lunedì 25 marzo 2024

Windows Server 2022: Gestione Criteri di gruppo. Configurazione computer e Criteri controllo

L'Editor Gestione Criteri di gruppo è uno strumento fondamentale per gli amministratori di sistema che desiderano gestire le impostazioni di sicurezza e configurazione sui sistemi Windows all'interno di un ambiente di rete. 

All'interno della finestra Gestione Criteri di gruppo notiamo due sezioni: Configurazione computer e Configurazione utente.

Editor Gestione Criteri di gruppo
FIG 1 - Editor Gestione Criteri di gruppo


La sezione Configurazione computer contiene le impostazioni che si applicano a livello di macchina. Queste impostazioni influenzano il comportamento del computer indipendentemente dall'utente che vi accede. Esempi comuni di configurazioni di computer includono le politiche di sicurezza, le impostazioni di rete, le restrizioni di accesso e le configurazioni del sistema operativo.
Ad esempio, tramite la Configurazione computer è possibile definire le impostazioni di password complesse, limitare l'accesso a determinati programmi, configurare le opzioni di risparmio energetico e altro ancora. Queste impostazioni sono applicate globalmente a tutti gli utenti che accedono a quel particolare computer.

D'altra parte, la sezione Configurazione utente contiene le impostazioni che si applicano specificamente agli utenti che accedono al sistema. Queste impostazioni riguardano principalmente l'interfaccia utente, le preferenze personali e le restrizioni dell'account utente.
Le impostazioni della Configurazione utente possono includere la configurazione del desktop, le impostazioni del browser, le restrizioni sull'utilizzo di dispositivi di archiviazione esterni e molto altro ancora. Queste impostazioni sono specifiche per ogni utente e si applicano solo quando un utente specifico accede al sistema.

In sintesi le impostazioni della Configurazione computer tendono a riguardare principalmente aspetti sistemici e di sicurezza, mentre quelle della Configurazione utente riguardano l'interfaccia utente e le preferenze personali.


In questo articolo e in quelli successivi verranno trattate prima alcune delle impostazioni della sezione Configurazione computer e, successivamente, verranno mostrate quelle relative alla sezione Configurazione utente

La sezione Impostazioni di Windows presente in Configurazione computer consente di modificare alcune aree della configurazione del sistema. È possibile configurare le impostazioni del Domain Name System (DNS), impostare gli script di avvio e spegnimento, configurare le stampanti e le impostazioni di sicurezza.

Di seguito verrà mostrato come configurare alcune delle impostazioni di sicurezza di base per un computer utilizzando i Criteri controllo.

Da Server Manager cliccare su Strumenti e selezionare Gestione Criteri di gruppo (Group policy management).
Server Manager
FIG 2 - Server Manager

Espandere la foresta cliccando su mycompany.local. Cliccare con il tasto destro del mouse sul nome della foresta (mycompany.local) e selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento. In questo modo andremo a creare un'oggetto Criteri di gruppo che verrà applicato all'intero dominio. Le policy applicate al dominio agiscono su tutte le unità organizzative mentre quelle applicate ad un'unità organizzativa agiscono esclusivamente su quest'ultima e su quelle sottostanti.
Gestione Criteri di gruppo
FIG 3 - Gestione Criteri di gruppo

Assegnare un nome all'oggetto Criteri di gruppo (ad es. Audit_eventi_sistema). Lasciare vuoto Oggetto Criteri di gruppo Starter di origine e fare clic su OK.
Se si desidera creare modelli di GPO per attività amministrative comuni, è possibile crearli nella cartella Oggetti Criteri di gruppo Starter invece che nella cartella degli Oggetti Criteri di gruppo. Ciò consente di sceglierli come origine quando si crea una nuova GPO e di copiare automaticamente le loro impostazioni nella nuova GPO.
Nuovo oggetto Criteri di gruppo
FIG 4 - Nuovo oggetto Criteri di gruppo
Selezionare il criterio di gruppo appena creato e cliccare sul pulsante Aggiungi presente nella sezione Filtri di sicurezza.
GPO Filtri di sicurezza
FIG 5 - GPO Filtri di sicurezza

Nella finestra di dialogo Selezione Utente, Computer o Gruppo cliccare su Tipi di oggetto.
Selezione Utente, Computer o Gruppo
FIG 6 - Selezione Utente, Computer o Gruppo
Selezionare la casella Computer e cliccare su OK.
Tipi di oggetto
FIG 7 - Tipi di oggetto

Nella casella Immettere i nomi degli oggetti da selezionare, digitare il nome dei computer o dei server a cui si intende applicare il criterio di gruppo (ad es. ServerDC2), quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.
Filtri di sicurezza, Computer
FIG 8 - Filtri di sicurezza, Computer
Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare Modifica.
Modifica GPO
FIG 9 - Modifica GPO
Posizionarsi su Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri controllo ed eseguire un doppio click su Controlla eventi di sistema.
Criteri controllo
FIG 10 - Criteri controllo

Selezionare Definisci le impostazioni relative ai criteri, quindi selezionare le caselle Operazioni riuscite e Operazioni non riuscite e cliccare su OK.

Proprietà, Controlla eventi di sistema
FIG 11 - Proprietà, Controlla eventi di sistema

Ripetere i passaggi per i restanti Criteri controllo. Alla fine delle operazioni lo stato dei Criteri controllo sarà quello mostrato in FIG 12.
Criteri controllo
FIG 12 - Criteri controllo




Criteri controllo

I criteri di controllo permettono di configurare le impostazioni di sicurezza di base. Vediamo in dettaglio a cosa serve ciascun criterio.


Controlla accesso agli oggetti
Questa impostazione di sicurezza specifica se il sistema operativo controlla i tentativi di accesso a oggetti non Active Directory. Il controllo viene generato solo per gli oggetti per cui sono stati specificati elenchi di controllo di accesso di sistema (SACL) e solo se il tipo di accesso richiesto, ad esempio in scrittura, lettura o modifica, e l'account che effettua la richiesta corrispondono alle impostazioni definite nell'elenco di controllo di accesso di sistema.   

L'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, entrambi i tipi di eventi oppure di non eseguire alcun controllo.  

Se viene attivato il controllo delle operazioni riuscite, verrà generata una voce di controllo per ogni accesso riuscito a un oggetto non Active Directory dotato di un elenco di controllo di accesso di sistema corrispondente.  

Se viene attivato il controllo delle operazioni non riuscite, verrà generata una voce di controllo per ogni tentativo di accesso non riuscito a un oggetto non Active Directory dotato di un elenco di controllo di accesso di sistema corrispondente.

Si noti che è possibile impostare un elenco di controllo di accesso di sistema su un oggetto del file system utilizzando la scheda Sicurezza della finestra di dialogo Proprietà dell'oggetto.

Impostazione predefinita: Nessun controllo.

Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969.


Controlla accesso al servizio directory
Questa impostazione di sicurezza specifica se il sistema operativo controlla i tentativi di accesso agli oggetti Active Directory. Il controllo viene generato solo per gli oggetti per cui sono stati specificati elenchi di controllo di accesso di sistema (SACL) e solo se il tipo di accesso richiesto, ad esempio in scrittura, lettura o modifica, e l'account che effettua la richiesta corrispondono alle impostazioni definite nell'elenco di controllo di accesso di sistema.  

L'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, entrambi i tipi di eventi oppure di non eseguire alcun controllo.  

Se viene attivato il controllo delle operazioni riuscite, verrà generata una voce di controllo per ogni accesso riuscito a un oggetto Active Directory dotato di un elenco di controllo di accesso di sistema corrispondente.  

Se viene attivato il controllo delle operazioni non riuscite, verrà generata una voce di controllo per ogni tentativo di accesso non riuscito a un oggetto Active Directory dotato di un elenco di controllo di accesso di sistema corrispondente.

Valori predefiniti nelle edizioni client:

  Accesso al servizio directory: Nessun controllo
  Modifiche servizio directory: Nessun controllo
  Replica servizio directory: Nessun controllo
  Replica dettagliata servizio directory: Nessun controllo

Valori predefiniti nelle edizioni server:

  Accesso al servizio directory: Operazioni riuscite
  Modifiche servizio directory: Nessun controllo
  Replica servizio directory: Nessun controllo
  Replica dettagliata servizio directory: Nessun controllo

Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969. 


Controlla eventi accesso account
Questa impostazione di sicurezza specifica se il sistema operativo controlla o meno gli eventi di convalida delle credenziali di un account nel computer in uso.

Gli eventi di accesso account vengono generati ogni volta che un computer convalida le credenziali di un account per cui viene considerato autorevole. I membri di dominio e i computer non aggiunti al dominio sono autorevoli per i rispettivi account locali, mentre i controller di dominio sono tutti autorevoli per gli account del dominio. La convalida delle credenziali può essere effettuata per supportare un accesso locale oppure, nel caso di un account di dominio Active Directory in un controller di dominio, per supportare un accesso a un altro computer. Poiché la convalida delle credenziali è senza stato, per gli eventi di accesso account non è disponibile alcun evento di fine sessione corrispondente. 

Se questa impostazione è definita, l'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, gli eventi con entrambi gli esiti oppure di non eseguire alcun controllo.

Valori predefiniti nelle edizioni client:

  Convalida credenziali: Nessun controllo
  Operazioni ticket di servizio Kerberos: Nessun controllo
  Altri eventi di accesso account: Nessun controllo
  Servizio di autenticazione Kerberos: Nessun controllo

Valori predefiniti nelle edizioni server:

  Convalida credenziali: Operazioni riuscite
  Operazioni ticket di servizio Kerberos: Operazioni riuscite
  Altri eventi di accesso account: Nessun controllo
  Servizio di autenticazione Kerberos: Operazioni riuscite

Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969.


Controlla eventi di accesso
Questa impostazione di sicurezza determina se il sistema operativo controlla o meno ogni singolo evento di accesso o fine sessione nel computer in uso.  
Gli eventi di fine sessione vengono generati ogni volta che la sessione di accesso di un account utente connesso viene terminata. Se questa impostazione è definita, l'amministratore potrà specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, entrambi i tipi di eventi oppure di non eseguire alcun controllo.
Valori predefiniti nelle edizioni client:

  Accesso: Operazioni riuscite
  Fine sessione: Operazioni riuscite
  Blocco account: Operazioni riuscite
  Modalità principale IPsec: Nessun controllo
  Modalità rapida IPsec: Nessun controllo
  Modalità estesa IPsec: Nessun controllo
  Accesso speciale: Operazioni riuscite
  Altri eventi di accesso/fine sessione: Nessun controllo
  Server dei criteri di rete: Operazioni riuscite e non riuscite

Valori predefiniti nelle edizioni server:
  Accesso: Operazioni riuscite e non riuscite
  Fine sessione: Operazioni riuscite
  Blocco account: Operazioni riuscite
  Modalità principale IPsec: Nessun controllo
  Modalità rapida IPsec: Nessun controllo
  Modalità estesa IPsec: Nessun controllo
  Accesso speciale: Operazioni riuscite
  Altri eventi di accesso/fine sessione: Nessun controllo
  Server dei criteri di rete: Operazioni riuscite e non riuscite

Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969.


Controlla eventi di sistema
Questa impostazione di sicurezza specifica se il sistema operativo controlla uno degli eventi seguenti: 

• Tentativo di modifica dell'ora di sistema
• Tentativo di avvio o arresto del sistema di sicurezza
• Tentativo di caricare componenti di autenticazione estendibili
• Perdita di eventi controllati a causa di un errore del sistema di controllo
• Dimensione del registro di sicurezza superiore a un livello soglia di avviso configurabile.

Se questa impostazione è definita, l'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, gli eventi con entrambi gli esiti oppure di non eseguire alcun controllo. 

Se viene attivato il controllo delle operazioni riuscite, verrà generata una voce di controllo ogni volta che il sistema operativo esegue una di queste attività. 

Se viene attivato il controllo delle operazioni non riuscite, verrà generata una voce di controllo ogni volta che il sistema operativo non è in grado di eseguire una di queste attività..

Impostazioni predefinite:
Modifica stato sicurezza  Operazioni riuscite
Estensione stato sicurezza  Nessun controllo
Integrità sistema  Operazioni riuscite e non riuscite
Driver IPsec Driver  Nessun controllo
Altri eventi di sistema  Operazioni riuscite e non riuscite

Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969.


Controlla gestione degli account
Questa impostazione di sicurezza specifica se è necessario controllare ogni singolo evento di gestione degli account in un computer. Esempi di eventi di gestione degli account:
Creazione, modifica o eliminazione di un account utente o di un gruppo.
Ridenominazione, attivazione o disattivazione di un account utente.
Impostazione o modifica di una password.
Se si definisce questa impostazione, sarà possibile specificare se controllare o meno l'esito di un determinato tipo di evento. Se si specifica il controllo delle operazioni riuscite, verrà generata una voce di controllo ogni volta che un evento di gestione degli account riesce. Se si specifica il controllo delle operazioni non riuscite, verrà generata una voce di controllo ogni volta che un evento di gestione degli account non riesce. Per impostare il valore Nessun controllo, nella finestra di dialogo Proprietà di questa impostazione selezionare la casella di controllo Definisci le impostazioni relative ai criteri e deselezionare le caselle di controllo Operazioni riuscite e Operazioni non riuscite.

Valori predefiniti nelle edizioni client:
  Gestione account utente: Operazioni riuscite
  Gestione account computer: Nessun controllo
  Gestione gruppi di sicurezza: Operazioni riuscite
  Gestione gruppi di distribuzione: Nessun controllo
  Gestione gruppi di applicazioni: Nessun controllo
  Altri eventi di gestione account: Nessun controllo

Valori predefiniti nelle edizioni server:
  Gestione account utente: Operazioni riuscite
  Gestione account computer: Operazioni riuscite
  Gestione gruppi di sicurezza: Operazioni riuscite
  Gestione gruppi di distribuzione: Nessun controllo
  Gestione gruppi di applicazioni: Nessun controllo
  Altri eventi di gestione account: Nessun controllo

Importante: per un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969.


Controlla modifica ai criteri
Questa impostazione di sicurezza determina se il sistema operativo controlla o meno ogni singolo tentativo di modifica dei criteri di assegnazione dei diritti utente, dei criteri di controllo, dei criteri degli account o dei criteri di attendibilità. 

L'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, gli eventi con entrambi gli esiti oppure di non eseguire alcun controllo. 
Se viene attivato il controllo delle operazioni riuscite, verrà generata una voce di controllo per ogni tentativo riuscito di modifica dei criteri di assegnazione dei diritti utente, dei criteri di controllo, dei criteri degli account o dei criteri di attendibilità. 

Se viene attivato il controllo delle operazioni non riuscite, verrà generata una voce di controllo per ogni tentativo di modifica dei criteri di assegnazione dei diritti utente, dei criteri di controllo, dei criteri degli account o dei criteri di attendibilità effettuato da un account non autorizzato a eseguire la modifica richiesta.

Impostazioni predefinite:
  Modifica del criterio di controllo: Operazioni riuscite
  Modifica criteri di autenticazione: Operazioni riuscite
  Modifica criteri di autorizzazione: Nessun controllo
  Modifica criteri a livello di regola MPSSVC: Nessun controllo
  Modifica criteri Piattaforma filtro Windows: Nessun controllo
  Altri eventi di modifica criteri: Nessun controllo

Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969.


Controlla esito processi
Questa impostazione di sicurezza determina se il sistema operativo controlla o meno gli eventi correlati ai processi, ad esempio la creazione e la chiusura di un processo, la duplicazione degli handle e l'accesso indiretto agli oggetti. 

Se questa impostazione è definita, l'amministratore può specificare di controllare solo gli eventi con esito positivo, solo gli eventi con esito negativo, gli eventi con entrambi gli esiti oppure di non eseguire alcun controllo. 

Se viene attivato il controllo delle operazioni riuscite, verrà generata una voce di controllo ogni volta che il sistema operativo esegue una di queste attività correlate ai processi. 
Se viene attivato il controllo delle operazioni non riuscite, verrà generata una voce di controllo ogni volta che il sistema operativo non è in grado di eseguire una di queste attività.

Impostazione predefinita: Nessun controllo

Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969.


Controlla uso dei privilegi
Questa impostazione di sicurezza specifica se controllare o meno ogni singolo evento di utilizzo di un diritto utente da parte di un utente.

Se si definisce questa impostazione, sarà possibile specificare se controllare o meno l'esito di un determinato tipo di evento. Se si specifica il controllo delle operazioni riuscite, verrà generata una voce di controllo a ogni tentativo riuscito di utilizzare un diritto utente. Se si specifica il controllo delle operazioni non riuscite, verrà generata una voce di controllo a ogni tentativo non riuscito di utilizzare un diritto utente.

Per impostare il valore Nessun controllo, nella finestra di dialogo Proprietà di questa impostazione selezionare la casella di controllo Definisci le impostazioni relative ai criteri e deselezionare le caselle di controllo Operazioni riuscite e Operazioni non riuscite.

Impostazione predefinita: Nessun controllo

Non vengono generate voci di controllo per l'utilizzo dei diritti utente seguenti, anche se per Controlla uso dei privilegi è specificato il controllo delle operazioni riuscite o non riuscite. L'attivazione del controllo di questi diritti utente spesso provoca la generazione di numerosi eventi nel registro di sicurezza, determinando un calo di prestazioni del computer. Per controllare i diritti utente seguenti, attivare la chiave FullPrivilegeAuditing del Registro di sistema.

Ignorare controllo incrociato
Debug di programmi
Creazione di oggetti token
Sostituzione di token a livello di processo
Generazione di controlli di sicurezza
Backup di file e directory
Ripristino di file e directory

Attenzione

La modifica non corretta del Registro di sistema può danneggiare gravemente il sistema. Prima di apportare modifiche al Registro di sistema, è consigliabile eseguire il backup di tutti i dati rilevanti presenti nel computer

Importante: per ottenere un maggiore controllo sui criteri di controllo, utilizzare le impostazioni incluse nel nodo Configurazione avanzata dei criteri di controllo. Per ulteriori informazioni su Configurazione avanzata dei criteri di controllo, vedere https://go.microsoft.com/fwlink/?LinkId=140969.




 

martedì 19 marzo 2024

Windows Server 2022: Editor Criteri di gruppo e Default Domain Policy (criterio di dominio predefinito)

La gestione dei Criteri di gruppo è disponibile sul server stesso, a condizione che siano stati installati gli strumenti di gestione. È disponibile anche attraverso gli Strumenti di amministrazione remota del server (RSAT), in modo da poter gestire i Criteri di gruppo dai client Windows.

Per la gestione dei criteri di gruppo, cliccare sul menu Strumenti di Server Manager e selezionare Gestione Criteri di gruppo (Group policy management). In alternativa premere la combinazione di tasti WIN+R, digitare  gpmc.msc seguito da invio.
Server Manager
FIG 1 - Server Manager

Quando si avvia per la prima volta lo snap-in Gestione Criteri di gruppo, viene visualizzata una voce per la foresta di Active Directory in cui ci si trova.
Gestione Criteri di gruppo
FIG 2 - Gestione Criteri di gruppo
Eseguire un doppio click del mouse sulla foresta per espanderla e posizionarsi su Foresta: mycomapny.local->Domini->mycompany.local
Gestione Criteri di gruppo, Dominio
FIG 3 - Gestione Criteri di gruppo, Dominio
In un ambiente Active Directory da poco installato è presente un Default Domain Policy (criterio di dominio predefinito) collegato al livello di dominio. Il Default Domain Policy è in genere il luogo in cui si impostano gli elementi da applicare a tutti gli utenti, come le password e altre impostazioni di sicurezza. 
In FIG 4 si può notare che il Default Domain Policy è applicato a tutti gli utenti del gruppo Authenticated Users (Utenti autenticati), come si evince dalla presenza di questo gruppo nella sezione Filtro di sicurezza.
Default Domain Policy
FIG 4 - Default Domain Policy

Per modificare una GPO basterà cliccarci su con il tasto destro del mouse e selezionare modifica dal menu contestuale. Verrà avviato l'Editor di gestione dei Criteri di gruppo e da qui si potranno apportare le modifiche.

Editor Gestione Criteri di gruppo
FIG 5 - Editor Gestione Criteri di gruppo



domenica 25 febbraio 2024

Windows Server 2022: Mappare cartella condivisa tramite script di logon

Negli articoli Windows Server 2022: Mappare automaticamente una cartella condivisa e Windows Server 2022: Mappare cartelle personali abbiamo visto come fare in modo che una cartella venga automaticamente mappata all'utente. In particolare nell'ultimo articolo, quando abbiamo mappato la cartella personale, abbiamo perso il collegamento alla cartella condivisa tra più utenti che ripristineremo con i passaggi di seguito indicati. Quando bisogna gestire numerosi account è consigliabile l'utilizzo delle group policy. In questo articolo verrà mostrato come agire manualmente su un gruppo ristretto di utenti e mappare una cartella condivisa tramite l'utilizzo di uno script di logon. Tratterò le group policy più in là in appositi articoli.


La cartella condivisa che andremo a mappare al logon tramite script sarà \\SERVERDC2\Cartella condivisa creata nell'articolo 
Windows Server 2022: Mappare automaticamente una cartella condivisa.


Creazione dello script di logon

Posizionarsi sul server e avviare un editor di testo come Blocco note (premere la combinazione di tasti WIN+R, digitare notepad seguito da invio).
Digitare il seguente comando
net use Y: "\\SERVERDC2\Cartella condivisa"
i doppi apici sono necessari in quanto il nome della cartella contiene uno spazio. Il comando mappa il percorso specificato \\SERVERDC2\Cartella condivisa con la lettera di unità Y:.
Blocco note
FIG 1 - Blocco note
Dal menu File selezionare Salva con nome. Salvare il file con il nome logon.bat (nella casella Nome file il nome del file va digitato tra apici per fare in modo che notepad non aggiunga l'estensione .txt)  nel percorso C:\Windows\SYSVOL\sysvol\mycompany.local\scripts
Salva con nome
FIG 2 - Salva con nome

Impostare lo script di accesso per gli account utente

Creato lo script e salvato nell'opportuno percorso, non resta che impostarlo come script di logon per uno o più account utente. L'operazione può essere eseguita tramite Utenti e computer di Active DirectoryCentro di amministrazione di Active Directory o PowerShell. Vediamo i passaggi da seguire


Utenti e computer di Active Directory
Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc seguito da invio.
Server Manager, Utenti e Computer di Active Directory
FIG 3 - Server Manager, Utenti e Computer di Active Directory

Selezionare gli utenti presenti nella UO mycompany.local\Direzione\Utenti e cliccare sul pulsante Proprietà (in alternativa cliccare con il tasto destro del mouse sugli utenti selezionati e scegliere Proprietà dal menu contestuale);
Utenti e computer di Active Directory, Visualizzare le proprietà degli account utenti
FIG 4 - Utenti e computer di Active Directory, Visualizzare le proprietà degli account utenti
Selezionare la scheda Profilo. Spuntare la casella Script di accesso e digitare il nome dello script da richiamare (Logon.bat) quindi cliccare su OK.
Configurazione Script di accesso per gli account utente
FIG 5 - Configurazione Script di accesso per gli account utente

Da questo momento quando gli utenti effettueranno il logon su una workstation del dominio verrà avviato lo script che mapperà la cartella condivisa con la lettera di unità specificata.


Centro di amministrazione di Active Directory
I passaggi da eseguire utilizzando il Centro di amministrazione di Active Directory sono simili a quelli già visti per Utenti e computer di Active Directory
.

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe seguito da invio.
Server Manager, Centro di amministrazione di Active Directory
FIG 6 - Server Manager, Centro di amministrazione di Active Directory

Selezionare gli utenti presenti nella UO mycompany.local\Direzione\Utenti e cliccare sul link Proprietà nel riquadro Attività.
Proprietà account utente
FIG 7 - Proprietà account utente

Cliccare sulla sezione Profilo, abilitare la casella Script di accesso e digitare il nome dello script da eseguire al logon (logon.bat) quindi cliccare su OK per confermare la modifica.
Attivazione script di accesso
FIG 8 - Attivazione script di accesso

PowerShell
La stessa operazione può essere eseguita, per ogni utente, tramite PowerShell e l'utilizzo del cmdlet Set-ADUSer. Una volta avviato Windows PowerShell (amministratore) basta eseguire il comando
Set-ADUser -Identity:"CN=Giovanni Lubrano Lavadera,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -ScriptPath:"logon.bat" -Server:"ServerDC2.mycompany.local"




martedì 20 febbraio 2024

Windows Server 2022: Mappare cartelle personali

Nell'articolo Windows Server 2022: Mappare automaticamente una cartella condivisa è stato mostrato come creare una cartella condivisa tra più utenti. In un'azienda può essere utile avere una cartella personale in cui salvare i propri documenti riservati e ritrovarli su qualsiasi postazione del dominio a cui si effettua l'accesso.
In quest'articolo andremo a creare una cartella individuale sul server per ciascun utente del dominio. La cartella sarà accessibile solo al proprietario e non sarà condivisa con altri utenti, inoltre verrà mappata automaticamente al logon dell'utente sulle postazioni.

La prima operazione da fare è quella di creare una cartella all'interno del server che andrà a contenere le cartelle individuali degli utenti.

Posizionarsi sul server, creare una nuova cartella e rinominarla in Dati Personali. In questo esempio la cartella è stata creata sul disco C:\ del server ServerDC2.
Cartella Dati Personali
FIG 1 - Cartella Dati Personali

Cliccare con il tasto destro del mouse sulla cartella appena creata, selezionare Proprietà quindi, nella scheda Condivisione cliccare sul pulsante Condivisione avanzata.
Proprietà cartella Dati Personali
FIG 2 - Proprietà cartella Dati Personali

Selezionare l'opzione Condividi questa cartella. Al nome suggerito per la condivisione aggiungere il simbolo $ alla fine. In questo modo verrà creata una condivisione nascosta: se da una workstation del dominio nella barra indirizzi di Esplora file digitiamo \\ServerDC2 la condivisione nascosta non verrà visualizzata ma sarà comunque accessibile agli utenti abilitati digitando il percorso di rete \\ServerDC2\Dati Personali$. Cliccare su Autorizzazioni.
Condivisione avanzata
FIG 3 - Condivisione avanzata
Selezionare il gruppo Everyone e cliccare sul pulsante Rimuovi.
Autorizzazioni condivisione, rimozione gruppo Everyone
FIG 4 - Autorizzazioni condivisione, rimozione gruppo Everyone

Cliccare sul pulsante Aggiungi.
Autorizzazioni condivisioni, Aggiungi gruppo
FIG 5 - Autorizzazioni condivisioni, Aggiungi gruppo

All'interno della casella Immettere i nomi degli oggetti da selezionare, digitare Domain Users, cliccare sul pulsante Controlla nomi quindi su OK.
Autorizzazioni Domain Users
FIG 6 -  Autorizzazioni Domain Users

All'interno della finestra Autorizzazioni per Dati Personali$ assicurarsi che il gruppo Domain Users sia selezionato quindi, in Autorizzazioni per Domain Users, selezionare la casella Controllo completo e cliccare su OK per applicare la modifica.
Controllo completo Domain Users
FIG 7 - Controllo completo Domain Users

Nella finestra Condivisione avanzata cliccare su OK.
Condivisione avanzata
FIG 8 - Condivisione avanzata
All'interno della finestra Proprietà - Dati Personali selezionare la scheda Sicurezza quindi cliccare sul pulsante Avanzate.
Sicurezza cartella condivisa
FIG 9 - Sicurezza cartella condivisa
Tutti gli utenti appartenenti al dominio hanno il controllo completo sul contenuto della cartella. Il nostro obiettivo è quello di andare a creare, all'interno della cartella Dati Personali, altre cartelle individuali per ciascun utente del dominio a cui solo il proprietario potrà accedere. Per default i permessi vengono ereditati dalla cartella superiore pertanto è necessario rimuovere l'ereditarietà dei permessi per raggiungere il nostro scopo. All'interno della finestra Impostazioni avanzate di sicurezza per Dati Personali cliccare su Disabilita ereditarietà.
Disabilita ereditarietà
FIG 10 - Disabilita ereditarietà
All'interno della finestra di dialogo Blocca eredità cliccare su Converti autorizzazioni ereditate in autorizzazioni esplicite per questo oggetto.
Blocca eredità, Converti autorizzazioni ereditate in autorizzazioni esplicite per questo oggetto
FIG 11 - Blocca eredità, Converti autorizzazioni ereditate in autorizzazioni esplicite per questo oggetto
Selezionare il gruppo Users con i permessi di Accesso in Lettura ed esecuzione e cliccare sul pulsante Rimuovi. Eseguire la stessa operazione per l'altro gruppo Users con permessi di Accesso Speciale quindi cliccare su OK.
Impostazioni avanzate di sicurezza per Dati Personali, rimozione autorizzazioni
FIG 12 -  Impostazioni avanzate di sicurezza per Dati Personali, rimozione autorizzazioni

Cliccare sul pulsante OK per la chiusura delle finestra Proprietà - Dati Personali.
Proprietà - Dati Personali
FIG 13 - Proprietà - Dati Personali

La prima fase è conclusa. Adesso non resta che creare le sottocartelle per ciascun utente. L'operazione può essere eseguita tramite Utenti e Computer di Active Directory.

Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
Server Manager
FIG 14 - Server Manager

Selezionare gli utenti da abilitare (ad esempio quelli presenti nell'unità organizzativa mycompany.local\Direzione\Utenti) quindi cliccarci sul con il tasto destro del mouse e selezionare Proprietà.
Proprietà account utente
FIG 15 - Proprietà account utente

All'interno della scheda Profilo, selezionare la casella Home directory quindi l'opzione Connetti. Dall'elenco a discesa selezionare la lettera con la quale si intende mappare la cartella (ad es Z:) e inserire il percorso di rete \\ServerDC2\Dati Personali$\%USERNAME%
%username% è una variabile d'ambiente contenente il nome utente. Cliccare su OK per applicare l'impostazione.
Mappare cartelle personali individuali
FIG 16 - Mappare cartelle personali individuali

Le cartelle individuali per ciascun utente verranno automaticamente create all'interno della cartella condivisa \\ServerDC2\Dati Personali$
Cartelle personali create in \\ServerDC2\Dati Personali$
FIG 17 - Cartelle personali create in \\ServerDC2\Dati Personali$

Da questo momento, quando uno degli utenti appartenenti alla UO mycompany.local\Direzione\Utenti effettuerà il logon su una workstation del dominio, si ritroverà mappata come disco Z: la cartella personale presente sul server e a cui solo lui ha accesso. Ovviamente non sarà più visibile la cartella condivisa che abbiamo creato nell'articolo Windows Server 2022: Mappare automaticamente una cartella condivisa ma a questo si può ovviare tramite uno script di logon di cui parlerò nel prossimo articolo.
Windows 11, Cartella personale mappata
FIG 18 - Windows 11, Cartella personale mappata


Autorizzazioni sulla cartella personale
FIG 19 - Autorizzazioni sulla cartella personale