Archivio

Archivio per la categoria ‘Active Directory’

Windows 2008/2008R2 fine-grained password and lockout policy

20 Gennaio 2012 Commenti chiusi

 

In Windows 2000 e 2003 non è possibile definire più policy password, magari per avere criteri di sicurezza più stringenti per determinati account, ma si ha una sola Policy password applicata all’intero dominio.

Per avere Policy password diverse era necessario quindi creare un nuovo dominio o affidarsi a soluzioni di terzi produttori.

In Windows 2008 è ora possibile definire password policy multiple tramite l’introduzione della feature fine-grained password and lockout policy che si basa su due nuove classi di oggetti

  • Password Settings Container
  • Password Settings Object

La Classe Passowrd Settings Container viene creato durante la crezione del dominio

CN=Password Settings Container, CN=System, DC=Domain, DC=ExtensionDomain

questa classe non è cancellabile ne modificabile

La classe Password Settings Object contiene le diverse impostazioni di password che si vogliono utilizzare, gli oggetti di questa classe possono essere creati e modificati.

Bene tenere presente comunque che esiste soltanto una Password and lockup Policy Settings che è applicata a tutti gli utenti del dominio, il Fine-Grained password policy sono applicati tramite i PSO a specifici utenti o membri di gruppi globali.

Requisiti

Domain Functional Level: Windows 2008, questo significa che tutti i domain controller del dominio devono essere almeno Windows 2008 Server.

Solo gli amministratori di dominio possono creare, modificare e collegare PSO. E’ comunque possibile effettuare una delega.

Priorità

Ogni PSO, come per le Policy, ha un valore che ne indica la precedenza, 1 indica la precedenza più alta rispetto a 2.

-PSO vengono applicati quelli con precedenza più alta. PSO con precedenza 1 prioritario rispetto a PSO precedenza 2 ecc…

-PSO applicati direttamente ad utenti hanno la precedenza su quelli applicati ai gruppi

-In caso di PSO con stesso precedenza verrà applicato quello con GUID più basso

Implementazione

I PSO non vengono applicati a specifiche OU ma applicati direttamente a global group o utenti, è possibile quindi creare un gruppo globale, inserire in questo gli utenti oggetto della speficia fine-granted password e poi associare il PSO a questo global group .

Le impostazioni gestibili tramite il fine-grainted password sono identiche a quelle presenti nella Password Policy delle GPO, tuttavia la gestione non avviene tramite GPO ma manca di una propria GUI e va eseguita tramite ADSIEdit, LDIF, PowerShell, tool di terze parti come https://www.specopssoft.com

Questi gli attributi di un PSO

msDS-PasswordSettingsPrecedence
GPO: Password Settings
Valore arbitrario usato per definire quale policy ha la precedenza se ad un gruppo si applicano più PSO.

msDS-PasswordReversibleEncrisptionEnable
GPO: Password Settings
Booleano (default FALSE). Definisce se la password deve essere salvata in reversible encription

msDS-PasswordHistoryLength
GPO: Password Settings
Numero di password usate memorizzate dal sistema. Determina quante password un utente deve cambiare prima di poterne riutilizzare una. (default 24)

msDS-ComplexityEnabled
GPO: Password Settings
Booleano (default TRUE). Definisce se la password deve rispettare i criteri di complessità

msDS-MimimumPasswordLength
GPO: Password Settings
Definisce la lunghezza minima di una password (default 7)

msDS-MinimumPasswordAge
GPO: Password Settings
Formato I8 (default 1 giorno = -864000000000) Durata minima di un password prima di poter essere modificata.

msDS-MaximumPasswordAge
GPO: Password Settings
Formato I8 (default 42 giorni = -36288000000000) Durata massima di una password

msDS-LockoutThreshold
GPO: Account Lockout
(Default 0) Definisce il numero di tentativi falliti prima di mettere un utente in lockout

msDS-LockoutObservationWindows
GPO: Account Lockout
Formato I8 (default 30 minuti = -18000000000) Dopo quanto tempo, dall’ultimo tentativo, il conteggio dei tentativi errati di logon viene azzerato

msDS-LockoutDuration
GPO: Account Lockout
Formato I8 (default 30 minuti = -18000000000)

msDS-PSOAppliesTo
Elenco degli oggetti (User Account e/o Global Security Group) a cui la policy si applica

 

I valori che indicano intervalli temporali sono espresso nel formato I8, cioè in nanosecondi negativi

 

Creazione PSO tramite ADSIEdit

  • Avviare ADSIEdit
  • click tasto destro, selezionare connect to, inserire il nome dominio e premere ok
  • Espandere il nome principale, espandere il Distingued Name del dominio, espandere CN=System, e selezionare CN=Password Settings Container. Qui sono elencati i vari PSO creati

img1_1

  • Tasto destro e “New Object”

img3

  • proseguire indicando le impostazioni password e lockout volute. nell’ordine viene richiesti
    • CN
    • msDS-PasswordSettingsPrecedence
    • msDS-PasswordReversibleEncryptionEnabled
    • msDS-PasswordHistoryLength
    • msDS-PasswordComplexityEnabled
    • msDS-MinimumPasswordLength
    • msDS-MinimumPasswordAge
    • MaximumPasswordAge
    • msDS-LockoutThreshold
    • msDS-LockoutObservationWindow
    • msDS-LockoutDuration
  • Indicare ora a quali gruppi/utenti/utente applicare tale PSO, tasto destro sul PSO creato e scorrere la lista attributi fino a msDS-PSOAppliesTo, click su “Edit” e aggiungere  gli utenti o il DN del Global Group a cui applicare il PSO

img4

 

 

 

msDS-ResultantPSO e msDS-PSOApplied

l’attributo msDS-ResultantPSO mostra il PSO applicato all’utente, per visualizzarlo:

  • aprire lo snap-in Active Directory Users and Computers
  • e attivare la Advance Features.
  • Visualizzare le proprieta’ dell’utente e selezionare la scheda Attribute Editor
  • Selezionare Constructed dal pulsante Filter
  • Scorrere la lista attributi fino a msDS-ResultantPSO

img5

 

l’attributo msDS-PSOApplied mostra il PSO applicato ad un dato Global Group, per visualizzarlo:

  • aprire lo snap-in Active Directory Users and Computers
  • e attivare la Advance Features.
  • Visualizzare le proprieta’ dell’Global Gorup e selezionare la scheda Attribute Editor
  • Selezionare BackLinks dal pulsante Filter
  • Scorrere la lista attributi fino a msDS-PSOApplied

img6

 

Creazione PSO tramite LDIF

Il file LDIF per la creazione di un PSO deve contenere le direttive:

dn: CN=PSO_LDIF,CN=Password Settings Container,CN=System,DC=protasi,DC=local
changetype: add
objectClass: msDS-PasswordSettings
msDS-MaximumPasswordAge:-1728000000000
msDS-MinimumPasswordAge:-864000000000
msDS-MinimumPasswordLength:15
msDS-PasswordHistoryLength:30
msDS-PasswordComplexityEnabled:TRUE
msDS-PasswordReversibleEncryptionEnabled:FALSE
msDS-LockoutObservationWindow:-18000000000
msDS-LockoutDuration:-18000000000
msDS-LockoutThreshold:0
msDS-PasswordSettingsPrecedence:20
msDS-PSOAppliesTo:CN=PSO_Example2,OU=Group,DC=protasi,DC=local

 

l’importazione in Active Directory avviene con lo strumento ldifde (supponendo di aver chiamato il file PSO2.ldif) da riga di comando

ldifde -i -f PSO2.ldif

 

img8

 

 

Powershell

non poteva mancare l’opzione PowerShell, ecco un esempio

New-ADFineGrainedPasswordPolicy -Name “PSO_PowerShell” -Precedence 500 -ComplexityEnabled $true -Description “The Domain Users Password Policy”-DisplayName “Domain Users PSO” -LockoutDuration “0.12:00:00” -LockoutObservationWindow “0.00:15:00” -LockoutThreshold 10 -MaxPasswordAge “60.00:00:00” -MinPasswordAge “1.00:00:00” -MinPasswordLength 8 -PasswordHistoryCount 24 -ReversibleEncryptionEnabled $false

 

Risorse Correlate

https://technet.microsoft.com/en-us/library/dd367859(WS.10).aspx

https://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx

https://technet.microsoft.com/en-us/library/cc754461(WS.10).aspx

https://blogs.technet.com/b/italy/archive/2007/05/23/technet-newwave-tour-approfondimenti-su-password-policy.aspx

https://technet.microsoft.com/it-it/library/cc754461(WS.10).aspx

Windows 7, pulsante shutdown prima del login

30 Dicembre 2011 Commenti chiusi

 

In alcuni contesti può essere pratico rimuovere il pulsante di shutdown dal form di logon di Windows 7, la procedura è abbastanza semplice e può essere fatto sia tramite chiave di registro che tramite policy, locale o di dominio a seconda del contesto.

Prosegui la lettura…

Trust Active Directory, definizione di base

19 Dicembre 2011 Commenti chiusi

 

E’ bene ricordare che un Trust Active Directory può essere sia bidirezionale che no, è bene quindi tenere presente la definizione di trusted :

Quando il dominio A è in trust con il Dominio B, il Dominio B è il Dominio di fiducia (Domain A trusts Domain B, DomainB is trusted) ed i suoi utenti e gruppi globali possono essere aggiunti hai gruppi locali del Dominio A. Agli utenti del Dominio B possono così essere assegnati permessi di accesso alle risorse del Dominio A

Si sta tentando di aprire un tipo di file bloccato dall’impostazione dei criteri del Registro di sistema.

14 Dicembre 2011 Commenti chiusi

Aprendo dei documenti Word viene visualizzato un messaggio di errore quando si tenta di aprire un file che è stato bloccato dalle impostazioni dei criteri del Registro di sistema.

Si sta tentando di aprire un tipo di file bloccato dall’impostazione dei criteri del Registro di sistema.

Prosegui la lettura…

Aggiungi il gruppo di protezione Administrators ai profili utente comuni

9 Dicembre 2011 Commenti chiusi

 

Usando i Roaming Profoli di default l’accesso alle directory dei profili è riservato al solo utente proprietario, tuttavia per motivi di gestione e supporto può essere utile poter accedere a tali directory. Per fare ciò basta creare una Policy da applicare al DC.

Prosegui la lettura…

FSMO Flexible Single Master Operation

7 Dicembre 2011 Commenti chiusi

La struttura di Active Directory è di tipo multimaster, (da qui l’abbandono del concetto PDC-BDC in uso hai tempi di Windows NT Server) tuttavia ci sono alcune operazioni, tipo la gestione di conflitti nella modifica degli oggetti, che necessitano di poter contattare un’autorità e cioè un Domain Controller che nell’intero dominio può eseguire una data operazione.

Questi ruoli sono chiamati FSMO Flexible Single Master Operation ed i Domain Controller che li detengono sono definiti Operations master roles

Prosegui la lettura…

Group Policy e Power Management

25 Novembre 2011 Commenti chiusi

Un interessante articolo sul Power Manangement tramite Group Policy

https://blogs.technet.com/b/askds/archive/2008/03/17/managing-power-with-group-policy-part-1-of-3.aspx

Event ID 1054 Windows cannot obtain the domain controller name for your computer network

23 Novembre 2011 Commenti chiusi

Event ID 1054 Windows cannot obtain the domain controller name for your computer network

 

Durante il deploy di software tramite GPO (operazione eseguita tra l’altro in remoto) mi ritrovo questo errore su di un client connesso con cablaggio in cavo in fase di avvio e che spesso proprio a causa di questo non riusciva ad applicare le policy machina. Ed infatti non eseguiva l’installazione del software.

Prosegui la lettura…

Ticket Kerberos, durata e disconnessione dal server

23 Novembre 2011 Commenti chiusi

Successivamente ad una migrazione d Windows 2003R2 a Windows 2008  mi viene segnalato un problema abbastanza anomalo, ad un certo punto viene persa la connessione delle unità mappata, programmi che hanno i file aperti verso il server (doc, xls ecc…) devono essere terminati o richiedono il salvataggio in altro percorso.

Dalle verifiche emerge che tentando di ristabilire le connessioni verso il server è richiesta l’autenticazione, riavviando il client tutto torna normale. All’inizio quello che sembrava un problema sporadico mostra un proprio schema e cioè il problema si manifesta ad un intervallo di tempo ben preciso dall’ultimo login, la causa: scadenza del Ticket Kerbero rilasciato al momento del login

Prosegui la lettura…

RDP, attivazione via Group Policy

21 Novembre 2011 Commenti chiusi

Due righe su come attivare RDP (Desktop Remoto) tramite una Group Policy. Bene ricordare che se, opzione consigliata, il firewall dei client è lasciato attivo è necessario creare una eccezione per il Desktop Remoto, quindi possiamo creare una policy con entrambe le impostazioni.

1 Eccezione per l’RDP

Computer Configuration > Administrative Templates > Network > Network Connections > Windows Firewall > Domain Profile > Windows Firewall: Allow Remote Desktop Exception

2 Attivazione RDP

Computer Configuration > Administrative Templates > Windows Components > Terminal Services > Allow users to connect remotely using Terminal Services

In windows 2008 e successivi il punto 2 cambia come segue:

Configuration > Administrative Templates > Windows Components > Remote Desktop Services >Connections ed impostare  ‘Allow users to connect remotely using Remote Desktop Services su Enabled

Group Policy, lista

18 Novembre 2011 Commenti chiusi

Un’utile link da cui è possibile fare il download di file xls che contengono interessanti informazioni sulle policy quali: nomi file template delle policy,scope di applicazione, nome della policy, chiavi di registry interessate, se richiede riavvio o logoff ecc…

https://www.microsoft.com/download/en/details.aspx?id=25250

Time Out esecuzione script

16 Novembre 2011 Commenti chiusi

mi capita alcune volta, principalmente eseguendo backup tramite script che questo venga interrotto anche nel bel mezzo della procedura. La causa è il raggiungimento del Time Out cioè del tempo massimo di esecuzione dello script.

Nulla di allarmante, è sufficiente modificare o la policy locale o distribuire una opportuna policy per aumentare il tempo di time out

TimeOutScrip1

 

La policy è
Computer Configuration \ Administrative Templates \ System \ Scripts  – Maximum wait time for Group Policy scripts

Il valore da inserire è in secondi, quindi 3600 = 1 ora

 

Modifica password di ripristino di dominio

24 Ottobre 2011 Commenti chiusi

Tramite lo NTSDUTIL.EXE è possibile modificare la password DSRM usata per il ripristno servizi di active directory

Come effettuare il reset della password DSRM in ambiente Win2K3

Per forzare il reset della password di DSRM è necessario utilizzare l’utility NTDSUTIL nel seguente modo:

Aprire una sessione Command Prompt:

Lanciare il comando NTDSUTIL.EXE:

Dal prompt di NTDSUTIL inserire il comando Set DSRM Password (o le iniziali Set d p).

Dal prompt “Reset DSRM Administrator Password” inserire il comando seguente per reinserire la password per il DC locale (null):

reset password on server null

oppure:

reset password on server <AltroDC>

per forzare il cambio della password DSRM per un DC remoto.

Inserire e confermare la nuova password e digitare QUIT per uscire dal contesto “Reset DSRM Administrator Password”.

Digitare QUIT per uscire da NTDSUTIL

Attenzione: non è possibile modificare la password di DSRM mediante l’utility NTDSUTIL nel mentre si opera in DSRM (Errore: “Setting password failed. Win32 Error Code: 0x32. Error Message: The request is not supported.”). Viceversa è possibile farlo da DSRM mediante la sequenza di tasti Control+Alt+Del e cliccando sul bottone “Change Password…” oppure inserendo il comando seguente: “net user Administrator *”.

Come effettuare il reset della password DSRM in ambiente Win2K

Dal SP4 in poi di Win2K è disponibile l’utility setpwd che permette di forzare il cambio password per la modalità DSRM.

KB322672 – Reimpostazione della password dell’account amministratore per la modalità ripristino servizi directory (DSRM) in Windows Server 2003

Troubleshooting, Disaster Protection & Recovery Active Directory

Backup ASR (Automated System Recovery)

24 Ottobre 2011 Commenti chiusi

fonte, blog di Ermanno Golletto

Il Ripristino automatico di sistema (ASR Automated System Recovery) è suddiviso in due componenti: backup ASR e ripristino ASR. Il Ripristino automatico di sistema guidato appartiene al componente di backup e tramite una procedura guidata viene eseguito il backup dello stato del sistema, dei servizi di sistema e di tutti i dischi associati ai componenti del sistema operativo. Viene inoltre creato un file contenente informazioni sul backup, sulle configurazioni dei dischi, tra cui volumi dinamici e di base, e su come eseguire un ripristino. Il backup ASR esegue la copia dei volumi di boot e di sistema, ma non copia gli altri volumi di cui bisogna eseguire il backup separatamente tramite l’utility di backup.

Per accedere al componente di ripristino, premere F2 quando indicato nella parte dell’installazione in modalità testo. Verranno lette le configurazioni dei dischi dal file creato e verranno ripristinati gli identificatori dei dischi, i volumi e le partizioni almeno sui dischi necessari per l’avvio del computer. Verrà eseguito un tentativo di ripristinare le configurazioni di tutti i dischi (in alcuni casi questa operazione potrebbe non essere possibile) ed eseguita un’installazione di base di Windows (questa procedimento è noto come bare metal restore) al termine verrà avviato automaticamente un ripristino utilizzando il backup creato con il Ripristino automatico di sistema guidato. Per ulteriori informazioni in merito ad ASR si vedano i seguenti:

Prima di eseguire il backup ASR assicurasi di avere un’unita floppy sul computer mappata con la lettera A:, nel caso non sia disponibile copiare i file asr.sif e asrpnp.sif disponibili nella cartella %systemroot%\repair in un altro computer dotato di unità disco floppy, quindi copiare questi file su un disco floppy. Non sarà invece possibile eseguire il ripristino automatico di sistema se non si dispone di un’unita floppy sul computer mappata con la lettera A:.

Quando si esegue un backup ASR, i file asr.sif e asrpnp.sif vengono copiati su un disco floppy e nel set di backup ASR (un nastro o un altro supporto di backup), si desidera eseguire un Ripristino automatico di sistema (ASR), ma non si dispone del disco floppy originale creato durante il backup ASR è possibile utilizzare l’utilità di backup per individuare e catalogare il corrispondente set di backup ASR, quindi ripristinare i file asr.sif e asrpnp.sif (disponibili nella cartella %systemroot%\repair del supporto di backup) su un disco floppy. Per ulteriori informazioni si veda How To Re-Create a Missing Automated System Recovery Floppy Disk in Windows XP.

Per eseguire un ripristino il ripristino automatico di sistema utilizzare supporto con la stessa versione del sistema operativo installato se non si dispone di un supporto che comprenda anche l’eventuale versione del service pack installato sul computer sorgente sarà possibile crearlo tramite Slipstreaming usando ad esempio nLite.

Il supporto su cui risiede il backup dovrà essere disponibile durante il ripristino quindi non è ad esempio possibile utilizzare share di rete e dischi usb, la soluzione più pratica è quella di avere il file di backup su un volume. Per ulteriori informazioni si veda You cannot specify a network drive for the location of the .bkf file when you use the Automated System Recovery feature in Windows Server 2003.

Dopo il ripristino di sistemi operativi Windows Server 2003 SP1 o Windows Server 2003 R2 il firewall risulta attivato anche se sul computer origine non lo era per ulteriori informazioni si veda The Windows Firewall setting may change to “On (recommended)” when you perform an Automated System Recovery restoration of the operating system on a computer that is running Windows Server 2003 SP1 or that is running Windows Server 2003 R2.

Dal momento che il restore ASR non consente il ripristino autoritativo della directory Sysvol per eseguire il ripristino del primo domain controller del dominio occorre seguire le indicazioni descritte nel seguente ASR cannot perform an authoritative primary restore on the first Windows Server 2003 domain controller in a domain.

Ripristino ASR su hardware diverso

Prima di fare il restore ASR occorre assicurarsi che il sistema target abbia lo stesso hardware (eccetto hard disk, schede video e schede di rete), che i dischi critici che conterranno volumi di boot e di sistema siano in numero sufficiente e che la loro capacità sia uguale o superiore a quella dei dischi originali. Microsoft non supporta il restore del backup del system state su un computer di modello diverso o con hardware diverso. Il computer origine e destinazione devono avere lo stesso tipo di HAL con alcune eccezioni:

  • Si può passare da ACPI multiprocessor a ACPI uniprocessor e viceversa.
  • Si può passare da MPS multiprocessor a MPS uniprocessor e viceversa.

E possibile determinare il tipo di HAL tramite il nodo Computer della console Gestione Periferiche (Device Manager), è possibile aprire la console eseguendo devmgmt.msc.

Nel caso in cui il computer sorgente abbia un HAL ACPI e quello destinazione un HAL MPS potrebbe essere possibile aggiornare il BIOS del computer destinazione per consentire il supporto ad ACPI, nel caso il fornitore della scheda madre abbia rilasciato l’aggiornamento.

Dopo il ripristino potrebbe essere necessario rimuovere le periferiche nascoste non installate sul computer destinazione che erano presenti sul computer sorgente, come ad esempio le schede di rete. Per eseguire questa operazione aprire il prompt dei comandi ed eseguire e digitare:

set DEVMGR_SHOW_NONPRESENT_DEVICES=1

devmgmt.msc

In questo modo verrà aperta la Gestione Periferiche, quindi selezionando Visualizza / Mostra periferiche nascoste verranno visualizzate anche le periferiche non presenti che potranno così essere disinstallate. Per ulteriori informazioni si veda In Gestione periferiche non vengono visualizzate le periferiche non connesse al computer basato su Windows XP.

Se necessario il floppy generato durante il backup ASR può essere modificato per contenere drive necessari sul computer destinazione per maggiori informazioni si veda How to install additional files during Automated System Recovery.

Nel caso in cui il computer origine sia configurato per avere un IP fisso e sul computer destinazione sia cambiata la scheda di rete dopo il ripristino configurare ml’indirizzo IP altrimenti i servizi che necessitano di questa impostazione non potranno avviarsi (DNS, Active Directory) e potrebbero causare malfunzionamenti ad altri componenti e/o rallentare il funzionamento.

Per ulteriori informazioni si vedano:

ADMT, migrare account utenti e computer

24 Ottobre 2011 Commenti chiusi

Cos’è?

 

ADMT Activer Directory migration tool è il tool Microsoft chepermette la migrazione di oggetti active directory da un dominio ad un altro, tra strutture o tra foreste, è particolarmente utile in quelle situazioni in cui per un un motivo o per l’altro si ha la necessità di trasferire ad esempio degli utenti e computer ad un altro dominio permettendo di mantere il proprio profilo e riducendo quindi al minimo l’attività dell’amministratore e velocizzare il passaggio.

Prosegui la lettura…

Criteri di Gruppo, La seguente voce nella sezione [strings] è troppo lunga ed è stata troncata.

24 Ottobre 2011 Commenti chiusi

“La seguente voce nella sezione [strings] è troppo lunga ed è stata troncata” all’apertura di Criteri di Gruppo nel computer locale, il messaggio è causato dall’impossibilità di elaborare stringhe di lunghezza superiore a 255 da Criteri di Gruppo e può essere causata da semplici importazioni di modelli magari creati su altre macchine.

Per rimediare a ciò è sufficiente installare l’apposità hotfix disponibile sia per Windows 2000, Windows XP e Windows Server 2003 reperibile insieme alle necessarie informazioni sul problema alla KB842933

Disattivare Autorun/Autoplay

24 Ottobre 2011 Commenti chiusi

Per disabilitare l’autoplay è possibile agire in diversi modi anche a seconda del sistema opertivo in uso, sia modificando le opportune chiavi di registro che impostado policy che usando tool confunzionalità apposite quali i Tweak IU

Windows Server 2003, Windows XP e Windows 2000 tramite gpedit.msc

  • premere Start scegliere Esegui e digitare Gpedit.msc e premere OK.
  • Da Configurazione computer, espandere Modelli amministrativi, quindi scegliere Sistema.
  • Trovare la voce Disattiva Autoplay (a seconda delle versioni del sistema operativo può essere indicata anche come Disabilita Autoplay o Disattiva Riproduzione Automatica) fare doppio click sulla voce o sul pulsante proprietà una volta selezionata la voce.
  • Fare clic su Attivato, quindi selezionare Tutte le unità per disattivare l’autoplay da ogni unità
  • Click su OK per chiudere la finestra di dialogo e confermare così l’impostazione
  • Riavviare il computer o qualora non fosse possibile forza l’applicazione delle policy digitando dal prompt dei comandi gpupdate /force

Windows Server 2008 o Windows Vista

  • premere Start scegliere Esegui e digitare Gpedit.msc e premere OK.
  • Da Configurazione computer, espandere Modelli amministrativi, quindi scegliere Componenti di Windows e Criteri Autoplay.
  • Trovare la voce Disattiva Autoplay fare doppio click sulla voce o sul pulsante proprietà una volta selezionata la voce.
  • Fare clic su Abilitato, quindi selezionare Tutte le unità per disattivare l’autoplay da ogni unità
  • Click su OK per chiudere la finestra di dialogo e confermare così l’impostazione
  • Riavviare il computer o qualora non fosse possibile forza l’applicazione delle policy digitando dal prompt dei comandi gpupdate /force

Impostazione tramite chiave di regitro

  • Da Start, Esegui, digitare regedit.exe e premere OK
  • Posizionarsi alla chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
  • Creare un nuovo valore di tipo DWORD chimandolo NoDriveTypeAutoRun, vedere tabella seguente per i valori

 

Valore Descrizione
0x1 Consente di disattivare AutoPlay da unità di tipo sconosciuto
0x4 Consente di disattivare AutoPlay da unità rimovibili
0x8 Consente di disattivare la AutoPlay da unità fisse
0x10 Consente di disattivare AutoPlay da unità di rete
0x20 Consente di disattivare AutoPlay da unità CD-ROM
0x40 Consente di disattivare AutoPlay da dischi RAM
0x80 Consente di disattivare AutoPlay da unità di tipo sconosciuto
0xFF Consente di disattivare AutoPlay da tutti i tipi di unità

I valori di default sono

Sistema operativo Valore
Windows Server 2008 e Windows Vista 0x91
Windows Server 2003 0x95
Windows XP 0x91
Windows 2000 0x95

Tool

Alcuni tool per inervenire nella modifica dell’autorun, e anche in altre sono

 

Tweak iu della raccolta Microsoft PowerToys per Windows XP

 

Windows Vista Tweaker

Per maggiori informazioni è possibile fare riferimento alla kb953252

Integrare Linux in un dominio WinNT/2000 con Winbind

24 Ottobre 2011 Commenti chiusi

Articolo tratto da OpenSkills.info adatto a scenari d’integrazione Linux in domini Windows. L’articolo originale è disponibile qui

Articolo di Fulvio Ferroni
adattato per OS.
https://didattica.swlibero.org/docs/linuxmagazine/ferroni24.html

In questo articolo voglio affrontare una problematica un po’ particolare ma secondo me molto interessante: l’integrazione di una macchina Linux (ovviamente equipaggiata con Samba) in un dominio NT o in una active directory Windows 2000 grazie all’utilizzo di Winbind.
Per integrazione qui intendo l’eventualità che la macchina Linux entri a far parte effettivamente del dominio o della active directory ma anche e soprattutto che l’autenticazione degli utenti Linux (attenzione: utenti Linux, non utenti Samba) avvenga presso il Primary Domain Controller Windows.
Credo che questa possibilità sia molto interessante in quelle situazioni in cui si voglia introdurre Linux in un ambiente di rete già consolidato su piattaforma Windows, senza dover essere costretti a ridefinire tutti gli utenti nel nuovo ambiente.
Il contesto cui faccio riferimento è una rete scolastica, visto che è nelle scuole che svolgo la mia attività professionale, ma la soluzione prospettata può essere validamente attuata anche in altri ambienti.
Immagino già le obiezioni dei “puristi” circa l’opportunità di “convivere con il nemico” anziché sostituire i prodotti proprietari con software libero, da preferire per i motivi etici, filosofici, didattici, economici già più volte illustrati nelle pagine di questa rivista; il fatto è che molte volte questo non è possibile, o almeno non “subito”. In certi casi è necessario almeno un periodo di “affiancamento” nel quale introdurre gradualmente Linux ed il software libero anche per permettere che nel frattempo si formi e si diffonda una “cultura” sufficiente per l’uso proficuo e la gestione di questi strumenti.
La procedura qui esposta è stata usata su una RedHat 7.3 ma è applicabile anche su altre distribuzioni.
Dalla versione 8.0 RedHat permette di configurare il login su un dominio NT direttamente tramite il comando custom authconfig, rendendo queste operazioni decisamente più semplici.

CONFIGURARE GLI STRUMENTI NECESSARI
Winbind è un nuovo software entrato a far parte dell’insieme degli strumenti della suite Samba dalla versione 2.2.2 ed è contenuto nel pacchetto rpm samba-common. Ne fanno parte 2 librerie per il Name Service Switch (nsswitch) e il Pluggable Authentication Modules (PAM), un programma di utilità, wbinfo ed un demone, winbindd, che permettono agli utenti di accedere alla macchina Linux (e a quei servizi che prevedono l’autenticazione PAM) usando le informazioni di account già presenti in un Domain Controller Windows.
Più in dettaglio winbindd fornisce informazioni su utenti e gruppi NT a nsswitch che è un servizio presente ormai in tutte le moderne librerie C e che permette di ottenere i dati relativi ad utenti, gruppi ed host da vari tipi di fonti diverse (NIS, DNS e adesso anche Winbind); il servizio di autenticazione viene invece garantito dalla presenza di un apposito modulo PAM.
Vediamo le operazioni da compiere per raggiungere il risultato voluto (le prove sono state fatte su una macchina Linux con RedHat 7.3, Samba 2.2.3, inserita in una rete gestita da un PDC NT 4.0 denominato ANDREA:

1) Modifiche a smb.conf
Nel file di configurazione di Samba /etc/samba/smb.conf, inserire nella sezione [global] le seguenti direttive:
; nome del dominio NT
workgroup name = PALLADIO
; gestione password criptate
encrypt password = yes
; impostazioni sul server PDC
security = domain
password server = *
; impostazioni per il demone winbindd
winbind separator = +
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template shell = /bin/bash
template homedir = /home/%D/%U

Qualche commento sulle opzioni che permettono di configurare il demone winbindd:
con winbind separator si imposta il carattere con cui si combinano nome di dominio e nome utente NT in modo da formare il nome utente Linux; è consigliato scegliere un carattere diverso da quello di default “\” che può dare problemi in quanto ha un significato speciale nella shell; la scelta del carattere “+” dovrebbe essere la migliore.
winbind uid e winbind gid permettono di impostare i range di ID utenti e gruppi che winbind utilizza per “rimappare” gli utenti e gruppi windows in utenti e gruppi Linux.
winbind enum users e winbind enum groups permettono di attivare l’enumerazione di gruppi e utenti.
template shell e template homedir permettono di definire rispettivamente la shell e la home directory degli utenti; si noti l’uso delle “variabili samba” %D = nome dominio NT e %U = nome utente NT (nel caso in esame l’utente PALLADIO+pippo avrà come home directory /home/PALLADIO/pippo).

2) Modifiche a nsswitch.conf
Nel file /etc/nsswitch.conf, contenente la configurazione del servizio nsswitch, occorre aggiungere winbind tra le sorgenti dei dati riguardanti utenti e gruppi.
Quindi le relative righe, che solitamente appaiono nel seguente modo:
passwd: files
group: files
devono divenire:
passwd: files winbind
group: files winbind

L’ordine con cui vengono elencate le fonti è significativo e in questo caso viene opportunamente lasciata la priorità nel reperimento delle informazioni ai file di sistema (passwd e group).

3) Modifiche ai file di configurazione del PAM
Questa è la fase più delicata e “pericolosa”: operazioni maldestre compiute sui file di configurazione contenuti in /etc/pam.d/, possono condurre all’impossibilità di effettuare il login o a permettere a tutti di entrare senza password o ad altri inconvenienti simili. E’ quindi opportuna una copia dei file che ci si accinge a modificare ed è anche consigliabile tenersi aperta una task di riserva come “root” in modo da poter tornare sui propri passi in caso i test non diano esiti positivi.
Sarebbe inoltre opportuno un approfondimento circa l’uso del PAM che è uno strumento molto versatile e potente ma che non è possibile effettuare in questa sede.
Vediamo quindi solo le modifiche che ho apportato nell’ambito delle mie prove:
nel file /etc/pam.d/system-auth ho aggiunto la riga
auth sufficient /usr/lib/security/pam_winbind.so
dopo la prima riga auth già presente e ho trasformata la riga
auth sufficient /lib/security/pam_unix.so likeauth nullok
in
auth sufficient /lib/security/pam_unix.so likeauth nullok use_first_pass
nel file /etc/pam.d/login ho aggiunto le seguenti due righe, rispettivamente come prima riga account e come ultima riga session required:
account sufficient /lib/security/pam_winbind.so
session required /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0022

In particolare l’ultima è molto interessante in quanto fa si che venga creata automaticamente la home directory dell’utente nel momento in cui questo si collega per la prima volta alla macchina Linux; facendo riferimento alle impostazioni illustrate in precedenza, nel momento in cui si collega l’utente PALLADIO+pippo viene creata la sua home directory /home/PALLADIO/pippo (questo naturalmente se e solo se la directory /home/PALLADIO già esiste).
Un’ultima osservazione circa la modifica al file system-auth; essendo la sua configurazione usata in molti altri file di configurazione di PAM (e non solo in login) attraverso il modulo pam_stack, può essere una buona idea lasciarlo inalterato, copiarlo e modificare la copia nominandola ad esempio system-auth-winbind. Ovviamente i riferimenti al file system-auth contenuti nel file login dovranno essere opportunamente modificati.

4) Attivazione e test
Occorre prima di tutto inserire la macchina Linux nel dominio NT agendo sul server NT con il Server Manager ed eseguendo su Linux il seguente comando:
smbpasswd -j PALLADIO -r ANDREA -U Administrator
Se tutto va bene dopo aver digitato la password (che Administrator ha su NT) si ottiene il messaggio:
Joined domain PALLADIO
A questo punto si possono attivare i servizi smb e winbind e testare il buon funzionamento di quest’ultimo con i comandi
wbinfo -u
wbinfo -g

per ottenere rispettivamente l’elenco degli utenti e dei gruppi del dominio.
E’ anche possibile avere un elenco di tutti gli utenti e gruppi sia quelli del dominio che quelli “nativi” di Linux con i comandi:
getent passwd
getent group

Infine si può procedere alla prova più importante cioè quella di accreditamento sulla macchina Linux di un utente già esistente nel dominio NT; al login si scrive il nome utente secondo la sintassi stabilita (nel nostro caso “PALLADIO+pippo” ) e la password di quell’utente nel dominio NT.
Nel mio caso, al login appare un messaggio di errore: “[: too many arguments” abbastanza misterioso; non sono riuscito a stabilirne l’origine anche dopo ricerche in Internet, comunque non influisce in alcun modo sul buon esito delle operazioni effettuate dall’utente.
E’ anche possibile ottenere l’accreditamento degli utenti per altri tipi di servizi a patto che questi abbiano il supporto per il PAM; ad esempio nella macchina oggetto delle prove era attivo il login grafico con gdm e per ottenere che il meccanismo funzionasse anche in questa modalità è stato necessario aggiungere al file /etc/pam.d/gdm la linea:
session required /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0022

CONCLUSIONI
Grazie all’uso di Winbind in associazione con gli altri strumenti di Samba gli amministratori di rete hanno la possibilità di far convivere piattaforme diverse sfruttando il data base di utenti e gruppi definito in un preesistente ambiente Windows.
Questa è una ulteriore conferma della bontà della scelta di GNU/Linux, e del software libero in generale, a livello di “apertura” e di possibilità di integrazione tra ambienti diversi. E’ inoltre una conferma dell’attenzione che gli sviluppatori di questi programmi dedicano a tali argomenti e del grande vantaggio che in questo settore il software libero ha nei confronti di molto software proprietario che molto spesso è caratterizzato da soluzioni chiuse se non addirittura “blindate”.

 

Migrare / Aggiungere Domain Controller Windows 2000

24 Ottobre 2011 Commenti chiusi

La procedura per l’aggiunta e/o la sostituzione del domain controller qui vista anche se effettuata su sistemi Windows 2000 Server è valida anche per l’ambiente Windows Server 2003.

 

Vediamo come sia possibile sosituire un Domain Controller, magari perché giunto alla fine della sua vita operativa, con un altro trasferendo a quest’ultimo il ruolo di master del dominio.

La procedura si articola in 4 fasi principali,

  1. promozione a Domain Controller del nuovo server
  2. installazione servizio DNS
  3. replica del Global Catalog nel nuovo Domain Controller
  4. trasferimento dei ruoli FSMO con “demotion” del vechio Domain Controller

Nel nostro esempio disponiamo di due server, entrambi con Windows 2000 Server SP4, li chiameremo DC01 e DC02. Il DC01 oltre ad essere domain controller nel dominio ha anche il ruolo di server DHCP nonché di file server, avremo quindi modo di vedere come trasferire i dati dai due DC mantenendo i permessi assegnati, inoltre abbiamo creato dei degli utenti e aggiunto un computer in modo da rendere più realistico l’esempio.

Fig. 1 DC01 ed elementi di active directory creati ad esempio

Fig. 2 il client aggiunto al domino mostra il server a cui l’utente ha fatto logon

 

Parametri

I parametri del nostro esempio sono:

Nome dominio: nxproject.local

Primo Domain Controller

Nome dc01.nxproject.local
IP 192.168.1.1
Subnet 255.255.255.0
DNS 192.168.1.1

Secondo Domain Controller

Nome dc02.nxproject.local
IP 192.168.1.2
Subnet 55.255.255.0
DNS 192.168.1.1 prima della promozione
DNS 192.168.1.2 dopo la promozione

Client

Nome nxclient01.nxproject.local
IP DHCP
Subnet DHCP
DNS DHCP

 

1 Promozione del Nuovo Domain Controller (DC02)

Avviamo la procedura di elevazione a controller di dominio, (Start –à Esegui digitare dcpromo.exe e premere invio) seguiamo il wizard per la promozione, quando richiesto scegliere la voce Controller aggiuntivo di dominio in un dominio esistente” e proseguire (fig. 3)

Fig 3. opzione aggiunta controller

A questo punto ci viene richiesto di indicare un account per il dominio specifico, (fig. 4)

Fig 4 credenziali per il dominio specificato

Proseguendo ci viene chiesto di indicare il nome dns del nostro dominio, che in questo caso sarà nxprojec.local (fig. 5)

Fig 5. indicazione del nome dns del dominio

Proseguiamo con l’operazione confermando i dati che ci vengono indicati, come una normale operazione di promozione a Domain Controller.Terminata la procedura e riavviato il server DC02, portiamoci sul DC01 e apriamo “Utenti e computer di Active Directory” , selezioniamo “domain controller” e troveremo oltre al DC01 anche il DC02 (fig. 6), facendo la stessa operazione dal nuovo domain controller avremmo ovviamento lo stesso risultato.

Fig 6. il nuovo Domain Controller è presente in active directory

Ora il server è stato aggiunto ed è un controller di dominio ma ci sono ancora dei passi fondamentali prima spegnere il vecchio server.

2 Installazione server DNS

Prima di iniziare l’installazione del server DNS su DC02 è necessario attivare e/o verificare che sia attivo il trasferimento di zona

Fig 7. Verifica trasferimento di zona

Verificare che Consenti trasferimenti di zona” si attiva, selezionando la voce “a qualsiasi server” il DNS verrà replicato a tutti i server DNS della rete, “solo a server elencati nella scheda dei server de nomi” replicae il DNS solo ai server elencati nella scheda, “solo ai seguenti server” replica solo hai server che vengono specificati di seguito, al termine selezionare “OK” e passiamo a DC02 da pannello di controllo, installazione applicazioni selezioniamo “installazione componenti di Windows” , “Servizi di rete” click su dettagli e selezioniamo “Domain Name System (DNS)”

Fig 8. Installazione servizio DNS su DC02

Confermiamo la selezione con “OK”, click su “Avanti” . Al termine dell’installazione il server dns su DC02 dovrebbe contenere già una replica del DNS

Fig 9. DNS installato e pronto su DC02

Ora impostiamo come server DNS preferito l’indirizzo IP di DC02 .

Fig 10. Impostazione server DNS preferito

3 Trasferire il Global Catalog

L’impostazione che consente la replica del Global Catalog è possibile configurarla da uno qualunque dei due domain Controller, apriamo “Siti e servizi di Active Directory” espandiamo “Sites”, espandiamo “Nome-predefinito-primo-sito”, espandiamo “server” e seleziona DC02, sulla sinistra selezioniamo “NTDS Settings” con il tasto desto e selezioniamo la voce “proprietà”, ora attiviamo la voce “Catalogo Globale” ie confermiamo la schermata.Importante la replica del Global Catalog non è immediata, il tempo varia sia in base alle impostazioni del server sia in base alla complessa della rete, ad ogni modo per avere un’idea del tempo necessario, accedendo al registro degli eventi in “directory service” e cercare l’evento 1110 con origine “NTDS General”

Fig 11.

Si potrà avere una stima del tempo necessario per completare l’operazione di elevazione del server a Global Catalog Una volta che DC02 è Global Catalog procediamo con la rimozione del Global Catalog da DC01, in maniera analoga all’operazione svolta per elvare DC02 a Global Catalog, accediamo quindi a “Siti e servizi di Active Directory” ,“Sites”, “Nome-predefinito-primo-sito”, “server” e seleziona DC01, sulla sinistra selezioniamo “NTDS Settings” con il tasto desto e selezioniamo la voce “proprietà”, togliere il flag alla voce “Catalogo Globale” e confermiamo la schermata, come prima l’operazione non è immediata. Per sapere quando è terminata accedere al registro degli eventi di DC01, “directory Service” e cerchiamo l’evento 1119 origine NTDS Service

Fig 12.

Inolte è possibile trovare un avviso sempre in “directory services” 1534 origine “NTDS General” indicando l’incompatibilità per il vecchio server di essere master del Dominio e non Global Catalog

4 Trasferimento dei ruoli FSMO

Passiamo all’ultima fase, il trasferimento dei ruoli FSMO al nuovo server, questa procedurà può essere eseguita in due modi, il primo attraverso lo wizard per il demotion che disinstallerà active directory trasferendo automaticamente i ruoli al nuovo server, il secondo metodo consiste nel trasferimento manuale attravesrso lo strumento ntdsutil.exe operazione che può essere utile per la promozione di un secondo domain controller qualora il primo debba improvvisamente cessare di essere operativo, o se si volesse mantenere l’attuale domain controller. Qual’ora il primo domain controller sia anche file server o server DHCP ritengo opporturno trasferire i dati se file server e le impostazioni sulla configurazione dell’eventuale DHCP server, per tali operazioni potete consultare la nostra documentazione ai seguenti link

4.1 Utilizzo FSMO

Analizziamo entrambi i metodi, iniziamo con il ntdsutil.exe.Portiamoci sul vecchio server dopo aver installato i suppot tools , scaricabili qui per windows 2000 e qui per windows 2003, andiamo su start -> programmi -> Windows support Tool -> tools -> command prompt ed inserire i seguenti comandi

ntdsutil
roles
connections
connect to server DC02
quit

Fig. 13 ntdsutil.exe

ora siamo connessi al server DC02, ovviamente al comando connect to server DC02 dovrete sostituire DC02 con il nome del vostro server, procediamo ora all trasferimento dei ruoli

transfer domain naming master
transfer infrastructure master
transfer pdc
transfer rid master
transfer schema master

quit
quit

ora abbiamo definitivamente trasferito tutti i ruoli al nuovo domain controller, se vogliamo effettuare una verifica al prompt dei comandi digitiamo netdom query fsmo

Fig. 14 query netdom

questa procedura è consigliata nel caso in cui si voglia mantenere ancora operativo il vecchio server, magari come secondo domain controller oppure nel caso un cui si vogliano trasferire i ruoli ad altro server nel caso in cui quello attuale non sia operativo, infatti anche se trasferice i ruoli resta poi un’operazione di “pulizia” da effettuare sul nuovo domain controller, operazione volta alla eliminazione dei record dns ancora presenti nonché le voci in “siti e servizi di active directory” .

4.2 Disinstallazione Active Directory

Ora vediamo come è possibile abbassare il vecchio server e trasferire automaticamente i ruoli FSMO al nuovo attraverso la procedura di disinstallazione di active directory Portiamoci sul vecchio server start -> esegui -> dcpromo e premiamo invio, procediamo con Avanti

Nella schermata “Rimozione di active directory” è importante NON attivare “Questo server è l’ultimo controller di dominio nel dominio” e andiamo su “Avanti” indichiamo la password che avrà l’utente administrator locale al termine dell’operazione e andiamo “avanti”.

Fig. 15 disinstallazione AD

Ora è iniziata la procedura di disinstallazione di active directory dal nostro DC, al termine riavvio la macchina.Al termine portiamoci sul nuovo DV, apriamo il prompt dei comandi dei support tools e digitiamo Netdom query fsmo , vedremo che il nuovo DC è divenuto automaticamente detentore dei ruoli.

Fine

Abbiamo terminato, una base alla procecedura scelta possiamo ora decidere di mettere a nanna il vecchio server o mantenerlo operativo per un DC di backup per active directory, qual’ora il server fosse un server DHCP (come nell’esempio) o magari sia anche un file server vi rimandiamo a i seguenti articoli su come migrare la configurazione del server DHCP e come trasferire condivisioni, file e cartelle tra i due server.