Parte 4 – Creazione delle condivisioni necessarie, creazione di utenti, assegnazione di cartelle di base e di profilo, introduzione dei criteri di gruppo
Iniziamo la parte 4 con la preparazione per la creazione degli utenti, cioè creiamo le condivisioni per i profili e per l’unità home degli utenti. In questo caso ho scelto le condivisioni nascoste, che non sono visibili in seguito nell’ambiente di rete o con “net view” nella console. Le condivisioni nascoste hanno un segno $ alla fine del nome della condivisione.
Creare due directory su un’unità del server, una con il nome Profilo e una con il nome Utente.
Per condividere queste directory, aprire l’amministrazione del computer tramite “Start” => “Amministrazione” e navigare nell’albero di sinistra fino a “Cartelle condivise” => “Condivisioni”. Fare clic con il tasto destro del mouse su “Condivisioni” per aprire il menu contestuale.
 |
|
Nuova condivisione |
Ora inserite i dati richiesti.
 |
|
Nuovo rilascio |
Quindi impostiamo le autorizzazioni per questa condivisione.
 |
|
Permessi per la condivisione |
Aggiungete “Utente di dominio” e “Amministratore di dominio” e date a entrambi i gruppi l’accesso completo. Solo a questo punto rimuovere “TUTTI” dalle autorizzazioni della condivisione e fare clic su OK.
 |
|
Autorizzazione per la condivisione |
Ripetete l’operazione con la directory “Utente” e impostate le autorizzazioni esattamente come per la directory del profilo.
Ora possiamo creare il primo utente in Active Directory. A tale scopo, avviate lo snap-in “Utenti e computer di Active Directory” tramite “Start” => “Amministrazione” e spostatevi su “Utenti” nella struttura di sinistra. Fare clic con il tasto destro del mouse sulla voce “Utenti” e selezionare “Nuovo” => “Utente” dal menu contestuale.
 |
|
Creare un nuovo utente |
La creazione di un utente si spiega quasi da sola. Naturalmente, si cambia “TestUser” con un nome utente utilizzabile.
 |
|
Nuovo account |
Ora assegnate una password, che deve essere lunga almeno 7 caratteri e contenere una lettera maiuscola e/o un numero. Le parti di nome non sono ammesse, in base alla politica di complessità delle password di Windows Server 2003.
 |
|
Assegnazione della password |
Una volta creato, l’utente appare nel contenitore “Utenti” sul lato destro. Facendo doppio clic sull’utente, si apre la finestra di dialogo delle proprietà, dove è possibile passare alla scheda “Profilo” ed effettuare le seguenti impostazioni.
 |
|
Specificare il percorso del profilo e la cartella di base |
La variabile %USERNAME% è sostituita dal nome effettivo dell’utente, che si può verificare richiamando le proprietà dell’utente.
Fare clic su OK per salvare queste impostazioni e completare la configurazione del primo utente: Il percorso del profilo consente di accedere a qualsiasi computer della rete, poiché l’utente ha ora un profilo salvato sul server. Anche la cartella di base è disponibile da qualsiasi computer della rete. Nella fase successiva, la cartella “Documenti”, ad esempio, viene reindirizzata a questo percorso tramite i criteri di gruppo (poiché è memorizzata nel percorso del profilo per impostazione predefinita e l’accesso/spegnimento può quindi richiedere molto tempo).
Inoltre, definiremo i permessi degli utenti sui client tramite i criteri di gruppo, cioè tramite i criteri di gruppo definiremo se e quale utente ottiene i diritti di amministratore su quale client, ecc.
La Group Policy Management Console, o GPMC, è il modo migliore per modificare i criteri di gruppo. È disponibile per il download da Microsoft, ma attenzione, è disponibile in diverse lingue e versioni. La versione di cui abbiamo bisogno attualmente è GPMC 1.01 SP1 tedesco.
Installatelo direttamente sul server. Come amministrare il dominio da un client sarà l’argomento di uno dei prossimi articoli.
 |
|
Console di gestione dei criteri di gruppo |
Dopo l’installazione, la GPMC si trova in Start => Amministrazione => Gestione criteri di gruppo.
 |
|
Console di gestione dei criteri di gruppo |
Non utilizzate i “Criteri di dominio predefiniti” e i “Criteri dei controller di dominio predefiniti”: impostazioni errate possono paralizzare l’intero dominio. Solo la complessità delle password deve e può essere controllata esclusivamente tramite il “Criterio di dominio predefinito”, mentre per tutto il resto creiamo i nostri oggetti Criteri di gruppo (GPO).
Per creare un nuovo criterio, fate clic con il tasto destro del mouse sul contenitore “Oggetti Criteri di Gruppo” => “Nuovo”. Nominare il nuovo GPO in base alla sua funzione:
 |
|
Nuovo GPO |
Per modificare la GPO nell’elenco a destra, fare clic con il tasto destro del mouse sull’oggetto “Reindirizzamento cartelle” e selezionare “Modifica”.
 |
|
Modifica GPO |
Come si può vedere, i criteri di gruppo sono suddivisi in configurazione del computer e configurazione dell’utente, cioè i criteri impostati in configurazione del computer hanno effetto su tutti i computer per i quali è valido questo GPO, indipendentemente dall’utente connesso.
 |
|
Modifica GPO |
I criteri impostati in Configurazione utente hanno effetto su ogni computer a cui un determinato utente accede, e solo per quell’utente.
Qui vogliamo configurare il reindirizzamento delle cartelle, che è un’impostazione dell’utente:
 |
|
Modifica GPO |
Facendo clic con il tasto destro del mouse su “Documenti” => “Proprietà” si apre la finestra di dialogo delle opzioni, che si imposta come segue:
 |
|
Modifica GPO |
Nella scheda “Impostazioni”, effettuare le seguenti impostazioni e confermare con OK.
 |
|
Modifica GPO |
Chiudere ora l’Editor oggetti Criteri di gruppo e tornare a GPMC. Ora dobbiamo collegare la nuova GPO e definire per chi deve essere valida.
Nel contenitore “Oggetti Criteri di gruppo”, selezionare la voce “Reindirizzamento cartelle” e quindi fare clic sulla scheda “Delega” nella finestra di destra.
 |
|
Delega GPO |
Ora fate clic su “Avanzate” nell’angolo in basso a destra. Assicuratevi che in “Utenti autenticati” il segno di spunta per “Applica criteri di gruppo” sia impostato su “Consenti”.
 |
|
Applica GPO |
Per gli amministratori di dominio, invece, il segno di spunta non deve essere impostato.
 |
|
Non rilevare GPO per gli amministratori di dominio |
Ora la GPO è impostata, ma non ancora collegata, cioè non ancora attiva. Per collegarla, prendete la GPO “Reindirizzamento cartelle” e trascinatela sulla voce “miodominio.local” o sulla voce corrispondente al vostro nome di dominio tenendo premuto il tasto sinistro del mouse.
 |
|
Collegamento GPO |
Prima di effettuare il primo accesso con l’utente appena creato da un client, è necessario creare una (o più) condivisione di dati sul server, che verrà poi resa disponibile dal client tramite “Connetti unità di rete” o tramite lo script di accesso.
Per fare ciò, creiamo una nuova cartella sul server (che poi condivideremo) e la chiamiamo ad esempio Dati, quindi avviamo l’amministrazione del computer e navighiamo nell’albero di sinistra fino a “Cartelle condivise” => “Condivisioni”. La creazione di una nuova condivisione per la cartella “Dati” avviene nello stesso modo in cui si condividono le cartelle del profilo e della base, con l’unica differenza che il nome della condivisione ora NON ha il segno $ aggiunto.
 |
|
Creare una nuova cartella |
Le autorizzazioni di condivisione si impostano esattamente come per le cartelle del profilo e di base.
Ora è il momento di accedere al dominio per la prima volta dal client con l’utente appena creato. Dopo l’accesso, le cartelle sul server hanno il seguente aspetto:
 |
|
Cartella del profilo |
 |
|
Cartella utente |
 |
|
File propri |
Inoltre, sul client verrà visualizzata un’unità U: in Risorse del computer/Esplora risorse, direttamente collegata al server: si tratta della cartella di base inserita nelle proprietà dell’utente al momento della sua creazione.
A questo punto sarà opportuno ripetere i passaggi illustrati e creare prima tutti gli utenti necessari per la rete e le necessarie condivisioni di dati sul server. Inoltre, dovrete pensare a quale utente ottiene le autorizzazioni su quale computer e a quali unità di rete devono essere collegate per ogni utente: tutti punti che vengono impostati tramite i Criteri di gruppo nella Parte 5.
Fino ad allora, vi consigliamo di leggere il progetto web di Mark Heitbrink www.gruppenrichtlinien.de, almeno per coloro che in futuro vorranno regolamentare maggiormente le GPO.