martedì 10 gennaio 2023

MS Outlook: Impedire di aggiungere nuovi dati a un file .pst esistente

Per impedire agli utenti di aggiungere nuovi dati o contenuti a un file .pst esistente, è possibile aggiungete la voce PSTDisableGrow al Registro di sistema e impostate il suo valore ad 1. Per farlo, basta eseguire i seguenti passaggi:
  • Avviare l'Editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
  • Posizionarsi sulla seguente chiave di registro
    HKEY_CURRENT_USER\Software\Microsoft\Office\xx.0\Outlook\PST
    dove al posto xx.0 va indicata la versione di Office (ad es. 15.0 per Office 2013, 16.0 per Office 2016 e 2019);
  • Creare un nuovo valore DWORD (32 bit) e rinominarlo in PSTDisableGrow;
  • Fare clic con il pulsante destro del mouse sulla voce di registro PSTDisableGrow creata e selezionare Modifica;
  • Nella casella di Dati valore, digitare 1 e selezionare OK;
    La voce di registro PSTDisableGrow può essere impostata sui seguenti valori:
    0 - L'utente può aggiungere nuovi elementi a un file .pst esistente. Questo è il valore predefinito.
    1 - Non è possibile aggiungere nuovi contenuti o dati a un file .pst esistente.
    Outlook  PSTDisableGrow
    FIG 1 - Outlook  PSTDisableGrow
PSTDisableGrow può essere impostato anche tramite policy, in tal caso il valore verrà creato al seguente percorso nel registro di sistema:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\xx.0\Outlook\PST

Dopo aver assegnato a PSTDisableGrow  il valore 1, se si tenta di aggiungere un email al file pst verrà visualizzato il messaggio 
"Impossibile spostare gli elementi. Autorizzazione non idonea per eseguire l'operazione".
Impossibile spostare gli elementi
FIG 2 - Impossibile spostare gli elementi




sabato 31 dicembre 2022

Windows 11: Creazione supporto di installazione ed eliminazione verifica requisiti

Ci sono diversi modi per creare un supporto di installazione di Windows 11. In questo articolo verrà mostrato come procedere mediante l'utilizzo del tool Rufus che, oltre a consentire il download direttamente dai server ufficiali di Microsoft dell'immagine ISO aggiornata del sistema operativo, permette di eliminare la verifica dei requisiti consentendo l'installazione di Windows 11 anche su macchine non totalmente compatibili. 

Prima di procedere, procurarsi una pendrive USB di almento 8GB e collegarla al PC. Dato che la procedura andrà a cancellare tutti i dati presenti sulla pendrive, assicurarsi che sia vuota o che non contenga dati importanti. Scaricare la versione più recente di Rufus dal sito ufficiale https://rufus.ie. Il tool è disponibile anche in versione portable che non richiede l'installazione per essere utilizzato.
All'avvio del tool viene mostrata una finestra di dialogo in cui viene chiesto se permettere a Rufus di ricercare aggiornamenti online. Rispondere affermativamente cliccando su (in caso contrario potrebbe non essere disponibile la funzione di download delle ISO).
Rufus, verifica aggiornamenti online
FIG 1 - Rufus, verifica aggiornamenti online

Una volta avviato il tool, il primo passo consiste nel download dell'immagine ISO di Windows 11. Cliccare sull'icona triangolare accanto al pulsante SELEZIONA quindi evidenziare la voce DOWNLOAD.
Rufus, pulsante DOWNLOAD
FIG 2 - Rufus, pulsante DOWNLOAD
Dopo il passaggio precedente il pulsante cambia nome in DOWNLOAD. Cliccare sul pulsante.
Rufus, DOWNLOAD
FIG 3 - Rufus, DOWNLOAD

Dopo qualche secondo verrà visualizzata una finestra di dialogo che consente di scegliere il sistema operativo. Lasciare selezionato Windows 11 e cliccare su Continua.
Rufus, Download immagine ISO
FIG 4 - Rufus, Download immagine ISO

Verrà proposta la release più recente del sistema operativo selezionato. Cliccare su Continua per proseguire.
Download immagine ISO, Release
FIG 5 - Download immagine ISO, Release

Selezionare l'edizione desiderata del sistema operativo quindi cliccare su Continua.
Download immagine ISO, Edizione
FIG 6 - Download immagine ISO, Edizione

Selezionare la lingua desiderata e proseguire cliccando su Continua.
Download immagine ISO, Lingua
FIG 7 - Download immagine ISO, Lingua

A questo punto verrà richiesto di selezionare l'architettura del sistema operativo. A seconda delle caratteristiche della macchina sulla quale si andrà ad installare il sistema operativo, selezionare x64 o x86. Cliccare su Download e specificare il percorso in cui andare a salvare il file ISO.
Download
FIG 8 - Download
File ISO, Salva con nome
FIG 9 - File ISO, Salva con nome

Al termine del download il file ISO sarà già selezionato all'interno del Tool. Cliccare su Avvia per iniziare la preparazione della pendrive.
Avvia preparazione pendrive
FIG 10 - Avvia preparazione pendrive

Prima di copiare i file sulla pendrive, Rufus mostra una finestra di dialogo con diverse opzioni. Per eliminare la verifica dei requisiti effettuata da Windows 11 prima dell'installazione, selezionare l'opzione Remove requirement for 4GB+ RAM, Secure Boot and TPM 2.0. Se non si intende utilizzare Windows 11 con un account online Microsoft, spuntare anche l'opzione Remove requirement for an online Microsoft account. Dopo aver completato la selezione fare clic su OK per avviare la creazione dell’unità.
RUFUS, Modifica Windows User Experience
FIG 11 - RUFUS, Modifica Windows User Experience

Avviando l'installazione dalla pendrive appena creata, l’installer non effettuerà nessuna verifica sui requisiti e passerà direttamente a installare la nuova versione di Windows 11.





sabato 24 dicembre 2022

Linux: Monitorare la velocità di clock dei core del processore

Per monitorare costantemente la velocità di clock dei core del processore basta lanciare, da una finestra Terminale, il comando
watch -n0.2 grep -e MHz -e processor /proc/cpuinfo
Clock dei core della CPU
FIG 1 - Clock dei core della CPU





mercoledì 21 dicembre 2022

MS Outlook: Impedire la connessione di file PST

Per evitare che gli utenti possano collegare un file .pst ad Outlook, aggiungere la voce di registro DisablePST e impostare il valore su 1 procedendo come indicato di seguito:
  • Avviare l'Editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
  • Posizionarsi sulla seguente chiave di registro
    HKEY_CURRENT_USER\Software\Microsoft\Office\xx.0\Outlook
    dove al posto xx.0 va indicata la versione di Office (ad es. 15.0 per Office 2013, 16.0 per Office 2016 e 2019);
  • Creare un nuovo valore DWORD (32 bit) e rinominarlo in DisablePST;
  • Fare clic con il pulsante destro del mouse sulla voce di registro DisablePST creata e selezionare Modifica;
  • Nella casella di Dati valore, digitare 1 e selezionare OK;
    La voce di registro DisablePST può essere impostata sui seguenti valori:
    0 - Gli utenti possono aggiungere file .pst. Questo è il valore predefinito.
    1 - Gli utenti non possono aggiungere file .pst. I file .pst collegati ad Outlook prima dell'aggiunta di questo valore di registro, non verranno disconnessi e resteranno configurati in Outlook. Non sarà possibile aggiungere nuovi file .pst.

    2 Gli utenti possono aggiungere solo file .pst di condivisione esclusiva, come i file .pst di SharePoint.
    Outlook DisablePST
    FIG 1 - Outlook DisablePST


DisablePST può essere impostato anche tramite policy, in tal caso il valore verrà creato al seguente percorso nel registro di sistema:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\xx.0\Outlook





lunedì 19 dicembre 2022

Windows Server: Ruoli FSMO in Active Directory

Qualsiasi controller di dominio autorevole (DC) in Active Directory (AD) può eseguire la creazione, l'aggiornamento e la cancellazione degli oggetti. Questo è possibile perché ogni DC (tranne quelli di sola lettura) mantiene una copia scrivibile della partizione del proprio dominio. Una volta che una modifica viene applicata, essa viene automaticamente comunicata agli altri DC attraverso un processo chiamato replica multi-master. Questo comportamento consente alla maggior parte delle operazioni di essere elaborate in modo affidabile da più controller di dominio fornendo alti livelli di ridondanza, disponibilità e accessibilità in Active Directory.
Tuttavia ci sono alcune operazioni sensibili la cui esecuzione è limitata ad uno specifico controller di dominio, in questi casi Active Directory indirizza tali operazioni a server con una serie speciali di ruoli. Microsoft chiama tali ruoli "ruoli operativi" ma sono più comunemente noti con il loro nome originale: ruoli FSMO (Flexible Single Master Operator).

In Active Directory sono presenti 5 ruoli FSMO assegnati a uno o più controller di dominio:
  • Schema Master
  • Domain Naming Master
  • Infrastructure Master
  • Relative ID (RID) Master
  • PDC Emulator

Schema Master 

Schema Master (o Master dello schema) è un ruolo FSMO di livello enterprise. In una foresta Active Directory esiste un solo Schema Master. Il Domain Controller in Active Directory che ricopre il ruolo di Schema Master è l'unico DC, all'interno della foresta, che contiene una partizione di schema scrivibile e controlla tutti gli aggiornamenti e le modifiche dello schema. Di conseguenza per aggiornare lo schema di una foresta, è necessario avere accesso allo Schema Master. Esempi di azioni che aggiornano lo schema sono l'innalzamento del livello funzionale della foresta e l'aggiornamento del sistema operativo di un DC a una versione superiore a quella presente nella foresta.
Se il Domain Controller con il ruolo di Schema Master dovesse andare offline, l'impatto immediato sarà minimo o nullo. Infatti, a meno che non siano necessarie modifiche allo schema, il ruolo può rimanere offline senza effetti rilevanti. Se il Domain Controller con il ruolo di Schema Master non può essere riportato online è possibile trasferire il ruolo ad altro Domain Controller.

Domain Naming Master

Domain Naming Master (Master per la denominazione dei domini) è un ruolo FSMO di livello enterprise. Nell'intera foresta può essere presente un solo master per la denominazione dei domini. Il controller di dominio master per la denominazione dei domini è l'unico controller di dominio, in una foresta Active Directory, in grado di aggiungere e rimuovere domini nella foresta. Nel caso in cui il Domain Controller che ricopre tale ruolo dovesse andare offline, l'impatto operativo sarebbe minimo o nullo, poiché l'aggiunta e la rimozione di domini e partizioni sono operazioni eseguite di rado e sono raramente critiche dal punto di vista temporale.

Infrastructure Master

L'Infrastructure Master (Master dell'infrastruttura) è un ruolo a livello di dominio; in ogni dominio può essere presente un solo controller di dominio che funge da master dell'infrastruttura. Il master dell'infrastruttura sincronizza gli oggetti con i server del catalogo globale (global catalog) ed è responsabile dell'aggiornamento dei riferimenti da oggetti nel relativo dominio a oggetti in altri domini. L'Infrastructure Master confronta i propri dati con quelli di un server del catalogo globale e riceve dal server del catalogo globale tutti i dati non presenti nel proprio database. Se tutti i DC di un dominio sono anche server del catalogo globale, tutti i DC disporranno di informazioni aggiornate (supponendo che la replica sia funzionale). In questo scenario, la posizione del ruolo Infrastructure Master è irrilevante, poiché non ha alcun lavoro da svolgere.
Il ruolo Infrastructure Master è anche responsabile della gestione degli oggetti fantasma. Gli oggetti fantasma sono utilizzati per tracciare e gestire i riferimenti persistenti agli oggetti eliminati e agli attributi con valore di collegamento che si riferiscono a oggetti in un altro dominio della foresta (ad esempio, un gruppo di sicurezza del dominio locale con un utente membro di un altro dominio).

Il ruolo può essere installato su qualsiasi controller di dominio in un dominio. Nel caso in cui la foresta Active Directory includa DC che non siano global catalog allora il ruolo va installato su uno di questi DC. La perdita del DC che possiede il ruolo di Infrastructure Master sarà probabilmente percepita solo dagli amministratori e potrà essere tollerata per un periodo prolungato. Sebbene la sua assenza comporti la mancata risoluzione corretta dei nomi dei collegamenti di oggetti cross-domain, la capacità di utilizzare le appartenenze di gruppo cross-domain non sarà compromessa.

RID Master

Il Relative Identifier Master (RID Master) è un ruolo a livello di dominio; in ogni dominio può essere presente un solo controller di dominio che funge da RID Master. Il RID Master è responsabile dell'elaborazione delle richieste del pool RID da tutti i controller di dominio in un determinato dominio. I pool di RID sono costituiti da un intervallo contiguo univoco di RID, che vengono utilizzati durante la creazione dell'oggetto per generare l'identificativo di sicurezza (SID) unico del nuovo oggetto. Il RID Master è anche responsabile dello spostamento degli oggetti da un dominio all'altro all'interno della foresta.
La perdita del RID Master di un dominio finirà per causare l'impossibilità di creare nuovi oggetti nel dominio, man mano che i pool di RID nei DC rimanenti si esauriscono. Sebbene possa sembrare che l'indisponibilità del DC che detiene il ruolo di RID Master possa causare un'interruzione significativa dell'operatività, negli ambienti maturi l'impatto è solitamente tollerabile per un periodo di tempo considerevole, a causa di un volume relativamente basso di eventi di creazione di oggetti.

PDC Emulator

L'emulatore del controller di dominio primario (PDC Emulator o PDCE) è un ruolo a livello di dominio; può essere presente un solo controller di dominio che funge da master dell'emulatore PDC in ogni dominio della foresta. L'emulatore PDC è un controller di dominio che si annuncia come controller di dominio primario (PDC) per workstation, server membri e controller di dominio che eseguono versioni precedenti di Windows. L'emulatore PDC controlla l'autenticazione all'interno di un dominio, sia Kerberos v5 che NTLM. Quando un utente cambia la password, la modifica viene elaborata dall'emulatore PDC

PDC Emulator è responsabile di diverse operazioni cruciali:
Retrocompatibilità. Il PDCE imita il comportamento single-master di un controller di dominio primario di Windows NT. Per risolvere i problemi di retrocompatibilità, il PDCE si registra come DC di destinazione per le applicazioni legacy che eseguono operazioni scrivibili e per alcuni strumenti amministrativi che non conoscono il comportamento multi-master dei DC di Active Directory.

Sincronizzazione dell'ora. Ogni PDCE funge da sorgente temporale master all'interno del proprio dominio. Il PDCE nel dominio radice della foresta funge da server NTP (Network Time Protocol) preferito nella foresta. Il PDCE di ogni altro dominio della foresta sincronizza il suo orologio con il PDCE radice della foresta; i DC non PDCE sincronizzano i loro orologi con il PDCE del loro dominio e gli host collegati al dominio sincronizzano i loro orologi con il DC preferito. Un esempio dell'importanza della sincronizzazione temporale è l'autenticazione Kerberos: l'autenticazione Kerberos fallisce se la differenza tra l'orologio di un host richiedente e l'orologio del DC di autenticazione supera il massimo specificato (5 minuti per impostazione predefinita); questo aiuta a contrastare alcune attività dannose, come gli attacchi replay.

Aggiornamenti delle password. Quando le password di computer e utenti vengono modificate o reimpostate da un controller di dominio non PDCE, l'aggiornamento impegnato viene immediatamente replicato al PDCE del dominio. Se un account tenta di autenticarsi in un DC che non ha ancora ricevuto una modifica recente della password tramite la replica programmata, la richiesta viene passata al PDCE del dominio, che la elabora e indica al DC richiedente di accettarla o rifiutarla. Questo comportamento garantisce che le password possano essere elaborate in modo affidabile anche se le modifiche recenti non si sono propagate completamente attraverso la replica programmata. Il PDCE è anche responsabile dell'elaborazione dei blocchi degli account, poiché tutte le autenticazioni di password fallite vengono passate al PDCE.

Aggiornamenti dei Criteri di gruppo. Tutti gli aggiornamenti degli oggetti Criteri di gruppo (GPO) sono assegnate al PDCE del dominio. In questo modo si evitano i conflitti di versione che potrebbero verificarsi se una GPO venisse modificata su due DC nello stesso momento.

File system distribuito. Per impostazione predefinita, i server root del file system distribuito (DFS) richiedono periodicamente informazioni aggiornate sullo spazio dei nomi DFS al PDCE. Sebbene questo comportamento possa causare colli di bottiglia nelle risorse, l'attivazione del parametro Dfsutil.exe Root Scalability consentirà ai server root DFS di richiedere gli aggiornamenti dal DC più vicino.

Il PDCE deve essere collocato su un DC ad alta accessibilità, ben collegato e ad alte prestazioni. La perdita del DC che possiede il ruolo PDC Emulator può avere un impatto immediato e significativo sulle operazioni.


Identificare i DC con ruoli FSMO

Per identificare i controller di dominio con ruolo FSMO è possibile procedere tramite il prompt dei comandi o tramite PowerShell.

Dal prompt dei comandi è possibile eseguire il comando
netdom query fsmo /domain:<DomainName>
Ad esempio
netdom query fsmo /domain:mycompany.local
Visualizzare i server DC con ruoli FSMO da prompt dei comandi
FIG 1 - Visualizzare i server DC con ruoli FSMO da prompt dei comandi


Da PowerShell il comando da eseguire è
(Get-ADForest).Domains | ForEach-Object{Get-ADDomainController -Server $_ -Filter {OperationMasterRoles -like "*"}} | Select-Object Domain, HostName, OperationMasterRoles


Visualizzare i server DC con ruoli FSMO da PowerShell
FIG 2 - Visualizzare i server DC con ruoli FSMO da PowerShell





martedì 6 dicembre 2022

PowerShell: Convertire gli ID delle lingue in nomi estesi

Per visualizzare gli ID delle lingue installate nel sistema è possibile procedere tramite PowerShell con comandi del tipo 
 $os = Get-CIMInstance -ClassName Win32_OperatingSystem  
 $os.MUILanguages   
Tali comandi restituiscono l'elenco degli ID relativi ai pacchetti di lingue installate nel sistema operativo come mostrato in FIG 1.
ID Lingue installate
FIG 1 - ID Lingue installate

L'output del comando restituisce un dato di tipo stringa pertanto, per convertire gli ID nei nomi estesi di lingua e paese, basterà eseguire il cast in un oggetto CultureInfo. Ad esempio:
 $os = Get-CIMInstance -ClassName Win32_OperatingSystem  
 [CultureInfo[]]$os.MUILanguages  
In questo modo avremo in output maggiori informazioni tra cui anche il nome esteso della lingua e del paese.
Cast da stringa a CultureInfo
FIG 2 - Cast da stringa a CultureInfo







mercoledì 23 novembre 2022

Windows: Disattivare la protezione in tempo reale dell'Antivirus Microsoft Defender

In alcuni casi può essere utile disattivare, temporaneamente, la protezione in tempo reale dell'Antivirus Microsoft Defender, ad esempio quando un file viene riconosciuto come falso positivo ma di cui siamo certi della sua provenienza.
Nell'articolo PowerShell: Disattivare la protezione in tempo reale dell'Antivirus Microsoft Defender è stato mostrato come eseguire tale operazione tramite PowerShell. Per eseguire la stessa operazione tramite GUI i passaggi da seguire sono i seguenti:
  • Accedere alle Impostazioni di Windows (tramite la combinazione di tasti WIN + I);
  • Cliccare su Aggiornamento e Sicurezza;
    Impostazioni
    FIG 1 - Impostazioni


  • Selezionare la sezione Sicurezza di Windows quindi cliccare su Apri sicurezza di Windows;
    Sicurezza di Windows
    FIG 2 - Sicurezza di Windows

  • Cliccare su Protezione da Virus e minacce;
    Sicurezza in breve
    FIG 3 - Sicurezza in breve

  • Cliccare sul link Gestisci impostazioni;
    Protezione da virus e minacce, Gestisci impostazioni
    FIG 4 - Protezione da virus e minacce, Gestisci impostazioni

  • Disattivare l'opzione Protezione in tempo reale tramite l'apposito slider.

    Impostazioni di Protezione da virus e minacce
    FIG 5 - Impostazioni di Protezione da virus e minacce