Windows Server 2022: Restore di un oggetto cancellato dal Cestino di Active Directory

Un oggetto in AD eliminato può essere recuperato velocemente se nella propria infrastruttura è stato abilitato il cestino di Active Directory (si veda articolo Windows Server 2022: Abilitare il cestino di Active Directory).

Per procedere al restore di un oggetto eliminato:

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.

FIG 1 - Server Manager

Dal navigation pane (sul lato sinistro della finestra) selezionare il proprio dominio quindi eseguire un doppio click sul container Deleted Objects.

FIG 2 - Centro di amministrazione di Active Directory, container Deleted Objects

Cliccare, con il tasto destro del mouse, sull'oggetto che si intende recuperare e, dal menu contestuale, selezionare l'opzione Ripristina. L'oggetto sarà ripristinato all'interno del container/OU da cui era stato eliminato. Selezionando Ripristina in, sarà possibile selezionare manualmente il container nel quale l'oggetto sarà ripristinato (FIG 4).

FIG 3 - Centro di amministrazione di Active Directory, ripristina oggetto eliminato

FIG 4 - Ripristina in

Windows Server 2022: Abilitare il cestino di Active Directory

Per default tutti gli oggetti che vengono cancellati in Active Directory non possono essere recuperati. Chi ha avuto la sfortuna di cancellare accidentalmente un oggetto in AD e dovuto recuperarlo da un backup del server, sa bene che si tratta di un'operazione tutt'altro che semplice e veloce. Fortunatamente, a partire da Windows Server 2008 R2, Microsoft ha introdotto il cestino per Active Directory che permette il recupero degli oggetti cancellati in modo analogo a quanto avviene con il cestino di Windows per file e cartelle. Tale funzionalità è disattivata per default e va attivata manualmente. La procedura per abilitare il cestino di Active Directory è la stessa vista per Windows Server 2019.

Prima di attivare la funzione è necessario che siano rispettati alcuni prerequisiti e bisogna tenere in considerazione alcuni limiti.

Prerequisiti Cestino di Active Directory

• Almeno un Domain Controller deve avere Windows Server 2012 R2 con Centro di amministrazione di Active Directory.
• Tutti gli altri Domain Controller all'interno del dominio devono avere almeno Windows Server 2008 R2 o superiore.
• Il livello funzionale della foresta deve essere Windows Server 2008 R2 o superiore.

In Windows Server 2008 R2 il cestino di Active Directory poteva essere gestito solamente tramite PowerShell. A partire da Windows Server 2012 R2 il cestino può essere gestito tramite interfaccia grafica del Centro di amministrazione di Active Directory rendendo più semplice l'operazione di recupero degli oggetti cancellati.
Quando non è abilitato il cestino di Active Directory e si cancella un oggetto, questo viene contrassegnato per la cancellazione (tombstoned). Tali oggetti vengono definitivamente eliminati solo quando verrà eseguito il processo di garbacecollection.

Con il cestino di Active Directory abilitato, quando si cancella un oggetto questo viene contrassegnato come oggetto cancellato per l'arco di tempo specificato dalla proprietà msDS-DeletedObjectLifetime in Active Directory Domain Services (di default è nulla). Scaduto il tempo indicato in msDS-DeletedObjectLifetime  l'oggetto viene contrassegnato come recycled e i suoi attributi vengono rimossi. L'oggetto risiede ancora nel cestino e può essere recuperato per la durata della sua vita definita dall'attributo tombstoneLifetime in Active Directory DS. Quando viene abilitato il cestino di Active Directory, gli oggetti preesistenti e contrassegnati per la cancellazione (tombstoned) vengono convertiti in oggetti recycled tuttavia non potranno essere recuperati come qualsiasi altro oggetto recycled.

Limiti

Il Centro di amministrazione di Active Directory è in grado di gestire solo partizioni di dominio pertanto non è possibile ripristinare oggetti eliminati dalle partizioni di configurazione, DNS del dominio o DNS della foresta (non è possibile eliminare oggetti dalla partizione dello schema). Per ripristinare gli oggetti da partizioni non di dominio, è possibile usare il cmdlet Restore-ADObject di PowerShell.

Nel Centro di amministrazione di Active Directory non è possibile ripristinare sottoalberi di oggetti in un'unica operazione. Se ad esempio si elimina un'unità organizzativa con unità amministrative, utenti, gruppi e computer annidati, il ripristino dell'unità organizzativa di base non ripristina gli oggetti figlio.

Il Cestino di Active Directory comporta un aumento delle dimensioni del database di Active Directory (NTDS.DIT) in ogni controller di dominio della foresta. Lo spazio su disco usato dal cestino continua ad aumentare nel tempo, in quanto conserva gli oggetti e tutti i dati degli attributi.

Abilitare il cestino di Active Directory tramite Centro di amministrazione di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.

FIG 1 - Server Manager

Selezionare il proprio dominio quindi, sul pannello delle Attività presente sulla destra della finestra, cliccare su Abilita Cestino....

FIG 2 - Centro di amministrazione di Active Directory

Una finestra di dialogo ci avvisa che l'operazione non è reversibile: una volta abilitato il cestino di Active Directory non potrà essere più disabilitato. Confermare cliccando su OK per proseguire.

FIG 3 - Conferma abilitazione cestino AD

Una nuova finestra di dialogo avvisa l'utente che il cestino non sarà disponibile finché l'abilitazione non verrà replicata a tutti i Domain Controller della foresta e non verrà aggiornato il Centro di amministrazione di Active Directory. Cliccare su OK.

FIG 4 - Abilitazione cestino AD

Terminata la replica dell'abilitazione basta cliccare sull'apposto link per aggiornare le informazioni visualizzate nella finestra del Centro di amministrazione di Active Directory e vedremo apparire un nuovo container nominato Deleted Objects. Da questo momento gli oggetti eliminati da AD potranno essere recuperati all'interno di tale container.

FIG 5 - Centro di amministrazione di Active Directory, Container Deleted Objects

Abilitare il cestino di Active Directory tramite PowerShell

In alternativa al Centro di amministrazione di Active Directory è possibile abilitare il cestino di AD tramite PowerShell e l'utilizzo del cmdlet Enable-ADOptionalFeature. 
Da Windows PowerShell avviato come amministratore eseguire il comando 
Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=mycompany,DC=local' –Scope ForestOrConfigurationSet –Target 'mycompany.local'
Rispondere affermativamente alla richiesta di esecuzione dell'operazione.

FIG 6 - Abilitazione del cestino di Active Directory mediante PowerShell

Dopo aver atteso i tempi di replica dal Centro di amministrazione di Active Directory sarà visibile il nuovo container Deleted Objects.

Windows Server 2022: Introduzione alle Group Policy (GPO)

In aziende medio-grandi, la modifica manuale delle impostazioni sui singoli computer diventa un compito impossibile. È qui che entrano in gioco le Group Policy (Criteri di gruppo).

I Criteri di gruppo consentono di creare un criterio e di indirizzarlo agli utenti o ai sistemi all'interno di unità organizzative (OU), gruppi di sicurezza o persino su base individuale. 

Le Group Policy sono un insieme di regole che controllano l'ambiente di lavoro degli utenti e dei computer fornendo una gestione centralizzata e consentendo la configurazione dei sistemi operativi, impostazioni degli utenti e applicazioni in un ambiente Active Directory. In pratica le Group Policy stabiliscono, in parte, cosa l'utente può e non può fare su un computer del dominio e possono essere utilizzate, ad esempio, per bloccare l'accesso al pannello di controllo/gestione attività, impedire/autorizzare l'accesso a cartelle condivise, disabilitare il download di file eseguibili, consentire l'installazione automatica di software, implementare restrizioni su quote disco, sulla lunghezza della password, gestire le impostazioni di BitLocker e tanto altro. Le Group policy vengono gestite tramite lo strumento Gestione Criteri di gruppo (Group Policy Management Console o GPMC) e create/modificate tramite l'Editor Gestione Criteri di gruppo (Group Policy Management Editor o GPME).

Prima di mostrare come creare le Group Policy è bene chiarire e approfondire alcuni concetti basilari.

Le Group Policy vengono configurate e distribuite dagli amministratori di dominio mediante la creazione di oggetti Criteri di gruppo (Group Policy Object o GPO). Gli oggetti Criteri di gruppo sono container per gruppi di impostazioni (policy settings) che possono essere applicate agli account utente, agli account computer o ad entrambi attraverso Active Directory. Tali oggetti vengono creati utilizzando l'Editor Gestione Criteri di gruppo (GPME) che viene invocato quando si modifica un GPO all'interno dello strumento Gestione Criteri di gruppo (GPMC). 

Contrariamente a quanto possa far credere il nome, gli oggetti Criteri di gruppo non sono affatto orientati al gruppo: non è possibile applicarli direttamente ai gruppi. Possono essere applicati a livello locale, a siti, ai domini e alle OU (Microsoft li abbrevia con LSDOU: Locale, Sito, Dominio, OU) all'interno di una data foresta. 

Le Group Policy applicano le impostazioni nel seguente ordine prestabilito:

1. Criteri locali (impostati da gpedit.msc)
2. Criteri del sito
3. Criteri di dominio
4. Criteri delle OU

Si tratta di un approccio all'elaborazione dall'alto verso il basso: dopo l'applicazione dei criteri locali, le GPO del sito sono le più ampie, seguite dalle GPO del dominio e quindi dalle GPO dell'OU. La maggior parte degli amministratori di sistema ha esperienza nella gestione delle GPO a livello di dominio e OU. Un problema comune che si verifica è quando un amministratore di sistema apporta una modifica a un criterio a livello di dominio, ma la modifica non sembra essere applicata. La causa più comune è un criterio a livello di OU che sovrascrive l'impostazione del criterio di dominio.

L'assegnazione delle policy viene anche chiamata linking. Il rapporto tra GPO e LSDOU può essere del tipo molti a uno (ad es. più GPO assegnati ad un sola OU) o di uno a molti (ad es. una sola GPO assegnata a più OU). Quando viene assegnato un oggetto Group Policy ad un'unità organizzativa questo agisce su tutti gli account in essa contenuti e sulle OU sottostanti.  

Affermare che i Criteri di Gruppo/GPO vengono memorizzati all'interno di Active Directory non è del tutto corretto. Gli oggetti Criteri di gruppo vengono memorizzati in due posti distinti: all'interno di un container di Group Policy (Group Policy Container o GPC) e all'interno di un Group Policy Template (GPT). Il GPC è memorizzato all'interno del database Active Directory e contiene informazioni sulla proprietà, versione, stato e una lista dei componenti. Il GPT, invece, viene conservato all'interno della cartella Windows\SYSVOL\sysvol\<Nome del dominio>\Policies\GUID\ dove GUID rappresenta il Global Unique Identifier dell'oggetto Criteri di gruppo. Tale cartella contiene impostazioni amministrative, impostazioni di sicurezza, informazioni sulle applicazioni disponibili, impostazioni del registro di sistema, script e altro.

Anche se una Group Policy può contenere numerose impostazioni è buona norma configurarne solo un numero ristretto. Le Group Policy sono cumulative e supportano l'ereditarietà (possono essere ereditate dai container superiori in Active Directory). Le policy vengono applicate in background. Generalmente il computer effettua un refresh delle policy ogni 90 minuti ma è possibile forzarne la sincronizzazione tramite il comando gpupdate /force dal Prompt dei comandi. I domain controller, a differenza dei normali computer, eseguono il refresh delle Group Policy ogni 5 minuti. Un eccezione alla regola viene fatta per le policy che includono il reindirizzamento di cartelle, l'installazione del software, l'applicazione di script, impostazioni Stampanti e dischi di rete mappati. Tali policy, infatti, vengono applicate solo al logon dell'utente (per gli account utente) o all'avvio del sistema (per gli account computer).

Le Group Policy vengono replicate automaticamente. L'Active Directory viene replicato utilizzando AD Replication (controllato da Knowledge Consistency Checker e Intersite Topology Generator) ed è controllato dal servizio File Replication o dal servizio Distributed File Replication.

Le impostazioni specificate all'interno di un oggetto Group Policy vengono scritte all'interno del registro di sistema e vengono eliminate quando l'impostazione della policy viene eliminata o l'oggetto Group Policy viene cancellato. Tale comportamento previene l'effetto "tattooing", un tempo presente, che costringeva gli amministratori a creare un nuovo GPO per annullare le impostazioni di un GPO cancellato. 

Nell'Editor Gestione Criteri di gruppo le impostazioni, sia per il computer che per l'utente, possono essere configurate con Criteri e Preferenze. Le principali differenze tra i due tipi di configurazioni sono riportate nella seguente tabella.

Criteri	Preferenze
Quando un criterio dei Criteri di gruppo non è più applicabile, l'impostazione viene rimossa e viene ripristinato il valore originale.	Quando una preferenza dei Criteri di gruppo non è più applicabile, l'impostazione rimane nel registro.
Quando un criterio dei Criteri di gruppo è impostato su un determinato valore per un'applicazione, quest'ultima utilizza il valore impostato dal criterio. Se il criterio viene rimosso, l'applicazione utilizzerà il valore originale.	Quando una preferenza dei Criteri di gruppo è impostata su un determinato valore per un'applicazione, sovrascrive il valore predefinito dell'applicazione. Se la preferenza viene rimossa, il valore dell'applicazione rimane invariato.
Quando un criterio dei Criteri di gruppo viene utilizzato per applicare le impostazioni, gli utenti visualizzano opzioni in grigio per informarli che l'impostazione è gestita dai loro amministratori.	Quando una preferenza dei Criteri di gruppo viene utilizzata per applicare le impostazioni, gli utenti possono modificarle manualmente. Criteri di gruppo non riapplicherà il valore configurato dopo la prima applicazione.

FIG 1 - Editor Gestione Criteri di gruppo

Fin dal rilascio di Windows Server 2000, le Group Policy hanno permesso agli amministratori di rete di poter configurare in maniera centralizzata i computer della propria organizzazione. Tuttavia esiste un modo più recente di configurare i sistemi: PowerShell Desired State Configuration (DSC).

Per evitare conflitti tra i due metodi, i Criteri di gruppo e PowerShell DSC non devono essere utilizzati contemporaneamente per settare impostazioni sugli stessi sistemi. In un ambiente aziendale che utilizza già i Criteri di gruppo,  è consigliabile proseguire con tale metodo. Se, invece, si sta configurando un ambiente da zero, allora PowerShell DSC potrebbe essere la scelta migliore. 

Nei prossimi articoli approfondirò il discorso sui Criteri di gruppo mentre Powershell DSC è un argomento che tratterò più avanti.

Windows 11: Disabilitare la scritta Requisiti di sistema non sono soddisfatti

Windows 11 è stato ufficialmente rilasciato il 5 Ottobre 2021. Tra le numerose novità introdotte all'interno del sistema operativo Microsoft, spiccano i potenziamenti della sicurezza per rendere il nuovo Windows più sicuro e resistente agli attacchi informatici. Per tale motivo, a detta di Microsoft, Windows 11 è estremamente esigente riguardo alle specifiche hardware del computer. I requisiti minimi richiesti da Windows 11 potevano rappresentare un problema per le configurazioni disponibili qualche anno fa. Se i requisiti minimi sono stati ignorati e l'installazione di Windows 11 è stata forzata anche su sistemi non compatibili, potrebbe apparire il messaggio 

Requisiti di sistema non sono soddisfatti. Vai a Impostazioni per altre informazioni.

nell’angolo inferiore destro del desktop.

Per far sparire il messaggio relativo ai requisiti non soddisfatti è possibile procedere tramite il registro di sistema o tramite i criteri di gruppo.

Metodo 1 - Registro di sistema

• Avviare l'Editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
• Posizionarsi sulla seguente chiave di registro
  HKEY_CURRENT_USER\Control Panel\UnsupportedHardwareNotificationCache
• Eseguire un doppio click sul valore DWORD denominato S2 e modificare il suo valore da 1 a 0 quindi cliccare su OK. Nelle versioni più vecchie di Windows 11 il valore DWORD da modificare è denominato S1.
• Per rendere effettive le modifiche potrebbe essere necessario riavviare explorer.exe o l'intero sistema.

In alternativa, da riga di comando è possibile eseguire il comando

reg add "HKCU\Control Panel\UnsupportedHardwareNotificationCache" /v SV2 /t REG_DWORD /d 0 /f

oppure, per le versioni meno recenti di Windows 11

reg add "HKCU\Control Panel\UnsupportedHardwareNotificationCache" /v SV1 /t REG_DWORD /d 0 /f

Metodo 2 - Criteri di Gruppo

Per modificare Criteri di gruppo al fine di disattivare la filigrana dei requisiti minimi di sistema, procedere come segue:

• Avviare l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da Invio).
• Posizionarsi su Criteri computer locali -> Configurazione computer -> Modelli amministrativi -> Sistema.
• Cliccare due volte su Nascondi i messaggi quando i requisiti di sistema di Windows non sono soddisfatti quindi selezionare Attivata e confermare cliccando su OK. 

Abilitando questa impostazione dai criteri di gruppo, i messaggi relativi ai requisiti minimi di sistema non verranno più visualizzati sul desktop o in Impostazioni.

FIG 1 -  Nascondi i messaggi quando i requisiti di sistema di Windows non sono soddisfatti

Windows: Ripristinare i permessi degli utenti

La possibilità di poter reimpostare le autorizzazioni dell'utente in ambiente Windows può rivelarsi preziosa per risolvere problemi relativi all’accesso ad applicazioni o a documenti. Ad esempio, nel caso in cui si verifichino problemi con il profilo utente, potremmo non riuscire più ad accedere a particolari file o ad avviare alcune applicazioni in quanto non siamo autorizzati. Oppure potremmo dover accedere a un file proveniente da un vecchio backup o da un altro computer e che quindi è stato creato con un utente diverso; anche in questo caso, potrebbe non essere possibile accedere al file senza prima reimpostare le autorizzazioni utente di default. Windows offre diverse modalità per eseguire questa operazione. In questo articolo verrà mostrato come farlo tramite gli strumenti icacls e secedit.

ICACLS

Icacls è il sostituto di cacls (Change Access Control Lists), un'utilità a riga di comando che consente di mostrare ed eseguire alcune operazioni sulle ACL di file o directory.

L'ACL (Access Control List) è un elenco di permessi per un oggetto del filesystem e definisce il modo in cui la sua sicurezza viene controllata gestendo chi e come può accedervi.

Le operazioni sulle ACL non sono le uniche possibili con questo strumento. Ciò che rende icacls uno strumento potente è anche la possibilità di eseguire operazioni di backup e ripristino su ACL per file o directory, o di cercare i file che hanno un utente specifico come proprietario. Inoltre, nel caso in cui una ACL venga danneggiata o distrutta, con icacls è possibile ripristinarla resettandola e impostando i permessi predefiniti o ereditando quelli del genitore.

Icacls è un comando nativo di Windows a partire da Windows Vista.

Supponiamo di avere una pendrive contenente una cartella Backup a cui non riusciamo ad accedere per la mancanza di autorizzazioni.

Provando ad accedere alla cartella verrà visualizzato il messaggio di FIG 1

FIG 1

FIG 1 - Non si dispone della autorizzazioni necessarie

In questi casi possiamo provare ad eseguire il reset delle autorizzazioni tramite icacls:

• Avviare un prompt dei comandi come amministratore.
• Posizionarsi sulla pendrive, quindi digitare il seguente comando per il ripristino delle autorizzazioni
  icacls * /t /q /c /reset
  il carattere jolly (*) include tutte le sottocartelle della directory corrente;
  /t estende la modifica alle sottocartelle e ai file all’interno della cartella corrente;
  /q esegue il comando senza visualizzare messaggi di conferma;
  /c consente di continuare l’operazione anche in caso di errori;
  /reset, infine, ripristina i valori predefiniti delle opzioni di autorizzazione.
  

  

  FIG 2 - Accesso negato

  
  
• Se, come in questo caso, il comando dovesse restituire il messaggio di Accesso negato è necessario acquisire prima la proprietà delle cartelle interessate attraverso il comando takeown. Eseguire il comando
  takeown /R /F *
  quindi digitare S seguito da Invio per confermare la sostituzione delle autorizzazioni. Il parametro /R esegue un'operazione ricorsiva su tutti i file nella directory e nelle sottodirectory specificate, mentre /F permette di specificare il nome file o nome della directory (il carattere jolly permette di includere tutti i file e le sottocartelle della directory corrente).

Secedit

Secedit (Security Configuration Editor) è un’utilità di sistema integrata in Windows che consente di configurare e analizzare la sicurezza del sistema, dei file e delle cartelle.  Con secedit è possibile applicare e modificare set di regole di sicurezza definite tramite appositi modelli: file in formato .inf o .sdb. I file .inf sono file testuali editabili con un comune editor di testo, mentre i file .sdb sono veri e propri database.

Generalmente il comando viene utilizzato dagli amministratori di sistema per automatizzare la gestione delle politiche di sicurezza del sistema operativo o per ripristinare le impostazioni predefinite di Windows. Il comando va utilizzato con attenzione e può essere utile nei casi in cui il sistema operativo Microsoft non risponde più come dovrebbe per via dei permessi non assegnati in modo corretto. Ad esempio, sui sistemi windows che non permettono l'accesso alle cartelle (comprese quelle di sistema) e/o sui sistemi che sembrano sprovvisti di account amministrativi in grado di compiere operazioni con privilegi elevati.

Per riportare le impostazioni predefinite di tutte le autorizzazioni utente tramite il comando Secedit:

• Avviare un prompt dei comandi come amministratore.
• Eseguire il comando
  secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
  per procedere alla riconfigurazione automatica utilizzando le direttive contenute nel file di configurazione defltbase.inf e creando poi il database di sicurezza defltbase.sdb per archiviare le impostazioni.
• Al termine, bisognerà riavviare il computer e le autorizzazioni utente verranno ripristinate alle impostazioni di sistema predefinite.

Windows 11: Installazione offline degli Strumenti di amministrazione remota del server tramite l'ISO di FoD

Come indicato negli articoli precedenti, per poter installare gli strumenti di amministrazione remota del server (RSAT) in Windows 11 è necessario l'accesso a Microsoft Update. Nel caso non fosse possibile accedere ai server di Microsoft Update direttamente dalla propria workstation, si può procedere con l'installazione offline (consigliata per le reti scollegate senza accesso a Internet) scaricando l'immagine ISO contenente i componenti (Feature on Demand) per la propria versione di Windows dal sito Web di Microsoft (o dal Volume Licensing Service Center, VLSC).

Per le versioni di Windows 10 2004 e successive è possibile scaricare "Windows 10 DISCO FOD 1 ISO (versione 2004 o successiva)" da https://learn.microsoft.com/it-it/azure/virtual-desktop/language-packs.

Per le versioni di Windows 11 21H2/22H2/23H2  è possibile scaricare da https://learn.microsoft.com/it-it/azure/virtual-desktop/windows-11-language-packs le ISO  "Windows 11, versione 21H2 Lingua e funzionalità facoltative ISO"  oppure "Windows 11, versione 22H2 e 23H2 Lingua e funzionalità facoltative ISO".

Nel nostro caso è stata scaricata l'immagine Windows 11, versione 22H2 e 23H2 Lingua e funzionalità facoltative ISO. Terminato il download possiamo decidere di copiare e montare il file .ISO sulla postazione su cui installare gli strumenti di amministrazione remota del server, masterizzare l'ISO su un supporto DVD o estrarre il contenuto in una cartella condivisa.

L'immagine ISO contiene una serie di file .CAB che includono i componenti RSAT. Nell'immagine scaricata, i file CAB relativi agli strumenti di amministrazione remota del server si trovano all'interno della cartella LanguagesAndOptionalFeatures.

FIG 1 - File .CAB

Per installare i componenti tramite PowerShell basterà indicare tale cartella come, ad esempio, nel seguente comando in cui la cartella LanguagesAndOptionalFeatures contenente i file .CAB si trova su disco D: (in un ambiente aziendale sarebbe preferibile condividere la cartella da un server accessibile da tutte le workstation)

 Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 -LimitAccess -Source d:\LanguagesAndOptionalFeatures  

Impostare il percorso della directory contenente i componenti dell'immagine FoD tramite i Criteri di gruppo locali

• Avviare l'editor Criteri di gruppo locali (gpedit.msc) oppure, nel caso di Windows Server, avviare Gestione Criteri di gruppo (gpmc.msc).
• Accedere a Configurazione computer->Modelli amministrativi->Sistema.
• Abilitare la policy Specifica le impostazioni per l'installazione e il ripristino dei componenti facoltativi e, nella casella Percorso alternativo del file di origine, specificare  il percorso UNC della directory contenente i file FoD.

FIG 2 - Editor Criteri di gruppo locali

In alternativa, è possibile impostare questo parametro nel registro di sistema con una GPP specificando il percorso della directory FoD nel parametro LocalSourcePath (REG_Expand_SZ) sotto la chiave di registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Servicing.

Errori comuni nell'installazione degli Strumenti di amministrazione remota del server

0x8024402c o 0x80072f8f 

Windows non può accedere ai server Microsoft Update per scaricare i file RSAT. Verificare di avere accesso a Internet , verificare quanto indicato nell'articolo precedente o installare i componenti da un'immagine FoD locale.

0x800f081f 

Verificare il percorso della directory contenente i componenti RSAT specificati nel parametro -Source del comando Add-WindowsCapability.

0x800f0950

L'errore è simile a 0x800f0954 visto nell'articolo precedente.

0x80070490 

Controllare e riparare l'immagine di Windows utilizzando DISM: 

DISM /Online /Cleanup-Image /RestoreHealth

Windows 11: Installazione degli Strumenti di amministrazione remota del server tramite PowerShell

Nell'articolo precedente abbiamo visto come installare gli strumenti di amministrazione remota del server (RSAT) in Windows 11 (Pro o Enterprise) tramite le Funzionalità aggiuntive.
In questo articolo vedremo come eseguire l'operazione tramite PowerShell.
 
Il seguente comando PowerShell elenca i componenti RSAT che è possibile installare sul computer. Il campo State indica se il modulo è già stato installato (Installed) oppure non presente (NotPresent)

 Get-WindowsCapability -Name RSAT* -Online | Select-Object -Property DisplayName, State  

FIG 1 - Elenco strumenti di amministrazione remota del server (RSAT)

Per installare uno specifico strumento di amministrazione remota del server è possibile utilizzare il cmdlet Add-WindowsCapability, prima però, è necessario conoscere il nome del modulo da installare. Per individuare il nome del modulo da installare è possibile utilizzare il seguente comando PowerShell (il nome è evidenziato nel campo Name).

 Get-WindowsCapability -Name RSAT* -Online | Select-Object -Property Name, DisplayName, State |fl  

 

FIG 2 - Elenco nomi funzionalità

Per installare uno strumento di amministrazione remota del server basterà eseguire il comando
Add-WindowsCapability –online –Name <nome_modulo>
Ad esempio, per installare strumenti per Server DHCP il comando sarà

 Add-WindowsCapability –online –Name Rsat.DHCP.Tools~~~~0.0.1.0  

FIG 3 - Add-WindowsCapability

Alcuni componenti RSAT possono richiedere un riavvio dopo l'installazione.
 
I componenti RSAT non fanno parte dell'immagine di Windows e sono disponibili come funzionalità su richiesta. Ciò significa che il computer deve essere collegato a Internet per poter installare gli strumenti di amministrazione remota del server. Windows scarica e installa i file binari RSAT dai server di Microsoft Update.
 
Per installare solo gli Strumenti di amministrazione remota del server non ancora installati, è possibile eseguire il seguente comando

 Get-WindowsCapability -Name RSAT* -Online | where State -EQ NotPresent | Add-WindowsCapability –Online  

 
In tabella l'elenco degli Strumenti di amministrazione remota del server disponibili in Windows 11 22H2.

 

Name	DisplayName
Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti di Active Directory Domain Services e Lightweight Directory Services
Rsat.AzureStack.HCI.Management.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: modulo PowerShell per Azure Stack HCI
Rsat.BitLocker.Recovery.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: utilità di amministrazione di Crittografia unità BitLocker
Rsat.CertificateServices.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti di Servizi certificati Active Directory
Rsat.DHCP.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti per Server DHCP
Rsat.Dns.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti per Server DNS
Rsat.FailoverCluster.Management.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti per Clustering di failover
Rsat.FileServices.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti per Servizi file
Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti di gestione di criteri di gruppo
Rsat.IPAM.Client.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: client di Gestione indirizzi IP
Rsat.LLDP.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti LLDP Data Center Bridging
Rsat.NetworkController.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti di gestione del Controller di rete
Rsat.NetworkLoadBalancing.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti per Bilanciamento carico di rete
Rsat.RemoteAccess.Management.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti di Gestione Accesso remoto
Rsat.RemoteDesktop.Services.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti Servizi Desktop remoto
Rsat.ServerManager.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: Server Manager
Rsat.StorageMigrationService.Management.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti di gestione del servizio di migrazione dello spazio di archiviazione
Rsat.StorageReplica.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: modulo di Replica archiviazione per Windows PowerShell
Rsat.SystemInsights.Management.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: modulo System Insights per Windows PowerShell
Rsat.VolumeActivation.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti di attivazione di contratti multilicenza
Rsat.WSUS.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti di Windows Server Update Services

Per disinstallare gli strumenti di amministrazione remota del server, si utilizza il cmdlet Remove-WindowsCapability. Ad esempio, per rimuovere  gli strumenti di Active Directory Domain Services e Lightweight Directory Services il comando da eseguire sarà

 Remove-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0  

Per disinstallare tutti gli strumenti di amministrazione remota del server installati basterà eseguire il comando

 Get-WindowsCapability -Name RSAT* -Online | where State -EQ Installed | Remove-WindowsCapability –Online  

Installazione tramite Deployment Image Servicing and Management 

Gli strumenti di amministrazione remota del server possono anche essere installati tramite Deployment Image Servicing and Management (DISM.exe). Ad esempio

 DISM.exe /Online /add-capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 /CapabilityName:Rsat.DHCP.Tools~~~~0.0.1.0  

 
 

Errore 0x800f0954 durante l'installazione

Se il computer Windows è configurato per ricevere gli aggiornamenti da un server di aggiornamento locale (WSUS) o da SCCM (Configuration Manager) SUP, è possibile che venga visualizzato un messaggio di errore quando si tenta di installare RSAT utilizzando la GUI, Add-WindowsCapability o DISM: Errore 0x800f0954.
 
In questo caso, Windows tenta di scaricare il pacchetto RSAT dal server di aggiornamento locale e restituisce l'errore 0x800f0954.
 
Per ignorare WSUS locale durante l'installazione di funzionalità aggiuntive di Windows e di Features On Demand (compreso RSAT), è necessario attivare un'opzione dei Criteri di gruppo:

• Avviare l'editor Criteri di gruppo locali (gpedit.msc) oppure, nel caso di Windows Server, avviare Gestione Criteri di gruppo (gpmc.msc).
• Accedere a Configurazione computer->Modelli amministrativi->Sistema.
• Abilitare la policy Specifica le impostazioni per l'installazione e il ripristino dei componenti facoltativi e selezionare l'opzione Scarica il contenuto di ripristino e le funzionalità facoltative direttamente da Windows Update invece che da Windows Server Update Services (WSUS).
  

  

  FIG 4 - Specifica le impostazioni per l'installazione e il ripristino dei componenti facoltativi

  
  
• Salvare le modifiche e forzare l'update delle policy con il comando gpupdate /force
• Riavviare il servizio Windows Update eseguendo i comandi net stop wuauserv e net start wuauserv

Dopo questa modifica, l'installazione di RSAT tramite PowerShell o DISM dovrebbe essere completata senza errori.
 

Errore 0x8024002e  durante l'installazione

La connessione a Microsoft Update durante il recupero dei componenti RSAT potrebbe essere bloccata da alcune impostazioni del registro di Windows. In tal caso, durante l'installazione di RSAT, verrà visualizzato il codice di errore 0x8024002e.
Per forzare il download dei componenti RSAT da Microsoft Update bisogna intervenire sul registro di sistema:

• Avviare l'Editor del Registro di sistema e posizionarsi su
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
• Assegnare il valore 0 ai seguenti parametri DWORD
  DoNotConnectToWindowsUpdateInternetLocations 
  DisableWindowsUpdateAccess
• Riavviare il servizio wuauserv tramite i comandi net stop wuauserv e net start wuauserv