Ricerca nei post
Active Directory – Import Export GPO da domini differenti
Obiettivo: Esportare le Group Policy Object da un dominio Active Directory per poi importarle in un altro dominio completamente differente. La procedura non è possibile tramite il backup - restore guidato delle GPO in quanto si presenterà l'errore seguente "Nessun backup trovato" Soluzione: Utilizzare lo script seguente (riportato anche in allegato) https://github.com/thomaskrampe/PowerShell/blob/master/Active%20Directory/GPO/GPO-ToolSet.ps1 DESCRIPTION Lightweight Script for - Ex- and Importing GPO's for e.g. GPO migration - Creating version reports as CSV - Compare GPO settings - CleanUp all unlinked GPO's ### Careful please ### Logfiles are written to C:\_Logs by default PARAMETER Mode Export Import Audit Compare CleanUp [...]
Windows Server – Implementazione LAPS (Local Administrator Password Solution)
Microsoft Local Administrator Password Solution (LAPS) è uno strumento gratuito che consente alle organizzazioni di migliorare la sicurezza dei loro ambienti IT gestendo automaticamente le password degli account amministrativi locali su computer basati su Windows. LAPS è particolarmente utile in ambienti aziendali con molti computer, dove la gestione manuale delle password degli account amministrativi locali sarebbe impraticabile e insicura. È adatto per organizzazioni di tutte le dimensioni che cercano di migliorare la loro postura di sicurezza IT. La nuova versione di LAPS (quella che tratteremo nell'articolo) è integrata direttamente in Windows, offrendo ulteriori miglioramenti in termini di funzionalità e [...]
Windows Server – Active Directory configurazione LDAPS
LDAP (Lightweight Directory Access Protocol) e LDAPs (LDAP Secure) sono entrambi protocolli utilizzati per accedere e gestire directory di servizi, ma differiscono nella sicurezza della comunicazione. LDAP utilizza una connessione non crittografata, rendendo le informazioni vulnerabili a intercettazioni malevole. In contrasto, LDAPs implementa la sicurezza tramite l'uso di crittografia SSL/TLS, garantendo che i dati siano trasmessi in modo sicuro tra client e server. Questo è particolarmente importante quando si gestiscono informazioni sensibili o riservate, come le credenziali degli utenti. L'adozione di LDAPs contribuisce a rafforzare la protezione dei dati e la privacy, rendendo questo protocollo una scelta preferibile in [...]
Windows Server – Impossibile accedere al dispositivo, al percorso o al file specificato control.exe
Sintomi: Durante la modifica di impostazioni nel pannello di controllo di Windows Server 2016 - 2019 - 2022 (esempio pratico, nella configurazione della scheda di rete) compare il seguente errore: C:\WINDOWS\system32\control.exe Impossibile accedere al dispositivo, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie. Oppure anche C:\WINDOWS\system32\SystemSettingsAdminFlows.exe Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item. Soluzione: Win + R e digita 'secpol.msc' per aprire criteri di sicurezza locali Nella voce Impostazioni di sicurezza, apri Criteri locali > Opzioni di sicurezza [...]
Powershell – Automatically disable PC and Users Active Directory
Script per individuare, spostare e disabilitare oggetti Computer più vecchi di 90 giorni Modificare l'unità organizzativa prima di eseguire lo script, e regolare la data di ultimo login a seconda delle esigenze. Eseguire lo script come amministratore Import-Module ActiveDirectory # Imposta le variabili $inactiveDays = 90 $targetOU = "OU=Computer Disabilitati,DC=dominio,DC=com" # Ottieni la data di riferimento per l'inattività $inactiveDate = (Get-Date).AddDays(-$inactiveDays) # Ottieni tutti i computer attivi su Active Directory $activeComputers = Get-ADComputer -Filter {Enabled -eq $true} -Properties LastLogonDate # Scansiona i computer attivi per individuare quelli inattivi foreach ($computer in $activeComputers) { $lastLogonDate = $computer.LastLogonDate # Verifica [...]
Office – Firma Outlook da modello HTML con attributi utente Active Directory
Obiettivo: Generare una firma da inserire in Outlook partendo da un modello HTML La firma deve compilarsi automaticamente con gli attributi presenti nell'utente Active Directory Se l'utente gestisce più indirizzi di posta, la firma deve generarsi per tutti i suoi indirizzi Prerequisiti: Gli utenti devono essere membri di un dominio Active Directory La funzionalità Roaming Signature di Outlook deve essere disabilitata La firma verrà impostata all'accesso dell'utente tramite uno script PowerShell Riassunto: Creare modello HTML Creare script PowerShell Creare GPO per avvio script all'accesso dell'utente Compilare campi ed attributi utente su Active Directory Applicare la firma all'account nelle impostazioni [...]
GPO – Restrizioni di selezione e stampa errore 0x80070bcb
Sintomi: Dopo aver creato la GPO per installazione di una stampante condivisa, sui client la stampante non compare Nel registro eventi, è presente l'event ID 4098 con dicitura seguente: Impossibile applicare l'elemento preferenza utente '192.168.1.204' nell'oggetto Criteri di gruppo 'Stampanti TCP\IP {B7DB8284-60F8-4197-AE08-1240444D9DB1}'. Codice errore '0x80070bcb Impossibile trovare il driver della stampante specificato. Scaricarlo.' Errore eliminato. Soluzione: Abilitare le restrizioni server di stampa specificando di non richiedere richieste di elevazione dei privilegi. Aprire la GPO delle stampanti creata in precedenza (o crearne una nuova) e navigare sulla seguente voce: Configurazione Computer \ Modelli amministrativi \ Stampanti \ Restrizioni di [...]
Windows Server – Configurazione 802.1x NPS server criteri di rete
Obiettivo: Configurare server criteri di rete per autenticazione wireless 802.1x con gruppo di utenti di dominio. I client WiFi saranno così in grado di autenticarsi alla rete senza fili con username e password di dominio, solo se membri del gruppo concesso alla connessione. Soluzione: Installazione ruoli Servizi criteri di rete e Autorità di certificazione Configurazione ruolo certificazione e creazione certificato Configurazione ruolo server criteri di rete NPS server e creazione profilo 802.1x Configurazione access point per autenticazione 802.11 Enterprise Debug con iasviewern 1 - Installazione ruoli Servizi criteri di rete e Autorità di certificazione [...]
GPO – Rimozione utenti locali amministratori
Obiettivo: Rimuovere utenti locali amministratori utilizzati per inserire in dominio il PC alla prima accensione Inserire un utente di dominio nel gruppo amministratori locali Soluzione: Aprire gpmc.msc nel controller di dominio, creare una nuova GPO ed applicarla all'unità organizzativa dei PC. Navigare sulla seguente voce: Configurazione computer\Preferenze\Impostazioni del Pannello di controllo\Utenti e gruppi locali Fare click con il tasto destro e selezionare Nuovo > Utente locale Nel menù a tendina selezionare la voce "Elimina" Inserire il nome utente da eliminare Fare click con il tasto destro e selezionare Nuovo > Gruppo locale Nel menù a tendina selezionare [...]
Windows Server – Login script nelle proprietà utente Active Directory
Obiettivo:Creare uno script di accesso utente su terminal serverQuesto script deve essere eseguito in primo piano, senza barra applicazioni \ menu start \ iconeScript predisposto per l'utilizzo di terminali Android \ pistole barcode \ Windows CESoluzione:In Windows Server 2016 e successivi, l'opzione "Programma iniziale" nel tab "Ambiente" all'interno delle proprietà utente Active Directory viene ignorato. Creare la seguente voce di registro di sistema per risolvere la problematica:HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Nome voce: fQueryUserConfigFromDCTipo: REG_DWORDValore: 0x00000001 Disconnettere e riconnettere l'utente
Windows 10 Kiosk client setup GPO
Obbiettivo: Creare una GPO per PC da esposizione, chioschi multimediali con le seguenti caratteristiche: Apertura browser Edge in automatico all'accesso dell'utente in fullscreen Apertura tastiera virtuale al tap sul touchscreen Autologon con utente di dominio Schermo sempre attivo Apertura browser Edge in automatico Apertura Edge in Kiosk Mode fullscreen in modalità incognito (privata) msedge.exe --kiosk https://www.computermasters.it --edge-kiosk-type=fullscreen --no-first-run Apertura Edge in Kiosk Mode fullscreen in modalità normale (non privata) msedge.exe --kiosk https://www.computermasters.it --edge-kiosk-type=private-browsing --no-first-run Creare attività pianificata avviata all'accesso dell'utente richiamando l'eseguibile C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe Con i parametri scritti sopra a seconda delle necessità. Apertura tastiera [...]
Active Directory – Seize FSMO roles
Obiettivo: Spostare forzatamente i ruoli FSMO (Schema master, Domain naming master, PDC, RID pool manager, Infrastructure master) da un DC offline \ compromesso Eliminare il vecchio DC offline Soluzione: Ruoli FSMO Controllare lo stato attuale di ruoli FSMO con il seguente comando: netdom query fsmo Aprire una finestra Powershell con diritti amministrativi e digitare il seguente comando: Move-ADDirectoryServerOperationMasterRole “<servername>” –OperationMasterRole 0,1,2,3,4 -Force Lanciare nuovamente il comando seguente per verificare l'avvenuto spostamento dei ruoli: netdom query fsmo NTDSUTIL ntdsutil metadata cleanup connections connect to server < servername→Here <servername→ [...]