Ricerca nei post
Active Directory – Import Export GPO da domini differenti
Obiettivo: Esportare le Group Policy Object da un dominio Active Directory per poi importarle in un altro dominio completamente differente. La procedura non è possibile tramite il backup - restore guidato delle GPO in quanto si presenterà l'errore seguente "Nessun backup trovato" Soluzione: Utilizzare lo script seguente (riportato anche in allegato) https://github.com/thomaskrampe/PowerShell/blob/master/Active%20Directory/GPO/GPO-ToolSet.ps1 DESCRIPTION Lightweight Script for - Ex- and Importing GPO's for e.g. GPO migration - Creating version reports as CSV - Compare GPO settings - CleanUp all unlinked GPO's ### Careful please ### Logfiles are written to C:\_Logs by default PARAMETER Mode Export Import Audit Compare CleanUp [...]
Windows Server – Active Directory configurazione LDAPS
LDAP (Lightweight Directory Access Protocol) e LDAPs (LDAP Secure) sono entrambi protocolli utilizzati per accedere e gestire directory di servizi, ma differiscono nella sicurezza della comunicazione. LDAP utilizza una connessione non crittografata, rendendo le informazioni vulnerabili a intercettazioni malevole. In contrasto, LDAPs implementa la sicurezza tramite l'uso di crittografia SSL/TLS, garantendo che i dati siano trasmessi in modo sicuro tra client e server. Questo è particolarmente importante quando si gestiscono informazioni sensibili o riservate, come le credenziali degli utenti. L'adozione di LDAPs contribuisce a rafforzare la protezione dei dati e la privacy, rendendo questo protocollo una scelta preferibile in [...]
Powershell – Automatically disable PC and Users Active Directory
Script per individuare, spostare e disabilitare oggetti Computer più vecchi di 90 giorni Modificare l'unità organizzativa prima di eseguire lo script, e regolare la data di ultimo login a seconda delle esigenze. Eseguire lo script come amministratore Import-Module ActiveDirectory # Imposta le variabili $inactiveDays = 90 $targetOU = "OU=Computer Disabilitati,DC=dominio,DC=com" # Ottieni la data di riferimento per l'inattività $inactiveDate = (Get-Date).AddDays(-$inactiveDays) # Ottieni tutti i computer attivi su Active Directory $activeComputers = Get-ADComputer -Filter {Enabled -eq $true} -Properties LastLogonDate # Scansiona i computer attivi per individuare quelli inattivi foreach ($computer in $activeComputers) { $lastLogonDate = $computer.LastLogonDate # Verifica [...]
Office – Firma Outlook da modello HTML con attributi utente Active Directory
Obiettivo: Generare una firma da inserire in Outlook partendo da un modello HTML La firma deve compilarsi automaticamente con gli attributi presenti nell'utente Active Directory Se l'utente gestisce più indirizzi di posta, la firma deve generarsi per tutti i suoi indirizzi Prerequisiti: Gli utenti devono essere membri di un dominio Active Directory La funzionalità Roaming Signature di Outlook deve essere disabilitata La firma verrà impostata all'accesso dell'utente tramite uno script PowerShell Riassunto: Creare modello HTML Creare script PowerShell Creare GPO per avvio script all'accesso dell'utente Compilare campi ed attributi utente su Active Directory Applicare la firma all'account nelle impostazioni [...]
GPO – Rimozione utenti locali amministratori
Obiettivo: Rimuovere utenti locali amministratori utilizzati per inserire in dominio il PC alla prima accensione Inserire un utente di dominio nel gruppo amministratori locali Soluzione: Aprire gpmc.msc nel controller di dominio, creare una nuova GPO ed applicarla all'unità organizzativa dei PC. Navigare sulla seguente voce: Configurazione computer\Preferenze\Impostazioni del Pannello di controllo\Utenti e gruppi locali Fare click con il tasto destro e selezionare Nuovo > Utente locale Nel menù a tendina selezionare la voce "Elimina" Inserire il nome utente da eliminare Fare click con il tasto destro e selezionare Nuovo > Gruppo locale Nel menù a tendina selezionare [...]
Active Directory – Seize FSMO roles
Obiettivo: Spostare forzatamente i ruoli FSMO (Schema master, Domain naming master, PDC, RID pool manager, Infrastructure master) da un DC offline \ compromesso Eliminare il vecchio DC offline Soluzione: Ruoli FSMO Controllare lo stato attuale di ruoli FSMO con il seguente comando: netdom query fsmo Aprire una finestra Powershell con diritti amministrativi e digitare il seguente comando: Move-ADDirectoryServerOperationMasterRole “<servername>” –OperationMasterRole 0,1,2,3,4 -Force Lanciare nuovamente il comando seguente per verificare l'avvenuto spostamento dei ruoli: netdom query fsmo NTDSUTIL ntdsutil metadata cleanup connections connect to server < servername→Here <servername→ [...]
Azure AD Connect: sincronizzazione utenti Active Directory on-premise
Obbiettivo: Sincronizzare gli utenti nei server Active Directory on-premise (Foreste AD locali su Windows Server 2016) con Office 365 \ Exchange Online \ Azure AD Single Sign-On tra utenti di dominio Windows ed account Outlook \ licenze Office 365 Sincronia delle password in una o due vie Prerequisiti: Deve essere presente un dominio locale Active Directory Il server di dominio deve avere installato almeno Windows Server 2016 o superiore Deve già essere presente un dominio collegato al pannello Office 365, e deve essere verificato Deve essere abilitato TLS 1.2. Eseguire script PowerShell di seguito. Enable_TLS_1.2.ps1 Soluzione: Preparare gli [...]
GPO – Save BitLocker key in Active Directory
Obiettivo: Salvare le chiavi di ripristino BitLocker automaticamente all'interno del server di dominio Active Directory Soluzione: Aprire la cartella Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> BitLocker Drive Encryption Abilitare la policy "Store BitLocker recovery information in Active Directory Domain Services" assicurandosi di avere abilitata la voce "Require BitLocker backup to AD DS" ed impostato il menu' a tendina su "Recovery passwords and key packages" Aprire le cartelle Fixed Data Drives Operating System Drives Removable Data Drives Abilitare per ciascuna delle tre cartelle la policy "Choose how BitLocker-protected fixed drives can be recovered". [...]
Aggiunta di un client ad un dominio con nome singolo – Single label domain
Purtroppo mi è capitato di mettere mano ad un'infrastruttura Windows Server con nome di dominio singolo: che significa? Significa che il nome della foresta non è contoso.com ma contoso e basta! (contoso è il classico nome di dominio di esempio Microsoft) Questo crea non pochi problemi durante la risoluzione dei nomi dai vari client, e quando andiamo banalmente ad aggiungere un PC al dominio "contoso", il client non riesce a contattare un Domain Controller per quel dominio. Fortunatamente il problema è di facile risoluzione! Apriamo regedit.exe dal client che dobbiamo inserire in dominio e andiamo alla seguente chiave [...]
Errore WS-Management – PowerShell Remoting
Durante l'aggiunta di un controller di dominio Windows Server 2019 ad una foresta con livello di funzionalità Windows Server 2008 R2, mi è capitato l'errore in oggetto "The WSMan provider host process did not return a proper response" "Il processo host del provider di WS-Management non ha restituito una risposta corretta" Questo può succedere quando l'attributo MaxMemoryPerShellMB non è settato a valori sufficientemente alti. Per controllare l'attuale valore, lanciare il seguente comando un una finestra PowerShell con diritti amministrativi Get-Item WSMan:\localhost\Shell\MaxMemoryPerShellMB Per risolvere il problema e proseguire con l'innalzamento di funzionalità a controller di dominio, [...]
Migrazione da FRS a DFSR – DFSRMIG.EXE
Se avete aperto questa guida, molto probabilmente siete di fronte ad una migrazione dei ruoli \ inserimento di un domain controller recente in una foresta Windows Server 2003! Siete nel posto giusto! Windows Server 2003 e 2003 R2 usa File Replication Service (FRS) per replicare le cartelle NETLOGON e SYSVOL agli altri domain controllers. Windows Server 2008 e superiori usano Distributed File System (DFS). In questa guida utilizzeremo il comando Dfsrmig.exe Nel mio caso specifico, stavo inserendo un DC secondario Windows Server 2019 in una foresta con livello di funzionalità Windows Server 2003 (anche se il DC primario era [...]
Inventario PC da Active Directory e Powershell
In questo articolo allego uno script in grado di recuperare e salvare tutti i dati hardware e software dei PC in un dominio Active Directory tramite WMI e script Powershell esportabile in Excel. Va creata una GPO per sbloccare WMI da Windows Firewall come da screenshot di seguito. Una volta propagata la GPO, possiamo eseguire sul server di dominio lo script allegato, attendiamo circa un'ora per la completa scansione dei PC (il tempo varia a seconda del quantitativo dei PC) Come possiamo vedere sulle schermate di seguito, lo script Powershell è in grado di collezionare: Nome PC Produttore [...]