Windows Server 2019: Introduzione alle Group Policy (GPO) e mapping cartella condivisa

Quando si parla di Active Directory non si può fare a meno di parlare anche delle Group Policy (Criteri di gruppo). Le Group Policy sono un insieme di regole che controllano l'ambiente di lavoro degli utenti e dei computer fornendo una gestione centralizzata e consentendo la configurazione dei sistemi operativi, impostazioni degli utenti e applicazioni in un ambiente Active Directory. In pratica le Group Policy stabiliscono, in parte, cosa l'utente può e non può fare su un computer del dominio e possono essere utilizzate, ad esempio, per bloccare l'accesso al pannello di controllo/gestione attività, impedire/autorizzare l'accesso a cartelle condivise, disabilitare il download di file eseguibili, consentire l'installazione automatica di software, implementare restrizioni su quote disco, sulla lunghezza della password e altro. Le Group policy vengono gestite tramite lo strumento Gestione Criteri di gruppo (Group Policy Management Console o GPMC) e create/modificate tramite l'Editor Gestione Criteri di gruppo (Group Policy Management Editor o GPME).
Prima di mostrare come creare le Group Policy è bene chiarire e approfondire alcuni concetti basilari.

Le Group Policy vengono configurate e distribuite dagli amministratori di dominio mediante la creazione di oggetti Criteri di gruppo(Group Policy Object o GPO). Gli oggetti Criteri di gruppo sono container per gruppi di impostazioni (policy settings) che possono essere applicate agli account utente, agli account computer o ad entrambi attraverso Active Directory. Tali oggetti vengono creati utilizzando l'Editor Gestione Criteri di gruppo (GPME) che viene invocato quando si modifica un GPO all'interno dello strumento Gestione Criteri di gruppo (GPMC). 
Contrariamente a quanto possa far credere il nome, gli oggetti Criteri di gruppo non sono affatto orientati al gruppo: non è possibile applicarli direttamente ai gruppi. Possono essere applicati a livello locale, a siti, ai domini e alle UO (Microsoft li abbrevia con LSDOU: Locale, Sito, Dominio, OU) all'interno di una data foresta. L'assegnazione delle policy viene anche chiamata linking.
Il rapporto tra GPO e LSDOU può essere del tipo molti a uno (ad es. più GPO assegnati ad un sola UO) o di uno a molti (ad es. una sola GPO assegnata a più UO). Quando viene assegnato un oggetto Group Policy ad un'unità organizzativa questo agisce su tutti gli account in essa contenuti e sulle UO sottostanti.  

Affermare che i Criteri di Gruppo/GPO vengono memorizzati all'interno di Active Directory non è del tutto corretto. Gli oggetti Criteri di gruppo vengono memorizzati in due posti distinti: all'interno di un container di Group Policy (Group Policy Container o GPC) e all'interno di un Group Policy Template (GPT). Il GPC è memorizzato all'interno del database Active Directory e contiene informazioni sulla proprietà, versione, stato e una lista dei componenti. Il GPT, invece, viene conservato all'interno della cartella Windows\SYSVOL\sysvol\<Nome del dominio>\Policies\GUID\ dove GUID rappresenta il Global Unique Identifier dell'oggetto Criteri di gruppo. Tale cartella contiene impostazioni amministrative, impostazioni di sicurezza, informazioni sulle applicazioni disponibili, impostazioni del registro di sistema, script e altro.

Anche se una Group Policy può contenere numerose impostazioni è buona norma configurarne solo un numero ristretto. Le Group Policy sono cumulative e supportano l'ereditarietà (possono essere ereditate dai container superiori in Active Directory). Le policy vengono applicate in background. Generalmente il computer effettua un refresh delle policy ogni 90 minuti ma è possible forzarne la sincronizzazione tramite il comando gpupdate /force dal Prompt dei comandi. I domain controller, a differenza dei normali computer, eseguono il refresh delle Group Policy ogni 5 minuti. Un eccezione alla regola viene fatta per le policy che includono il reindirizzamento di cartelle, l'installazione del software, l'applicazione di script, impostazioni Stampanti e dischi di rete mappati. Tali policy, infatti, vengono applicate solo al logon dell'utente (per gli account utente) o all'avvio del sistema (per gli account computer).
Le Group Policy vengono replicate automaticamente. L'Active Directory viene replicato utilizzando AD Replication (controllato da Knowledge Consistency Checker e Intersite Topology Generator) ed è controllato dal servizio File Replication o dal servizio Distributed File Replication.
Le impostazioni specificate all'interno di un oggetto Group Policy vengono scritte all'interno del registro di sistema e vengono eliminate quando l'impostazione della policy viene eliminata o l'oggetto Group Policy viene cancellato. Tale comportamento previene l'effetto "tattooing", un tempo presente, che costringeva gli amministratori a creare un nuovo GPO per annullare le impostazioni di un GPO cancellato. 

Creare una Group Policy che mappa una cartella condivisa

Di seguito vengono mostrati i passaggi per creare una Group Policy che esegue il mapping di una cartella condivisa assegnando una specifica lettera di unità.

• Da Server Manager cliccare su Strumenti e selezionare Gestione Criteri di gruppo (Group policy management).
  

  

  FIG 1 - Windows Server 2019,  Server Manager

• Espandere la foresta cliccando su mycompany.local.
• Cliccare con il tasto destro del mouse sul nome della foresta (mycompany.local) e selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento. In questo modo andremo a creare un'oggetto Criteri di gruppo che verrà applicato all'intero dominio. Le policy applicate al dominio agiscono su tutte le unità organizzative mentre quelle applicate ad un'unità organizzativa agiscono esclusivamente su quest'ultima e su quelle sottostanti.
  

  

  FIG 2 - Windows Server 2019, Gestione Criteri di gruppo

• Assegnare un nome all'oggetto Criteri di gruppo (ad es. Mapping Cartella Condivisa) e cliccare su OK.
  

  

  FIG 3 - Windows Server 2019, Nuovo oggetto Criteri d gruppo

• Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
  

  

  FIG 4 - Windows Server 2019, Modifica oggetto Criteri di gruppo

• Nell'Editor Gestione Criteri di gruppo notiamo la separazione tra due sezioni: Configurazione computer e Configurazione utente. Ambedue, sul sistema operativo a cui vengono applicate, agiscono sul registro di sistema. Come già accennato, le policy possono essere applicate ai computer, agli utenti o ad entrambi. In questo articolo la policy che andremo a creare verrà applicata agli account utente. Ciò significa che la policy verrà applicata nel momento in cui l'utente effettuerà il logon su una qualsiasi postazione del dominio. All'interno di Configurazione utente cliccare su Preferenze per espanderla.
  

  

  FIG 5 - Editor Gestione Criteri di gruppo, Configurazione utente

• Cliccare su Impostazioni di Windows quindi su Mapping unità.
  

  

  FIG 6 - Editor Gestione Criteri di gruppo, Configurazione utente, Preferenze

• Cliccare, con il tasto destro del mouse, su una parte vuota sul lato destro della finestra e, dal menu contestuale, selezionare Nuovo e successivamente su Unità mappata.
  

  

  FIG 7 - Editor Gestione Criteri di gruppo, Mapping unità

• Nel campo Azione è necessario specificare cosa andrà a fare la Group policy. Selezionare Aggiorna in modo che la cartella verrà sempre mappata. All'interno della casella Percorso indicare il path della cartella da mappare (ad es. \\SERVER1DC\Cartella condivisa che abbiamo creato nell'articolo Windows Server 2019: Mappare automaticamente una cartella condivisa).
  

  

  FIG 8 - Mapping unità, Nuove proprietà unità

• Selezionare l'opzione Riconnetti, in questo modo la cartella verrà riconnessa non appena disponibile.
• In Etichetta specificare il nome con cui si intende mappare la cartella (ad es. Share1).
• Alla cartella mappata possiamo assegnare la prima lettera disponibile o, attivando l'opzione Usa, specificare una precisa lettera di unità. In questo esempio attiviamo l'opzione Usa, selezioniamo la lettera P: e clicchiamo su OK.
  

  

  FIG 9 - Mapping unità, Nuove proprietà unità

• Chiudere la finestra.
• Spostarsi su una postazione appartenente al dominio e verificare, dopo il logon, che la group policy appena creata funziona e che la cartella condivisa sia stata mappata con la lettera di unità specificata. Possiamo forzare l'applicazione delle group policy tramite il comando gpupdate /force eseguito dal Prompt dei comandi della workstation.
  

  

  FIG 10 - Unità mappata dopo il logon su una workstation del dominio

Windows Server 2019: Configurare la workstation in modo che contatti un domain controller alternativo in caso di indisponibilità di quello principale

Chi ha seguito gli articoli precedenti su Windows Server 2019 (i link sono presenti in fondo all'articolo) si ritroverà con due domain controller configurati come segue:

Nome: Server1DC
IP: 192.168.1.121
Subnet Mask: 255.255.255.0
DNS primario: 192.168.1.121

Nome: Server2DC
IP: 192.168.1.122
Subnet Mask: 255.255.255.0
DNS primario: 192.168.1.121

Per fare in modo che una workstation, nel caso non riesca a contattare Server1DC o questo non sia disponibile, provi con un domain controller alternativo come Server2DC è necessario modificare le impostazioni di rete. In pratica tra i server DNS della workstation bisogna aggiungere l'indirizzo IP del server Server2DC. Generalmente questa operazione viene effettuata centralmente tramite il server DHCP. Dato che non ho ancora trattato l'argomento DHCP, in quest'articolo mostrerò come effettuare l'operazione manualmente sulla postazione tramite GUI. I passaggi da seguire sono quelli già visti nell'articolo Windows Server 2019: Aggiungere una workstation al dominio (join al dominio):

• Cliccare con il tasto destro del mouse sull'icona Accesso a Internet presente nell'area di notifica e selezionare Impostazioni Apri connessione e Internet.
  

  

  FIG 1 - Windows 10, Impostazioni Apri connessione e Internet

• Cliccare sulla sezione Ethernet presente sul lato sinistro della finestra quindi cliccare su Modifica opzioni scheda.
  

  

  FIG 2 - Impostazioni Ethernet, Modifica opzioni scheda

• All'interno della finestra Connessioni di rete, cliccare con il tasto destro del mouse sulla scheda di rete e selezionare Proprietà dal menu contestuale. Potrebbe essere richiesto l'inserimento di credenziali di un account del dominio abilitato ad eseguire la modifica (FIG 4).
  

  

  FIG 3 - Proprietà scheda di rete

  

  FIG 4 - Connessioni di rete, richiesta credenziali

• Dall'elenco selezionare Protocollo Internet versione 4 (TCP/IPv4) e cliccare sul pulsante Proprietà.
  

  

  FIG 5 - Proprietà Protocollo Internet Versione 4 (TCP/IPv4)

• All'interno del campo Server DNS alternativo digitare l'IP del domain controller aggiuntivo (Server2DC) 192.168.1.122 quindi cliccare su OK e chiudere le finestre aperte.
  

  

  FIG 6 - Server DNS alternativo

Edge Easter Egg: Let's Surf

Recentemente Microsoft ha rilasciato la nuova versione (83.0.478.37) del suo browser Edge. 

FIG 1 - Microsoft Edge 83.0.478.37

All'interno del nuovo browser si nasconde il minigioco Let's Surf che può essere avviato digitando nella barra indirizzi la seguente stringa

edge://surf 

o cliccando sull'apposito pulsante che appare quando la connessione è assente.

FIG 2 - Connessione assente. Avvia gioco

Come per il minigioco del dinosauro da tempo incluso nel browser Chrome di Google, anche quello presente in Edge non richiede la connessione ad Internet. Una versione preliminare del gioco era stata introdotta nella versione di Edge distribuita agli iscritti del programma Insider. Gli utenti avevano chiesto di lasciare il minigioco nella versione definitiva del browser e sono stati accontentati dagli sviluppatori che hanno persino deciso di apportare qualche miglioramento al gameplay e aggiungere nuove funzionalità.

FIG 3 - Let's Surf

Il gioco si ispira a SkiFree (1991): un gioco di sci creato da Chris Pirih e rilasciano da Microsoft all'interno dell'Entertainment Pack 3 per Windows e DOS. 

Lo scopo del gioco consiste nel guidare il surfista selezionato (utilizzando tastiera, mouse/touchpad o gamepad) tra le onde evitando gli ostacoli, isole, kraken e altri surfisti.

FIG 4 - Avvio gioco Let's Surf

Lungo il tragitto è possibile raccogliere cuori per estendere la vita, fulmini per incrementare la velocità (premendo il tasto F), salvare il cane per proteggerci dai nemici e monete per sottrarre tempo. L'utente può selezionare, tramite l'apposito menu, 3 modalità di gioco: Navighiamo, Versione di valutazione a tempo, Zig zag.

Navighiamo

In tale modalità non c'è una fine ma si cerca di percorrere la maggiore distanza possibile evitando gli ostacoli e il kraken.

Versione di valutazione a tempo

Bisogna raggiungere la fine del percorso nel minor tempo possibile.

Zig zag

La modalità Zig zag prevede di seguire un percorso predefinito. Bisogna navigare attraverso il maggior numero di porte presenti lungo il percorso.

FIG 5 - Let's Surf Impostazioni gioco

Dal menu è possibile anche attivare la Modalità Alta visibilità che mette in evidenza gli ostacoli da evitare e gli oggetti da recuperare tramite una serie di riquadri e la Modalità velocità ridotta che, come si intuisce, permette di giocare con una velocità inferiore.

Sempre all'interno del menu viene evidenziato il miglior punteggio ottenuto.

FIG 6 - Let's Surf Modalità gioco

MS Office: Modificare il tema di Office mediante registro di sistema

MS Office permette all'utente di impostare il tipo di tema preferito selezionandolo tra i quattro messi a disposizione: A colori, Grigio scuro, Nero, Bianco. Per modificare il tema basta cliccare sul menu File -> Opzioni da un'applicazione del pacchetto Office (come Word, Excel, Outlook ecc) e, nella scheda Generale, all'interno della sezione Personalizzazione della copia di Microsoft Office in uso selezionare dalla casella combinata Tema di Office il tema desiderato.

FIG 1 - Tema di Office

Per eseguire la stessa operazione tramite registro di sistema è necessario agire su 2 valori:

il valore DWORD nominato UI Theme presente in 

HKEY_CURRENT_USER\Software\Microsoft\Office\xx.0\Common\

e sul valore binario DATA presente in  

HKEY_CURRENT_USER\Software\Microsoft\Office\xx.0\Common\Roaming\Identities\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx-ADAL}\Settings\1186\{00000000-0000-0000-0000-000000000000}\

dove al posto xx.0 va indicata la versione di Office (ad es. 15.0 per Office 2013, 16.0 per Office 2016 e 2019) mentre al posto di xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx è presente una stringa alfanumerica (GUID) che varia in base all'utenza e la versione di office installata.

I valori corrispondenti ai temi selezionabili in Office sono:

0 per il tema A colori.

3 per il tema Grigio scuro.

4 per il tema Nero.

5 per il tema Bianco.

Supponendo di voler impostare il tema Grigio scuro 

ad UI THEME va assegnato il valore 3

mentre a DATA il valore binario 03 00 00 00

FIG 2 - Tema di Office, valore binario DATA

Di seguito un semplice script PowerShell che modifica il tema per Office 2016

Do{

cls

Write-Host "================ Seleziona tema Office 2016 ================"

     

Write-Host "0: Premi '0' per il tema 'A colori'."

Write-Host "3: Premi '3' per il tema 'Grigio scuro'."

Write-Host "4: Premi '4' per il tema 'Nero'."

Write-Host "5: Premi '5' per il tema 'Bianco'."

Write-Host "Q: Premi 'Q' per uscire."

Write-Host

$officeThemeValue = Read-Host "Scegli";

Write-Host

}While($officeThemeValue -notin 0,3,4,5,'q')

if ($officeThemeValue -ne 'q'){

$OfficeThemeRegKey = 'HKCU:\Software\Microsoft\Office\16.0\Common'

Set-ItemProperty -Path $OfficeThemeRegKey -Name 'UI Theme' -Value $officeThemeValue -Type DWORD

Get-ChildItem -Path ($OfficeThemeRegKey + "\Roaming\Identities\") | ForEach-Object {

  $identityPath = ($_.Name.Replace('HKEY_CURRENT_USER', 'HKCU:') + "\Settings\1186\{00000000-0000-0000-0000-000000000000}");

  if (Get-ItemProperty -Path $identityPath -Name 'Data' -ErrorAction Ignore) {

Write-Verbose $identityPath

Set-ItemProperty -Path $identityPath -Name 'Data' -Value ([byte[]]($officeThemeValue, 0, 0, 0)) -Type Binary

  }

}

Write-Host "Modifica effettuata. Riavviare le applicazioni Office."

}

Dal seguente link è possibile scaricare il file PS1 contenente lo script.

DOWNLOAD

Cloudflare: Filtrare i contenuti web con 1.1.1.1 for Families

Cloudflare, società specializzata nel content delivery network, da circa 2 anni fornisce gratuitamente un server DNS veloce ed attento alla privacy (Cloudflare 1.1.1.1: il DNS più veloce del web e attento alla privacy). Da qualche mese, per rispondere alle richieste degli utenti relativamente alla possibilità di filtrare i siti pericolosi, ha introdotto un nuovo servizio DNS gratuito chiamato 1.1.1.1 for Families che permette di aggiungere facilmente un livello di protezione alla propria rete domestica e ai propri dispositivi riducendo al minimo il rischio di scaricare malware o di accedere a contenuti per adulti. Il servizio sfrutta la rete globale di Cloudflare e anche in questo caso è garantita la bassa latenza delle risposte, sicurezza e il rispetto della privacy. I DNS da impostare sul proprio dispositivo o sul router per poter usufruire della protezione di Cloudflare sono i seguenti:

Per la protezione contro il malware

DNS primario (IPv4): 1.1.1.2

DNS secondario (IPv4): 1.0.0.2

DNS primario (IPv6): 2606:4700:4700::1112

DNS secondario (IPv6): 2606:4700:4700::1002

Per la protezione contro malware e contenuti per adulti

DNS primario (IPv4): 1.1.1.3

DNS secondario (IPv4): 1.0.0.3

DNS primario (IPv6): 2606:4700:4700::1113

DNS secondario (IPv6): 2606:4700:4700::1003

Le pagine vengono filtrate attraverso l'utilizzo di blacklist che vengono gestite e aggiornate direttamente da Cloudflare. Non viene offerta alcuna opzione di personalizzazione: non è possibile aggiungere manualmente ulteriori pagine da filtrare e nel caso in cui un sito sia stato inserito erroneamente all'interno della blacklist, non c'è la possibilità di sbloccarlo direttamente se non segnalando il problema a Cloudflare.

FIG 1 - Cloudflare, 1.1.1.1 for Families

Outlook: Individuare i file PST connessi al profilo Outlook tramite registro di sistema

Ogni volta che viene aggiunto un file PST ad Outlook, viene generata una nuova chiave all'interno del registro di sistema. Il nome della chiave, per questioni di sicurezza, viene generato in maniera casuale mentre il percorso e il nome del file PST connesso al profilo Outlook è contenuto all'interno del valore binario 001f6700.

Per ricercare manualmente il valore possiamo avviare l'editor del registro di sistema (regedit.exe) e posizionarci sulla chiave di registro del nostro profilo di posta. Il percorso del profilo varia in base alla versione di Outlook:

Per Outlook 2010 posizionarsi su

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\<nome_profilo_posta>]

Per Outlook 2013 e successivi la chiave di registro contenente il profilo è del tipo

[HKEY_CURRENT_USER\Software\Microsoft\Office\<versione>\Outlook\Profiles\<nome_profilo_posta>]

Ad esempio, per Outlook 2013 è

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Profiles\<nome_profilo_posta>]

mentre per Outlook 2016 la chiave è

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles\<nome_profilo_posta>]

Una volta in posizione possiamo ricercare il valore binario 001f6700. 

FIG 1 - Editor del Registro di sistema, valore 001f6700

Un modo più semplice consiste nell'utilizzare uno script che, fornita la chiave di registro relativa al profilo Outlook, si occupa di individuare tutti i valori 001f6700 e trasformarli da valori binari in stringhe. Di seguito è riportato un semplcie script PowerShell che permette di automatizzare l'operazione.

$keys = Get-ChildItem HKCU:\software\microsoft\office\16.0\OUTLOOK\profiles\Posta -rec -ea SilentlyContinue | Where-Object {(Get-ItemProperty -path $_.PSPath) -match "001f6700"} | select -Property Property, Name, PSPath

foreach($chiave in $KEYS.PSPath){

  $valore = Get-ItemPropertyValue $chiave -Name 001f6700

  [Text.Encoding]::unicode.getString($valore.syncroot) 

}

Per individuare le chiavi di registro che contengono i valori 001f6700 ci avvaliamo dell'utilizzo dei cmdlet Get-ChildItem e Get-ItemProperty. A Get-ChildItem passiamo la chiave di registro relativa al profilo Outlook che vogliamo analizzare (HKCU:\software\microsoft\office\16.0\OUTLOOK\profiles\Posta), indichiamo che la ricerca deve essere effettuata anche sulle sottochiavi (-rec o -recurse) e che in caso di errore intendiamo proseguire senza visualizzare alcun messaggio (-ea SilentlyContinue oppure -ErrorAction SilentlyContinue).

Con la condizione Where-Object e Get-ItemProperty andiamo ad individuare solo le chiavi che contengono valori 001f6700.

Con il ciclo foreach scorriamo tutte le chiavi di registro individuate dall'istruzione precedente, estraiamo il contenuto del valore 001f6700 con Get-ItemPropertyValue e trasformiamo il valore binario in stringa in modo da renderlo leggibile. In output avremo l'elenco dei file PST connessi al profilo di Outlook specificato.

Windows 7: Disattivare la notifica di fine supporto

A partire dal 14 gennaio 2020 Microsoft non supporta più Windows 7: nessun aggiornamento software, aggiornamenti di sicurezza e supporto tecnico. A molti utenti di tale sistema operativo è apparsa anche una notifica a video (FIG 1) con l'invito a passare a Windows 10. La notifica può essere disattivata cliccando sul link "Non avvisarmi più" presente all'interno del messaggio ma non sempre funziona: diversi utenti lamentano che la notifica continua ad apparire. In questi casi è possibile intervenire manualmente.

Metodo 1

• Cliccare sul pulsante start e digitare CMD;
• Cliccare con il tasto destro del mouse su Prompt dei comandi e selezionare Esegui come amministratore;
• Eseguire i seguenti comandi 
  schtasks /Change /TN "Microsoft\Windows\Setup\EOSNotify" /Disable 
  schtasks /Change /TN "Microsoft\Windows\Setup\EOSNotify2" /Disable

Se la disattivazione è andata a buon fine apparirà il messaggio Operazione riuscita.

Metodo 2

Creare un nuovo valore DWORD nominato EOSNotify all'interno della chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\. Ad EOSNotify bisognerà assegnare il valore 1.

L'operazione può essere effettuata dal Prompt dei comandi eseguito come amministratore eseguendo il comando

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\EOSNotify" /v "DiscontinueEOS" /t REG_DWORD /d 1 /f"[/I]

FIG 1 - Notifica fine supporto Windows 7

Windows 10: Screenshot dei menu tramite Cattura e annota

Esistono diverse scorciatoie da tastiera per eseguire uno screenshot dello schermo o parte di esso, tuttavia ci sono circostanze in cui le combinazioni di tasti utilizzate possono interferire con il menu o con la finestra attiva in quel momento. In questi casi è possibile utilizzare lo strumento Cattura e annota presente in Windows 10:

• Nella barra di ricerca digitare cattura e annota e cliccare sull'App per avviarla.
  
  

  

  FIG1 - Ricerca App Cattura e annota

• Cliccare sulla freccia verso il basso presente accanto al pulsante Nuovo e attivare la cattura posticipata (tra 3 o 10 secondi).
  

  

  FIG 2 - Cattura e annota

• Nell'intervallo di tempo, richiamare la finestra/menu desiderato e attendere che il tool esegua la cattura.

Windows Server 2019: Configurazione di un domain controller aggiuntivo

In un ambiente Windows Server ciascun controller di domino dispone di una copia locale completa del database Active Directory.  Disporre di più domain controller in un dominio, oltre a consentire una distribuzione del lavoro, mette al riparo da eventuali blocchi dell'intera infrastruttura dovuti a guasti su un server Domain Controller. Nell'articolo precedente (Windows Server 2019: Join al dominio tramite GUID) abbiamo aggiunto il nuovo server Server2DC al dominio mycompany.local. In questo articolo verrà illustrato come promuovere tale server a Domain Controller aggiuntivo, prima però è necessario procedere  all'installazione di Active Directory:

• Da Server Manager selezionare Dashboard. Cliccare su Aggiungi ruoli e funzionalità per avviare il Wizard che ci guiderà nelle operazioni;
  

  

  FIG 1 - Windows Server 2019, Server Manager, Aggiungi ruoli e funzionalità

• Il Wizard fornisce alcune informazioni preliminari sull'installazione/rimozione dei ruoli e funzionalità. Cliccare su Avanti.
  

  

  FIG 2 - Windows Server 2019, Aggiungi ruoli e funzionalità operazioni preliminari

• Come Tipo di installazione selezionare l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.
  

  

  FIG 3 - Windows Server 2019, Installazione basata su ruoli o basata su funzionalità

• Nel passaggio successivo viene richiesto di selezionare il server in cui installare i ruoli e le funzionalità. Selezioniamo il nostro server Server2DC e clicchiamo su Avanti.
  

  

  FIG 4 - Windows Server 2019, Selezione server di destinazione

• Nella sezione Ruoli Server, selezionare il ruolo Servizi di dominio Active Directory.
  

  

  FIG 5 - Windows Server 2019, Selezione ruolo Servizi di dominio Active Directory

• All'interno della finestra Aggiunta guidata ruoli e funzionalità l'utente viene avvisato sulla necessità di installare ulteriori ruoli e funzionalità per il corretto funzionamento dei Servizi di dominio Active Directory. Cliccare su Aggiungi funzionalità.
  

  

  FIG 6 - Windows Server 2019, Aggiungere le funzionalità necessarie per Servizi di dominio Active Directory

• Si ritorna alla schermata precedente. Cliccare su Avanti per proseguire.
  

  

  FIG 7 - Windows Server 2019, Ruoli server

• Nel passaggio successivo viene data la possibilità di installare ulteriori funzionalità. Passiamo oltre cliccando su Avanti.
  

  

  FIG 8 - Windows Server 2019, Selezione funzionalità

• Nella sezione Servizi di dominio Active Directory vengono fornite informazioni sui ruoli/funzionalità che si sta installando. Cliccare su Avanti per proseguire.
  

  

  FIG 9 - Windows Server 2019, Servizi di dominio Active Directory

• Nella sezione Conferma viene mostrato un resoconto di tutte le funzionalità che verranno installate. Cliccare sul pulsante Installa per proseguire e attendere che l'installazione venga portata a termine.
  

  

  FIG 10 - Windows Server 2019, Conferma installazione Active Directory

  
  

  

  FIG 11 - Windows Server 2019, Installazione in corso di Active Directory

• Al termine dell'installazione dei Servizi Active Directory cliccare sul link Alza di livello il server a controller di dominio per promuovere il server a Domain Controller.
  

  

  FIG 12 - Windows Server 2019, Alza di livello il server a controller di dominio

• Nella sezione Configurazione distribuzione dobbiamo prestare attenzione a diverse impostazioni. Dato che disponiamo già di un domain controller selezionare l'opzione Aggiungi un controller di dominio a un dominio esistente. Verificare che nella casella Dominio sia indicato il dominio corretto (nel nostro caso mycompany.local) inoltre assicurarsi che le credenziali specificate siano quelle di un account del dominio che dispone delle abilitazioni per eseguire l'operazione (in caso contrario cliccare sul pulsante cambia e specificare nuove credenziali). Una volta effettuate le opportune verifiche, cliccare su Avanti per proseguire.
  

  

  FIG 13 - Windows Server 2019, Aggiungi un controller di dominio a un dominio esistente

• Nel passo successivo viene richiesto di impostare alcune opzioni relative al controller di dominio. Lasciamo attive le funzionalità Server DNS (Domain Name System) e Catalogo globale quindi digitiamo e confermiamo una password da utilizzare per il ripristino di Active Directory. Trattandosi di un domain controller aggiuntivo, volendo, possiamo renderlo di sola lettura selezionando la relativa opzione. Lasciare la casella Controller di dominio di sola lettura disattivata e cliccare su Avanti.
  

  

  FIG 14 - Windows Server 2019, Opzioni controller di dominio

• Un messaggio ci avvisa sull'impossibilità di creare una delega per il server DNS in quanto non è definita una zona padre. Cliccare su Avanti per proseguire, il DNS server verrà installato automaticamente con l'installazione di Active Directory.
  

  

  FIG 15 - Windows Server 2019, Delega per server DNS

• Nella sezione Opzioni aggiuntive viene richiesto di indicare da quale domain controller effettuare la replica. Selezionare l'opzione Qualsiasi controller di dominio e cliccare su Avanti.

  

  FIG 16 - Windows Server 2019, Opzioni aggiuntive

• Nella fase successiva il Wizard consente di specificare il percorso in cui salvare il database di Active Directory, il file di log e il percorso per la cartella condivisa SYSVOL. Come già detto per l'installazione del primo domain controller, in ambiente di produzione è preferibile salvare tali informazioni in uno o più dischi dedicati formattati come NTFS. La cartella condivisa SYSVOL viene utilizzata per condividere informazioni come script ed elementi relativi agli oggetti Group Policy (in AD tutti gli elementi sono considerati oggetti) tra i Domain Controller. Come tutti i grandi Database anche Active Directory è composto da un file principale e un file di log che tiene traccia delle transazioni. Le modifiche effettuate al database vengono prima scritte all'interno del file di log e successivamente riportate all'interno del database. Se il server dovesse per qualche motivo spegnersi nel bel mezzo di una modifica, al successivo avvio del server Active Directory può utilizzare il file di log per assicurarsi che il database sia in uno stato coerente. Non modifichiamo l'impostazione di default e proseguiamo cliccando su Avanti.
  

  

  FIG 17 -  Windows Server 2019, Percorsi file Active Directory

• Nella sezione Verifica opzioni viene mostrato un riepilogo delle impostazioni selezionate nei passaggi precedenti. Una volta presa visione delle opzioni, cliccare su Avanti per procedere.
  

  

  FIG 18 - Windows Server 2019, Verifica opzioni

• Nella fase successiva il Wizard effettua una verifica sui prerequisiti necessari alla promozione del server a controller di dominio. Se i prerequisiti vengono rispettati sarà possibile cliccare sul pulsante Installa per l'installazione del software.
  

  

  FIG 19 - Windows Server 2019, Controllo dei prerequisiti

• Il server verrà riavviato per completare l'installazione di Active Directory. Al successivo logon noteremo che in Server Manager sono stati aggiunti due servizi: DNS e Servizi di dominio Active Directory.
  

  

  FIG 20 - Server Manager, nuovi ruoli

• Avviando Utente e computer di Active Directory noteremo che tutti gli oggetti di Active Directory sono stati replicati sul server Server2DC.
  

  

  FIG 21 - Utenti e computer di Active Directory, oggetti replicati