Windows Server 2019: Inibire l'avvio di Gestione attività agli utenti

Gestione attività (o Task Manager) è uno strumento incluso nei sistemi operativi Microsoft che consente la visualizzazione e gestione delle applicazioni/processi/servizi in esecuzione e visualizzare le performance del computer. Dopo aver eseguito il logon sul PC si può avviare l'applicazione Gestione attività tramite il menù contestuale che appare premendo con il tasto destro del mouse sulla barra delle applicazioni oppure premendo la combinazione di tasti CTRL+ALT+CANC. L'accesso a Gestione attività da parte degli utenti, in alcuni contesti, può rappresentare un problema: un utente potrebbe terminare processi/applicazioni importanti per il corretto funzionamento del sistema. Per impedire agli utenti l'accesso a Gestione attività ed evitare che possano terminare processi vitali sul PC è possibile creare un apposito Criterio di gruppo:

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 1 - Server Manager

• Cliccare, con il tasto destro del mouse, sul dominio mycompany.local quindi dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
  

  

  FIG 2 - Gestione Criteri di gruppo

• Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_Blocca_Gestione_Attività e cliccare su OK. 

  

  FIG 3 - Nome, Nuovo oggetto Criteri di gruppo

• Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica. 

  

  FIG 4 - Modifica GPO

• La policy dovrà essere applicata agli utenti. Posizionarsi su Configurazione utente -> Criteri -> Modelli Amministrativi -> Sistema -> Opzioni CTRL+ALT+ CANC. Cliccare due volte su Rimuovi Gestione attività.
  

  

  FIG 5 - GPO Opzioni CTRL+ALT+CANC

• Selezionare Attivata quindi cliccare su OK.
  

  

  FIG 6 - Attiva GPO Rimuovi Gestione attività

• La policy è stata creata ma bisogna fare in modo che tale restrizione non venga applicata agli amministratori. Chiudere la finestra Editor Gestione Criteri di gruppo. Selezionare il criterio di gruppo appena creato, cliccare sulla scheda Delega quindi sul pulsante Avanzate.
  

  

  FIG 7 - Delega GPO

• Selezionare il gruppo Domain Admins, quindi selezionare la casella Nega in corrispondenza della voce Applica Criteri di gruppo e cliccare su OK.
  

  

  FIG 8 -  Impostazioni di sicurezza GPO

• Cliccare su Sì per confermare l'operazione.
  

  

  FIG 9 - Conferma modifica autorizzazione GPO

Da questo momento gli utenti non potranno più accedere a Gestione Attività.

FIG 10 - Avvio Gestione attività inibito

 

Windows Server 2019: Riattivare l'accesso al Pannello di controllo agli Amministratori di Dominio

Nell'articolo precedente (Windows Server 2019: Disabilitare l'accesso al Pannello di Controllo tramite GPO) è stato creato un oggetto Criteri di gruppo che inibisce l'accesso al Pannello di Controllo e alle impostazioni del PC a tutti gli utenti del dominio. Di seguito verranno mostrati i passaggi per fare in modo che il Criterio di gruppo non venga applicato agli Amministratori di Domino:

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 1 - Server Manager

• Selezionare l'oggetto Criteri di gruppo GPO_Blocca_Pannello_di_Controllo creato nell'articolo precedente.
• Cliccare sulla scheda Delega quindi sul pulsante Avanzate (in basso  a destra).
  

  

  FIG 2 - Oggetto Criteri di gruppo, Delega

• Selezionare il gruppo Domain Admins quindi, nella casella Autorizzazioni per Domain Admins, individuare la voce Applica Criteri di gruppo e flaggare la corrispondente casella Nega. Cliccare su OK per applicare la modifica.
  

  

  FIG 3 - Impostazioni di sicurezza, Applica Criteri di gruppo

• Cliccare su Sì per confermare la negazione dell'autorizzazione.
  

  

  FIG 4 - Conferma negazione di autorizzazione

Da questo momento gli utenti Amministratori di Dominio non saranno oggetti alla policy e potranno accedere al Pannello di controllo e alle impostazioni del PC su tutte le postazioni all'interno del dominio.

Windows Server 2019: Disabilitare l'accesso al Pannello di Controllo tramite GPO

Nelle aziende, al fine di evitare che utenti poco esperti possano compromettere il sistema operativo, viene bloccato, tra le altre cose, l'accesso al Pannello di Controllo. In quest'articolo mostrerò come procedere creando un apposita Group Policy che andrà ad agire su tutti gli account utente appartenenti al Dominio.

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 1 - Server Manager

• Cliccare, con il tasto destro del mouse, sul dominio mycompany.local quindi dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
  

  

  FIG 2 - Gestione Criteri di gruppo

• Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_Blocca_Pannello_di_Controllo e cliccare su OK.
  

  

  FIG 3 - Nuovo oggetto Criteri di gruppo

• Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
  

  

  FIG 4 - Modifica oggetto Criteri di gruppo

• La policy dovrà essere applicata agli utenti. All'interno della sezione Configurazione utente cliccare su Criteri, quindi su Modelli Amministrativi e successivamente su Pannello di controllo.
  

  

  FIG 5 - Oggetto Criteri di gruppo, Configurazione utente, Pannello di controllo

• Cliccare due volte su Impedisci l'accesso al Pannello di controllo e a Impostazioni PC.
  

  

  FIG 6 - Impedisci l'accesso al Pannello di controllo e a Impostazioni PC

• Selezionare Attivata e cliccare su OK.
  

  

  FIG 7 - Attivazione Criterio di gruppo

• Chiudere la finestra Editor Gestione criteri di gruppo e la finestra Gestione criteri di gruppo.

A questo punto se un utente del dominio tenterà di accedere al Pannello di controllo, visualizzerà il messaggio mostrato in FIG 8.

FIG 8 - Restrizioni attive sul computer

Così come è stato creato, l'oggetto Criteri di gruppo agirà su tutti gli utenti del dominio compresi gli utenti Amministratori di Dominio (Domain Admins). Generalmente si preferisce non imporre restrizioni agli Amministratori di Dominio pertanto nel prossimo articolo verrà illustrato come abilitare l'accesso al Pannello di controllo e alle impostazioni del PC a tale gruppo di utenti.

Windows Server 2019: Group Policy, mappare una cartella solo per utenti appartenenti ad un determinato gruppo

Nell'articolo precedente è stato mostrato come mappare una cartella condivisa tramite GPO. La Policy (configurazione utente) è stata creata all'interno del dominio pertanto va ad agire su tutti gli account utente.
In quest'articolo vedremo come creare un oggetto criteri di gruppo da applicare esclusivamente ad un determinato gruppo in AD.
Il primo passo da seguire consiste nella creazione del gruppo. In questo caso andremo a creare il gruppo GRP_Direzione contenente tutti gli utenti della unità organizzativa Direzione. I passaggi sono del tutto analoghi a quelli già visti in precedenti articoli.

Creare un gruppo tramite Utenti e computer di Active Directory

• Da Server Manager cliccare sul menu Strumenti e selezionare Utenti e Computer di Active Directory (Active Directory Users and Computers). In alternativa premere la combinazione di tasti WIN+R digitare dsa.msc e premere invio.
  

  

  FIG 1 - Windows Server 2019, Server Manager

• Espandere il dominio mycompany.local e posizionarsi sull'unità organizzativa Direzione\Utenti. Cliccare, con il tasto destro del mouse, sulla UO Utenti e selezionare Nuovo->Gruppo.
  

  

  FIG 2 - Utenti e computer di Active Directory, Nuovo Gruppo

• Nella casella Nome gruppo inserire il nome da assegnare al gruppo (ad es. GRP_Direzione), come Tipo gruppo lasciare selezionato Sicurezza e come Ambito del gruppo lasciare attiva l'opzione Globale. Cliccare su OK per la creazione del gruppo.
  

  

  FIG 3 - Nuovo oggetto Gruppo

• Selezionare tutti gli account utente presenti nell'unità organizzativa Direzione\Utenti e cliccarci su con il tasto destro del mouse. Selezionare, dal menu contestuale, Aggiungi a un gruppo.
  

  

  FIG 4 - Aggiungi a un gruppo

• Nella nuova finestra di dialogo, all'interno della casella Immettere i nomi degli oggetti da selezionare, digitare il nome (o parte di esso) del gruppo (GRP_Direzione) a cui si intendono  aggiungere gli account utente e cliccare sul pulsante Controlla nomi. Se il nome del gruppo è corretto cliccare su OK per confermare l'operazione. Una nuova finestra di dialogo (FIG 6 ) confermerà l'avvenuta aggiunta al gruppo.
  

  

  FIG 5 - Seleziona Gruppi

  
  

  

  FIG 6 - Aggiunta al gruppo completata

Creazione cartella condivisa

• Avviare Esplora file, cliccare su Questo PC quindi sul Disco locale (C:).
  

  

  FIG 7 - Esplora file, disco C:

• Creare una nuova cartella e rinominarla in Direzione.
• Cliccare, con il tasto destro del mouse, sulla cartella appena creata e selezionare Proprietà.
  

  

  FIG 8 - Proprietà cartella

• Selezionare la scheda Condivisione e cliccare sul pulsante Condivisione avanzata.
  

  

  FIG 9 - Condivisione cartella

• Selezionare l'opzione Condividi la cartella. All'interno della casella Nome condivisione aggiungere il simbolo $ per creare una condivisione nascosta. Cliccare sul pulsante Autorizzazioni.
  

  

  FIG 10 - Condivisione avanzata

• Selezionare il gruppo Everyone, quindi cliccare su Rimuovi. Il nostro scopo è fare in modo che alla cartella possano accedere solo utenti che appartengono al gruppo GRP_Direzione.
  

  

  FIG 11 - Autorizzazioni, rimuovere gruppo Everyone

• Cliccare sul tasto Aggiungi e, all'interno della nuova finestra di dialogo, digitare il nome del gruppo GRP_Direzione quindi cliccare su OK per ritornare alla schermata precedente.
  

  

  FIG 12 - Autorizzazioni, aggiungi gruppo

• Dato che intendiamo fornire al gruppo GRP_Direzione permessi completi sulla cartella condivisa, selezionare il gruppo quindi flaggare la casella Controllo completo e cliccare su OK.
  

  

  FIG 13 - Autorizzazioni, controllo completo al gruppo GRP_Direzione

• Nella finestra Condivisione avanzata (FIG 10), cliccare ancora su OK.
• Come visibile in FIG 14 verrà mostrato il percorso della cartella condivisa. Cliccare su Chiudi.
  

  

  FIG 14 - Percorso di rete condivisione

Il prossimo passo consiste nel mappare la cartella condivisa agli utenti che appartengono al gruppo GRP_Direzione mediante GPO.

Creazione GPO per mappare la cartella agli utenti del gruppo GRP_Direzione

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 15 - Server Manager

• Espandere il dominio mycompany.local quindi cliccare, con il tasto destro del mouse, sull'unità organizzativa Direzione e dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
  

  

  FIG 16 - Gestione Criteri di gruppo

• Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_Direzione_mappa_condivisione e cliccare su OK.
  

  

  FIG 17 - Nuovo oggetto Criteri di gruppo

• Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
  

  

  FIG 18 - Modifica oggetto Criteri di gruppo

• La policy dovrà essere applicata agli utenti. All'interno della sezione Configurazione utente cliccare su Preferenze, quindi su Impostazioni di Windows e successivamente su Mapping unità.
  

  

  FIG 19 - Configurazone utente, Mapping unità

• Cliccare, con il tasto destro del mouse, sul pannello sulla destra e selezionare Nuovo->Unità mappata.
• Nella casella Azione selezionare Aggiorna, all'interno della casella percorso digitare il percorso della cartella condivisa \\SERVER1DC\Direzione$. Attivare la casella Riconnetti e in label digitare il nome con cui la cartella verrà mappata (ad es. Share Direzione).
  

  

  FIG 20 - Proprietà unità mappata

• Selezionare l'opzione Usa e specificare la lettera di unità con cui la cartella condivisa verrà mappata (ad es. J:).
  

  

  FIG 21 - Proprietà unità mappata

• Cliccare su OK e chiudere la finestra Editor Gestione criteri di gruppo e la finestra Gestione criteri di gruppo.

A questo punto gli utenti che appartengono al gruppo GRP_Direzione, quando eseguiranno il logon su una postazione del dominio, si ritroveranno la cartella \\SERVER1DC\Direzione$ mappata come unità J:.

Windows Server 2019: Introduzione alle Group Policy (GPO) e mapping cartella condivisa

Quando si parla di Active Directory non si può fare a meno di parlare anche delle Group Policy (Criteri di gruppo). Le Group Policy sono un insieme di regole che controllano l'ambiente di lavoro degli utenti e dei computer fornendo una gestione centralizzata e consentendo la configurazione dei sistemi operativi, impostazioni degli utenti e applicazioni in un ambiente Active Directory. In pratica le Group Policy stabiliscono, in parte, cosa l'utente può e non può fare su un computer del dominio e possono essere utilizzate, ad esempio, per bloccare l'accesso al pannello di controllo/gestione attività, impedire/autorizzare l'accesso a cartelle condivise, disabilitare il download di file eseguibili, consentire l'installazione automatica di software, implementare restrizioni su quote disco, sulla lunghezza della password e altro. Le Group policy vengono gestite tramite lo strumento Gestione Criteri di gruppo (Group Policy Management Console o GPMC) e create/modificate tramite l'Editor Gestione Criteri di gruppo (Group Policy Management Editor o GPME).
Prima di mostrare come creare le Group Policy è bene chiarire e approfondire alcuni concetti basilari.

Le Group Policy vengono configurate e distribuite dagli amministratori di dominio mediante la creazione di oggetti Criteri di gruppo(Group Policy Object o GPO). Gli oggetti Criteri di gruppo sono container per gruppi di impostazioni (policy settings) che possono essere applicate agli account utente, agli account computer o ad entrambi attraverso Active Directory. Tali oggetti vengono creati utilizzando l'Editor Gestione Criteri di gruppo (GPME) che viene invocato quando si modifica un GPO all'interno dello strumento Gestione Criteri di gruppo (GPMC). 
Contrariamente a quanto possa far credere il nome, gli oggetti Criteri di gruppo non sono affatto orientati al gruppo: non è possibile applicarli direttamente ai gruppi. Possono essere applicati a livello locale, a siti, ai domini e alle UO (Microsoft li abbrevia con LSDOU: Locale, Sito, Dominio, OU) all'interno di una data foresta. L'assegnazione delle policy viene anche chiamata linking.
Il rapporto tra GPO e LSDOU può essere del tipo molti a uno (ad es. più GPO assegnati ad un sola UO) o di uno a molti (ad es. una sola GPO assegnata a più UO). Quando viene assegnato un oggetto Group Policy ad un'unità organizzativa questo agisce su tutti gli account in essa contenuti e sulle UO sottostanti.  

Affermare che i Criteri di Gruppo/GPO vengono memorizzati all'interno di Active Directory non è del tutto corretto. Gli oggetti Criteri di gruppo vengono memorizzati in due posti distinti: all'interno di un container di Group Policy (Group Policy Container o GPC) e all'interno di un Group Policy Template (GPT). Il GPC è memorizzato all'interno del database Active Directory e contiene informazioni sulla proprietà, versione, stato e una lista dei componenti. Il GPT, invece, viene conservato all'interno della cartella Windows\SYSVOL\sysvol\<Nome del dominio>\Policies\GUID\ dove GUID rappresenta il Global Unique Identifier dell'oggetto Criteri di gruppo. Tale cartella contiene impostazioni amministrative, impostazioni di sicurezza, informazioni sulle applicazioni disponibili, impostazioni del registro di sistema, script e altro.

Anche se una Group Policy può contenere numerose impostazioni è buona norma configurarne solo un numero ristretto. Le Group Policy sono cumulative e supportano l'ereditarietà (possono essere ereditate dai container superiori in Active Directory). Le policy vengono applicate in background. Generalmente il computer effettua un refresh delle policy ogni 90 minuti ma è possible forzarne la sincronizzazione tramite il comando gpupdate /force dal Prompt dei comandi. I domain controller, a differenza dei normali computer, eseguono il refresh delle Group Policy ogni 5 minuti. Un eccezione alla regola viene fatta per le policy che includono il reindirizzamento di cartelle, l'installazione del software, l'applicazione di script, impostazioni Stampanti e dischi di rete mappati. Tali policy, infatti, vengono applicate solo al logon dell'utente (per gli account utente) o all'avvio del sistema (per gli account computer).
Le Group Policy vengono replicate automaticamente. L'Active Directory viene replicato utilizzando AD Replication (controllato da Knowledge Consistency Checker e Intersite Topology Generator) ed è controllato dal servizio File Replication o dal servizio Distributed File Replication.
Le impostazioni specificate all'interno di un oggetto Group Policy vengono scritte all'interno del registro di sistema e vengono eliminate quando l'impostazione della policy viene eliminata o l'oggetto Group Policy viene cancellato. Tale comportamento previene l'effetto "tattooing", un tempo presente, che costringeva gli amministratori a creare un nuovo GPO per annullare le impostazioni di un GPO cancellato. 

Creare una Group Policy che mappa una cartella condivisa

Di seguito vengono mostrati i passaggi per creare una Group Policy che esegue il mapping di una cartella condivisa assegnando una specifica lettera di unità.

• Da Server Manager cliccare su Strumenti e selezionare Gestione Criteri di gruppo (Group policy management).
  

  

  FIG 1 - Windows Server 2019,  Server Manager

• Espandere la foresta cliccando su mycompany.local.
• Cliccare con il tasto destro del mouse sul nome della foresta (mycompany.local) e selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento. In questo modo andremo a creare un'oggetto Criteri di gruppo che verrà applicato all'intero dominio. Le policy applicate al dominio agiscono su tutte le unità organizzative mentre quelle applicate ad un'unità organizzativa agiscono esclusivamente su quest'ultima e su quelle sottostanti.
  

  

  FIG 2 - Windows Server 2019, Gestione Criteri di gruppo

• Assegnare un nome all'oggetto Criteri di gruppo (ad es. Mapping Cartella Condivisa) e cliccare su OK.
  

  

  FIG 3 - Windows Server 2019, Nuovo oggetto Criteri d gruppo

• Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica.
  

  

  FIG 4 - Windows Server 2019, Modifica oggetto Criteri di gruppo

• Nell'Editor Gestione Criteri di gruppo notiamo la separazione tra due sezioni: Configurazione computer e Configurazione utente. Ambedue, sul sistema operativo a cui vengono applicate, agiscono sul registro di sistema. Come già accennato, le policy possono essere applicate ai computer, agli utenti o ad entrambi. In questo articolo la policy che andremo a creare verrà applicata agli account utente. Ciò significa che la policy verrà applicata nel momento in cui l'utente effettuerà il logon su una qualsiasi postazione del dominio. All'interno di Configurazione utente cliccare su Preferenze per espanderla.
  

  

  FIG 5 - Editor Gestione Criteri di gruppo, Configurazione utente

• Cliccare su Impostazioni di Windows quindi su Mapping unità.
  

  

  FIG 6 - Editor Gestione Criteri di gruppo, Configurazione utente, Preferenze

• Cliccare, con il tasto destro del mouse, su una parte vuota sul lato destro della finestra e, dal menu contestuale, selezionare Nuovo e successivamente su Unità mappata.
  

  

  FIG 7 - Editor Gestione Criteri di gruppo, Mapping unità

• Nel campo Azione è necessario specificare cosa andrà a fare la Group policy. Selezionare Aggiorna in modo che la cartella verrà sempre mappata. All'interno della casella Percorso indicare il path della cartella da mappare (ad es. \\SERVER1DC\Cartella condivisa che abbiamo creato nell'articolo Windows Server 2019: Mappare automaticamente una cartella condivisa).
  

  

  FIG 8 - Mapping unità, Nuove proprietà unità

• Selezionare l'opzione Riconnetti, in questo modo la cartella verrà riconnessa non appena disponibile.
• In Etichetta specificare il nome con cui si intende mappare la cartella (ad es. Share1).
• Alla cartella mappata possiamo assegnare la prima lettera disponibile o, attivando l'opzione Usa, specificare una precisa lettera di unità. In questo esempio attiviamo l'opzione Usa, selezioniamo la lettera P: e clicchiamo su OK.
  

  

  FIG 9 - Mapping unità, Nuove proprietà unità

• Chiudere la finestra.
• Spostarsi su una postazione appartenente al dominio e verificare, dopo il logon, che la group policy appena creata funziona e che la cartella condivisa sia stata mappata con la lettera di unità specificata. Possiamo forzare l'applicazione delle group policy tramite il comando gpupdate /force eseguito dal Prompt dei comandi della workstation.
  

  

  FIG 10 - Unità mappata dopo il logon su una workstation del dominio

Windows Server 2019: Configurare la workstation in modo che contatti un domain controller alternativo in caso di indisponibilità di quello principale

Chi ha seguito gli articoli precedenti su Windows Server 2019 (i link sono presenti in fondo all'articolo) si ritroverà con due domain controller configurati come segue:

Nome: Server1DC
IP: 192.168.1.121
Subnet Mask: 255.255.255.0
DNS primario: 192.168.1.121

Nome: Server2DC
IP: 192.168.1.122
Subnet Mask: 255.255.255.0
DNS primario: 192.168.1.121

Per fare in modo che una workstation, nel caso non riesca a contattare Server1DC o questo non sia disponibile, provi con un domain controller alternativo come Server2DC è necessario modificare le impostazioni di rete. In pratica tra i server DNS della workstation bisogna aggiungere l'indirizzo IP del server Server2DC. Generalmente questa operazione viene effettuata centralmente tramite il server DHCP. Dato che non ho ancora trattato l'argomento DHCP, in quest'articolo mostrerò come effettuare l'operazione manualmente sulla postazione tramite GUI. I passaggi da seguire sono quelli già visti nell'articolo Windows Server 2019: Aggiungere una workstation al dominio (join al dominio):

• Cliccare con il tasto destro del mouse sull'icona Accesso a Internet presente nell'area di notifica e selezionare Impostazioni Apri connessione e Internet.
  

  

  FIG 1 - Windows 10, Impostazioni Apri connessione e Internet

• Cliccare sulla sezione Ethernet presente sul lato sinistro della finestra quindi cliccare su Modifica opzioni scheda.
  

  

  FIG 2 - Impostazioni Ethernet, Modifica opzioni scheda

• All'interno della finestra Connessioni di rete, cliccare con il tasto destro del mouse sulla scheda di rete e selezionare Proprietà dal menu contestuale. Potrebbe essere richiesto l'inserimento di credenziali di un account del dominio abilitato ad eseguire la modifica (FIG 4).
  

  

  FIG 3 - Proprietà scheda di rete

  

  FIG 4 - Connessioni di rete, richiesta credenziali

• Dall'elenco selezionare Protocollo Internet versione 4 (TCP/IPv4) e cliccare sul pulsante Proprietà.
  

  

  FIG 5 - Proprietà Protocollo Internet Versione 4 (TCP/IPv4)

• All'interno del campo Server DNS alternativo digitare l'IP del domain controller aggiuntivo (Server2DC) 192.168.1.122 quindi cliccare su OK e chiudere le finestre aperte.
  

  

  FIG 6 - Server DNS alternativo