Windows Server 2019: Mappare cartelle personali

Oltre a disporre di una cartella condivisa tra più utenti, come visto nell'articolo Windows Server 2019: Mappare automaticamente una cartella condivisa, può essere utile avere una cartella personale in cui salvare i propri documenti riservati e ritrovarli su qualsiasi postazione del dominio a cui si effettua l'accesso.
In quest'articolo andremo a creare una cartella individuale sul server per ciascun utente del dominio. La cartella sarà accessibile solo al proprietario e non sarà condivisa con altri utenti, inoltre verrà mappata automaticamente al logon dell'utente sulle postazioni.

La prima operazione da fare è quella di creare una cartella all'interno del server che andrà a contenere le cartelle individuali degli utenti.

• Posizionarsi sul server Server1DC, aprire Esplora file, Questo PC, doppio clic su Disco locale (C:).
• Creare una nuova cartella e rinominarla in Dati Personali.
• Cliccare con il tasto destro del mouse sulla cartella appena creata, selezionare Proprietà quindi, nella scheda Condivisione cliccare sul pulsante Condivisione avanzata.
  

  

  FIG 1 - Condivisione cartella Dati Personali

• Selezionare l'opzione Condividi questa cartella. Al nome suggerito per la condivisione aggiungere il simbolo $ alla fine. In questo modo verrà creata una condivisione nascosta: se da una workstation del dominio nella barra indirizzi di Esplora file digitiamo \\Server1DC la condivisione nascosta non verrà visualizzata (FIG 3) ma sarà comunque accessibile agli utenti abilitati digitando il percorso di rete \\Server1DC\Dati Personali$. Cliccare su Autorizzazioni.
  

  

  FIG 2 - Condivisione avanzata, condivisione nascosta

  
  

  

  FIG 3 - Windows 10, Condivisione nascosta non visibile

• Selezionare il gruppo Everyone e cliccare sul pulsante Rimuovi.
  

  

  FIG 4 - Autorizzazioni condivisione, rimozione gruppo Everyone

• Cliccare sul pulsante Aggiungi.
  

  

  FIG 5 - Autorizzazioni condivisioni, Aggiungi gruppo

• All'interno della casella Immettere i nomi degli oggetti da selezionare, digitare Domain Users, cliccare sul pulsante Controlla nomi quindi su OK.
  

  

  FIG 6 - Autorizzazioni Domain Users

• All'interno della finestra Autorizzazioni per Dati Personali$ assicurarsi che il gruppo Domain Users sia selezionato quindi, in Autorizzazioni per Domain Users, selezionare la casella Controllo completo e cliccare su OK per applicare la modifica.
  
  

  

  FIG 7 - Controllo completo Domain Users

• Nella finestra Condivisione avanzata cliccare su OK.
  

  

  FIG 8 - Condivisione avanzata

• All'interno della finestra Proprietà - Dati Personali selezionare la scheda Sicurezza quindi cliccare sul pulsante Avanzate.
  

  

  FIG 9 - Sicurezza cartella condivisa

• Tutti gli utenti appartenenti al dominio hanno il controllo completo sul contenuto della cartella. Il nostro obiettivo è quello di andare a creare, all'interno della cartella Dati Personali, altre cartelle individuali per ciascun utente del dominio a cui solo il proprietario potrà accedere. Per default i permessi vengono ereditati dalla cartella superiore pertanto è necessario rimuovere l'ereditarietà dei permessi per raggiungere il nostro scopo. All'interno della finestra Impostazioni avanzate di sicurezza per Dati Personali cliccare su Disabilita ereditarietà.
  

  

  FIG 10 - Disabilita ereditarietà

• All'interno della finestra di dialogo Blocca eredità cliccare su Converti autorizzazioni ereditate in autorizzazioni esplicite per questo oggetto.
  

  

  FIG 11 - Blocca eredità, Converti autorizzazioni ereditate in autorizzazioni esplicite per questo oggetto

• Selezionare il gruppo Users con i permessi di Accesso in Lettura ed esecuzione e cliccare sul pulsante Rimuovi. Eseguire la stessa operazione per l'altro gruppo Users con permessi di Accesso Speciale quindi cliccare su OK.
  

  

  FIG 12 - Impostazioni avanzate di sicurezza per Dati Personali, rimozione autorizzazioni

• Cliccare sul pulsante Chiudi per la chiusura delle finestra Proprietà - Dati Personali.
  

  

  FIG 13 - Proprietà - Dati Personali

La prima fase è conclusa. Adesso non resta che creare le sottocartelle per ciascun utente. L'operazione può essere eseguita tramite Utenti e Computer di Active Directory:

• Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
  

  

  FIG 14 - Server Manager, Strumenti, Utenti e computer di Active Directory

• Selezionare gli utenti dell'unità organizzativa mycompany.local\Direzione\Utenti, cliccarci su con il tasto destro del mouse e selezionare Proprietà.
  

  

  FIG 15 - Proprietà account utente

• All'interno della scheda Profilo, selezionare la casella Home directory quindi l'opzione Connetti. Dall'elenco a discesa selezionare la lettera con la quale si intende mappare la cartella (ad es Z:) e inserire il percorso di rete \\Server1DC\Dati Personali$\%USERNAME%
  %username% è una variabile d'ambiente contenente il nome utente. Cliccare su OK per applicare l'impostazione.
  

  

  FIG 16 - Mappare cartelle personali individuali
• Le cartelle individuali per ciascun utente verranno automaticamente create all'interno della cartella condivisa \\Server1DC\Dati Personali$
  

  

  FIG 17 - Cartelle personali create in \\Server1DC\Dati Personali$

• Da questo momento, quando uno degli utenti appartenenti alla UO mycompany.local\Direzione\Utenti effettuerà il logon su una workstation del dominio, si ritroverà mappata come disco Z: la cartella personale presente sul server e a cui solo lui ha accesso. Ovviamente non sarà più visibile la cartella condivisa che abbiamo creato nell'articolo Windows Server 2019: Mappare automaticamente una cartella condivisa ma a questo si può ovviare tramite uno script di logon di cui parlerò nel prossimo articolo.
  

  

  FIG 18 - Windows 10, Cartella personale mappata

  
  

  

  FIG 19 - Autorizzazioni sulla cartella personale

Windows Server 2019: Mappare automaticamente una cartella condivisa

In un'azienda è importante che gli utenti abbiano la possibilità di condividere informazioni e documenti tra loro. Una soluzione consiste nel creare una cartella pubblica condivisa a cui gli utenti del dominio possano accedere. In questo articolo verrà mostrato come creare una cartella condivisa e fornire a tutti gli utenti del dominio le abilitazioni per scrivere e cancellare file all'interno della stessa. Per rendere l'utilizzo di tale cartella il più semplice possibile per gli utenti, faremo in modo che venga automaticamente mappata dal sistema al logon.
Si tratta di un semplice esempio che può andare bene all'interno delle piccole aziende ma non è adatto in ambiente Enterprise. Andremo a creare una cartella all'interno del disco C:\ del server (anche questa operazione è generalmente sconsigliata e si preferisce creare cartelle contenenti dati su un disco diverso, o quantomeno su una partizione diversa, da quello utilizzato dal sistema operativo) per poi abilitare gli utenti del dominio.

Creazione cartella condivisa e abilitazione degli account utente appartenenti al dominio

• Posizioniamoci sul server Server1DC, apriamo Esplora file, Questo PC, doppio clic su Disco locale (C:).
  

  

  FIG 1 - Windows Server 2019, Disco locale (C:)

• Cliccare, con il tasto destro del mouse, su un punto vuoto della finestra e, dal menu contestuale, selezionare Nuovo quindi Cartella.
  

  

  FIG 2 - Creazione nuova cartella

• Assegnare alla cartella un nome (ad es. Cartella condivisa).
  

  

  FIG 3 - Rinomina cartella

• Cliccare con il tasto destro del mouse sulla cartella appena creata e selezionare Proprietà.
  

  

  FIG 4 - Proprietà cartella

• Selezionare la scheda Condivisione e cliccare sul pulsante Condivisione avanzata.
  

  

  FIG 5 - Condivisione avanzata

• Abilitare la casella Condividi la cartella. In questa finestra possiamo modificare il nome con cui la cartella condivisa appare agli utenti, impostare un limite massimo di utenti che possono accedere simultaneamente alla condivisione e aggiungere un commento. Lasciare i valori di default e cliccare sul pulsante Autorizzazioni.
  

  

  FIG 6 - Condivisione avanzata, Autorizzazioni

• Come visibile dalla FIG 7, sulla cartella è abilitato il gruppo Everyone con i permessi in lettura, ciò significa che chiunque può visualizzare il contenuto della cartella.
  

  

  FIG 7 - Autorizzazione cartella, Everyone in Lettura

Nei prossimi passi faremo in modo che solo gli utenti appartenenti al dominio possono accedere alla cartella, visualizzare e modificare il contenuto.

• Selezionare il gruppo Everyone e cliccare sul pulsante Rimuovi.
  

  

  FIG 8 - Rimuovere il gruppo Everyone

• Cliccare sul pulsante Aggiungi.
  
  

  

  FIG 9 - Autorizzazioni, Aggiungi

• All'interno della casella Immettere i nomi degli oggetti da selezionare, digitare Domain e cliccare sul pulsante Controlla nomi.
  

  

  FIG 10 - Autorizzazioni cartelle condivisa

• Selezionare il gruppo Domain Users e cliccare su OK.
  

  

  FIG 11 - Autorizzazioni Domain Users

• Nella finestra di dialogo Seleziona Utenti, Computer, Account servizio o Gruppo cliccare su OK.
  

  

  FIG 12 - Conferma Autorizzazione a Domain Users

• All'interno della finestra Autorizzazioni per Cartella condivisa assicurarsi che il gruppo Domain Users sia selezionato quindi, in Autorizzazioni per Domain Users, selezionare la casella Controllo completo e cliccare su OK per applicare la modifica.
  

  

  FIG 13 - Domain Users, Controllo completo

• Cliccare su OK all'interno della finestra Condivisione avanzata.
  

  

  FIG 14 - Condivisione avanzata

• All'interno della finestra Proprietà - Cartella condivisa noteremo che adesso viene mostrato il percorso di rete \\SERVER1DC\Cartella condivisa attraverso il quale gli utenti potranno accedere alla cartella. Cliccare su Chiudi.
  

  

  FIG 15 - Proprietà Cartella condivisa, Percorso di rete

Il prossimo passo consiste nel fare in modo che agli utenti abilitati questa condivisione venga mappata automaticamente. Per eseguire l'operazione su un gran numero di account utente si utilizzano le group policy. Nel nostro caso, trattandosi di un gruppo ristretto di utenti, agiremo manualmente sugli account in Active Directory. Tratterò le group policy più avanti in altri articoli. Nei prossimi paragrafi verrà mostrato come eseguire l'operazione tramite Utenti e computer di Active Directory, Centro di amministrazione di Active Directory e tramite PowerShell.

Mappare automaticamente una cartella condivisa tramite Utenti e computer di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
  

  

  FIG 16 - Server Manager, Strumenti, Utenti e computer di Active Directory

• Selezionare gli utenti presenti nell'unità organizzativa mycompany.local\Direzione\Utenti
• Cliccare sugli utenti selezionati con il tasto destro del mouse e selezionare Proprietà.
  

  

  FIG 17 - Proprietà account utente

• All'interno della scheda Profilo e attivare l'opzione Home directory.
  

  

  FIG 18 - Profilo, Home directory

• Nella sezione Home directory è possibile impostare un percorso locale o un percorso mappato. Selezionare l'opzione Connetti quindi specificare la lettera con la quale si intende mappare la condivisione e, nell'apposita casella, specificare il percorso di rete della cartella condivisa (\\SERVER1DC\Cartella condivisa). Al termine cliccare su OK.
  

  

  FIG 19 - Home directory, connessione automatica Percorso di rete

• Un messaggio di avviso ci informa che la directory specificata esiste già e di assicurarsi che tutti gli utenti dispongano delle opportune abilitazione per accedere/gestire il contenuto della cartella. Cliccare su OK.
  

  

  FIG 20 - Avviso verifica permessi su cartella condivisa

Da questo momento, gli utenti abilitati, si ritroveranno la cartella \\SERVER1DC\Cartella condivisa automaticamente mappata al logon con la lettera di unità impostata (Z:).


Eseguendo il logon su un client Windows 10 con uno degli account abilitati alla share e aprendo Esplora file, verrà visualizzata la cartella condivisa mappata con la lettera di unità specificata nei passaggi precedenti.
Creando/copiando un file in tale cartella sarà visibile anche agli altri utenti abilitati.

FIG 21 - Windows 10, Cartella condivisa mappata con la lettera di unità specificata

Mappare automaticamente una cartella condivisa tramite Centro di amministrazione di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
  

  

  FIG 22 - Windows Server 2019, Centro di amministrazione di Active Directory

• Posizionarsi sull'unità organizzativa mycompany.local\Direzione\Utenti, selezionare tutti gli utenti e cliccare su Proprietà presente nel riquadro Attività.
  

  

  FIG 23 - Centro di amministrazione di Active Directory, Proprietà account utente

• Cliccare sulla sezione Profilo.
  

  

  FIG 24 - Profilo account utente

• Selezionare la casella Home directory quindi l'opzione Connetti. Specificare la lettera con cui si intende mappare la cartella condivisa e nella relativa casella inserire il relativo percorso di rete \\SERVER1DC\Cartella condivisa quindi cliccare su OK.
  

  

  FIG 25 - Home directory

Mappare automaticamente una cartella condivisa tramite Powershell

La stessa operazione può essere eseguita, per ogni utente, tramite PowerShell e l'utilizzo del cmdlet Set-ADUSer. Una volta avviato Windows PowerShell (amministratore) basta eseguire il comando

Set-ADUser -HomeDirectory:"\\SERVER1DC\Cartella condivisa" -HomeDrive:"Z:" -Identity:"CN=Yosemite Sam,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -Server:"Server1DC.mycompany.local"

in cui il parametro
-HomeDirectory consente di specificare il percorso di rete della cartella condivisa.
-HomeDrive permette di specificare la lettera di unità con la quale la cartella viene mappata.
-Identity specifica l'utente, nel formato Distinguished Name (DN), a cui mappare la cartella condivisa.
-Server specifica l'istanza AD DS a cui connettersi per eseguire l'operazione.

Kali Linux: Creare una wordlist con Crunch

Tra i sistemi più utilizzati per scardinare le password di un account o di un servizio troviamo gli attacchi di forza bruta e gli attacchi a dizionario. I due tipi di attacco sono molto simili ma, mentre nell'attacco a forza bruta l'attaccante prova tutte le possibili combinazioni di caratteri, in un attacco a dizionario vengono utilizzate solo le password ritenute più probabili e contenute in una lista (definita dizionario).

Online è possibile trovare dizionari già pronti per le nostre esigenze e anche Kali Linux ne mette a disposizione diversi in /usr/share/wordlists/metasploit/. Tuttavia, se si vuole creare un proprio dizionario da dare in pasto a strumenti come Hydra o Medusa, è possibile utilizzare Crunch, un generatore di wordlist che è già incluso in Kali Linux. Il tool viene utilizzato da riga di comando e consente la generazione di un elenco contenente tutte le possibili combinazioni/permutazioni realizzabili a partire dall'insieme di caratteri specificato o da un pattern.

FIG 1 - Dizionari inclusi in Kali Linux

Sintassi
La sua sintassi è
crunch [min] [max] [charset] [options] 


Opzioni
-b 
Permette di specificare la dimensione massima del file di output e richiede l'utilizzo anche del parametro -o START. Se l'output è maggiore della grandezza specificata allora verrà suddiviso in più file. Ad es. il comando
crunch 4 5  -b 20mib  -o START
Genererà 4 file di output  (aaaa-gvfed.txt, gvfee-ombqy.txt, ombqz-wcydt.txt, wcydu-zzzzz.txt) ciascuno di una grandezza massima di 20 mib. Non ci devono essere spazi tra il numero e il tipo. I tipi accettati sono kb, mb, gb, kib, mib e gib. I primi 3 sono kilobyte, megabyte e gigabyte (base 1000) mentre gli ultimi 3 sono kibibyte, mebibyte, gibibyte (base 1024).

-c
Consente di specificare il massimo numero di righe nel file di output. Anche in questo caso va utilizzato insieme a -o START.

-d
Con tale parametro viene limitato il numero massimo di duplicati. Ad es. -d 2@ limita a 2 il numero di caratteri alfabetici minuscoli duplicati all'interno dell'output.

-e
A tale parametro viene passata una stringa che indica quando fermarsi.

-f
Al parametro va passato il nome di un file (ad es. charset.lst) contenente il charset da utilizzare.

-i 
Se specificato inverte l'output. Ad es. invece di avere in output aaa, aab, aac, aad, ecc utilizzando tale parametro si avrà aaa, baa, caa, daa, aba, bba, ecc

-l
Alcuni caratteri come @,%^ vengono utilizzati per specificare caratteri minuscoli, maiuscoli, numeri e simboli (si veda parametro -t). Per utilizzarli come semplici caratteri senza che Crunch tenta di interpretarli bisogna specificare il parametro -l. In questo modo, ad esempio, possiamo utilizzare il simbolo percentuale (%) all'interno di un pattern senza che Crunch lo sostituisca con un numero.

-o
Consente di specificare il file di output.

-p
Permette di generare stringhe senza la ripetizione di caratteri (permutazioni). É comunque necessario dichiarare il numero minimo e massimo di caratteri da utilizzare anche se, con tale parametro, verranno ignorati durante la generazione dell'output. Al parametro va passato il charset.

-q
Il funzionamento è analogo al parametro -p con la differenza che va passato un file.

-r
Permette di recuperare la generazione della wordlist interrotta. Funziona solo se è stato specificato il parametro -o. Eseguendo nuovamente il comando interrotto e aggiungendo il parametro -r la generazione della wordlist viene ripresa dal punto in cui era stata interrotta.

-s
Tramite tale parametro è possibile specificare una stringa di partenza.

-t 
Permette di specificare un pattern inoltre tramite l'utilizzo dei simboli @,%^, consente la sostituzione solo di alcuni caratteri all'interno del pattern: 
@ inserisce caratteri alfabetici minuscoli.
, inserisce caratteri alfabetici maiuscoli.
% inserisce numeri.
^ inserisce simboli.

-u
Va usato come ultimo parametro e consente di non mostrare la percentuale di completamento.

-z
Consente di comprimere il file di output specificando il tipo di compressione desiderato tra: gzip, bzip2, lzma e 7z. Va utilizzato insieme al parametro -o. Il formato gzip è il più veloce ma offre una compressione minima mentre il formato 7z è quello più lento ma fornisce la compressione migliore.


Esempi

Esempio 1
crunch 1 2 ab 
Il primo parametro, in questo caso 1, indica la lunghezza minima della combinazione.
Il secondo parametro (2) indica la lunghezza massima della combinazione desiderata.
Il terzo parametro indica il charset cioè l'insieme di caratteri da utilizzare.

L'output di tale comando sarà costituito dalle seguenti 6 combinazioni possibili
a
aa
ab
b
ba
bb
Come visibile in FIG 1, il comando fornisce anche la dimensione dell'output. Informazione utile nel caso si intenda generare un file.

FIG 2 - Crunch

Esempio 2
crunch 2 2 0123456789 -o wordlist.txt
In questo esempio come charset è stato specificato l'insieme di numeri da 0 a 9. Il parametro -o consente di salvare l'output all'interno del file specificato (wordlist.txt).


Esempio 3
Supponiamo di voler creare un dizionario contenente la parola password seguita da tutte le lettere dell'alfabeto. Il comando sarà:
crunch 9 9 -t password@ -o wordlist.txt
Il carattere @ verrà sostituito ogni volta con una lettera minuscola dell'alfabeto.
Se invece vogliamo che la stringa password venga seguita da 3 numeri il comando diventa
crunch 11 11 -t password%%% -o wordlist.txt


Esempio 4
crunch 4 5 -p abc
In output saranno prodotte le permutazioni abc, acb, bac, bca, cab, cba.

Passando più stringhe al parametro -p
crunch 4 5 -p dog cat bird
l'output sarà il seguente birdcatdog, birddogcat, catbirddog, catdogbird, dogbirdcat, dogcatbird.


Esempio 5
crunch 1 5 -o START -c 3000 -z 7z
In questo caso verranno generati più file di output compressi in formato 7z contenenti ciascuno al massimo 3000 parole. I file di output avranno il nome del tipo prima_parola-ultima_parola.txt.7z. 

Windows Server 2019: Limitare il logon degli account utente a determinate workstation

Come specificato negli articoli precedenti un account utente può, per default, eseguire il logon su qualsiasi workstation appartenente al dominio.
Tuttavia ci sono situazioni in cui sarebbe opportuno limitare l'accesso ad un account utente a specifiche workstation. Active Directory consente di applicare delle restrizioni sui computer ai quali un account o un gruppo di account utente può eseguire il logon. In questo articolo verranno mostrati i passaggi per applicare tali restrizioni agendo manualmente in Active Directory. Non si tratta di un'operazione raccomandata. Come mostrerò in un prossimo articolo, per questo tipo di operazioni, è preferibile agire tramite l'utilizzo delle group policy.

All'interno del nostro dominio mycompany.local abbiamo creato l'unità organizzativa Direzione al cui interno sono presenti ulteriori due unità organizzative: Computer contente, al momento, un unica workstation con nome PCDIR001 e Utenti contenente diversi account utente. Vediamo come fare in modo che uno o più utenti di direzione (mycompany.local\Direzione\Utenti) possano accedere esclusivamente alla workstation PCDIR001.

Limitare il logon degli account utente a determinate workstation tramite il Centro di amministrazione di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
  

  

  FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory

• Posizionarsi sull'unità organizzativa mycompany.local\Direzione\Utenti.
• Selezionare un'account utente (ad es. Yosemite Sam), cliccarci su con il tasto destro del mouse e selezionare Proprietà dal menu contestuale.
  

  

  FIG 2 - Centro di amministrazione di Active Directory, Proprietà account utente

• Cliccare sul link Accedi a...
  

  

  FIG 3 - Proprietà account utente, Accedi a...

• Selezionare l'opzione I computer seguenti. Nell'apposita casella digitare il nome della workstation a cui l'account utente potrà accedere quindi cliccare sul tasto Aggiungi. Ripetere l'operazione nel caso si vogliano aggiungere altre workstation.
  

  

  FIG 4 - Specificare le workstation alle quali l'account utente potrà accedere

• Terminata l'aggiunta delle workstation cliccare su OK all'interno della finestra Accedi a quindi nuovamente su OK per chiudere la finestra delle proprietà dell'account.

E' possibile eseguire l'operazione contemporaneamente su più account selezionandoli e procedendo in maniera analoga a quanto mostrato sopra. L'unica differenza è nella finestra Proprietà che sarà come quella mostrata in FIG 5. Spuntare la casella accanto al link Accedi a quindi cliccare su quest'ultimo per specificare le workstation a cui gli account selezionati potranno accedere.

FIG 5 - Proprietà per più account utente

Limitare il logon degli account utente a determinate workstation tramite Utenti e computer di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
  

  

  FIG 6 - Server Manager, Strumenti, Utenti e computer di Active Directory

• Posizionarsi sull'unità organizzativa mycompany.local\Direzione\Utenti.
• Selezionare un'account utente (ad es. Yosemite Sam), cliccarci su con il tasto destro del mouse e selezionare Proprietà dal menu contestuale.
  

  

  FIG 7 - Utenti e computer di Active Directory, Proprietà account utente

• All'interno della scheda Account, selezionare la casella Restrizioni computer quindi cliccare sul pulsante Accedi a.
  

  

  FIG 8 - Account utente, Accedi a...

• Selezionare l'opzione I seguenti computer. Nell'apposita casella digitare il nome del computer a cui l'account utente selezionato potrà accedere e cliccare sul pulsante Aggiungi.
  

  

  FIG 9 - Specificare le workstation alle quali l'account utente potrà accedere

• Terminata l'aggiunta delle workstation cliccare su OK all'interno della finestra Accedi a quindi su Applica all'interno della finestra delle proprietà dell'account.

Anche in questo caso è possibile eseguire l'operazione contemporaneamente su più account selezionandoli e procedendo in maniera analoga a quanto mostrato sopra. Nella finestra Proprietà di più oggetti selezionare la scheda Account (FIG 10), spuntare la casella Restrizioni computer quindi cliccare sul pulsante Accedi a per specificare le workstation a cui gli account selezionati potranno accedere.

FIG 10 - Restrizioni computer per più account utente

Limitare il logon degli account utente a determinate workstation tramite PowerShell

Per applicare la restrizione ad un account utente tramite PowerShell si utilizza il cmdlet Set-ADUser. 
Avviare Windows PowerShell (amministratore) ed eseguire il comando
Set-ADUser -Identity:"CN=Yosemite Sam,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -LogonWorkstations:"PCDIR001" -Server:"Server1DC.mycompany.local"
è possibile specificare più workstation passando i nomi, separati da virgola, al parametro LogonWorkstations come nel comando
Set-ADUser -Identity:"CN=Yosemite Sam,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -LogonWorkstations:"PCDIR001,PCDIR003" -Server:"Server1DC.mycompany.local"

Windows Server 2019: Limitare l'accesso a orari e giorni specifici di un account utente

Tramite Active Directory è possibile limitare il logon di un'account utente a determinati orari e giorni.

Limitare l'accesso di un account utente tramite il Centro di Amministrazione di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
  

  

  FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory

• Espandere il domino e le unità organizzative fino a raggiungere l'account utente di proprio interesse. Cliccare con il tasto destro del mouse sull'account utente e selezionare Proprietà.
  

  

  FIG 2 - Centro di amministrazione di Active Directory, Proprietà account utente

• All'interno della finestra relativa all'account utente, cliccare sul link Orario di accesso....
  

  

  FIG 3 - Proprietà account utente, Orario di accesso

• Come visibile in FIG 4 le caselle blu evidenziano quando l'utente può effettuare il logon mentre quelle in bianco indicano quando il logon è inibito. Per default l'utente è sempre abilitato ad effettuare il logon. Per impedire che l'utente possa effettuare il logon a determinate ore/giorni, selezionare le caselle corrispondenti e cliccare sull'opzione Accesso negato.
  

  

  FIG 4 - Impostazione Orario di accesso

• Cliccare su OK per confermare la restrizione.
• Per ripristinare il logon basta selezionare le relative caselle di colore bianco e cliccare sull'opzione Accesso autorizzato.

Da questo momento se l'utente tenterà di effettuare il logon in un'ora/giorno non previsto visualizzerà il messaggio mostrato in FIG 5. Da tenere in considerazione che la restrizione non esegue automaticamente il logoff forzato di un utente già loggato.

FIG 5 - Windows 10, Restrizioni dell'account sull'orario di accesso

Limitare l'accesso di un account utente tramite Utenti e Computer di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
  

  

  FIG 6 - Server Manager, Strumenti, Utenti e computer di Active Directory

• Espandere il domino e le unità organizzative fino a raggiungere l'account utente di proprio interesse. Cliccare con il tasto destro del mouse sull'account utente e selezionare Proprietà.
  

  

  FIG 7 - Utenti e computer di Active Directory, Account utente

• Selezionare la scheda Account quindi cliccare sul pulsante Orario di accesso...
  

  

  FIG 8 - Account utente, Orario di accesso

• Per impedire che l'utente possa effettuare il logon a determinate ore/giorni, selezionare le caselle relative e cliccare sull'opzione Accesso negato.
  

  

  FIG 9 - Impostazione Orario di accesso

• Cliccare su OK per confermare la restrizione.

Limitare l'accesso di un account utente tramite tramite PowerShell

Per limitare l'accesso di un account utente a specifiche ore/giorni della settimana tramite PowerShell è possibile utilizzare il cmdlet Set-AdUser. Ad es. per impedire all'utente Yosemite Sam (presente nel dominio mycompany.local\Direzione\Utenti) di loggarsi la domenica, da Windows PowerShell (amministratore) eseguire il comando:
Set-ADUser -Identity:"CN=Yosemite Sam,OU=Utenti,OU=Direzione,DC=mycompany,DC=local" -Replace:@{"logonHours"="0","0","128","255","255","255","255","255","255","255","255","255","255","255","255","255","255","255","255","255","127"} -Server:"Server1DC.mycompany.local"