Archivio Categorie: Active Directory

Abilitare il rilevamento del collegamento lento GPMC in Active Directory

Active Directory utilizza il rilevamento del collegamento lento per limitare il traffico tra reti che hanno un collegamento lento.

Quando viene rilevato un collegamento lento, il client limita le richieste inviate e l’elaborazione dei Criteri di gruppo.
I client inviano un ping al domain contoller al quale sono connessi per determinare se stanno utilizzando un collegamento lento.

Se il tempo di risposta del ping è uguale o inferiore a 10 millesecondi, il client process i Criteri di gruppo.
Se il tempo di risposta è superiore a 10 millesecondi, il client invia un ping al domain per tre vole e utilizza la media dei tempi di risposta per determinare la velocità della rete.
Di default se il client rileva che la velocità di connessione è inferiore a 500 kilobits al secondo, la connessione viene considerata lenta e il client informa il domain controller. In questo modo il domain controller effettua l’aggiornamento solo delle impostazioni di sicurezza e dei modelli amministrativi.

Per configurare il rilevamento del collegamento lento è necessario utilizzare l’impostazione Rilevamento collegamento lento Criteri di gruppo (Group Policy Slow Link Detection policy) in Configurazione computer\Modelli amministrativi\Sistema\Criteri di gruppo (Computer Configuration\Administrative Templates\System\Group Policy).
Attivando questa impostazione è possibile specificare la velocità al di sotto della quale il collegamento deve essere considerato lento.
Se l’impostazione è disattiva o non configurata viene utilizzato il valore di default di 500 kilobits.
Per disabilitare il rilevamento del collegamento lento è necessario impostare 0 come valore.

Utilizzando le impostazioni che si trovano in Configurazione computer\Modelli amministrativi\Sistema\Criteri di gruppo (Computer Configuration\Administrative Templates\System\Group Policy) è possibile impostare l’elaborazione delle varie aree dei Criteri di gruppo quando viene rilevato un collegamento lento.
Elaborazione criterio Manutenzione di Internet Explorer (Internet Explorer Maintenance Policy Processing) – Di default non vengono effettuati aggiornamenti alle impostazioni relative alla manutenzione di Internet Explorer quando viene rilevato un collegamento lento. Se è necessario che queste impostazioni siano sempre aggiornate è possibile attivare questa impostazione.

Elaborazione del criterio di installazione software (Software Installation Policy Processing) – Di default non vengono effettuati aggiornamenti alle impostazioni relative ai criteri di installazione software  quando viene rilevato un collegamento lento quindi le installazioni effettuate tramite i criteri di gruppo non sono disponibili per gli utenti connessi con un collegamento lento.
Questa impostazione è consigliabile perchè l’installazione di software su un collegamento lento può richiedere molto tempo.

Elaborazione del Criterio di reindirizzamento cartella (Folder Redirection Policy Processing) – Di default non vengono effettuati aggiornamenti alle impostazioni relative al reindirizzamento cartella quando viene rilevato un collegamento lento.
Le impostazioni relative al reindirizzamento cartella vengono applicate solo durante il logon quindi se viene rilevato un collegamento lento nella fase di logon le impostazioni non vengono applicate e le cartelle dell’utente non vengono redirette.
Questa impostazione è consigliata.

Elaborazione del criterio di Registro di sistema – Di default non vengono effettuati aggiornamenti alle impostazioni relative al criterio di Registro di sistema quando viene rilevato un collegamento lento.

Elaborazione del criterio di script (Scripts Policy Processing) – Di default non vengono effettuati aggiornamenti alle impostazioni relative agli script quando viene rilevato un collegamento lento. Queste impostazioni vengono applicate solo quando devono essere eseguiti gli script come durante il logon.

Elaborazione del criterio di protezione (Security Policy Processing) – Di default gli aggiornamenti ai criteri di protezioni vengono fatti anche se viene rilevato il collegamento lento. Queste impostazioni vengono aggiornate ogni 16 ore anche se non è stata fatta nessuna modifica.

Elaborazione del criterio di protezione IP (IP Security Policy Processing) – Di default non vengono effettuati aggiornamenti alle impostazioni relative ai criteri di protezione Ip quando viene rilevato un collegamento lento. Le impostazioni ottenute in precedenza dai client rimangono quindi valide.

Elaborazione del criterio connessione senza fili (Wireless Policy Processing) – Di default non vengono effettuati aggiornamenti alle impostazioni relative alla connesione senza fili quando viene rilevato un collegamento lento. Le impostazioni ottenute in precedenza dai client rimangono quindi valide.

Elaborazione del criterio di ripristino EFS (EFS Recovery Policy Processing) – Di default non vengono effettuati aggiornamenti alle impostazioni relative al criterio di ripristino EFS quando viene rilevato un collegamento lento. Le impostazioni ottenute in precedenza dai client rimangono quindi valide.

Elaborazione del criterio di quota disco (Disk Quota Policy Processing) – Di default non vengono effettuati aggiornamenti alle impostazioni relative al criterio di quota disco quando viene rilevato un collegamento lento. Le impostazioni ottenute in precedenza dai client rimangono quindi valide.
Quando si attivano queste impostazioni si hanno a disposizione tre opzioni per configurarle.

Consenti l’elaborazione attraverso una connessione di rete lenta (Allow Processing Across A Slow Network Connection) – Le impostazioni vengono elaborate anche se viene rilevato un collegamento lento.

Non applicare durante l’elaborazione periodica in background (Do Not Apply During Periodic Background Processing) – Le impostazioni non vengono aggiornate mentre il computer è in uso.

Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati (Process Even If The Group Policy Objects Have Not Changed) – Le impostazioni vengono aggiornate anche se non ci sono state modifiche.

Creare e Collegare una GPO a un Dominio e a un Sito

I GPO possono essere collegati in modo veloce a un dominio e a un sito in Active Directory, vediamo come risulta possibile eseguire questo tipo di operazione.

Per creare e collegare un GPO a un sito è necessario eseguire le seguenti operazioni
-Avviare GPMC.
-Espandere la foresta su cui si deve operare.
-Espandere Domains.
-Cliccare con il tasto destro Group Policy Objects e selezionare New.
-Nella finestra New GPO inserire il nome del nuovo GPO e cliccare Ok.
-Cliccare con il tasto destro il nuovo GPO nel contenitore Group Policy Objects e selezionare Edit.
-Configurare le impostazioni nell’editor Criteri di Gruppo.
-Espandere Sites in GPMC.
-Cliccare con il tasto destro il sito e selezionare Link An Existing GPO.
-Nella pagina Select GPO selezionare il gpo che deve essere collegato al sito e cliccare Ok.

Per creare e collegare un GPO a un dominio è necessario eseguire le seguenti operazioni
-Avviare GPMC.
-Espandere la foresta su cui si deve operare.
-Espandere Domains.
-Cliccare con il tasto destro Group Policy Objects e selezionare New.
-Nella finestra New GPO inserire il nome del nuovo GPO e cliccare Ok.
-Cliccare con il tasto destro il nuovo GPO nel contenitore Group Policy Objects e selezionare Edit.
-Configurare le impostazioni nell’editor Criteri di Gruppo.
-Cliccare con il tasto destro il sito e selezionare Link An Existing GPO.
-Nella pagina Select GPO selezionare il gpo che deve essere collegato al sito e cliccare Ok.

Per creare e collegare un GPO a un sito è necessario eseguire le seguenti operazioni
-Avviare GPMC.
-Espandere la foresta su cui si deve operare.
-Espandere Domains.
-Cliccare con il tasto destro Group Policy Objects e selezionare New.
-Nella finestra New GPO inserire il nome del nuovo GPO e cliccare Ok.
-Cliccare con il tasto destro il nuovo GPO nel contenitore Group Policy Objects e selezionare Edit.
-Configurare le impostazioni nell’editor Criteri di Gruppo.
-Espandere il dominio su cui si deve operare.
-Cliccare con il tasto destro la OU e selezionare Link An Existing GPO.
-Nella pagina Select GPO selezionare il gpo che deve essere collegato al sito e cliccare Ok.

Come Funzionano Trust e TDO in Active Directory

In questo articolo vediamo il funzionamento di Trust e TDO in Active Directory, come esempio prendiamo una relazione di trust monodirezionale che viene creata tra il dominio TestA, il trusting domain che quindi accetta l’autenticazione effettuata dall’altro dominio, e il TestB, il trusted domain.

Nel momento in cui viene creata la relazione di trust Windows crea un oggetto Trusted Domain Object (TDO) nell’active directory del dominio TestA per il dominio TestB.
Questo oggetto viene chiamato TestA e come tutti gli account ha una password che è quella che viene richiesta quando si crea la trust manualmente.
Quando viene creata l’altra parte della trust un’altro oggetto TDO chiamato TestA viene creato nel dominio TestB.


Utilizzando AdsiEdit è possibile vedere gli attributi dell’oggetto TDO che si trova all’interno del contenitore CN=System nella partizione Domain.
TrustAttribute – Definisce le caratteristiche della trust
1 – Trust non transitiva
2 – Trust valida solo per computer con Windows 2000 e successivi
40 0000 – Trust con un dominio padre.
80 0000 – Trust con un dominio root.
TrustDirection – Definise la direzione della trust
1 – incoming
2 – outgoing
3 – bidirezionale
TrustPartner – Specifica il nome del dominio con cui esiste la trust.
TrustType – Specifica il tipo di trust
1 – Trust con un dominio Windows NT
2 – Trust con un dominio Windows 2003
3 – MIT trust.
4 – DCE trust.

I TDO e le password sono utilizzati per creare il secure channel tra i due domini che permette di rendere sicuro il traffico relativo all’autenticazione tra i due domini.

Esportare e Importare Oggetti in Active Directory con File CSV e File Ldif Velocemente

Per esportare e importare oggetti in Active Directory è possibile utilizzare file Csv e file Ldif, vediamo più nel dettaglio come fare.

Possiamo utilizzare csvde da linea di comando per esportare un oggetto in un file csv
csvde -f output.csv -l <Lista Attributi> -p <Scope> -r “<Filtro>” -d “<BaseDN>”
-f – Specifica il file in cui salvare l’oggetto
-s – Specifica il Domain Controller su cui eseguire la query
-l – Specifica gli attributi da includere.
-p – Specifica lo scope della ricerca.
-r – Specifica il filtro.
-d – Specifica dove iniziare la query.
-v – Abilita il verbose mode.

I file LDIF sono file di testo che permettono di rappresentare una entry di Active Directory.
Possiamo utilizzare ldifde da linea di comando per esportare un oggetto in un file ldif
ldifde -f output.ldf -l <Lista Attributi> -p <Scope> -r “<Filtro>” -d “<BaseDN>”
-f – Specifica il file in cui salvare l’oggetto
-s – Specifica il Domain Controller su cui eseguire la query
-l – Specifica gli attributi da includere.
-p – Specifica lo scope della ricerca.
-r – Specifica il filtro.
-d – Specifica dove iniziare la query.
-v – Abilita il verbose mode.

Possiamo utilizzare csvde fa linea di comando per importare un oggetto da un file csv

csvde -i -f input.csv
Possiamo utilizzare ldifde fa linea di comando per importare un oggetto da un file ldif

ldifde -i -f input.ldf

Esportare e importare oggetti in Active Directory è quindi piuttosto semplice.

Controllare e Rimuovere i Permessi in Active Directory con DsRevoke

Dsrevoke è uno strumento eseguibile da linea di comando che può essere usato sui domain controller con Windows Server 2003 e Windows 2000 Server per generare un rapporto sui permessi di un determinato utente e per rimuoverli.

Questo tool quindi è particolarmente utile per rimuovere le deleghe attivate utilizzando Delega Controllo nello snapin Utenti e Computer di Active Directory.

La sintassi del comando è la seguente
dsrevoke /report|/remove [/domain:<domainname>] [/username:<username>] [/password:<password>|*] [/root:<domain/OU>] <securityprincipal>
/report – Crea un rapporto dei permessi dell’utente sull’oggetto specificato
/remove – Crea un rapporto dei permessi e li elimina
/domain: – Specifica il nome del dominio
/username: – Specifica il nome utente
/password: – Richiede la password per l’utente
/root: – Specifica l’unità organizzativa da cui iniziare la ricerca dei permessi.
<securityprincipal>: – Specifica l’utente di cui analizzare i permessi.

Per rimuovere i permessi delegati potremmo quindi eseguire il comando
dsrevoke /remove “/root:ou=outest,dc=prova,dc=local” PROVA\user1
In questo caso vengono eliminati i permessi impostati per l’utente user1 sull’unità organizzativa outest.

Lo strumento dsrevoke può essere utilizzato solo con unità organizzative o con il dominio quindi non possiamo eliminare i permessi delegati su un oggetto specifico.

Creare Utenti e Unità Organizzative in Active Directory

Gli utenti e le unità organizzative sono elementi importanti in Active Directory, vediamo come risulta essere possibile crearli.

Possiamo creare un utente in Active Directory utilizzando lo snapin Utenti e Computer di Active Directory
-Aprire lo snapin Utenti e Computer di Active Directory.
-Cliccare con il tasto destro sul contenitore in cui si vuole creare il gruppo e selezionare NuovoUtente
-Compilare i campi e cliccare Avanti.
-Inserire una password e cliccare Avanti.
-Cliccare Fine.

La stessa operazione può essere eseguita da linea di comando utilizzando dsadd
dsadd user “<DN Utente>” -upn <UserUPN> -fn “<Nome Utente>” -ln “<Cognome Utente>” -display “<UserDisplayName>” -pwd <Password>

Possiamo creare un’unità organizzativa utilizzando lo snapin Utenti e Computer di Active Directory
-Aprire lo snapin Utenti e Computer di Active Directory.
-Cliccare con il tasto destro sul contenitore in cui si vuole creare il gruppo e selezionare NuovoUnità Organizzativa
-Inserire il nome dell’unità organizzativa.

La stessa operazione può essere eseguita da linea di comando utilizzando dsadd
dsadd ou “<DN Unità Organizzativa>” -desc “<Descrizione>”

Replica Active Directory e Firewall

Nel caso vi siano dei domain controller che si trovano su reti diversi separate da firewall, è necessario che siano aperte alcune porte per permettere che la replica di active directory avvenga correttamente.

Le porte che devono esseere aperte sono

RPC endpoint mapper, 135/tcp, 135/udp

NetBIOS name service, 137/tcp, 137/udp

NetBIOS datagram service, 138/udp

NetBIOS session service, 139/tcp

RPC dynamic assignment, 1024-65535/tcp

SMB over IP (Microsoft-DS), 445/tcp, 445/udp

LDAP, 389/tcp

LDAP ping, 389/udp

LDAP over SSL, 636/tcp

Global catalog LDAP, 3268/tcp

Global catalog LDAP over SSL, 3269/tcp

Kerberos, 88/tcp-udp

DNS, 53/tcp-udp

WINS resolution, 1512/tcp, 1512/udp

WINS replication, 42/tcp, 42/udp

Se si vuole limitare le porte utilizzate da RPC in modo da diminuire i rischi legati alla sicurezza, è necessario fare delle modifiche sul registro di tutti i domain controller in modo da specificare le porte da utilizzare per la replica di active directory e per FRS.

Per specificare la porta utilizzata dalle repliche di Active Directory bisogna aggiungere nella chiave di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
il valore di tipo DWORD TCP/IP Port assegnandogli il numero della porta desiderata.

Per specificare la porta utilizzata da FRS bisogna aggiungere nella chiave di registro  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters il valore di tipo DWORD RPC TCP/IP Port Assignment assegnandogli il numero della porta desiderata.

Se invece vogliamo limitare l’intervallo di porte assegnate dinamicamente d RPC, dobbiamo aggiungere nella chiave di registro  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet il valore di tipo REG_MULTI_SZ Ports assegnandogli l’intervallo di porte.
In generale è consigliato fare partire l’intervallo sopra la porta 5000 e includere almeno venti porte.
Per cui un intervallo possibile come valore per Ports è 5000-5020

Per rendere effettive le modifiche è necessario riavviare i domain controller.

Abilitare il Logging di Netlogon e W32Time

Il file c:\windows\debug\netlogon.log può essere molto utile per risolvere i problemi relativi al logon dei client in Active Directory.
Abilitando il livello di dettagli massimo è possibile fare in modo che nel file vengano registrate informazioni come il sito di appartenenza del client, il domain controller che ha eseguito l’autenticazione e varie informazioni sugli errori Kerberos e sull’account.

Possiamo attivare il logging assegnando 0x2080ffff al valore DBFlag che si trova nella chiave di registro HKLM\System\CurrentControlSet\Services\Netlogon Parameters e riavviando il servizio netlogon.

Il logging può essere attivato anche utilizzando nltest con la seguente sintassi
nltest /dbflag:0x2080ffff

La sintassi per disabilitarlo è invece la seguente
nltest /dbflag:0x2080ffff

Un altro servizio da cui è possibile ottenere informazioni utili è W32Time, per abilitare il logging di w32Time è necessario eseguire le seguenti operazioni

Accedere alla chiave di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config e impostare il valore DWORD FileLogSize in 10000000
Accedere alla chiave di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config e impostare il valore String FileLogName con il percorso del file in cui vogliamo loggare le informazioni.
Accedere alla chiave di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config e impostare il valore String FileLogEntries  a 0-116.

Si tratta quindi di un’operazione piuttosto semplice.

Come Abilitare Dcpromo Logging e Diagnostic Logging in Active Directory

Quando viene eseguito, dcpromo crea dei file di log nella cartella c:\windows\debug.
Se si hanno dei problemi quando si esegue il comando, è possibile attivare un logging più dettagliato in modo che vengano registrate più informazioni nel file dcpromoui.log.

Per abilitare il logging dettagliato è necessario accedere alla chiave di registro HKLM\Software\Microsoft\Windows\CurrentVersion\AdminDebug\dcpromoui e creare un valore DWORD LogFlags.
Il valore che si assegna a LogFlags stabilisce la quantità di informazioni loggate. Per loggare il maggiore numero di informazioni possibili dobiamo assegnare il valore decimale 16711683.

ossiamo abilitare il diagnostic logging per cercare di individuare e risolvere i problemi di Active Directory.
Il diagnostic logging può essere abilitato per singoli componenti di Active Directory in modo da aumentare le informazioni loggate relativamente al componente che ha problemi.
I settaggi relativi al diagnostic loggin si trovano nella chiave di registro HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics.

Di default tutti i settaggi sono impostati a 0 che disabilita il diagnostic logging e possono essere modificati assegnando un valore da 1 a 5.
Con 1 si imposta un livello minimo di logging mentre con 5 si imposta il livello massimo.

I settaggi che possono essere modificati sono i seguenti
Knowledge Consistency Checker
Security Events
ExDS Interface Events
MAPI Interface Events
Replication Events
Garbage Collection
Internal Configuration
Directory Access
Internal Processing
Performance Counters
Initialization/Termination
Service Control
Name Resolution
Backup
Field Engineering
LDAP Interface Events
Setup
Global Catalog
Inter-site Messaging
Group Caching
Linked-Value Replication
DS RPC Client
DS RPC Server
DS Schema

Abilitare e Disabilitare l’Autenticazione Selettiva per un Trust in Active Directory

Quando si crea una relazione di trust di tipo esterno si ha la possibilità di scegliere tra l’autenticazione a livello di dominio e l’autenticazione selettiva.

Se si abilita l’autenticazione a livello di dominio, gli utenti del dominio esterno hanno la possibilità di autenticarsi su tutti i server del nostro dominio e inoltre ogni utente del dominio trusted fa parte del gruppo Authenicated Users del dominio trusting.

Utilizzando l’autenticazione selettiva è possibile controllare in modo più dettagliate le risorse a cui concedere l’accesso. Infatti gli utenti del dominio con cui abbiamo creato il trust possono accedere ai server solo se sull’oggetto Active Directory che rappresenta il server è stato abilitato il permesso “Autenticazione consentita” per l’utente.

Per modificare il tipo di autenticazione impostata su un trust possiamo effettuare le seguenti operazioni

-Aprire lo snapin Domini e Trust di Active Directory

Cliccare con il tasto destro sul dominio nell’area di sinistra e selezionare Proprietà

-In questo modo si apre una nuova finestra in cui possiamo vedere le relazioni di trust del dominio cliccando sulla scheda Trust.

-A questo punto possiamo selezionare il dominio su cui vogliamo operare e cliccare sul pulsante Proprietà.

-Nella scheda Autenticazione scegliamo il tipo di autenticazione che vogliamo abilitare sul trust.

Possiamo abilitare l’autenticazione selettiva utilizzando netdom con la seguente sintassi

netdom trust <DominioTrusting> /Domain:<DominioTrustato> /SelectiveAUTH:Yes [/UserO:<UtenteDominioTrusting> /PasswordO:*] [/UserD:<UtenteDominioTrustato> /PasswordD:*]

Per disabilitare l’autenticazione selettiva la sintassi da usare è invece la seguente

netdom trust <DominioTrusting> /Domain:<DominioTrustato> /SelectiveAUTH:No [/UserO:<UtenteDominioTrusting> /PasswordO:*] [/UserD:<UtenteDominioTrustato> /PasswordD:*]

1 2