Parte 5 – Creazione e collegamento di uno script di accesso, impostazione dei permessi locali, prenotazioni DHCP per i client, creazione e collegamento di uno script di accesso
Questa parte inizia con la creazione di un semplice script di login che collega la lettera di unità S: alla condivisione DATA sul server quando un utente si collega.
A tale scopo, apriamo Explorer sul server, navighiamo nella cartella NETLOGON e creiamo un nuovo file di testo chiamato login.bat.
 |
|
Nuovo file di login |
Assicuratevi di aver deselezionato “Nascondi le estensioni per i tipi di file conosciuti” in Opzioni cartella, altrimenti il vostro script si chiamerà login.bat.txt e non funzionerà.
Lo script è molto semplice:
 |
|
Contenuto dello script |
Dopo aver salvato lo script, è necessario assegnarlo agli utenti. Esistono due modi per farlo: il modo “classico”, che dovrebbe essere familiare a chi ha lavorato con NT, consiste nell’inserire lo script per ogni utente individualmente nelle proprietà dell’account. Questo può essere fatto utilizzando lo snap-in “Utenti e computer di Active Directory” => doppio clic sull’account utente => scheda “Profilo”.
 |
|
Assegnare lo script nel profilo |
Con una manciata di utenti questo non è certo un problema, ma può essere fatto in modo più intelligente integrando lo script di login tramite i criteri di gruppo. Per farlo, avviamo GPMC e creiamo una nuova GPO con il nome Login Script.
 |
|
Assegnazione dello script tramite criteri di gruppo |
Facciamo clic con il tasto destro del mouse su questa nuova GPO, selezioniamo “Modifica” e passiamo a Configurazione utente => Impostazioni di Windows => Script (Logon/Logoff).
 |
|
Assegnazione dello script tramite criteri di gruppo |
Fare doppio clic su “Logon” per aprire la finestra di dialogo “Logon Properties”.
 |
|
Assegnazione dello script tramite criteri di gruppo |
A questo punto facciamo clic su “Aggiungi”, quindi su “Sfoglia” e navighiamo fino alla cartella NETLOGON (è preferibile farlo tramite Vicinanza di rete => Intera rete => Rete Microsoft Windows => Miodominio => Testserver => NETLOGON o inserendo direttamente \TestserverNETLOGON).
 |
|
Assegnare lo script tramite i criteri di gruppo |
Ora confermiamo tutte le finestre di dialogo con OK e voilà, il file login.bat è stato incluso. Chiudiamo ora l’editor dei criteri di gruppo e colleghiamo la nuova GPO al nostro dominio tramite drag & drop (come descritto nella parte 4 per il reindirizzamento della cartella GPO).
 |
|
Trascinamento sul dominio locale |
Suggerimenti:
Non utilizzare mai entrambi i metodi contemporaneamente, perché ciò comporterebbe inevitabilmente dei problemi. Per semplificare la distribuzione agli utenti, ora utilizzo solo la variante tramite i criteri di gruppo.
Lo script di login è molto semplice, ma naturalmente si può fare molto di più con gli script di login. Basta dare un’occhiata alla raccolta di script dell’archivio software di WinTotal.
Indice dei contenuti
Impostazione dei permessi locali
Passiamo ora all’impostazione dei permessi locali:
Per impostazione predefinita, gli utenti del dominio sono elencati nel gruppo (locale) Utenti sui client a cui si collegano, cioè non possono fare nulla all’inizio, tranne lavorare con le applicazioni fornite dall’amministratore.
Tuttavia, può avere senso che l’amministratore stesso voglia avere i diritti di amministratore locale su ogni computer della rete SENZA accedere come amministratore di dominio, semplicemente con il suo “normale” login utente.
Anche in questo caso, esistono due modi per ottenere questo risultato: uno “manuale” tramite l’amministrazione del computer e uno tramite i criteri di gruppo. Poiché la via dei criteri di gruppo non è più del tutto banale e una configurazione errata o un’adozione incompleta delle GPO da parte dei client può portare a non funzionare affatto, non spiegherò questa via in modo più dettagliato.
Per una manciata di computer, la via dell’amministrazione del computer è molto utile, soprattutto perché si può fare di più che impostare le autorizzazioni.
Per amministrare gli altri computer direttamente tramite la rete, è necessario che siano accesi; un utente, invece, non deve essere connesso.
Avviamo l’amministrazione del computer sul server (Start => Amministrazione => Amministrazione computer), facciamo clic con il tasto destro del mouse sulla voce superiore “Amministrazione computer (locale)” e selezioniamo “Connetti a un altro computer”. A questo punto si inserisce il nome del computer da amministrare.
 |
|
Amministrazione computer, altro computer |
Dopo aver fatto clic su OK, dopo poco tempo appare la console di amministrazione del computer remoto.
 |
|
Amministrazione computer, altro computer |
Qui si naviga in Sistema => Utenti e gruppi locali => Gruppi e si fa doppio clic sul gruppo Administrators.
 |
|
Gruppo Amministratori |
Ora aggiungiamo l’utente desiderato al gruppo locale Administrators.
 |
|
Gruppo Administrators, aggiungere |
Dopo aver confermato con OK, questo utente ha ora i diritti di amministratore sul computer a partire dal prossimo accesso a questo client.
Tenete presente che non è sempre necessario disporre dei diritti di amministratore se, ad esempio, un’applicazione non funziona con un normale account utente: l’aggiunta dell’utente al gruppo “utente principale” può essere sufficiente a risolvere il problema.
Prenotazioni DHCP per i client
Passiamo ora all’ultima sezione di questa parte, le prenotazioni DHCP. Che cos’è una prenotazione DHCP e qual è il suo scopo?
Come spiegato nella parte 3, i client della nostra rete ricevono automaticamente i loro indirizzi IP dal server o dal suo server DHCP. Se un lease è scaduto, il client richiede un nuovo lease e quindi riceve di nuovo lo stesso indirizzo IP o un altro dall’intervallo definito. In breve: il client può essere raggiunto oggi con un indirizzo IP diverso da quello di ieri.
La funzionalità effettiva della rete non ne risente, ma chi ha impostato sul proprio router il port forwarding per determinati servizi, ad esempio, probabilmente non gradisce questa circostanza di cambio di indirizzi IP.
È proprio qui che entrano in gioco le prenotazioni DHCP:
Con il loro aiuto, il client riceve ancora il suo indirizzo IP tramite DHCP, ma sempre lo stesso, poiché il server riconosce il client tramite l’indirizzo MAC della sua scheda di rete e gli riserva l’indirizzo IP definito, cioè lo assegna solo a questo client.
Per impostare le prenotazioni, apriamo la console corrispondente sul server tramite Start => Amministrazione => DHCP e passiamo a “Addressleases”.
 |
|
DHCP |
Qui vediamo che il computer “Testpc” ha ricevuto l’indirizzo IP 192.168.1.110 dal pool di indirizzi che abbiamo definito e può quindi essere raggiunto in rete. Ora però vogliamo assegnare a questo computer l’indirizzo IP 192.168.1.80 e dobbiamo creare una prenotazione. Gli indirizzi IP utilizzati per le prenotazioni NON devono provenire dal pool di indirizzi!
Determinare l’indirizzo MAC di questo computer è abbastanza semplice: apriamo una riga di comando sul server e facciamo un ping del computer.
 |
|
Ping all’IP |
Dopo il ping, eseguiamo un arp -a nella stessa riga di comando; la parte dall’aspetto un po’ criptico sotto “Phys. Address” è l’indirizzo MAC.
 |
|
Indirizzo MAC tramite arp -a |
Copiamo questo indirizzo MAC negli appunti (contrassegnandolo tenendo premuto il tasto sinistro del mouse e premendo Invio) e passiamo alla console DHCP. Qui facciamo clic con il tasto destro del mouse su “Prenotazioni” e selezioniamo “Nuova prenotazione”.
Riempiamo la finestra di dialogo “Nuova prenotazione” con i dati richiesti, inseriamo l’indirizzo MAC nel campo Indirizzo MAC usando [CTRL]+[V] e selezioniamo “Solo DHCP” per “Tipi supportati”.
 |
|
Prenotazione tramite indirizzo MAC |
Dopo aver fatto clic su OK, l’aspetto dovrebbe essere il seguente:
 |
|
Prenotazione tramite indirizzo MAC |
D’ora in poi al nostro client “TestPC” verrà sempre assegnato l’indirizzo IP 192.168.1.80 e sarà quindi sempre raggiungibile con questo indirizzo IP. Tuttavia, il client utilizza ancora l’indirizzo IP assegnato dal pool di indirizzi.
 |
|
Viene ancora utilizzato un indirizzo del pool di indirizzi |
Questo cambia al più tardi dopo un riavvio, ma può essere ottenuto anche sul client con ipconfig /release o /renew dalla console.
 |
|
Rilascio dell’IP |
 |
|
Nuova IP |
Nella console DHCP si presenta così.
 |
|
Impostazione corretta |
È necessario ripetere questa procedura per ogni client della rete che deve ricevere lo stesso indirizzo IP tramite DHCP. Per conoscere gli indirizzi MAC di più computer contemporaneamente, è possibile utilizzare il piccolo script GetMac.
La parte 6 tratterà esclusivamente l’argomento dei Servizi di aggiornamento software (SUS), ovvero la possibilità di fornire automaticamente a tutti i computer della rete (da Win2000 in su) gli aggiornamenti più importanti, in modo che il download da Internet avvenga una sola volta sul server e i client scarichino poi gli aggiornamenti localmente dal server.