Windows Server Creazione Utenti in Active Directory

Questo articolo è stato letto 12610 volte !

In questo secondo articolo dedicato al mondo Windows Server 2003, esamineremo la creazione di utenti in Active Directory con il conseguente primo approccio delle GPO (Group Policy Object).

Andiamo a vedere come:

All’interno del nostro server Windows Server 2003 premiamo il pulsante Start –> Tutti i programmi –> Strumenti di amministrazione –> Utenti e Computer di Active Directory come rappresentato nella figura sotto:

L’interfaccia Active Directory è molto intuitiva, ecco una rappresentazione dell’aspetto principale

Passiamo quindi subito ai passi da seguire per la creazione di nuovi utenti di dominio:

Clicchiamo col tasto destro del mouse su Users –> Nuovo –> Utente

Adesso inseriamo nelle textbox i campi relativi all’identificazione della persona da codificare, in questo caso inseriamo Nome, Cognome, Nome Completo (Nome e Cognome) e Nome Accesso Utente, che sarà in questo caso il nome dell’account; notare che non è obbligatorio mantenere necessariamente Nome e Cognome ma si potrà anche invertirli ad es. Cognome e Nome, oppure immettere qualsiasi cosa ad esempio parte del Nome + parte del Cognome + una sigla qualsiasi es. MarRos99. L’importante è non dimenticarsi che questo sarà il nostro account da inserire per al logon di Windows.

A questo punto ci verrà richiesto d’immettere e ripetere una password per l’utente e in questo caso metteremo pippo; successivamente spiegherò poi il perchè.
Adesso abbiamo 4 checkbox che il nostro amministratore di dominio dovrà decidere come impostare:

La prima: Cambiamento obbligatorio password all’accesso successivo
il sistema ci chiede se vogliamo che al primo logon, all’utente che digita la password gli venga chiesto di cambiarla immediatamente; è buona norma per i bravi amministratori flaggare sempre questa opzione in modo tale da comunicare all’utente la prima password per l’accesso ma mettere in condizioni esso di poterne scegliere una in assoluta autonomia, senza che il nostro amministratore la conosca.

La seconda: Cambiamento password non consentito
E’ il contrario della prima, cioè se non vogliamo che l’utente sia in grado di cambiare la password, dovremo flaggare questa opzione ma ovviamente la prima non potrà essere flaggata perchè le due cose andrebbero in conflitto l’una con l’altra

La terza: Nessuna scadenza password
Nei domini ci sono tante GPO (Group Policy Object) che sono regole e/o criteri di restrizione verso computer ed utenti di Active Directory; alcune di queste sono proprio riferite alle password degli utenti, cioè la scadenza. Per la legge della privacy, è buona norma che una password scada dopo un certo limite di tempo (in genere 90 giorni). In questo caso se vogliamo che la password non abbia scadenza possiamo flaggare questa opzione.

La quarta: Account disabilitato
il sistema ci consente la creazione di un utente ma lo imposta come disabilitato, in questo caso il logon a Windows non è consentito fino a quando l’amministratore lo abilitarà; questa opzione risulta utile in alcuni casi se vogliamo preparare un account in anticipo ma non vogliamo che esso si connetta dobbiamo flagggare questa opzione.

Infine concludiamo la nostra procedura premendo il tasto Fine, attendendo l’ok del sistema…

[color=red]ATTENZIONE ABBIAMO UN PROBLEMA ![/color]

Il sistema ci dice: [color=red]Impossibile impostare la password di Mario Rossi per il seguente problema:[/color]
La password non soddisfa i requisiti dei criteri password. Verificare la lunghezza minima della password, la complessità della password e i requisiti della cronologia della password.
Cosa vuol dire ? è semplice siamo incappati in una delle group policy di cui parlavo prima; infatti tutti i domini hanno come impostazioni di default dei criteri di sicurezza sulla password.
Possiamo risolvere ?
Certo, andiamo a vedere come:
Premiamo intanto il tasto OK per uscire dall’errore

Siamo quindi tornati alla form precedente dove ci viene chiesto di concludere l’operazione con il tasto Fine, invece noi dobbiamo annullare la creazione dell’utente perchè dobbiamo andare a sistemare la GPO.
Premiamo quindi il tasto Annulla

A questo punto premiamo su Start –> Tutti i programmi –> Strumenti di amministrazione –> Criteri di protezione del dominio

 

Dall’interfaccia che ci viene mostrata andiamo ad espandere Impostazioni di protezione –> Criteri account e clicchiamo su criterio password.
Potremo notare nella parte destra dell’interfaccia che vi sono delle regole inerenti appunto alla protezione sulle password, vediamo insieme quali:

Scartiamo subito quella che dice Archivia password mediante crittografia reversibile in quanto l’impostazione del criterio è impostata su disattivata, quindi non può essere quella ad aver generato il problema;
Guardiamo invece quella che dice Le password devono essere conformi ai requisiti di complessità dove l’impostazione del criterio è Attivato; questo è uno dei nostri problemi per i quali la nostra password pippo impostata, non è accettata dal sistema. Infatti per requisiti di complessità si intende una password composta da un numero minimo di stringhe, si veda anche la policy sottostante nel nostro caso 7, almeno un carattere alfanumerico, almeno un carattere numerico ed almeno un carattere speciale (es. !”£$%&/=?^).

Siccome vogliamo bypassare per il momento il discorso sicurezza, vediamo come procedere per disattivare tali criteri e quindi facciamo doppio clic sulla policy.

Come ci mostra l’immagine sopra il criterio è attivato pertanto dobbiamo provvedere a quanto segue sotto:

Togliamo quindi il flag relativa all’opzione Definisci le impostazioni relative al criterio, premiamo il tasto OK ed usciamo dall’interfaccia delle GPO cliccando sulla “X” della finestra (in alto a destra)

In genere le GPO vengono aggiornate sui server e sui client ogni 90 minuti, quindi per poter far si che la nostra modifica abbia effetto immediato dobbiamo forzarle in questo modo Start –> Esegui e dentro la riga di comando scriviamo: gpupdate /force

Finalmente abbiamo concluso le nostre operazioni disattivando i criteri di restrizione e quindi possiamo ripartire dalla creazione del nostro utente ripetendo i punti 1, 2, 3, e 4; vedrete che alla pressione del tasto Fine l’utente sarà creato correttamente come mostra la figura sotto:

Buona creazione Utenti ;)

Questo articolo è stato letto 12610 volte !

Condividi:

2 commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.