PowerShell: Individuare e cancellare gli account utente inutilizzati presenti in Active Directory

Lo script che verrà mostrato in quest'articolo consente di ricercare, all'interno di Active Directory, tutti gli account utente non utilizzati (in base alle condizioni specificate). La ricerca viene eseguita utilizzando il cmdlet Get-ADUser. I risultati saranno salvati all'interno di un file CSV e, con una semplice modifica (assegnando alla variabile $remove_unused_account il valore $true), sarà possibile fare in modo che gli account inutilizzati trovati vengano automaticamente eliminati da Active Directory (mediante il cmdlet Remove-ADUser).

Lo script può essere scaricato dal seguente link e le istruzioni sono ampiamente documentate  dalle righe di commenti.

DOWNLOAD

FIG 1 - Account utente inutilizzati

Windows Server 2019: Utilizzo di Windows Admin Center

Tramite Windows Admin Center è possibile gestire le seguenti funzioni:

Visualizzazione informazioni generali e utilizzo delle risorse

- Gestione delle App installate;

- Gestione dei certificati;

- Gestione di dispositivi;

- Gestione dell'archiviazione;

- Visualizzatore eventi;

- Esplora file;

- Gestione firewall;

- Configurazione di utenti e gruppi locali;

- Impostazioni di rete;

- Visualizzazione/completamento di processi e creazione di dump di processo;

- Modifica del Registro di sistema;

- La gestione delle attività pianificate;

- Gestione dei servizi Windows;

- Attivazione/disattivazione ruoli e funzionalità;

- Gestione delle macchine virtuali Hyper-V e commutatori virtuale;

- Gestione di Replica di archiviazione;

- Gestione degli aggiornamenti di Windows;

- Console di PowerShell;

- Connessione Desktop remoto.

Quando viene avviato Windows Admin Center la prima volta, l'unica postazione gestibile risulta quella locale. 

FIG 1 - Windows Admin Center, computer locale

Cliccando sul nome della postazione verranno visualizzate informazioni generali relativamente alla macchina come il sistema operativo installato, il tipo di processore, la quantità di RAM, capacità disco, utilizzo CPU/memoria/connessione di rete ecc.

FIG 2 - Windows Admin Center, Informazioni generali

Sulla sinistra sono presenti altri strumenti che ci consentono di visualizzare e gestire altri aspetti del PC, ad esempio cliccando su Archiviazione vengono visualizzate le informazioni relative ai dischi, volumi e condivisioni.

FIG 3 - Windows Admin Center, Archiviazione

Aggiungere un nuovo computer/server da gestire con Windows Admin Center

• Per aggiungere un nuovo computer/server da gestire, nella home page di Windows Admin Center cliccare su Aggiungi.
  

  

  FIG 4 - Windows Admin Center, Aggiungi

• In Aggiungi risorse possiamo scegliere tra diverse risorse da aggiungere tra cui Windows Server, PC Windows, Cluster di Windows Server e Macchina virtuale di Azure. Cliccare sul pulsante Aggiungi relativo a Windows Server.
  

  

  FIG 5 - Windows Admin Center, Aggiungi risorse

• Nella casella Nome Server digitare il nome del server che si intende gestire (ad es. Server1DC), attendere che il nome del server venga trovato quindi cliccare sul tasto Aggiungi.
  

  

  FIG 6 - Windows Admin Center, Aggiungi server

• Adesso nella schermata principale di Windows Admin Center troveremo anche il server appena aggiunto. Clicchiamo sul link per visualizzare le informazioni relative al server e le operazioni che possiamo eseguire.
  

  

  FIG 7 - Windows Admin Center, Informazioni generali server

  
  

  

  FIG 8 - Windows Admin Center, Panoramica informazioni

Creare una cartella condivisa su server tramite Windows Admin Center

Come esempio di utilizzo di Windows Admin Center supponiamo di voler creare una cartella condivisa sul server Server1DC e fare n modo che solo gli utenti del gruppo Marketing (GRP_MArketing) possano accedervi.

• Dalla schermata principale di Windows Admin Center cliccare sul link relativo al server Server1DC.
  

  

  FIG 9 - Windows Admin Center, Informazioni generali server

• Cliccare sullo strumento File. Selezionare il disco C:\ e cliccare su Nuova cartella.
  

  

  FIG 10 - Windows Admin Center, File

• Nell'apposita casella inserire il nome da assegnare alla nuova cartella, ad es Marketing, e cliccare su Invia.
  

  

  FIG 11 - Windows Admin Center, File, Nuova cartella

• Selezionare la cartella appena creata e cliccare su Altro quindi selezionare Condividi.
  

  

  FIG 12 - Windows Admin Center, Condividi cartella

• Nella casella Nome utente o gruppo digitare il nome del gruppo che si intende abilitare, nel nostro caso GRP_Marketing, e cliccare su Aggiungi.
  

  

  FIG 13 - Windows Admin Center, Aggiungi gruppo alla condivisione

• Selezionare il gruppo appena aggiunto alla condivisione, cliccare su Read e selezionare Read/Write per assegnare i permessi di lettura/scrittura al gruppo.
  

  

  FIG 14 - Windows Admin Center, Autorizzazioni condivisione cartella

  
  
• Cliccare su Invia per applicare la modifica.
  
• Come è possibile vedere in FIG 15, la procedura è stata completata con successo. Abbiamo creato una cartella e condivisa ad uno specifico gruppo da remoto senza doverci collegare sul server.
  

  

  FIG 15 - Windows Admin Center, Aggiornamento cartella condivisa

Windows Server 2019: Installare Windows Admin Center

Negli articoli precedenti abbiamo lavorato, in prevalenza, direttamente sul server Domain Controller utilizzando gli strumenti forniti insieme al sistema operativo Windows Server 2019. Non si tratta di uno scenario ideale. Generalmente l'amministrazione dei server e dei computer all'interno del dominio viene gestita, tramite appositi strumenti, da una macchina remota. In quest'articolo vedremo come installare e configurare Windows Admin Center su una postazione Windows 10.

Windows Admin Center è uno strumento di gestione basato su browser e distribuito localmente, che consente di gestire i server Windows senza dipendenze cloud o Azure. Windows Admin Center offre il controllo completo su tutti gli aspetti dell'infrastruttura server ed è particolarmente utile per la gestione dei server su reti private non connesse a Internet. Rappresenta l'evoluzione di diversi strumenti inclusi nel sistema operativo server (come ad esempio Server Manager e MMC) e si integra con System Center.

Un aspetto da tenere in considerazione è che Windows Admin Center integra e non sostituisce gli strumenti di amministrazione remota del server (RSAT) dal momento che ruoli come Active Directory, DHCP, DNS e IIS non hanno ancora funzionalità di gestione equivalenti visibili in tale strumento.

FIG 1 - Windows Admin Center

Windows Admin Center può essere installato in Windows 10 (versione 1709 o successive), in esecuzione in modalità desktop oppure, su un server che esegue Windows Server 2016 o versioni successive, può essere installato in modalità gateway permettendo l'accesso mediante un Web browser da un computer Windows 10.  Windows Admin Center può essere utilizzato per gestire sistemi Windows 10, Windows Server 2008 R2 (gestione limitata), Windows Server 2012 e versioni successive.

Installazione Windows Admin Center

• Accedere alla postazione Windows 10 con un account amministratore.Dal sito Microsoft posizionarsi sulla pagina relativa al download di Windows Admin Center (https://www.microsoft.com/it-IT/evalcenter/evaluate-windows-admin-center) e cliccare sul pulsante Continua.
  

  

  FIG 2 - Download Windows Admin Center

• Compilare i campi richiesti e cliccare nuovamente sul pulsante Continua per avviare il download del file MSI.
  

  

  FIG 3 -Download Windows Admin Center

• Terminato il download eseguire un doppio click sul file scaricato per avviare l'installazione.
• Selezionare la casella Accetto le condizioni e cliccare su Avanti.
  

  

  FIG 4 - Condizioni Licenza Windows Admin Center

• Nella schermata successiva selezionare Utilizza Microsoft Update per verificare la disponibilità di aggiornamenti e cliccare su Avanti.
  

  

  FIG 5 - Windows Admin Center, Microsoft Update

• Viene mostrata una finestra informativa come quella mostrata in FIG 6, cliccare su Avanti.
  

  

  FIG 6 - Informazioni Windows Admin Center

• In tale schermata è possibile specificare una porta per la connessione al sito Windows Admin Center diversa da quella proposta di default (porta 6516). Selezionare le caselle Consenti a Windows Admin Center di modificare le impostazioni host attendibili di questo computer e Crea un collegamento sul desktop per avviare Windows Admin Center quindi cliccare su Installa.
  

  

  FIG 7 - Windows Admin Center, Installa

• Al termine dell'installazione apparirà la finestra mostrata in FIG 8. Selezionare la casella Apri Windows Admin Center e cliccare su Fine.
  

  

  FIG 8 - Windows Admin Center, Fine installazione

• Al primo avvio viene richiesto di installare il certificato. Installare il certificato proposto cliccando su OK.
  

  

  FIG 9 - Windows Admin Center, Installazione certificato

• Come visibile dalla FIG 10, la momento possiamo gestire solo la postazione locale.
  

  

  FIG 10 - Avvio Windows Admin Center

Creare una pen drive avviabile tramite Ventoy

Prima di poter installare un sistema operativo su una macchina è necessario preparare il supporto da utilizzare per l'operazione (generalmente un DVD o una pen drive USB). L'utilizzo di una pen drive USB è preferibile sotto diversi aspetti come versatilità, capienza, velocità nell'installazione, ingombro, ecc. Esistono diversi tool (Rufus, Etcher, FlashBoot, UNetbootin, Universal USB Installer) che, partendo da un'immagine del sistema operativo (ISO, IMG, ecc), consentono di preparare una pen drive avviabile da utilizzare per l'installazione. In questo articolo parlerò di Ventoy, un tool open source che adotta una strategia diversa da quella dei tool sopra citati. Diversamente dagli altri software, Ventoy non estrae i file di un sistema operativo sulla pen drive rendendola avviabile ma permette di copiare direttamente l'immagine ISO/WIM/IMG/VHD(x)/EFI sulla chiavetta. Nel caso di più immagini all'avvio il programma visualizza un menu di boot come quello mostrato in FIG 1 che consente di selezionare quella che si intende avviare.

FIG 1 - Schermata di Boot di Ventoy

Il tool può essere scaricato dal sito ufficiale www.ventoy.net dove, oltre ai file binari per il nostro sistema, troviamo il codice sorgente e la documentazione con relativo elenco di immagini già testate (nel momento in cui scrivo oltre 560).

FIG 2 - Sito ventoy.net

La preparazione della pen drive è molto semplice. Scaricando la versione per Windows basterà scompattare il file e avviare l'eseguibile Ventoy2Disk.exe (FIG 3). Una volta selezionata la pen drive da rendere avviabile, cliccare sul pulsante Install e attendere che l'operazione venga completata. A questo punto non resterà che copiare (spazio permettendo) le immagini ISO/WIM/IMG/VHD(x)/EFI dei sistemi operativi che vogliamo poter installare avviando i PC dalla chiavetta USB.

FIG 3 - Ventoy2Disk

Windows Server 2019: Backup e ripristino oggetti Criteri di gruppo

Negli articoli precedenti abbiamo visto come creare gli oggetti criteri di gruppo e relativi collegamenti; mentre il collegamento viene creato all'interno della posizione prescelta, l'oggetto criteri di gruppo vero e proprio viene creato e salvato all'interno del container Oggetti Criteri di gruppo. In questo articolo viene mostrato come rimuovere un collegamento, un oggetto criteri di gruppo e come effettuare un backup e ripristino di tutti gli oggetti.

FIG 1 - Container Oggetti Criteri di gruppo

Rimuovere il collegamento ad un oggetto Criteri di gruppo

Quando si rimuove un collegamento ad un oggetto criterio di gruppo non viene rimosso l'oggetto stesso che rimane ancora presente all'interno del container. Nell'articolo Windows Server 2019: Installare software tramite i Criteri di gruppo (GPO) abbiamo creato l'oggetto Criteri di gruppo GPO_ChromeSetup. Rimuoviamo il collegamento a tale oggetto:

• Avviare lo strumento Gestione Criteri di gruppo, cliccare con il tasto destro del mouse sul collegamento GPO_GoogleChrome presente in mycompany.local e selezionare Elimina.
  

  

  FIG 2 - Elimina collegamento a GPO

• Come visibile dalla FIG 3 un messaggio ci chiede se siamo certi di voler eliminare il collegamento e ci informa che l'oggetto Criteri di gruppo non verrà eliminato. Rispondere affermativamente al messaggio cliccando su OK.
  

  

  FIG 3 - Conferma elimina GPO

• Posizioniamoci sul container Oggetti Criteri di gruppo. Noteremo che l'oggetto GPO_ChromeSetup , come atteso, non è stato eliminato.
  

  

  FIG 4 - Oggetti Criteri di gruppo

• Possiamo ripristinare il collegamento trascinando l'oggetto nella UO desiderata o, in alternativa, possiamo cliccare sull'oggetto con il tasto destro del mouse, selezionare Copia quindi cliccare, sempre con il tasto destro, sul container desiderato e selezionare Incolla. Come visibile in FIG 7 viene chiesto di confermare la creazione del collegamento all'oggetto. Cliccare su OK per confermare l'operazione.
  

  

  FIG 5 - Copia GPO

  

  FIG 6 - Incolla GPO

  

  FIG 7 - Conferma Creazione collegamento a GPO

Disabilitare collegamento ad un oggetto Criteri di gruppo

Per disabilitare il collegamento ad un oggetto Group Policy basta cliccare, con il tasto destro del mouse, sul collegamento e deselezionare la voce Collegamento abilitato.

FIG 8 - Collegamento abilitato

 

Eliminare un oggetto Criteri di gruppo

Per eliminare definitivamente un criterio di gruppo basta posizionarsi all'interno del container Oggetti Criteri di gruppo, cliccare con il tasto destro sull'oggetto da eliminare e selezionare Elimina. Una finestra di dialogo ci avvisa che, oltre all'oggetto, verranno eliminati tutti i suoi collegamenti (FIG 10) e viene richiesta la conferma prima di proseguire.

FIG 9 - Elimina oggetto Criteri di gruppo

FIG 10 - Conferma eliminazione oggetto Criteri di gruppo

Backup Oggetti Criteri di gruppo

Per effettuare il backup dei criteri di gruppo procedere come indicato di seguito:

• Cliccare, con il tasto destro del mouse sul container Oggetti Criteri di gruppo e selezionare, Esegui backup di tutto.
  

  

  FIG 11 - Backup Oggetti Criteri di gruppo

• Cliccare su Sfoglia e selezionare la cartella in cui effettuare il backup dei criteri di gruppo. Per questioni di sicurezza sarebbe opportuno effettuare il backup in una cartella su un server remoto a cui possono accedere solo gli amministratori del dominio. Nell'apposita casella è possibile anche specificare una descrizione del backup. Cliccare sul pulsante Backup per procedere con l'operazione di salvataggio.
  

  

  FIG 12 - Percorso backup GPO

• Una finestra di dialogo ci avvisa del completamento dell'operazione.
  

  

  FIG 13 - Stato Backup Oggetti Criteri di gruppo

Ripristino Oggetti Criteri di gruppo da backup

Per ripristinare uno o più oggetti criteri di gruppo da un backup:

• Cliccare, con il tasto destro del mouse, sul container Oggetti Criteri di gruppo e selezionare Gestione backup.
  

  

  FIG 14 - Oggetti Criteri di gruppo, Gestione backup

• Verrà aperto il percorso dell'ultimo backup eseguito, in caso contrario cliccare sul pulsante sfoglia e selezionare la cartella dove risiede il backup.
  
• Selezionare l'oggetto o gli oggetti Criteri di gruppo che da ripristinare quindi cliccare su Ripristina.
  

  

  FIG 15 - Ripristina Oggetti Criteri di gruppo

• Una finestra di dialogo ci chiede di confermare l'operazione. Cliccare su Sì.
  

  

  FIG 16 - Richiesta conferma ripristino oggetti Criteri di gruppo

• La finestra di dialogo Ripristino ci informa sullo stato dell'operazione.
  

  

  FIG 17 - Stato Ripristino oggetti Criteri di gruppo

PowerShell: Forzare l'applicazione delle impostazioni criteri di gruppo

Dopo aver creato uno o più criteri di gruppo è necessario attendere i tempi di replica affinché vengano distribuiti e applicati sui server e sui dispositivi. Se si vuole forzare l'aggiornamento dei criteri di gruppo si può utilizzare il cmdlet Invoke-GPUpdate. Se il cmdlet viene lanciato senza parametri aggiorna i criteri utente e computer del computer locale.

Sintassi:

Invoke-GPUpdate

      [-AsJob]

      [-Boot]

      [[-Computer] <String>]

      [[-RandomDelayInMinutes] <Int32>]

      [-Force]

      [-LogOff]

      [-Target <String>]

      [<CommonParameters>]

Invoke-GPUpdate

      [-AsJob]

      [-Boot]

      [[-Computer] <String>]

      [[-RandomDelayInMinutes] <Int32>]

      [-LogOff]

      [-Target <String>]

      [-Sync]

      [<CommonParameters>]

Parametri:

-AsJob

Il parametro esegue il comando come processo in background. 

-Boot

Se specificato provvede a riavviare il computer una volta applicate le group policy.

-Computer

Specifica il computer remoto su cui eseguire l'operazione.

-Force

Forza l'esecuzione del comando senza che venga richiesta conferma all'utente.

-LogOff

Esegue la disconnessione dell'utente corrente una volta applicati i criteri di gruppo.

-RandomDelayInMinutes

Specifica il ritardo, in minuti, che il Task Scheduler attende prima di eseguire un aggiornamento programmato dei criteri di gruppo. Al ritardo specificato viene aggiunto un fattore causale in modo da abbassare il carico di rete.

È possibile specificare un ritardo da 0 minuti ad un massimo di 44640 minuti (31 giorni):

-Sync

Indica che il cmdlet elabora la prossima applicazione delle Group Policy in modo sincrono. L'applicazione delle Group Policy verrà eseguita all'avvio del computer e al logon dell'utente. 

-Target

Per default vengono aggiornati i criteri utente e computer. Con tale parametro è possibile specificare di aggiornare solo i criteri utente o solo i criteri computer.

Il seguente comando consente di aggiornare i criteri di gruppo del computer remoto specificato

Invoke-GPUpdate -Computer "PCDIR001" 

Per aggiornare solo i criteri utente su un computer remoto

Invoke-GPUpdate -Computer "PCDIR001" -Target "User"

Per forzare l'aggiornamento dei criteri di gruppo su un computer remoto

Invoke-GPUpdate -Computer "PCDIR001" -Target "Computer" -Force

FIG 1 - Invoke-GPUpdate

Per aggiornare i criteri di gruppo su tutti i computer di una specifica OU possiamo creare un semplice script come quello riportato di seguito che aggiorna i criteri di gruppo dei computer presenti all'interno dell'unità organizzativa Direzione all'interno del dominio mycompany.local.

Get-ADComputer –filter * -Searchbase "ou=Direzione,dc=mycompany,dc=local" | foreach{ Invoke-GPUpdate –computer $_.name -force}