarsi che  l'opzione Definisci le impostazioni relative al criterio sia flaggata e che nella casella L'account verrà bloccato dopo sia inserito il valore 5 (o specificare il valore desiderato) come mostrato in figura, quindi cliccare su OK.
    Soglia di blocchi dell'account
    FIG 9 - Soglia di blocchi dell'account
  • Cliccare due volte su Reimposta contatore blocco account dopo (dopo al modifica precedente anche tale criterio viene attivato e impostato a 30 minuti). Assicurarsi che  l'opzione Definisci le impostazioni relative al criterio sia flaggata e che nella casella Reimposta contatore blocco account dopo sia indicato 30 minuti (o specificare il valore desiderato) come mostrato in figura, quindi cliccare su OK.
    Reimposta contatore blocco account
    FIG 10 - Reimposta contatore blocco account

Con le impostazioni sopra indicate, se un utente sbaglia per 5 volte l'inserimento della password durante il logon (o sblocco) su un PC del dominio, verrà visualizzato il messaggio mostrato in FIG 11 e l'account utente verrà bloccato per 30 minuti. Lo sblocco può essere comunque forzato da un amministratore di dominio ma questo verrà illustrato nel prossimo articolo.
Account bloccato
FIG 11 - Account bloccato






venerdì 19 giugno 2020

Windows Server 2019: Impostare lo sfondo di Windows tramite GPO

Come anticipato negli articoli precedenti, tramite i Criteri di gruppo è possibile  personalizzare anche le impostazioni del sistema operativo sui computer del dominio. In questo articolo verranno mostrati i passaggi per la creazione di un oggetto Criteri di gruppo che imposti uno sfondo prestabilito (wallpaper) di Windows su tutte le postazioni che appartengono al dominio. La prima operazione da effettuare consiste nel copiare il file contenente l'immagine da mettere come sfondo in una cartella condivisa sul server. Nel nostro caso il file World-Wallpaper.jpg, contenente l'immagine, è stato copiato nella share \\SERVER1DC\Cartella condivisa creata nell'articolo Windows Server 2019: Mappare automaticamente una cartella condivisa.
File contenente l'immagine di sfondo all'interno della cartella condivisa
FIG 1 - File contenente l'immagine di sfondo all'interno della cartella condivisa

La fase successiva consiste nella creazione dell'oggetto Criteri di gruppo:
  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 2 - Server Manager
  • Cliccare, con il tasto destro del mouse, sul dominio mycompany.local quindi dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
    Gestione Criteri di gruppo
    FIG 3 - Gestione Criteri di gruppo
  • Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_Wallpaper e cliccare su OK.
    Nuovo oggetto Criteri di gruppo
    FIG 4 - Nuovo oggetto Criteri di gruppo
  • Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
    Modifica oggetto Criteri di gruppo
    FIG 5 - Modifica oggetto Criteri di gruppo
  • All'interno della sezione Configurazione utente cliccare su Criteri, quindi su Modelli Amministrativi, Desktop e in fine su Active Desktop.
    Editor Gestione Criteri di gruppo
    FIG 6 - Editor Gestione Criteri di gruppo
  • Cliccare due volte su Sfondo del desktop.
    FIG 7 - Oggetto Criteri di gruppo, Sfondo del desktop
  • Nella finestra Sfondo del desktop selezionare l'opzione Attivata e all'interno della casella Nome sfondo indicare il percorso e il nome del file contenente l'immagine di sfondo (nel nostro caso \\SERVER1DC\Cartella condivisa\World-Wallpaper.jpg) quindi cliccare su OK.
    Impostazione sfondo desktop tramite Criteri di gruppo
    FIG 8 - Impostazione sfondo desktop tramite Criteri di gruppo
Eseguendo il logon su una postazione appartenente al domino visualizzeremo il nuovo sfondo.
Nuovo sfondo impostato tramite GPO su una postazione appartenente al dominio
FIG 9 - Nuovo sfondo impostato tramite GPO su una postazione appartenente al dominio






mercoledì 17 giugno 2020

MS Exchange: Visualizzare le mailbox a cui gli utenti non accedono da oltre 30 giorni utilizzando EMS

Gestendo i server di posta può essere utile, in alcune circostanze, individuare le caselle di posta non più utilizzate. L'operazione può essere eseguita tramite Exchange Management Shell (EMS).

Ad esempio, per individuare le caselle di posta a cui gli utenti non accedono da oltre 30 giorni è possibile eseguire il seguente comando da EMS

Get-Mailbox –RecipientType 'UserMailbox' -ResultSize UNLIMITED| Get-MailboxStatistics | Sort-Object LastLogonTime | Where {$_.LastLogonTime –lt ([System.DateTime]::Now).AddDays(-30) } | Format-Table DisplayName, LastLogonTime

Mailbox inutilizzate
FIG 1 - Mailbox inutilizzate