mercoledì 12 ottobre 2022

Windows 10: Attivare l’account di amministratore nascosto

L'account di amministratore predefinito del sistema è un account nascosto creato automaticamente dal sistema operativo. Tale account gode di privilegi persino superiori rispetto ad un normale account di amministrazione pertanto viene tenuto normalmente disabilitato. Per poter sfruttare tale account in caso di necessità, bisogna prima attivarlo:
  • Aprire una finestra del Prompt dei comandi o di PowerShell come amministratore
  • Digitare il seguente comando seguito da invio
    net user administrator /active:yes
    Attivare l'account Administrator
    FIG 1 - Attivare l'account Administrator

  • Per utilizzare l'account amministratore appena attivato, disconnettersi dal sistema per ritornare alla finestra di autenticazione
  • Nell’angolo inferiore sinistro sarà disponibile un nuovo utente (Administrator). Selezionarlo e cliccare su Accedi (l'account non è protetto da password).
    Windows 10, Utente Administrator
    FIG 2 - Windows 10, Utente Administrator


Per disattivare nuovamente l'account basterà eseguire, da una finestra terminale avviata come amministratore, il comando 
net user administrator /active:no




mercoledì 28 settembre 2022

PowerShell: Creare un collegamento per connessione dispositivi Bluetooth

Nell'articolo PowerShell: Creare un collegamento è stato mostrato come creare un collegamento sul desktop ad un'applicazione utilizzando PowerShell. Modificando lo script PowerShell possiamo creare un collegamento sul desktop per la connessione/disconnessione dei dispositivi Bluetooth. Lo script sarà del tipo mostrato di seguito

 # Individua la cartella Desktop in cui creare il collegamento   
 $desktop = [Environment]::GetFolderPath('Desktop')  
 # Specifica il nome del collegamento "bluetooth.lnk" che verrà creato sul desktop   
 $path = Join-Path -Path $desktop -ChildPath 'bluetooth.lnk'  
 # Crea un oggetto WScript.Shell da utilizzare per la creazione del collegamento   
 $shell = New-Object -ComObject WScript.Shell  
 # Prepara il collegamento sul desktop indicando il percorso e nome  
 $shortcut = $shell.CreateShortcut($path)  
 # Specifica il Target, in questo caso l'applicazione da avviare   
 $shortcut.TargetPath = 'explorer.exe'  
 # Specifica gli argomenti da passare ad explorer.exe  
 $shortcut.Arguments = 'ms-settings-connectabledevices:devicediscovery'  
 # Assegna al collegamento l'icona bluetooth  
 $shortcut.IconLocation = 'fsquirt.exe,0'  
 # Salva il collegamento   
 $shortcut.Save()  
PowerShell Link Bluetooth
FIG 1 - PowerShell Link Bluetooth


martedì 27 settembre 2022

PowerShell: Modificare la data di scadenza di una password in Active Directory

Un metodo per prolungare  il periodo di tempo in cui un utente può mantenere la propria password consiste nell'impostare l'attributo pwdLastSet sulla data corrente. 
Di seguito i comandi che permettono di prolungare la scadenza della password su un account specificato: 

 $Username = (Read-Host -Prompt "Username")   
 Set-ADUser -Identity $Username -Replace @{pwdLastSet=-1}  


Attributo pwdLastSet in Active Directory
FIG 1 - Attributo pwdLastSet in Active Directory





lunedì 26 settembre 2022

PowerShell: Forzare il cambio password per tutti gli utenti appartenenti ad una UO

Per forzare la reimpostazione della password da parte degli utenti appartenenti ad una specifica UO è possibile farlo in blocco utilizzando i cmdlet Get-ADUser e Set-ADUser.
Il comando mostrato di seguito utilizza un filtro per ottenere gli utenti appartenenti all'unità organizzativa (UO) "Direzione" e, tramite pipe, per ciascun account viene impostata l'opzione Cambiamento obbligatorio password.
 Get-ADUser -Filter * -SearchScope OneLevel -SearchBase "OU=Direzione,DC=mycompany,DC=local" | Set-ADUser -ChangePasswordAtLogon $true  
Per agire anche sulle UO sottostanti basta modificare il paramentro -SearchScope passandogli il valore Subtree
 Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Direzione,DC=mycompany,DC=local" | Set-ADUser -ChangePasswordAtLogon $true  
PowerShell, ChangePasswordAtLogon
FIG 1 - PowerShell, ChangePasswordAtLogon

Utenti e computer di Active Directory, Cambiamento obbligatorio password
FIG 2 - Utenti e computer di Active Directory, Cambiamento obbligatorio password




domenica 25 settembre 2022

PowerShell: Nessuna scadenza password per un account in Active Directory

Per fare in modo che la password di un account in Active Directory non abbia scadenza, è possibile utilizzare il cmdlet Set-ADUser insieme al parametro -PasswordNeverExpires.
Il comando sarà simile a
Set-ADUser -Identity <utenza> -PasswordNeverExpires $true
dove al posto di <utenza> va specificato l'account in AD su cui si intende agire.

Se il comando va integrato all'interno di uno script, è possibile fare in modo che ad ogni esecuzione venga richiesto di specificare l'account in AD a cui disabilitare la scadenza della password. Ad esempio è possibile creare uno script con le seguenti istruzioni
 $User = (Read-Host -Prompt "Username")  
 Set-ADUser -Identity $User -PasswordNeverExpires $true  
   
Andando a verificare in Utenti e computer di Active Directory, dopo aver eseguito il comando, vedremo che per l'account specificato è stata attivata la voce Nessuna scadenza password.
Active Directory, Nessuna scadenza password
FIG 1 - Active Directory, Nessuna scadenza password






venerdì 23 settembre 2022

PowerShell: Modificare le proprietà di logon di un servizio

Per modificare le proprietà di logon di un servizio tramite PowerShell, si utilizzano i cmdlet Get-Credential e Set-Service

Il codice illustrato in questo articolo andrà a modificare il servizio AppReadiness (Preparazione app) che consente di preparare le app per l'utilizzo al primo accesso dell'utente al PC e all'aggiunta di nuove app. Il servizio viene eseguito di default utilizzando l'account Local System. Attraverso i seguenti comandi PowerShell faremo in modo che il servizio venga eseguito con un account da noi specificato (le credenziali ci verranno richieste tramite Get-Credential).
 $credenziali = Get-Credential  
 Set-Service -Name "AppReadiness" -Credential $credenziali  
   
Da notare che il  parametro Set-Service -Credential è supportato solo in PowerShell 6 e successivi.




giovedì 22 settembre 2022

PowerShell: Forzare un utente in AD a cambiare password al logon successivo

Per fare in modo che un utente in Active Directory, al successivo logon, modifichi la password si può utilizzare il cmdlet Set-ADUser.

Il comando è molto semplice, basta indicare l'account su cui intervenire e passare al parametro ChangePasswordAtLogon il valore $true (oppure 1). Il comando sarà simile a:
Set-ADUser -Identity Giovanni.Lubrano -ChangePasswordAtLogon $true
Set-ADUser, ChangePasswordAtLogon
FIG 1 - Set-ADUser, ChangePasswordAtLogon

Andando a verificare in Utenti e computer di Active Directory, dopo aver eseguito il comando, vedremo che per l'account specificato è stata attivata la voce Cambiamento obbligatorio password.
Proprietà account in AD
FIG 2 - Proprietà account in AD


Volendo possiamo creare un semplice script che ci richiede l'account su cui forzare il cambio password al logon successivo.
 $User = (Read-Host -Prompt "Username")  
 Set-ADUser -Identity $User -ChangePasswordAtLogon $true