lunedì 3 luglio 2023

Windows Server 2022: Gestione dei gruppi di lavoro

In qualità di amministratore di un gruppo di lavoro è necessario occuparsi di diverse attività di gestione tra cui, le più comuni, troviamo la reimpostazione delle password e la modifica del ruolo dell'utente. In quest'articolo verranno illustrati alcuni metodi per la gestione degli account utente e dei gruppi di lavoro.

Gestione computer

La console Gestione computer è un ottimo punto di partenza per la gestione degli utenti e dei gruppi locali. Ad esempio, dalla console è possibile modificare la password di un account utente e/o visualizzarne e modificarne le proprietà:
  • In Server Manager, cliccare sul menu Strumenti e selezionare Gestione computer.
    Server manager, Gestione computer
    FIG 1 - Server manager, Gestione computer

  • Fate doppio clic su Utenti e gruppi locali per espanderlo quindi selezionare Utenti per visualizzare l'elenco degli utenti.
    Gestione computer, Utenti
    FIG 2 - Gestione computer, Utenti

  • Se si desidera solo reimpostare la password, fare clic con il pulsante destro del mouse sull'account utente e scegliere Impostazione password.
    Impostazione password
    FIG 3 - Impostazione password

  • Una finestra di dialogo ci avvisa che alcune informazioni potrebbero non essere più accessibili a seguito reimpostazione della password (ad es. per le informazioni cifrate). Cliccare su Continua per proseguire.
    Avviso reimpostazione password
    FIG 4 - Avviso reimpostazione password

  • Digitare, due volte, la nuova password e confermare cliccando su OK.
    Nuova password
    FIG 5 - Nuova password

  • Per visualizzare le proprietà di un account utente, cliccarci su con il tasto destro del mouse e selezionare la voce Proprietà.
  • Nella finestra di dialogo Proprietà sono presenti diverse schede. Di seguito le vediamo in dettaglio.
    Generale
    In questa scheda è possibile obbligare l'utente a modificare la password all'accesso successivo, impedire che l'utente possa cambiare la password, disabilitare la scadenza della password e disabilitare l'account.
    Proprietà, Generale
    FIG 6 - Proprietà, Generale
    Membro di
    Consente di visualizzare e modificare l'appartenenza ai gruppi dell'utente.
    Proprietà, Membro di
    FIG 7 - Proprietà, Membro di

    Profilo
    Nella scheda Profilo è possibile impostare il percorso del profilo utente, script di logon e la home directory.
    Proprietà, Profilo
    FIG 8 - Proprietà, Profilo

    Ambiente
    Nella scheda Ambiente è possibile specificare un programma da avviare al logon dell'utente e impostare il comportamento desiderato per i dispositivi client.
    Proprietà, Ambiente
    FIG 9 - Proprietà, Ambiente

    Sessioni
    Consente di configurare il timeout e le impostazioni di riconnessione di Servizi Desktop remoto.
    Proprietà, Sessioni
    FIG 10 - Proprietà, Sessioni

    Controllo remoto
    Permette di abilitare/disabilitare il controllo remoto della sessione di un utente. Utile per connettersi alla macchina da remoto per la risoluzione di problemi.
    Proprietà, Controllo remoto
    FIG 11 - Proprietà, Controllo remoto


    Profilo Servizi Desktop remoto
    Simile alla scheda Profilo, ma si applica solo alle sessioni di Remote Desktop.
    Proprietà, Profilo Servizi Desktop Remoto
    FIG 12 - Proprietà, Profilo Servizi Desktop Remoto

    Chiamate in ingresso
    Controlla le opzioni di connessione alternative.
    Proprietà, Chiamate in ingresso
    FIG 13 - Proprietà, Chiamate in ingresso

Finestra Account

La finestra Account consente di eseguire le stesse funzioni di gestione degli utenti della console Gestione computer, ma con un'interfaccia più semplice.
Per accedere alla finestra Account:
  • Accedere alle Impostazioni di Windows tramite il menu Start oppure tramite la combinazione di tasti WIN+I.
  • Cliccare su Account.
    Impostazioni
    FIG 14 - Impostazioni

  • Selezionare Altri utenti. Da qui è possibile modificare il tipo di account, rimuovere o aggiungere un account locale.
    Account
    FIG 15 - Account


PowerShell

Per la gestione dei gruppi di lavoro è possibile utilizzare PowerShell. Alcune operazioni amministrative non possono essere eseguite tramite GUI ma esclusivamente tramite PowerShell.

Avviare PowerShell come amministratore:cliccare con il tasto destro del mouse su Start e selezionare Windows PowerShell (amministratore)

Tramite l'utilizzo del cmdlet Get-LocalUser è possibile interrogare il sistema per ottenere informazioni sull'account corrente specificato. Ad esempio, per visualizzare le impostazioni correnti dell'account Utente1, digitare quanto segue:
Get-LocalUser -Name "Utente1"

Per modificare la password dell'utente e possibile eseguire i seguenti comandi:
$Password = Read-Host -Prompt 'Inserisci Password' -AsSecureString
Get-LocalUser -Name "Utente1" | Set-LocalUser -Password $Password


In PowerShell le variabili sono rappresentate da stringhe di testo che iniziano con un segno di dollaro ($) e possono essere considerate come contenitori di oggetti. 
Per esempio, il primo comando (Read-Host -Prompt 'Inserisci Password' 
-AsSecureString) richiede la digitazione di una password che viene salvata nella variabile $Password come stringa sicura. Il cmdlet Get-LocalUser recupera le informazioni relative all'account utente Utente1 a cui, tramite il cmdlet Set-LocalUser, viene assegnata la password memorizzata in precedenza.
PowerShell, Nuova password account locale
FIG 16 - PowerShell, Nuova password account locale






venerdì 30 giugno 2023

Windows Server 2022: Gruppi di lavoro

Nelle reti di piccole dimensioni potrebbe non avere senso implementare un controller di dominio con Active Directory. In questi casi, per la condivisione di risorse tra i vari host, potrebbe essere sufficiente il gruppo di lavoro.

Cos'è un gruppo di lavoro

Un gruppo di lavoro è un gruppo peer-to-peer di computer che condividono risorse ma che non appartengono a un dominio Active Directory. Un gruppo di lavoro può avere un server centrale che fornisce alcuni servizi, oppure può semplicemente condividere i dati con le singole workstation. La presenza di uno o più server all'interno di un gruppo di lavoro non è necessaria, si può creare un gruppo di lavoro con i soli sistemi client. Un gruppo di lavoro può essere piccolo, composto da due computer, o di grandi dimensioni. Più il gruppo di lavoro diventa grande più diventa complesso da amministrare.

Affinché un gruppo di lavoro funzioni correttamente, tutti i sistemi devono condividere lo stesso nome di gruppo. Per impostazione predefinita, in Windows, un sistema non collegato a un dominio appartiene a un gruppo di lavoro chiamato WORKGROUP. La differenza principale da tenere presente tra le relazioni peer-to-peer e quelle client-server, come quelle realizzate in Active Directory, è che le relazioni peer-to-peer sono completamente decentralizzate. È necessario impostare esplicitamente l'accesso per gli utenti e le risorse su ogni server/workstation a cui si desidera connettere. 
Uno dei vantaggi principali dei gruppi di lavoro è che possono essere molto semplici da gestire, purché siano piccoli. È sufficiente configurare una risorsa per la condivisione e definire con chi si vuole condividere quella risorsa.

Per capire se un gruppo di lavoro è adatto al proprio ambiente è necessario capire che cosa si può fare o non si può fare con un gruppo di lavoro. Innanzitutto bisogna considerare la dimensione della rete. Ad esempio, se la rete è piccola, con meno di 15-20 host, un gruppo di lavoro può essere una buona soluzione. Se invece la rete è composta da 100 o più host, un gruppo di lavoro probabilmente non è una buona scelta, perché comporterebbe una grande quantità di lavoro per la sua gestione.
In un gruppo di lavoro è possibile condividere file, database e stampanti. Se questo è tutto ciò di cui si ha bisogno e la rete è di piccole dimensioni, allora un gruppo di lavoro potrebbe rappresentare una buona soluzione. In questo modo si risparmia la spesa per la creazione di un controller di dominio, che necessita di un ulteriore licenza per il sistema operativo del server, e il costo dell'assunzione di un amministratore di sistema che sappia come gestire Active Directory.
Tuttavia, non si dispone di un'autenticazione centralizzata: ogni utente deve avere un account sul sistema in cui vuole accedere alle risorse. Non è possibile gestire i sistemi con i Criteri di gruppo: è necessario utilizzare solo i criteri di sicurezza locali. Infine, non è possibile eseguire applicazioni che richiedono Active Directory. 

Confronto tra condivisione centralizzata e di gruppo

Se si decide di utilizzare un gruppo di lavoro bisognerà decidere anche il modello di condivisione da utilizzare: modello di condivisione centralizzato o un modello di condivisione di gruppo. Nel modello di condivisione centralizzato, tutti i dati sono archiviati su un unico sistema, una workstation o un server. Tutti gli altri membri del gruppo di lavoro si collegano a questa postazione centrale per utilizzare le risorse condivise. Il modello di condivisione centralizzata è il più semplice da sostenere, perché è possibile impostare gli account dei membri del gruppo di lavoro sul server e questi saranno in grado di condividere le risorse. Nel modello di condivisione di gruppo, tutte le workstation del gruppo condividono risorse diverse. Il modello di condivisione di gruppo può essere molto più complesso da gestire, perché tutti gli utenti devono avere accesso a ogni sistema su cui risiede la risorsa a cui si intende accedere.
 

Configurazione di un server per un gruppo di lavoro

Quando si configura un server come server di un gruppo di lavoro, è necessario aggiungere gruppi, utenti e le risorse che si desidera condividere. Prima di fare tutto ciò, è necessario cambiare il nome del gruppo di lavoro.


1. Modifica del nome del gruppo di lavoro
Il nome predefinito del gruppo di lavoro di Windows è WORKGROUP. In una piccola azienda è opportuno modificare il nome del gruppo di lavoro con qualcosa di più significativo (anche per una questione di sicurezza e di best practice). Ecco come fare: 
  • In Server Manager, cliccare su Server locale quindi sul collegamento WORKGROUP accanto alla scritta Gruppo di lavoro.
    Server Manager, Server locale
    FIG 1- Server Manager, Server locale

  • All'interno della finestra Proprietà del sistema cliccare sul pulsante Cambia.

    Proprietà del sistema
    FIG 2 - Proprietà del sistema

  • Nella casella di testo Gruppo di lavoro sostituire la scritta WORKGROUP con il nome che si desidera assegnare al gruppo di lavoro, quindi cliccare su OK.
    Cambiamenti dominio/nome computer
    FIG 3 - Cambiamenti dominio/nome computer

  • Verrà mostrata una finestra di dialogo con il nuovo nome. Cliccare su OK.
    Nuovo gruppo di lavoro
    FIG 4 - Nuovo gruppo di lavoro

  • Nella finestra successiva veniamo avvisati che è necessario riavviare il sistema per rendere effettive le modifiche. Cliccare su OK.
    Riavvio del sistema
    FIG 5 - Riavvio del sistema

  • Si ritorna alla  finestra Proprietà del sistema. Cliccare su Chiudi.
    Proprietà del sistema
    FIG 6 - Proprietà del sistema

  • A questo punto verrà mostrata una nuova finestra di dialogo che ci chiede se desideriamo riavviare il sistema o farlo in un momento successivo. Cliccare su Riavvia ora. Dopo il riavvio la modifica del nome del gruppo di lavoro sarà effettiva.
    Riavvio necessario
    FIG 7 - Riavvio necessario



2. Creazione di gruppi
Anziché lavorare sui singoli account utente è preferibile lavorare sui gruppi: si concedono le autorizzazioni per le risorse condivise al gruppo piuttosto che direttamente agli account utente. Questo garantisce agli utenti l'accesso a tutto ciò di cui hanno bisogno ed è molto più facile da gestire rispetto alle autorizzazioni dei singoli utenti. Per questo motivo, è consigliabile creare gruppi prima di creare utenti. Per creare un gruppo:
  • In Server Manager, cliccare sul menu Strumenti e selezionare Gestione computer.
    Server manager, Gestione computer
    FIG 8 - Server manager, Gestione computer

  • Selezionare Utenti e gruppi locali quindi fare doppio clic su Gruppi.
    Gestione computer
    FIG 9 - Gestione computer

  • Windows Server 2022 include diversi gruppi già pronti. Per creare un nuovo gruppo, cliccare sul menu Azione e selezionare Nuovo gruppo.

    Creazione nuovo gruppo
    FIG 10 - Creazione nuovo gruppo
  • Nella casella Nome gruppo digitare il nome che si intende assegnare al gruppo che si sta creando. Nella casella Descrizione è possibile scrivere una breve descrizione del gruppo. Cliccare su Crea per procedere alla creazione del gruppo.
    Nuovo gruppo
    FIG 11 - Nuovo gruppo
  • Cliccare su Chiudi per chiudere la finestra di dialogo Nuovo gruppo.
 

3. Creazione di utenti e aggiunta di utenti al gruppo
Per poter accedere a un gruppo di lavoro, un utente deve disporre di un account locale sul sistema a cui sta cercando di connettersi. Quando si crea l'account utente, è possibile concedere direttamente le autorizzazioni, ma aggiungere l'utente a un gruppo con le autorizzazioni corrette è molto più semplice. 
Ecco come creare un utente e aggiungerlo a un gruppo:
  • In Server Manager, dal menu Strumenti, selezionare Gestione computer.
  • Selezionare Utenti e gruppi locali quindi doppio click su Utenti.
    Gestione computer
    FIG 12 - Gestione computer

  • Windows Server 2022 include alcuni account utente già pronti. In questo esempio, andremo a creare un account utente chiamato Utente1. Cliccare sul menu Azione e selezionare Nuovo utente (in alternativa cliccare su Altre azioni sul lato destro della finestra e scegliere Nuovo utente).
    Creazione nuovo utente
    FIG 13 - Creazione nuovo utente

  • Nella finestra di dialogo Nuovo utente, compilare i campi Nome utente, Nome completo e Password. In un ambiente di produzione, si consiglia di lasciare selezionata la casella di controllo Cambiamento obbligatorio password all'accesso successivo. Cliccare su Crea.
    Nuovo utente
    FIG 14 - Nuovo utente
  • Cliccare su Chiudi per chiudere la finestra di dialogo Nuovo utente.
  • Fare clic con il tasto destro del mouse sull'utente appena creato e scegliere Proprietà. Verrà visualizzata la finestra di dialogo Proprietà nome utente (dove nome utente è il nome dell'utente di cui si sta esaminando le proprietà).

    Visualizzazione Proprietà account utente
    FIG 15 - Visualizzazione Proprietà account utente

  • Fare clic sulla scheda Membro di e cliccare sul pulsante Aggiungi
    Membro di
    FIG 16 - Membro di

  • Viene visualizzata la finestra di dialogo Seleziona Gruppi. Nel campo Immettere i nomi degli oggetti da selezionare, digitare il nome del gruppo creato in precedenza e fare clic su Controlla nomi. Se il gruppo viene trovato, sarà sottolineato e inizierà con il nome del server, come mostrato in FIG 17. Cliccare su OK per chiudere la finestra di dialogo.
    Seleziona Gruppi
    FIG 17 - Seleziona Gruppi

  • Cliccare su OK per chiudere la finestra delle proprietà.
    Proprietà utente
    FIG 18 - Proprietà utente
A questo punto abbiamo inserito il nuovo utente nel gruppo creato in precedenza.


4. Risorse condivise
Le cose più comuni che vengono condivise in uno scenario di gruppo di lavoro sono le stampanti e i file. Ecco come condividere file e cartelle:
  • In Server Manager, dal menu Strumenti, selezionare Gestione computer.
  • Cliccare su Cartelle condivise, quindi doppio clic su Condivisioni.
    Cartelle condivise
    FIG 19 - Cartelle condivise

  • Dal menu Azione selezionare Nuova condivisione per avviare la creazione guidata di una cartella condivisa.
    Nuova condivisione
    FIG 20 - Nuova condivisione

  • Nella prima schermata della creazione guidata, cliccare su Avanti per proseguire.
    Creazione guidata cartella condivisa
    FIG 21 - Creazione guidata cartella condivisa

  • Nella schermata Percorso cartella, fare clic su Sfoglia
    Percorso cartella
    FIG 22 - Percorso cartella

  • Nella finestra di dialogo Cerca cartella, navigare fino alla cartella che si desidera condividere, selezionarla e cliccare su OK.

    Cerca cartella
    FIG 23 - Cerca cartella

  • Riappare la finestra Percorso cartella con la cartella selezionata nel passo precedente. Cliccare su Avanti per proseguire.
  • La schermata successiva consente di modificare il nome della condivisione e di impostare le impostazioni offline. Ciò consente agli utenti offline di accedere ai file della condivisione. Cliccare su Avanti.
    Nome, descrizione e impostazioni
    FIG 24 - Nome, descrizione e impostazioni

  • La schermata successiva consente di personalizzare le autorizzazioni per la condivisione. Selezionare l'opzione Personalizza autorizzazioni, quindi fare clic su Personalizzate
    Personalizza autorizzazioni
    FIG 25 - Personalizza autorizzazioni

  • Viene visualizzata la finestra di dialogo Personalizza autorizzazioni. Di default il gruppo Everyone può accedere in lettura alla share. Per autorizzare un nuovo utente/gruppo cliccare su Aggiungi.
    Personalizza autorizzazioni
    FIG 26 - Personalizza autorizzazioni

  • Nella casella Immettere i nomi degli oggetti da selezionare, digitare il nome del gruppo creato in precedenza e fare clic su Controlla nomi per assicurarsi che venga risolto, quindi cliccare su OK.
    Seleziona Utenti o Gruppi
    FIG 27 - Seleziona Utenti o Gruppi
  • Nella sezione Autorizzazioni per gli utenti della workstation, impostare le autorizzazioni desiderate per la condivisione. In genere, si selezionano le caselle di controllo Modifica e Lettura. Una volta selezionate le autorizzazioni desiderate cliccare su OK.

    Autorizzazioni per il gruppo
    FIG 28 - Autorizzazioni per il gruppo

  • Cliccare su Fine.
    Autorizzazioni cartella condivisa
    FIG 29 - Autorizzazioni cartella condivisa

  • Nella schermata Condivisione riuscita, fare nuovamente clic su Fine.
    Condivisione riuscita
    FIG 30 - Condivisione riuscita

  • Dopo che la condivisione è stata aggiunta, verrà visualizzata in Condivisioni sotto Cartelle condivise, come mostrato in FIG 31.

    Condivisioni
    FIG 31 - Condivisioni

Se avete mai creato dei gruppi di lavoro su una versione precedente di Windows, sapete che il passo successivo consisteva nell'aggiungere il gruppo creato alle autorizzazioni di condivisione della cartella nel file system. Si trattava di un doppio lavoro. Fortunatamente, Microsoft ha posto rimedio a questa situazione. Quando si condivide la cartella nell'area Cartelle condivise di Gestione computer, vengono impostate anche le autorizzazioni di condivisione. Per controllare le impostazioni:
  • Avviare Esplora file, quindi posizionarsi sulla cartella condivisa.
  • Cliccare, con il tasto destro del mouse, sulla cartella condivisa e selezionare Proprietà dal menu contestuale.
  • Selezionare la scheda Condivisione e cliccare su Condivisione avanzata.
    Proprietà
    FIG 32 - Proprietà

  • In questa schermata è possibile modificare il numero di utenti che possono connettersi contemporaneamente, modificare le autorizzazioni e modificare la cache. In questo contesto, il caching si riferisce all'accesso offline. Cliccare su Autorizzazioni.
    Condivisione avanzata
    FIG 33 - Condivisione avanzata

  • Come visibile in FIG 34, le autorizzazioni saranno quelle impostate attraverso la procedura guidata.
    Autorizzazioni
    FIG 34 - Autorizzazioni