Windows 2000 Server
I suggerimenti sono stati presi da riviste di informatica, da newsletters o da siti web
perciò ogni diritto rimane al legittimo proprietario.


SOMMARIO

Prima di inziare...

Configurazione di un Server con Windows 2000 e la creazione di un dominio (vedi anche...)

Trasferimento di un PDC (Primary Domain Controller)

Come da migrare da Windows 2000 a Windows 2003 AD

To move the global catalog functions from one domain controller to another:

Join ad un dominio pre-esistente

Comandi (da riga di comando): creazione di utenti, creazione di gruppi, creazione di utente di dominio

Remote Control add-on for AD User & Computer

Programma SPSS - Statistica

Programma WinZip

Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio

Come Spostare un'installazione di Windows su un computer con una configurazione hardware diversa

Comprendere i profili utente - Understanding User Profiles

Creazione e copia di profili utente comuni in Windows XP e Creazione di un modello di profilo utente

How to Create and Copy Roaming User Profiles in Windows

Eliminare il "roaming profile"

Come impostare i profili in roaming su win 2003 SBS

Auditing - Processo di registrazione dei logs

Condivisione profili

Servizi disattivabili in Windows 2000 Server

Assegnare un profilo utente bloccato (http://support.microsoft.com/default.aspx?scid=kb;it;323368)  anche Vedi

Creare un profilo utente comune (http://support.microsoft.com/kb/302082/IT/)  anche Vedi

Creare un profilo utente predefinito personalizzato (http://support.microsoft.com/kb/305709/IT/)  anche Vedi

Ripristinare un profilo utente in Windows 2000 (http://support.microsoft.com/kb/314045/IT/)

Microsoft SUS - Software Update Services

Generare password casuale con 'net user'

Configurare un DHCP Server (vedi anche...)

Promozione e retrocessione del controller di dominio in server membro in Windows 2000

How to Rename a Windows 2000 Domain Controller

How to Rename a Windows 2000 Domain Controller

Utilizzare i Criteri di gruppo per installare da remoto applicazioni in Windows 2000

Utilizzo del comando DCPROMO /FORCEREMOVAL per imporre l'abbassamento di livello dei controller di dominio di Active Directory

I Profili utente in Windows NT4 e 2000/XP anche Qui nuovi Tutorial in Word

Profili e Home directory in win2000/2003 Server

Controllare l'accesso degli utenti autorizzati

Creare o spostare un catalogo globale in Windows 2000

Rinominare un controller di dominio Windows 2003

Automatic NT Domain Logon

Cancellare i profili salvati localmente all'uscita dell'utente per macchine che fanno parte di un dominio NT

Sicurezza di un server Windows NT/2000.

DNS: che cos'è e come si integra con Windows2000

Configurazione dominio e utenti win2k3

Disattivare Desktop remoto utilizzando Criteri di gruppo

Come tenere la traccia di logon/logoff utenti

Creare un account utente locale

Creare un profilo utente preconfigurato

Installazione remota con Windows Server 2003  (Server RIS)

Policies di registrazione (Monitorare i tentativi di accesso al computer e modificare le sue impostazioni)

Log accessi alle cartelle e file del dominio Windows (Auditing e GPO)

 


 

 


 




 

 

 

 

 

 

 

 


Prima di iniziare...
Quando formattiamo per la prima volta una macchina su cui va installato Windows 2000 Server è consigliabile fare...
- Una prima partizione primaria NON inferiore ai 4 Gb
- Creare SUCCESSIVAMENTE le altri partizioni, primarie e/o estese.
- Eventuali 8 Mb di spazio che possono avanzare, sono di spazio non partizionato (disco dinamico)
Password: MAI omettere le password. Usare password seguendo il criterio della legge.
Dopo l'installazione di Windows, seguendo l'installazione tipica (senza alcuna modifica), i passi seguenti da effettuare sono:
- Installazione dei drivers (possibilmente certificati Microsoft - si può vedere la lista sempre aggiornata HCL)
- Effettuare il Windows Update (magari installare prima il Service Pack più recente - il 4 - e poi effettuare il Windows Update)
- Installare Protezione (Antivirus, Firewall ecc.)
Altre operazioni che si possono fare in seguito sono:
- Installazione della Recovery Console (utile nel caso in cui il sistema operativo non partisse) con il seguente comando
    d:\i386\winnt32.exe /cmdcons (dove d: è l'unità cdrom)
- Installazione del Support Tools (dal cd di installazione di Windows) e il Resource kit (scaricabile da internet)
    Per installare il support Tools, d:\support\tools\setup.exe (dal cd di installazione di Windows e fare l'installazione "typical")
IMPORTANTE:
Finita l'installazione della parte di cui sopra, effettuare l'"ANALISI DI SICUREZZA" con MBSA (tool scaricabile da insternet gratuitamente) Questo software effettua il controllo della sicurezza del sistema.


Configurazione di Windows 2000 Server: (vedi anche...)
Creare un dominio del tipo: PIPPO.PRIV
Nome della macchina: SERVER
Indirizzo IP Statico: 172.28.xx.250
Subnet Mask: 255.255.255.0
Gateway: 172.28.xx.254 (router)

DNS  I: 172.28.xx.250 (sè stesso)
DNS II: Indirizzo di un DNS Standard - Se ne possono aggiungere altri in AVANZATE > DNS
WINS: 172.28.xx.250 (sè stesso)

Perciò i clients saranno:
Dominio: PIPPO.PRIV
Nome della macchina: PC1 (ecc.)
Indirizzo IP Statico: 172.28.xx.1 (ecc.) della stessa rete del server
Subnet Mask: 255.255.255.0
Gateway: 172.28.xx.254 (router)

DNS  I: 172.28.xx.250 (server)
DNS II: Indirizzo di un DNS Standard - Se ne possono aggiungere altri in AVANZATE > DNS
WINS: 172.28.xx.250 (server)


SOLO WINDOWS 2000 SERVER
Tutti i criteri di gruppo di un dominio (Vedi anche)

Durante l'installazione di Windows 2000 Server installare i servizi che servono effettivamente. Evitare ridondanze di programmi inutili, tipo il servizio SMTP (posta elettronica) e NNTP (news) se effettivamente non ce n'è bisogno.

Dal menù Strumenti di Amministrazione, selezionare DNS
Selezionare il Dominio (PIPPO.PRIV) > Zona di Ricerca Diretta
Se esiste Zona . (punto) cancellarlo e riavviare la macchina (Se tolto, facciamo in maniera tale che la risoluzione degli indirizzi DNS venga cercata all'esterno della rete)
Dopodichè selezionare il nome del dominio (PIPPO.PRIV), tasto destro, Proprietà, Server d'Inoltro, Attivare la voce e inserire l'indirizzo del DNS Server 160.78.xx.10 (CAIO)

A questo punto, bisogna utilizzare il "programma" DCPROMO a riga di comando (Start > Esegui)
Utile il seguente link: http://www.networkingitalia.it/windows/dominiowin2000.asp

Crea nuovo Dominio (per crearlo)
Figlio (Eredita tutto da un DC - Domain Controller - preesistente)

Nel caso esista già un DC, il nuovo pc deve avere come DNS l'indirizzo del DC preesistente, e nelle opzioni del DCPromo, bisogna segnare che la seconda voce, ossia "acquisisci le impostazioni da un DC già esistente"

Ovviamente selezioniamo "Crea nuovo Dominio"
Creare la nuova struttura (PIPPO.PRIV)
Lasciare i percorsi di NTDS (Active Directory Data Base) e SYSVOL (Net Logon) invariati, o comunque su PARTIZIONI NTFS NATIVE!
Installa DNS (se per caso non l'avessimo già fatto durante l'installazione del Sistema Operativo)
Compatibilità con versioni precedenti a Win2k (se vogliamo mantenere una certa compatibilità)
P.S. Ricordarsi di segnare la password (non quella di Administrator); servirà per fare il restore dell'Active Directory

Bisogna creare una zona di Reverse, nella scheda DNS (da strumenti di amministrazione)
Strumenti di Amministrazione - DNS - Zona di ricerca Inversa.
Creare una nuova Zona - Integrata in Active Directory - ID della Rete (prima parte dell'indirizzo IP 172.28.55) - avanti - fine
Questo serve per il buon funzionamento della rete.
Non toccare la Zona di Ricerca Diretta
Se esiste Zona . (punto) cancellarlo e riavviare la macchina (Se tolto, facciamo in maniera tale che la risoluzione degli indirizzi DNS venga cercata all'esterno della rete)
Dopodichè selezionare il nome del dominio (PIPPO.PRIV), tasto destro, Proprietà, Server d'Inoltro, Attivare la voce e inserire l'indirizzo del DNS Server 160.78.xx.10 

Possiamo utilizzare anche, da Strumenti di Amministrazione, CONFIGURA SERVER (wizard) per la configurazione di buona parte del Sistema stesso.

Lanciare l'ACTIVE DIRECTORY (che dovrebbe aver già applicato le regole di Dominio su PIPPO.PRIV)
Tasto destro > Nuovo > Unità Organizzativa > dare un nome (Es. PROVA)
Tasto destro sulla nuova Unità Organizzativa appena creata (PROVA) > Proprietà
Andare sulla cartelletta CRITERI DI GRUPPO e crearne uno nuovo.
Creato il nuovo CRITERIO DI GRUPPO selezionare MODIFICA
Si presenterà una nuova finestra con, sulla sinistra, due o più voci (Configurazione Computer, Configurazione Utente).
Noi agiremo SOLTANTO a livello di UTENTE!

Policy sotto dominio Active Directory Windows 2000 Server (Vedi anche)
Policy sotto dominio Active Directory Windows 2003 Server

Iniziamo da Configurazione Utente (è consigliabile fare 1 o 2 modifiche alla volta e testarle subito):
> Impostazioni di Windows
    > Manutenzione di Internet Explorer
        > Interfaccia Utente browser
            > Titolo del browser
                > Personalizza barra del titolo (con un nome) - è consigliata questa modifica per provare subito l'efficacia dell'Active Directory
                > Logo di personalizzazione (al posto della normale E di Explorer in alto sulla destra)
    > Connessione
        > Configurazione automatica del browser
            Rileva automaticamente le impostazioni
            Consenti configurazione automatica
                (Inserire l'indirizzo di un eventuale proxy.pac - file contenente informazioni per la macchina per redirizionare le richieste al proxy)
        > Impostazione proxy
            Attiva: (inserire l'indirizzo della macchina proxy)
            (attivare l'opzione) Non utilizzare il server proxy per indirizzi locali  (intranet) ed inserire:
                        .unipr.it
    > URL
        > Preferiti e Collegamenti
            (attivare l'opzione) Elimina Preferiti o Collegamenti esistenti (per cancellare tutti gli indirizzi che vengono inseriti manualmente dall'utente finale.
            Aggiungere, infine, gli indirizzi che si vogliono, nella categoria PREFERITI
        > URL Importanti
            URL Pagina Iniziale  > Personalizza con il sito che si preferisce

> SCRIPT (Accesso/Fine Sessione)
    Sono files con estensione *.cmd o *.bat  che Windows deve eseguire al logon e al logoff
ESEMPI SEMPRE UTILI:
ConnettiDisco.cmd (o bat) - senza righe, ovviamente
______________________________________
@echo off
net use <unità> \\<nome del server>\<directory>
______________________________________

Il file appena creato è utile se vogliamo creare sulla  macchina client un' unità di rete situata fisicamente sul server e dove si possono depositare i documenti che si vogliono condividere con altri utenti.

Nella scheda dell'utente è  possibile assegnare una cartella privata per ogni utente. Andiamo dove si trova Home Directory, e nel percorso, mappato Z (ad esempio), inseriamo \\server\home\%username%. Questo creerà automaticamente sul server una cartella con lo stesso nome dell'utente.

EliminaTemp.cmd - senza righe, ovviamente
_________________________________________________________________
del "%userprofile%\impostazioni locali\temp\*.*"  /q
rmdir "%userprofile%"\impostazioni locali\temporary internet files\content.ie5" /s /q
attrib -s "%userprofile%\impostazioni locali\temporary internet files"
del "%userprofile%\impostazioni locali\temporary internet files\*.*" /s /q
_________________________________________________________________

Disable Roaming Profiles and Cache
Start/Run/gpedit.msc
Local Computer Policy/Computer Configuration/Administrative Templates/System/User Profiles/Only Allow Local User Profiles.
If you enable both the "Prevent Roaming Profile changes from propagating to the server" setting and the "Only allow local user profiles" setting, roaming profiles are disabled.
Delete Cached Copies of Roaming Profiles
If this setting is enabled, when users with roaming profiles log off, the system will delete the cached copy of their roaming profile. This will help to save disk space where that are lots of roaming users.
Start/Run/Regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows\System
Create a new DWORD value, or modify the existing value, called 'DeleteRoamingCache' and edit the value according to the settings above.
Value Name: DeleteRoamingCache
Data Type: REG_DWORD (DWORD Value)
Value Data: (0 = disabled, 1 = enabled)
Exit your registry, you may need to restart or log out of Windows for the change to take effect.

How can I delete cached copies of roaming profiles in Windows 2000 and later?
When you use a roaming profile in Win2K or later, the OS typically caches a local copy of the profile. However, you can disable this caching by performing the following steps:
1. Open the Microsoft Management Console (MMC) Active Directory Users and Computers snap-in, right-click the container that holds the group policy that you want to use to apply the change, select Properties, select the Group Policy tab, then click Edit.
2. Navigate to Computer Configuration, Administrative Templates, System, Logon for Windows 2000 or Computer Configuration, Administrative Templates, System, then click User Profiles for Windows 2003.
3. Double-click "Delete cached copies of roaming profiles."
4. Select Enabled, then click OK.
5. Close the policy editor.
Don't use this policy if you enable slow-link detection for Windows XP and Win2K clients because this feature relies on cached profiles when a slow link is detected. You can also disable cached copies of roaming profiles directly in the registry by creating a registry value named DeleteRoamingCache of type REG_DWORD and setting it to 1 under the HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System registry subkey.

Possibile eliminazione dei profili utente in seguito al riavvio di un computer che esegue Windows Vista o Windows Server 2008
In questo articolo viene descritta una situazione in cui i profili utente potrebbero venire eliminati dopo il riavvio di un computer su cui è in esecuzione Windows Vista o Windows Server 2008. Questo comportamento si verifica a causa dell'impostazione di un oggetto Criteri di gruppo disponibile solo in Windows Vista.
L'oggetto Criteri di gruppo "Elimina i profili utente non utilizzati per il numero di giorni specificato al riavvio del sistema" è nuovo in Windows Vista. Quando si configura l'impostazione di questo oggetto Criteri di gruppo, quindi si riavvia il computer, è possibile che i profili utente vengano eliminati.
Per visualizzare l'impostazione dell'oggetto Criteri di gruppo "Elimina i profili utente non utilizzati per il numero di giorni specificato al riavvio del sistema" in Windows Vista utilizzando l'Editor Criteri di gruppo locali, attenersi alla seguente procedura:
1. Fare clic sul pulsante Start, digitare gpedit.msc nella casella Inizia ricerca, quindi fare clic su gpedit nell'elenco Programmi.
Se viene chiesto di immettere la password di amministratore o di confermare, digitare la password o scegliere Continua.
2. In Configurazione computer espandere Modelli amministrativi, espandere Sistema, quindi fare clic su Profili utente.
3. Nel riquadro dei dettagli fare doppio clic su Elimina i profili utente non utilizzati per il numero di giorni specificato al riavvio del sistema.
Nota È inoltre possibile attivare questo oggetto Criteri di gruppo in un contenitore di dominio o in un'unità organizzativa utilizzando Servizi di dominio Active Directory.
Dopo avere attivato questo oggetto Criteri di gruppo, verrà attivato il servizio Profili utente. Quando si riavvia il computer e si accede utilizzando un account utente membro del gruppo Administrators, il servizio Profili utente elimina i profili utente che non sono stati utilizzati entro un numero di giorni specificato.
Nota Un giorno viene interpretato come 24 ore dopo l'accesso effettuato più di recente a un profilo utente specifico.
Se si disattiva questo oggetto Criteri di gruppo e se non si configura la relativa impostazione, quando si riavvia il computer il servizio Profili utente non eliminerà alcun profilo utente.

How can I delete cached copies of roaming profiles in Windows 2000 and later?
A. When you use a roaming profile in Win2K or later, the OS typically caches a local copy of the profile. However, you can disable this caching by performing the following steps:
1. Open the Microsoft Management Console (MMC) Active Directory Users and Computers snap-in, right-click the container that holds the group policy that you want to use to apply the change, select Properties, select the Group Policy tab, then click Edit.
2. Navigate to Computer Configuration, Administrative Templates, System, Logon for Windows 2000 or Computer Configuration, Administrative Templates, System, then click User Profiles for Windows 2003.
3. Double-click "Delete cached copies of roaming profiles."
4. Select Enabled, then click OK.
5. Close the policy editor.

Il file appena creato svuota dai files temporanei di internet e dai files temporanei in genere il sistema, lasciando la macchina + o - svuotata da files inutili

> Reindirizzamento delle cartelle
    Dati applicazioni
    Desktop
    Documenti
    Menu Avvio

    E' consigliabile mettere la cartella Documenti nell'unità del Server o della macchina che utilizziamo per questo (vedi lo script ConnettiDisco)

I menù che seguono hanno le 3 seguenti possibilità: Non Configurato, Attiva (e quindi la si può personalizzare), Disattiva (se vogliamo che sia visibile all'utente finale, ma che venga disattivata grigettando la voce)

>Modelli Amministrativi
    > NetMeeting
    > Internet Explorer
        - Impedisce la modifica delle impostazioni della Scheda (ATTIVA)
        - Impedisce la modifica delle impostazioni relative alla pagina iniziale (ATTIVA)
        - Impedisci la modifica delle impostazioni dei files temporanei internet
        - Impedisci la modifica delle impostazioni cronologia
        - Disattiva Connessione Guidata ad Internet (ATTIVA)
        - Impedisci la modifica delle impostazioni di connessione (ATTIVA)
        - Impedisci la modifica delle impostazioni del server (è possibile eliminare direttamente le schede da pannello di controllo)
        - Impedisci la modifica delle impostazioni delle restrizioni (è possibile eliminare direttamente le schede da pannello di controllo)
        - Impedisci la modifica delle impostazioni dei certificati (è possibile eliminare direttamente le schede da pannello di controllo)
        - Disattiva il completamento Automatico per i Moduli (ATTIVA)
        - Non consentire il salvataggio di password in modalità completamento automatico (ATTIVA)
    > Pannello di controllo Internet
        - Disattiva la scheda Avanzate (ATTIVATO)
        - Disattiva la scheda Connessioni (ATTIVATO)
        - Disattiva la scheda contenuto (ATTIVATO)
        - Disattiva la scheda generale (NON CONFIGURATO)
        - Disattiva la scheda programmi (NON CONFIGURATO)
        - Disattiva la scheda protezione (ATTIVATO)
    > Menu Browser
        - Menu Strumenti: DISATTIVA opzione Opzioni Internet
    > Persistenza (limiti e dimensioni ???)
    > Esplora risorse
        - Nascondi le unità specificate in Risorse del Computer (ATTIVATO - LIMITA SOLO UNITA' C) - utile nel caso in cui non si voglia far scrivere niente sull'unità C:\>, per mantenere la macchina pulita
    > Menu di avvio e barra delle applicazioni
        - Disattiva e Rimuovi i collegamenti a Windows Update (ATTIVA)
        - Rimuovi la voce Cerca dal menu di avvio (ATTIVA)
        - Rimuovi il menu Esegui dal menu avvio (ATTIVA)
        - Cancella cronologia dei documenti aperti in uscita (ATTIVA)
    > Desktop
        - Proibisci di cambiare il percorso DOCUMENTI (ATTIVA)
        - Non salvare le impostazioni in uscita (ATTIVA)
        - Non aggiungere le condivisioni degli ultimi documenti aperti (ATTIVA)
        - Disattiva aggiunta, trascinamento, rilascio e chiusura barre degli strumenti (ATTIVA)
        - Disattiva la regolazione delle barre degli strumenti del Desktop (ATTIVA)
        > Active Desktop (tutto ATTIVO. DISATTIVA ACTIVE DESKTOP - In maniera tale che non possono eliminarlo)
            - Sfondo Active Desktop: inserire il percorso e il nome del file (ATTIVATO)
            - Attiva Active Desktop
            - Disattiva tutti gli elementi
            - Non consentire modifiche
            - Proibisci aggiunta di elementi
            - Proibisci la modifica degli elementi
            - Proibisci l'eliminazione degli elementi
            - Proibisci la chiusura degli elementi
            - Aggiungi/Elimina elementi (DISATTIVA)
            - Sfondo Active Desktop
            - Consenti solo Sfondi Bitmap (DISATTIVA)
    > Pannello di Controllo
        - Disabilita il pannello di controllo (ATTIVA)
            > Installazione applicazioni
                - Disattiva installazione applicazioni
            > Visualizza (ATTIVARE TUTTE LE SOTTOSTANTI VOCI)
                - Disattiva Schermo  
                - Nascondi Scheda Background
                - Disattiva cambiamento sfondo
                - Nascondi Aspetto
                - Nascondi Impostazioni
                - Nascondi Screen Saver
                - Attiva lo Screen Saver (DISATTIVA)
                - Nome dei file eseguibili (DISATTIVA)
                - Proteggi Screen Saver da Password (DISATTIVA)
                - Timeout Screen Saver (DISATTIVA)

Remote Control add-on for AD User & Computer
Remote Control è un add-on che, una volta installata, vi consentirà di aprire una sessione terminale o desktop remoto, direttamente dalla MMC User & Computer.
Scaricate l'add-on, e installatelo. oppure qui (../download/rcontrolad.exe)
http://www.microsoft.com/downloads/details.aspx?familyid=0a91d2e7-7594-4abb-8239-7a7eca6a6cb1&displaylang=en

Configurazione della protezione di Windows 2000
http://www.microsoft.com/italy/technet/security/guidance/secmod220.mspx

Impostazioni dei criteri di protezione predefiniti di Windows 2000
http://www.microsoft.com/italy/technet/security/guidance/secmod222.mspx


Comando sempre utile, per "allineare" le policy
Aggpol.cmd
____________________________________
secedit /refreshpolicy   machine_policy  /enforce
secedit /refreshpolicy   user_policy  /enforce
____________________________________


Sincronizzazione Ora
net time /setsntp:<nome del domicio>

Connettere un'unità di rete
net use unità: \\nomeserver\cartellacondivisa


Trasferimento di un PDC (Primary Domain Controller)
Strumenti di amministrazione
Utenti e Computer di Active Directory
Proprietà degli Utenti e Computer di Active Directory
RID                                                         > Cambia
Controller di Dominio primario           > Cambia
Infrasturttura                                        > Cambia

To move the global catalog functions from one domain controller to another:

  1. Click Start, point to Programs, point to Administrative Tools, and then click Active Directory Sites and Services.
  2. Double-click Sites to expand it, expand Servers, and then click the domain controller that you want to have the new global catalog role.
  3. Double-click the domain controller to expand the server contents.
  4. Right-click the NTDS Settings object that is listed below the server, and then click Properties.
  5. On the General tab, click to select the Global Catalog check box to add the global catalog function to the domain controller, and then click OK to apply the changes.
  6. Click Active Directory Sites and Services, and then click the outdated global catalog or domain controller that is going to have the global catalog function removed.
  7. Open the properties of the domain controller, click to clear the Global Catalog check box, and then click OK to apply the changes. For any change to take effect, you must wait for the change to replicate throughout Active Directory on all of your domain controllers.
  8. Restart any domain controllers whose Global Catalog check boxes have been modified.
NOTE: You can have more than one global catalog in a Windows 2000 domain, but you must have at least one global catalog for each domain where Exchange 2000 is installed. If you already have more than one global catalog in your domain, you can ignore steps 2-5.

Come rimuovere il Global Catalog a un altro Domain Controller - How to move the Global Catalog Role to Another Domain Controller
Vedi formato DOC

Join ad un dominio pre-esistente
Da stand alone
Proprietà del sistema
Entrare nel dominio 

(Controllare che DNS e WINS siano attivi e che puntino al server PDC)
DCPROMO (da Esegui)
Aggiunta ad un dominio già esistente
Installare, eventualmente, il servizio DNS (lo fa in automatico)
Puntare a sè stessi come DNS

Connetti a controller di dominio
P.S. Ricordarsi di segnare la password (non quella di Administrator); servirà per fare il restore dell'Active Directory


Comandi (da riga di comando): creazione di utenti, creazione di gruppi, creazione di utente di dominio
Creazione di utenti locali
net user <nome utente> /add
Creazione di gruppi locali
net localgroup <nome gruppo> /add
Creazione di un utente all'interno del gruppo
net localgroup <nome gruppo> <nome utente> /add
Creazione di un utente di dominio (attenzione che bisognerà controllare che funzioni tale utente)
net user <nome utente> /domain <nome dominio> /add


PROGRAMMA  SPSS

Il programma SPSS non funziona in modalità UTENTE USER.
L'unica maniera è:
Entrare come ADMINISTRATOR
Andare su Risorse del Computer, Disco Fisso C:, Programmi
Selezionare con il tasto dx SPSS e andare in Proprietà > Protezione.
Qui, nel caso in cui la macchina fosse in un dominio, attivare l'utente DOMAIN USER, E dare il controllo completo.
La stessa cosa, credo, si deve fare quando è in locale (selezionare l'utente USER e dargli i controllo completo)


PROGRAMMA  WINZIP

Il programma WinZip 8.x non funziona, se non come utente ADMINISTRATOR
Si consiglia di installare il programma ZIPCentral o ZIPGenius o PowerArchiver; è un programma gratuito e funziona esattamente come WinZip


Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio

Vedi formato DOC


Come Spostare un'installazione di Windows su un computer con una configurazione hardware diversa

Vedi formato DOC


Comprendere i profili utente - Understanding User Profiles
A user profile defines customized desktop environments, which include individual display settings, network and printer connections, and other specified settings. You or your system administrator may define your desktop environment.
Types of user profiles include:
A local user profile, which is created the first time you log on to a computer and is stored on a computer's local hard disk. Any changes made to your local user profile will be specific to the computer in which you made the changes.
A roaming user profile, which is created by your system administrator and is stored on a server. This profile is available every time you log on to any computer on the network. Any changes made to your roaming user profile will be updated on the server.
A mandatory user profile, which is a roaming profiles that can be used to specify particular settings for individuals or an entire group of users. Only system administrators can make changes to mandatory user profiles.
Copy a User Profile:
Open System in Control Panel. On the User Profiles tab, and under Profiles stored on this computer, click the user profile you want to copy, and then click Copy To.
In the Copy To dialog box, under Copy profile to, type the location for the new profile, or click Browse to select the path.
Click Change to open the Choose User dialog box, click a new user from the Names list, and then click Add. The new user name will appear in Add Name. Click OK to add the user as a new user profile on your computer.
Note: You must be logged on as an administrator to the local computer to copy user profiles. To open a Control Panel item, click Start, point to Settings, click Control Panel, and then double-click the appropriate icon.
Note 2: You cannot copy the account you are currently logged in on. You must log into another account.
Note 3: If you create a new account, you must logon once before you copy another account over top of it. Windows creates the user profile at logon, not at account creation, and it will not use the copy you created before that first logon, it will create a user.COMPUTERNAME folder instead.
Note 4: To resolve this issue, verify that the user account is not logged on before you try to copy its profile. If you are currently logged on as this user, log off, log on again by using a different user account, and then copy the profile. If
you are not logged on as the user account that you are trying to copy, that account may be logged on in a different session (using Fast User Switching).
To force that account to be logged off, start Task Manager, click the Users tab, click the user account, and then click Logoff.
To work around this behavior, you can also create a user who has administrative privileges, log on as that user, and then copy the profile of the first user.
Delete a User Profile:
Open System in Control Panel. On the User Profiles tab, under Profiles stored on this computer, click the user profile you want to delete, and then click Delete.
Note: You must be logged on as an administrator to the local computer to delete user profiles. To open a Control Panel item, click Start, point to Settings, click Control Panel, and then double-click the appropriate icon.
Switching between a Roaming and Local User Profile:
Open System in Control Panel. On the User Profiles tab, under Profiles stored on this computer, click the user profile you want to change, and then click Change Type. In the Change Type dialog box, click Local profile or Roaming profile.
Note: To open a Control Panel item, click Start, point to Settings, click Control Panel, and then double-click the appropriate icon. If Roaming profile is unavailable, this indicates that the profile is a local user profile See your system administrator to create a roaming user profile.
To avoid downloading the roaming profile when you have a slow network connection, select the Use cached profile on slow connections check box after you click Roaming profile. If you use a roaming profile on more than one computer simultaneously, it will preserve the settings from the last computer that logs off.
Disable Roaming Profiles and Cache
Start/Run/gpedit.msc
Local Computer Policy/Computer Configuration/Administrative Templates/System/User Profiles/Only Allow Local User Profiles.
If you enable both the "Prevent Roaming Profile changes from propagating to the server" setting and the "Only allow local user profiles" setting, roaming profiles are disabled.
Delete Cached Copies of Roaming Profiles
If this setting is enabled, when users with roaming profiles log off, the system will delete the cached copy of their roaming profile. This will help to save disk space where that are lots of roaming users.
Start/Run/Regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows\System
Create a new DWORD value, or modify the existing value, called 'DeleteRoamingCache' and edit the value according to the settings above.
Value Name: DeleteRoamingCache
Data Type: REG_DWORD (DWORD Value)
Value Data: (0 = disabled, 1 = enabled)
Exit your registry, you may need to restart or log out of Windows for the change to take effect.


Creazione e copia di profili utente comuni in Windows XP
(http://support.microsoft.com/default.aspx?scid=kb;it;314478)
Sommario
Talvolta può essere utile copiare un profilo utente definito e assegnarlo a più utenti, così che tutti gli utenti abbiano lo stesso profilo iniziale all'accesso. I singoli utenti potranno poi modificare questo profilo come desiderato.
In questo articolo viene descritto come eseguire la copia di un profilo. Può infatti essere difficile determinare la sintassi corretta da utilizzare nella finestra di dialogo Copia in per specificare il percorso di destinazione quando si desidera creare un profilo comune. Le informazioni contenute in questo articolo dovrebbero aiutare a risolvere eventuali dubbi in merito.
Informazioni
Creazione di un profilo comune
Per creare un profilo comune, utilizzare la seguente procedura:
1. Fare clic su Start, fare clic con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà dal menu di scelta rapida visualizzato.
2. Scegliere la scheda Avanzate, quindi scegliere Impostazioni in Profili utente.
3. Nell'elenco Profili memorizzati su questo computer selezionare il profilo desiderato.
4. Per modificare il tipo di profilo, fare clic su Modifica tipo, scegliere Profilo comune, quindi OK.
Copia di un profilo utente
Per copiare un profilo utente esistente e applicarlo all'account di un altro utente, utilizzare la seguente procedura: 1. Fare clic su Start, fare clic con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà dal menu di scelta rapida visualizzato.
2. Scegliere la scheda Avanzate, quindi scegliere Impostazioni in Profili utente.
3. Nell'elenco Profili memorizzati su questo computer selezionare il profilo che si desidera copiare.
4. Scegliere Copia in.
5. Nella finestra di dialogo Copia in eseguire una delle seguenti operazioni:• Nella casella Copia il profilo su digitare il percorso UNC (Universal Naming Convention) della cartella relativa al profilo dell'utente finale. Digitare ad esempio quanto segue:
\\NomeServer\NomeCondivisione\DirectoryProfiloUtente
Oppure
• Scegliere Sfoglia e selezionare la cartella dei profili in cui si desidera copiare il profilo. Scegliere OK. 
6. In Autorizzati a usare, scegliere Cambia. Digitare il nome dell'utente a cui si intende consentire l'utilizzo di questo profilo, quindi scegliere OK.
NOTA: fare attenzione a non selezionare utenti o gruppi da un dominio basato su Microsoft Windows NT, poiché Windows XP è stato progettato per l'utilizzo di Active Directory per la selezione dei domini. 
7. Nella finestra di dialogo Copia in scegliere OK. Se viene visualizzato un messaggio di conferma dell'operazione di copia, scegliere Sì. 
8. Scegliere OK due volte. 
Aggiornamento del percorso del profilo utente
Aggiornare il percorso del profilo utente per fare in modo che punti al nuovo profilo. Per eseguire questa operazione, attenersi alla seguente procedura: 1. In un controller di dominio, avviare lo snap-in Utenti e computer di Active Directory. Espandere il dominio, quindi l'unità organizzativa contente l'account utente desiderato.
2. Fare clic con il pulsante destro del mouse sull'account utente desiderato, quindi scegliere Proprietà dal menu di scelta rapida visualizzato.
3. Scegliere la scheda Profilo e digitare il percorso UNC della cartella con il nuovo profilo nella casella Percorso profilo.
4. Fare clic su Applica, quindi scegliere OK.
Dopo il primo accesso dell'utente, il profilo verrà salvato sul server come profilo comune; eventuali modifiche apportate al profilo verranno anch'esse salvate sul server.
Le informazioni in questo articolo si applicano a
• Microsoft Windows XP Professional Edition
PER BLOCCARE IL PROFILO, RINOMINARE IL FILE NTUSER.DAT IN NTUSER.MAN

Creazione di un modello di profilo utente (Vedi)
Accedere al computer con un account utente pulito
Fare tutte le modifiche al profilo
Disconnettersi dal profilo ed accedere al computer come Administrator. 
Fare clic su Start, selezionare Impostazioni. 
Fare clic su Pannello di controllo e poi fare doppio clic su Sistema. 
Fare clic sulla scheda Profili utente. 
Fare clic su Copia e viene mostrata la fine di dialog Copia.
Nella casella di testo Copia profilo, digitare \\server\profiles\
Da dentro Active Directory, andare a selezionare l'utente con doppio clic
Fare clic sulla scheda Profilo
Nella casella di percorso del Profilo, digitare \\server01\profiles\ e fare clic su ok
Chiudere Active Directory.
Ora andare nella cartella \\server01\profiles e selezionare il file nascosto NTUSER.DAT
Rinominare NTUSER.DAT in NTUSER.MAN
Ogni modifica che verrà fatta d'ora in poi, al profilo, verrà persa con l'uscita dell'utente


How to Create and Copy Roaming User Profiles in Windows
(http://support.microsoft.com/default.aspx?scid=kb;it;142682)

SUMMARY
On occasion, it may be necessary for an administrator to copy a defined User Profile to a number of Users, which will present each of them with an identical initial profile for their first logon, which they will then be able to modify as required.
This article shows you how to copy such a profile. One difficulty of this procedure is that it is not obvious in the Copy To dialog box what the correct entry for Copy Profile To should be for Roaming User Profiles. This article addresses this issue.
MORE INFORMATION
To create a Roaming Profile: 1. In the System tool in Control Panel, click User Profiles, and then select an existing user profile.
2. Change the type of profile by clicking Change Type. Select either Local or Roaming. 
An existing User Profile can be copied to another user's account by following these steps: 1. In Control Panel, double-click the System, click the User Profiles tab.
2. Select an existing local or roaming profile that you want to copy. 
3. Click the Copy To button. 
4. Under Copy Profile To, specify a UNC path to the user's profile folder, for example:
• \\ServerName\ShareName\User'sProfileDirectory
-or-
• In Network Neighborhood, select the user's profile folder 
5. Click Change in Permitted to Use to select the user that will be permitted to use this profile.
Note that if you are using a Windows 2000-based computer, verify that you are not choosing users or groups from a Windows NT-based domain because Windows 2000 is designed to use Active Directory to select domains. 
6. Click OK to copy the profile. 
7. Click OK to close System properties. 
8. The user's account will then have to be updated to reflect the path of the roaming profile. This is done in User Manager. Double-click the appropriate user's name. 
9. Click Profile, and then type the UNC path from step four for the User Profile Path, and then click OK. 
After the user has successfully logged on, the profile will be saved on the server as a Roaming Profile, and any profile changes will be saved to the server.
PER BLOCCARE IL PROFILO, RINOMINARE IL FILE NTUSER.DAT IN NTUSER.MAN

Eliminare il "roaming profile"
Creare un file con estensione .reg contenente le seguenti righe ed eseguirlo:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"DeleteRoamingCache"=dword:00000001

Come impostare i profili in roaming su win 2003 SBS
Per impostare i profili in roaming prima di tutto creati una cartella sul tuo server 2003, chiamiamola "Profili", ok? Poi condividila con il nome "Profili$" in modo che non sia visibile dalle risorse di rete dei client, e come protezione dai il controllo completo al gruppo (o meglio all'identità di protezione) Everyone. Questa è la cosa più importante. Se tutti gli utenti del dominio non hanno il controllo completo su questa share le cose non funzionano. Poi apri Utenti e computer di Active Directory (da start esegui digita "dsa.msc" oppure apri lo snap-in relativo in Tutti i programmi del menu di avvio). Creati un "utente modello" che poi copierai per creare tutti gli altri, che ne so chiamalo "utentemodello"...scusa la troppa fantasia :D
A questo punto apri le proprietà dell'utente, e nel campo Percorso profilo inserisci \\nomeserver\Profili$\%username% (attento devi usare le backslash se no ti freghi....). Salva tutto, poi semplicemente copia l'utente modello creando tutti gli altri, ai quali verrà impostato automaticamente il percorso del profilo grazie alla varibile d'ambiente %username%. Al primo accesso di ogni utente, all'interno della cartella Profili$ verrà creata la copia roaming del profilo, ovvero una sottocartella con il nome dell'utente stesso, che potrà essere "caricata" al logon da qualunque client della rete. Per impostazione predefinita dei client (2000 o xp) una copia del profilo (cache) viene creata anche su tutti i client dai quali l'utente accede. Se vuoi evitare questo (ma non te lo consiglio), si può impostare un criterio di gruppo che non salva la copia cache del profilo alla disconnessione dell'utente. Io preferisco tenermela e semmai cancellarla manualmente dai client quando so che non devo recuperare i dati di un utente nel caso si "guastasse" il profilo roaming.

 


Auditing - Processo di registrazione dei logs
L'auditing  è utile per registrare soprattutto i seguenti eventi:
- Logon e Logoff
- Accesso a Stampanti
- Accesso ai files
Abilitazione del servizio di "auditing logon/logoff"
In locale: Da strumenti di amministrazione - criteri di protezione locali (local security policy) -
                    criterio di controllo - controllo di accesso (logon e logoff)
                 Dal visualizzatore degli eventi (event viewer) - Protezione - ID528 Accesso/Chiusura (Logon/Logoff)
                 Da strumenti di amministrazione - criteri di protezione locali (local security policy) -
                     criterio di controllo - controllo di accesso agli oggetti (traccia gli accessi a file e/o cartelle
                     Andare su Proprietà della cartella - Protezione - Avanzate - Controllo e selezionare i controlli
                 Dal visualizzatore degli eventi (event viewer) - Protezione - ID560  Spiega che cosa è stato fatto sul file
Su server: Active Directory - User & Computer - (O.U.) Domain Controller - Proprietà - Ultima scheda - policy di
                  gruppo (criteri di gruppo) - doppio click su default domain controller policy - configurazione computer
                  impostazione di protezione - criteri di protezione locale


Condivisione profili (Remoto o comune) (Vedi)
- Effettuare un logon su una macchina di cui si vuole remotizzare il profilo
- Active Directory (Users and Computer): settare nella proprietà dell'utente il percorso del profilo (\\server\<cartella condivisione>\%usernamen% - può essere uguale per tutti)
- Andare in sistema e spostare il profilo sul profilo remoto)
- Effettuare il logoff dell'account (dovrebbe trasferire i dati sul server)
Per bloccare il profilo in maniera tale che non si modifichi più e che ad ogni riavvio il profilo venga resettato, cambiare NTUSER.DAT in NTUSER.MAN (mandatory)


Servizi disattivabili in Windows 2000 Server
Con doppio clic sul servizio, sulla scheda "relazione dipendenza" mostra i servizi collegati. La scheda "Ripristina" il sistema continua ad avviare il servizio per tot volte.
Servizi disattivabili:
Agente criteri IPSEC
Archiviazione protetta
Messenger (non Messenger, ma il servizio di invio messaggi attraverso i popup del comando "net send")
Messaggistica tra siti
Gestione Archivi Removibili
File System Distribuito
Protocollo SMTP (se non è attivo il server SMTP - Posta)
Server DNS (se non è un server DNS)
Servizio di Amministrazione IIS
Servizio Pubblicazione sul www (web)
Servizio di registrazione licenze


Assegnare un profilo utente bloccato (Vedi)
(http://support.microsoft.com/default.aspx?scid=kb;it;323368)

Scarica qui

In questo articolo viene descritto come assegnare un profilo utente bloccato per computer client basati su Windows 2000 in un dominio di Windows 2000.
Un profilo utente bloccato è un account utente in cui le impostazioni sono preconfigurate dall'amministratore. Se si utilizza un profilo utente bloccato, è possibile modificarlo, ma alla disconnessione dal computer, le modifiche non verranno salvate con il profilo, dato che non sono permanenti. Quando si accede di nuovo al computer, verrà caricato il profilo bloccato originale.
Assegnazione di un profilo utente bloccato in Windows 2000
Per assegnare un profilo utente bloccato in Windows 2000, attenersi alla procedura descritta nella presente sezione.
Passaggio 1: creare un profilo
1. In un controller di dominio creare un account utente modello che abbia le stesse autorizzazioni dell'utente o del gruppo per il quale si desidera creare il profilo bloccato.
2. Utilizzare tale account per accedere a una workstation.
Verrà automaticamente creato un profilo utente nel computer locale, nella cartella Unità:\Documents and Settings\Nome_utente.
3. Configurare le impostazioni del desktop che si desidera utilizzare nel profilo, compresi collegamenti, aspetto e opzioni del menu Start.
4. Disconnettersi dal computer.
Passaggio 2: copiare il profilo nella cartella condivisa
Copiare il profilo utente creato nella sezione Passaggio 1: creare un profilo del presente articolo in una cartella di rete condivisa. Per effettuare questa operazione:
1. Creare una cartella condivisa nella rete in cui si desidera archiviare il profilo bloccato, ad esempio, C:\Profili\Bloccati, e condividere tale cartella. Creare ad esempio la seguente condivisione: \\Nome_server\mandatory
2. Assegnare autorizzazioni che consentano almeno la lettura e l'esecuzione a utenti o gruppi a cui si desidera assegnare il profilo.
3. Accedere al dominio come amministratore dalla workstation.
4. Fare clic sul pulsante Start, scegliere Impostazioni, quindi Pannello di controllo.
5. Fare doppio clic su Sistema, quindi fare clic sulla scheda Profili utente.
6. In Profili memorizzati su questo computer selezionare il profilo creato nella sezione Passaggio 1: creare un profilo del presente articolo, quindi scegliere Copia in.
7. Nella casella Copia il profilo su digitare il percorso UNC (Universal Naming Convention) relativo alla condivisione creata nel passaggio 1. Digitare ad esempio \\nome_server\mandatory, quindi scegliere OK.
8. Scegliere Sì quando viene richiesto di continuare, quindi OK.
9. Nel computer basato su Windows 2000 Server avviare Esplora risorse, quindi trovare la cartella condivisa contenente il profilo copiato.
Questa cartella conterrà un file denominato Ntuser.dat.
10. Rinominare Ntuser.dat a Ntuser.man.
Passaggio 3: assegnare il profilo utente bloccato
1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione, quindi Utenti e computer di Active Directory.
2. Trovare il contenitore che include l'account utente per il quale si desidera modificare le impostazioni.
3. Nel riquadro destro fare clic con il pulsante destro del mouse sull'account utente, quindi scegliere Proprietà.
4. Fare clic sulla scheda Profilo.
5. Nella casella Percorso profilo digitare il percorso del profilo per il quale si desidera effettuare l'assegnazione.
Quando si digita il percorso, utilizzare il formato UNC riportato di seguito, in cui Nome_server rappresenta il nome del computer in cui sono archiviati i profili e Nome_condivisione rappresenta la cartella condivisa contenente il profilo bloccato:
\\Nome_server\Nome_condivisione
6. Scegliere OK.
7. Nella workstation accedere al dominio mediante l'account al quale è stato assegnato il profilo bloccato e accertarsi che le impostazioni del profilo siano state applicate in modo corretto.

Creare un profilo utente comune (http://support.microsoft.com/kb/302082/IT/)
In questo articolo viene descritto in dettaglio come creare un profilo utente comune. Tali profili offrono all'utente lo stesso ambiente di lavoro, indipendentemente dal computer basato su Microsoft Windows NT a cui viene effettuato l'accesso.
Creazione di un profilo utente comune
La creazione di un profilo utente comune avviene in due fasi: creando inizialmente un profilo utente di prova e successivamente copiando tale profilo in un server di rete.
Per creare un profilo di prova
In questa procedura verrà creato un profilo di prova per l'utente comune:
1. Creare un account utente da utilizzare come account utente di prova, ad esempio un account denominato Profilo vendite.
2. Effettuare l'accesso utilizzando l'account utente di prova. Nel computer locale viene automaticamente creato un profilo utente nella cartella C:\Winnt\Profiles.
3. Configurare l'ambiente desktop, inclusi aspetto, collegamenti e opzioni del menu di avvio.
4. Disconnettersi, quindi connettersi nuovamente come membro del gruppo Administrators.
Per copiare il profilo di prova
In questa procedura il profilo di prova verrà copiato in un server di rete:
1. Creare una cartella in un'unità di rete in cui memorizzare i profili di rete. Ad esempio:
\\nome_server\Profiles\nome_utente
2. Nel Pannello di controllo fare doppio clic su Sistema, quindi scegliere la scheda Profili utente. In Profili memorizzati su questo computer selezionare il profilo che si desidera copiare, quindi scegliere il pulsante Copia su.
3. Nella casella Copia il profilo su digitare il percorso di rete della cartella di destinazione. In Autorizzati a usare scegliere il pulsante Cambia.
4. Aggiungere l'utente appropriato, quindi scegliere OK.
5. Nella cartella creata in rete rinominare il file Ntuser.dat in Ntuser.man se si tratta di un profilo utente obbligatorio.
6. In User Manager per domini fare doppio clic sull'account utente e fare clic su Profilo nella finestra di dialogo Proprietà utente.
7. Nella casella Percorso profilo utente digitare il percorso UNC della cartella di rete relativa al profilo. Ad esempio:
\\nome_server\Profiles\nome_utente

Creare un profilo utente predefinito personalizzato (http://support.microsoft.com/kb/305709/IT/)
In questo articolo viene illustrato come creare un profilo utente predefinito personalizzato in Windows 2000. Un profilo utente predefinito personalizzato è utile se più utenti utilizzano lo stesso computer, ma ciascuno desidera un profilo e un accesso distinto alle risorse condivise. Quando più utenti accedono localmente allo stesso computer, il profilo utente predefinito incorporato in Windows 2000 viene utilizzato come modello per l'assegnazione di un profilo a ogni nuovo utente. Tale profilo incorporato può essere sostituito con un profilo utente predefinito personalizzato in modo che a ogni nuovo utente venga assegnata una versione personalizzata del profilo.
Dal momento che la modifica è permanente, si consiglia di creare una copia di backup del profilo utente predefinito, in modo da poterlo eventualmente riutilizzare in seguito. Il profilo utente predefinito è contenuto nella cartella Default User in Documents and Settings.
Creazione di un profilo utente predefinito personalizzato
1. Accedere al computer come amministratore e creare un account utente locale.
2. Disconnettersi e accedere nuovamente al computer utilizzando l'account utente locale appena creato.
Tenere presente che la creazione di un profilo utente personalizzato mentre si è connessi come amministratore causa problemi di autorizzazioni.
3. Personalizzare il profilo in modo appropriato. Ad esempio, installare le stampanti e connettere le unità necessarie.
4. Disconnettersi come utente locale ed eseguire nuovamente l'accesso come amministratore.
5. Poiché alcuni file del profilo che devono essere copiati nel nuovo profilo utente predefinito personalizzato sono nascosti, è necessario attivare l'opzione Visualizza cartelle e file nascosti.
a. Fare doppio clic su Risorse del computer, quindi scegliere Opzioni cartella dal menu Strumenti.
b. Nella scheda Visualizzazione in Impostazioni avanzate selezionare il pulsante di opzione Visualizza cartelle e file nascosti, quindi scegliere OK.
6. Sostituire il profilo utente predefinito corrente con quello personalizzato:
a. Fare clic sul pulsante Start, scegliere Impostazioni, quindi Pannello di controllo.
b. Fare doppio clic su Sistema.
c. Nella scheda Profili utente fare clic sul profilo utente appena creato e scegliere Copia su.
d. Nella finestra di dialogo Copia su in Copia il profilo su fare clic sul pulsante Sfoglia e selezionare la cartella \Documents and Settings\Default User, quindi scegliere OK.
e. In Autorizzati a usare scegliere il pulsante Cambia, fare clic su Everyone, quindi scegliere OK.
Il profilo utente predefinito personalizzato verrà assegnato a tutti i nuovi utenti che accedono al computer.

Il file Desktop.ini non funziona correttamente quando si crea un profilo predefinito personalizzato (http://support.microsoft.com/kb/321281/IT/)
Sintomi
Se si fa doppio clic su Sistema nel Pannello di controllo, si fa clic sulla scheda Avanzate, si sceglie Impostazioni in Profili utente e si copia un profilo utente preconfigurato nel profilo Default User, la funzionalità di personalizzazione della shell di Windows per la cartella Documenti e le relative sottocartelle verrà persa per tutti i nuovi utenti. Quando le cartelle Documenti, Immagini e Musica vengono visualizzate da un nuovo utente tramite Esplora risorse, verrà assegnato un nome di accesso utente differente.
Il metodo supportato per la creazione di un profilo personalizzato a scopo di distribuzione consiste nell'utilizzare lo strumento Sysprep. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
314472 Quick Guide to Preinstalling Windows
Cause
Per impostazione predefinita, quando un nuovo utente accede al sistema per la prima volta le cartelle Documenti, Musica e Immagini vengono personalizzate utilizzando il file Desktop.ini e l'impostazione "Owner=". La voce "Owner=" viene impostata automaticamente sul nome di accesso del nuovo utente.
Nell'esempio riportato in questo articolo l'account Administrator è stato copiato nella cartella Default User. Poiché il profilo Default User è stato aggiornato con un profilo utente diverso, la funzionalità di personalizzazione non viene eseguita per le cartelle Documenti, Musica e Immagini e l'impostazione "Owner=" nel file Desktop.ini non viene aggiornata. È necessario aggiornare manualmente il file Desktop.ini prima che nuovi utenti accedano al computer.
Risoluzione
Per assicurarsi che ciascun utente riceva la personalizzazione generica delle cartelle Documenti, Musica e Immagini, eliminare la voce "Owner=Administrator" nella sezione [DeleteOnCopy]. Al file Desktop.ini sono associati gli attributi Sistema e Nascosto, che dovranno essere mantenuti. È possibile utilizzare il comando notepad desktop.ini al prompt dei comandi per modificare il file Desktop.ini.
Informazioni
Se la cartella Documenti viene visualizzata da un prompt dei comandi, non viene applicata la personalizzazione dal file Desktop.ini, semplificando quindi il processo di aggiornamento.
Elenchi di cartelle da un prompt dei comandi:
E:\Documents and Settings\Default User>dir /a /b

Application Data
Cookies
Desktop
Preferiti
Impostazioni locali

Documenti
Risorse di rete
Ntuser.dat
Ntuser.dat.log
Ntuser.ini
Risorse di stampa
Recent
SentTo
Menu Avvio
Modelli
UserData

E:\Documents and Settings\Default User>dir /a /b "my documents"

Desktop.ini
Musica
Immagini

Desktop.ini
[DeleteOnCopy]
Owner=Administrator
Personalized=5
PersonalizedName=My Documents

E:\Documents and Settings\Default User>dir /a /b "my documents\my music"

Desktop.ini
Sample Music.lnk

Desktop.ini
[DeleteOnCopy]
Owner=Administrator
Personalized=5
PersonalizedName=My Music

E:\Documents and Settings\Default User>dir /a /b "my documents\my pictures"

Desktop.ini
Sample Pictures.lnk

Desktop.ini
[DeleteOnCopy]
Owner=Administrator
Personalized=5
PersonalizedName=My Pictures

 

Ripristinare un profilo utente in Windows 2000 (http://support.microsoft.com/kb/314045/IT/)
In questo articolo viene descritto in dettaglio come ripristinare un profilo utente e i seguenti elementi del profilo utente:
- Documenti
- Impostazioni del desktop
- Preferiti
- Cookie
Per impostazione predefinita, quando si esegue il primo accesso a un computer con Windows 2000, viene creata una cartella del profilo utente nella cartella %SystemDrive%\Documents and Settings e viene concessa all'utente l'autorizzazione di controllo completo. Se si perde l'autorizzazione di controllo completo per questa cartella, al successivo accesso verrà creata una nuova cartella di profilo utente e non sarà più possibile accedere alla cartella del profilo utente originale, a meno che non si disponga di privilegi di amministratore locale sul computer.
Se si perde l'accesso alla cartella del profilo, viene creata una nuova cartella di profilo utente che, per impostazione predefinita, viene collocata nella cartella Documents and Settings. Come nome della nuova cartella del profilo verrà utilizzato il nome utente. Se tuttavia la cartella del profilo precedente esiste ancora, il nome della nuova cartella verrà modificato per evitare la duplicazione. In questo caso, potrebbero essere presenti più cartelle per il profilo utente. Di seguito è illustrato lo schema predefinito di assegnazione dei nomi utilizzato da Windows 2000 per i profili utente:
- Se la cartella nomeutente non esiste ancora, la nuova cartella del profilo utente viene denominata:
nomeutente
- Se la cartella nomeutente esiste già, la nuova cartella del profilo utente viene denominata:
nomeutente.nomecomputer
- Se la cartella nomeutente.nomecomputer esiste già, la nuova cartella del profilo utente viene denominata:
nomeutente.nomecomputer.000
- Se la cartella nomeutente.nomecomputer.000 esiste già, viene utilizzato il successivo incremento disponibile dello schema di denominazione nomeutente.nomecomputer.000.
Ad esempio:
nomeutente.nomecomputer.001
Un altro modo per tenere traccia delle cartelle di profilo duplicate consiste nell'utilizzo della data o dell'ora di creazione, purché non siano state modificate.
Requisiti
Per ripristinare un profilo utente, la cartella di profilo Documents and Settings\nomeutente deve esistere ancora ed è necessario disporre dell'autorizzazione di controllo completo su tale cartella. Se non si dispone dell'autorizzazione corretta per la cartella del profilo utente, è necessario accedere prima al computer come amministratore e ripristinare il livello di autorizzazione necessario per il profilo utente.
Copia di documenti dalla cartella del profilo corrente alla cartella del profilo utente appropriato
Se si è effettuato l'accesso a Windows dopo avere perduto l'autorizzazione di accesso per la cartella del profilo originale, esisteranno almeno due cartelle di profilo utente con lo stesso nome utente. Per rendere accessibili questi file dal profilo utente da ripristinare, attenersi alla seguente procedura:
1. Accedere al computer come amministratore.
2. Copiare tutti i documenti dalla cartella Documenti corrente alla cartella Documenti del profilo che si desidera ripristinare.
NOTA: se la cartella Documenti è stata spostata in un percorso esterno alla cartella Documents and Settings, non sarà necessario eseguire il passaggio 2. Tuttavia, dopo avere ripristinato il profilo utente, potrebbe essere necessario specificare nuovamente il percorso di destinazione della cartella Documenti.
3. Per conservare i collegamenti Internet nell'elenco Preferiti, copiare tutti i collegamenti Internet dalla cartella Preferiti corrente alla cartella Preferiti del profilo utente che si desidera ripristinare.
NOTA: non copiare il file Desktop.ini.
Concessione dell'autorizzazione di controllo completo per la cartella del profilo utente
1. Fare clic con il pulsante destro del mouse sulla cartella del profilo utente precedente, quindi scegliere Proprietà. Per impostazione predefinita, tale cartella è %SystemDrive%\Documents and Settings\nomeutente.
2. Nella scheda Protezione selezionare il profilo utente nell'elenco Nome, quindi selezionare l'opzione Consenti relativa all'autorizzazione Controllo completo.
NOTA: se il profilo utente non è visualizzato nell'elenco Nome, aggiungerlo nel modo seguente: scegliere Aggiungi, selezionare il proprio nome utente nell'elenco, quindi scegliere OK.
3. Scegliere OK per chiudere la finestra di dialogo.
Modifica della chiave del profilo utente nel Registro di sistema
AVVISO: l'errato utilizzo dell'editor del Registro di sistema può causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la risoluzione di problemi causati dall'errato utilizzo dell'editor del Registro di sistema. L'utilizzo dell'editor del Registro di sistema è a rischio e pericolo dell'utente.
Modificare il Registro di sistema in modo che il percorso dell'immagine del profilo punti alla cartella del profilo utente indicata nella sezione "Concessione dell'autorizzazione di controllo completo per la cartella del profilo utente" di questo articolo:
1. Accedere al computer con il profilo utente che si desidera ripristinare.
2. Fare clic sul pulsante Start, quindi scegliere Esegui.
3. Digitare regedit, quindi scegliere OK.
4. Nell'editor del Registro di sistema individuare la seguente chiave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ProfileList
5. Individuare la cartella del profilo utente.
NOTA: nella cartella ProfileList sono presenti diverse cartelle, ognuna delle quali appartiene a un utente diverso. Queste cartelle sono denominate in base ai SID (User Security Identifier) e non in base ai nomi utente.
Per individuare la cartella del profilo utente, utilizzare uno dei seguenti metodi:
- Per ogni cartella, fare clic sulla cartella e cercare il valore ProfileImagePath che contiene il percorso del profilo utente, ad esempio %SystemDrive%\Documents and Settings\nomeutente.
oppure
- Nell'editor del Registro di sistema premere CTRL+F per avviare lo strumento di ricerca. Digitare il nome utente nella casella Trova, selezionare la casella di controllo Dati in Cerca in, quindi scegliere Trova.
6. Dopo avere individuato la cartella della sottochiave per il profilo utente, fare doppio clic sul valore ProfileImagePath.
7. Nella casella Dati valore modificare il percorso in modo che punti alla cartella del profilo che si sta ripristinando, quindi scegliere OK.
8. Chiudere l'editor del Registro di sistema.
Al successivo accesso al computer, verrà utilizzato il profilo utente ripristinato.


Microsoft SUS - Software Update Services
Microsoft SUS è un tool, scaricabile gratuitamente, che offre la soluzione ottimale per la gestione e la distribuzione delle patch che risolvono i problemi di sicurezza e stabilità dei sistemi operativi Windows 2000 (Professional, Server e Advanced Server, tutte con SP2), Windows XP (Home e Professional) e Windows Server 2003. Questo software include componenti sul lato client e sul lato server.
Funzionalità lato client Il client è basato sulla tecnologia Windows Automatic Updates, completamente rivista in occasione del rilascio di Windows XP. Automatic Updates è un servizio dinamico di tipo "pull" che consente agli utenti con privilegi amministrativi, di scaricare e installare le correzioni e le patch di sicurezza per i sistemi operativi Microsoft. Il tool presenta le seguenti caratteristiche:
- Supporto multilingua Nonostante l'interfaccia di amministrazione del prodotto sia stata rilasciata solo in inglese (o giapponese), il server supporta la pubblicazione di aggiornamenti per i sistemi operativi di tutte le lingue. E' compito dell'amministratore stabilire per quale lingua scaricare gli aggiornamenti.
- Funzionalità di protezione incorporate Per poter interagire con Automatic Updates, è necessario avere i privilegi amministrativi locali. Questo impedisce ad utenti non autorizzati di effettuare aggiornamenti critici sulle macchine. Inoltre, prima dell'installazione, Automatic Updates verifica che i files appena scaricati dispongano di firma digitale Microsoft.
- Convalida JIT (Just-in-Time) Automatic Updates analizza il sistema per determinare quali aggiornamenti possono essere applicati a un determinato computer.
- Download intelligente (BITS - Background Intellegent Transfer Service) Automatic Update usa BITS, una nuova tecnologia che garantisce un utilizzo ottimale della larghezza di banda, utilizzando solo quella non occupata, in modo da evitare che il download da Windows Update influenzi altre attività di rete in corso, come la navigazione in Internet.
- Supporto multiutente Automatic Updates, grazie al supporto multiutente, è in grado di visualizzare diverse interfacce a seconda dei privilegi concessi all'utente che esegue l'aggiornamento.
- Installazione ottimizzata Se si installano più aggiornamenti, e un di essi richiede il riavvio del sistema, Automatic Updates prima li installa tutti, e poi esegue un unico reboot.
- Semplicità di gestione In un ambiente Active Directory, gli amministratori possono configurare e controllare il funzionamento di Automatic Updates usando Group Policy.
- Funzionalità lato server Microsoft SUS, è basato sulla stessa tecnologia back-end utilizzata dal sito pubblico Windows Updates. Il servizio viene eseguito sulle macchine Windows 2000 Server con SP2 o successive e IIS installato.
- Funzionalità di protezione incorporate L'accesso al web di amministrazione è consentito ai soli amministratori locali della macchina che contiene gli aggiornamenti. La sincronizzazione convalida i certificati digitali di qualsiasi download, e se non sono firmati da Microsoft, li elimina.
- Approvazione selettiva dei contenuti Gli aggioanmenti scaricati, devono essere approvati dall'amministratore, prima di poterli rendere disponibili per il download dai client.
- Sincronizzazione dei contenuti Il server può essere configurato per eseguire automaticamente, o meno, la sincronizzazione con il server pubblico Windows Update. E' possibile schedulare la sincronizzazione.
- Sincronizzazione tra server Nel caso in cui si disponesse di due o più server che eseguono SUS, è possibile sincronizzare tra loro le macchine al fine di rendere disponibili gli aggiornamenti ai sistemi desktop e server.
- Supporto multilingua Nonostante l'interfaccia di amministrazione del prodotto sia stata rilasciata solo in inglese (o giapponese), il server supporta la pubblicazione di aggiornamenti per i sistemi operativi di tutte le lingue. E' compito dell'amministratore stabilire per quale lingua scaricare gli aggiornamenti.
- Amministrazione remota tramite http o https L'interfaccia amministrativa, è raggiungibile tramite browser, sia sia in http e in modalita criptata https.
- Registrazione dello stato degli aggiornamenti Le statistiche degli aggiornamenti, scaricati ed eventualmente installati dai client, possono essere inviate ad un webserver tramite http.
Installazione Automatic Updates lato Client E' possibile aggiornare l'Automatic Updates client in diversi modi:
- Installando il pacchetto di installazione MSI (wuau22.msi) - Installando Windows 2000 SP3 - Installando Windows XP SP1 - Installando Windows Server 2003
Il metodo migliore, e più usato per le macchine Windows 2000 e XP, è quello di installare il pacchetto MSI. Le soluzioni sopra elencate sono state studiate per macchine stand-alone. Nel caso in cui si disponga di macchine inserite in un dominio AD (Active Directory), si può creare una Group Policy, SMS o uno script di logon.
Installazione Automatic Updates lato Server Requisisti minimi: Pentium III 700MHz o superiore, 512 MB di RAM, 6 GB di spazio libero per l'installazione e il setup. Questa configurazione riesce a supportare fino a 15.000 clients usando un solo server SUS. Il file di installazione è sus10sp1.exe, ci circa 33 Mb, scaricabile gratuitamente dal sito Microsoft.


Generare password casuale con 'net user'
Il comando NET USER, usato principalmente per creare e cancellare gli account, ha anche un'interessantissima funzione, quella di generare password casuali:
Da start -> esegui -> cmd, digitare
net user nome_utente /random
con questo comando verrà resettata la password dell'utente nome_utente, con una password random composta da otto lettere e numeri.


Windows 2000 Server: Configurare un DHCP Server (vedi anche...)
http://www.helmig.com/j-helmig/w2kdhcpc.htm 
http://www.helmig.com/j-helmig/nt4dhcp.htm 
http://www.dhcp-handbook.com/dhcp_faq.html


Controllare l'accesso degli utenti autorizzati
Le fasi più importanti sono due: attivazione del controllo di protezione e visualizzazione dei registri di protezione. Tutti gli utenti che configurano controlli di protezione nel sistema devono essere assegnati a gruppi amministrativi o ricevere diritti e privilegi di protezione.
Attivazione del controllo di protezione
Il controllo della protezione viene configurato in modo diverso a seconda che il computer sia autonomo o un controller di dominio.
Server autonomi o Windows 2000 Professional
Start - Esegui, digitare mmc /a, quindi scegliere OK.
Dal menu Console scegliere Aggiungi/Rimuovi snap-in, quindi fare clic su Aggiungi.
In Snap-in fare clic su Criterio gruppo, quindi scegliere Aggiungi.
Nella casella Selezione oggetto Criteri di gruppo fare clic su Computer locale, scegliere Fine, quindi Chiudi e infine OK.
Nella casella Criteri Computer locale fare clic su Configurazione computer, quindi su Impostazioni di Windows, Impostazioni protezione, Criteri locali e infine su Criterio controllo.
Nel riquadro dei dettagli fare clic su Controlla eventi di accesso.
Scegliere Azione, quindi Protezione, selezionare Operazioni non riuscite, quindi scegliere OK.

Controller di dominio basati su Windows 2000
---------------------------------------------
Start - Programmi - Strumenti di amministrazione e infine fare clic su Utenti e computer di Active Directory.
Nella struttura della console fare clic su Controller di dominio.
Fare clic su Azione, quindi su Proprietà.
Fare clic sulla scheda Criterio gruppo, scegliere Criteri predefiniti controller di dominio, quindi fare clic su Modifica.
Espandere Configurazione computer, Impostazioni di Windows, Impostazioni protezione, Criteri locali e infine Criterio controllo.
Nel riquadro dei dettagli fare clic su Controlla eventi di accesso. Scegliere Azione, quindi Protezione, selezionare Operazioni non riuscite, quindi scegliere OK.

Visualizzazione del registro di protezione
------------------------------------------
Fare clic sul pulsante Start, scegliere Programmi, quindi Strumenti di amministrazione e infine fare clic su Visualizzatore eventi. Nella struttura della console fare clic su Registro protezione.
Cercare nel riquadro dei dettagli le informazioni relative all'evento che si desidera visualizzare, quindi fare doppio clic sull'evento.

Eventuali problemi
------------------
Se il computer è connesso in rete, la registrazione di protezione può essere limitata o disattivata tramite un criterio di rete. La dimensione del registro protezione è limitata. Scegliere quindi con attenzione gli eventi da controllare e considerare la quantità di spazio su disco da assegnare alla registrazione degli eventi di protezione.
Se su un computer remoto è attivata la registrazione di protezione, tramite il Visualizzatore eventi è possibile accedere ai registri eventi in modalità remota. Avviare una console di Microsoft Management Console (MMC) in modalità di modifica, quindi aggiungere il Visualizzatore eventi alla console. Quando verrà chiesto di specificare quale computer sarà gestito dallo snap-in, scegliere Altro computer, quindi digitare il nome del computer remoto.
Il controllo di protezione per workstation, server membri e controller di dominio può essere attivato in modalità remota solo dagli amministratori di dominio. Per eseguire questa operazione, creare un'unità organizzativa, aggiungervi gli account computer corretti, quindi utilizzare Utenti e computer di Active Directory per creare un criterio che attivi il controllo della protezione.


Creare o spostare un catalogo globale in Windows 2000
(http://support.microsoft.com/kb/313994/IT/)

Numero di articolo

:

313994

Ultima revisione

:

venerdì 28 novembre 2003

Revisione

:

2.0

Sommario

In questo articolo viene spiegato come creare un nuovo server di catalogo globale. Questa operazione può essere necessaria se occorrono ulteriori server di catalogo globali, ad esempio per supportare un rollout di Exchange oppure se si desidera spostare il ruolo di server di catalogo globale a un controller di dominio diverso.
Potrebbe accadere che sia necessario creare un nuovo catalogo globale per sostituirne uno esistente o per aggiungerne uno nuovo. Microsoft consiglia di procedere come segue:

1.

Creare un nuovo catalogo globale in un secondo controller di dominio.

2.

Attendere che le informazioni sull'account e sullo schema vengano replicate nel nuovo catalogo globale. Per i singoli domini, l'operazione è alquanto diretta. Per reti a più domini, la replica completa richiederà tempo ulteriore, in base alla complessità della rete. Il nuovo catalogo globale verrà creato dalla normale replica di Active Directory e, in base alla struttura dell'insieme di strutture di Active Directory, questa replica potrebbe richiedere una quantità di tempo considerevolmente maggiore.

3.

Rimuovere il catalogo globale dal controller di dominio originale (facoltativo).

In base all'impostazione predefinita, nel primo controller di dominio di ciascun insieme di strutture di Active Directory verrà collocato solo un catalogo globale.
Per creare ulteriori server di catalogo globale o per spostare un catalogo globale da un controller di dominio all'altro, è necessario eseguire queste azioni manualmente.
Creazione di un nuovo catalogo globale nel server di catalogo globale di destinazione

Per creare un nuovo catalogo globale:

1.

Nel controller di dominio in cui si desidera creare il nuovo catalogo globale, avviare lo snap-in Siti e servizi di Active Directory. Per effettuare questa operazione, fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione, quindi Siti e servizi di Active Directory.

2.

Nella struttura della console fare doppio clic su Siti, quindi su nomesito.

3.

Fare doppio clic su Server, fare clic sul controller di dominio, fare clic con il pulsante destro del mouse su Impostazioni NTDS, quindi scegliere Proprietà.

4.

Nella scheda Generale selezionare la casella di controllo Catalogo globale per assegnare il ruolo di catalogo globale a questo server.

5.

Riavviare il controller di dominio.

NOTA: consentire tempo sufficiente perché le informazioni sull'account e sullo schema vengano replicate nel nuovo server di catalogo globale prima di rimuovere il catalogo globale dal controller di dominio originale.
Nel Visualizzatore eventi del registro dei servizi di elenchi in linea potrebbe essere registrato l'evento 1119 con una descrizione che indica che il computer si annuncia ora come server di catalogo globale.
In un dominio di Windows 2000 con un solo controller si assegnano in genere i ruoli di catalogo globale e di master delle operazioni, anche noto come FSMO (Flexible Single-Master Operations), per lo stesso controller di dominio. Tuttavia in domini con più controller, in particolare in insiemi di strutture con più domini, è importante considerare la collocazione di questi ruoli prima di assegnarli. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):

223346 Posizionamento e ottimizzazione di FSMO in controller di dominio Windows 2000

Rimozione del catalogo globale dal server di catalogo globale originale

Per rimuovere il catalogo globale dal controller di dominio originale:

1.

Nel controller di dominio per il quale si desidera rimuovere il catalogo globale, avviare lo snap-in Siti e servizi di Active Directory. Per effettuare questa operazione, fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione, quindi Siti e servizi di Active Directory.

2.

Nella struttura della console fare doppio clic su Siti, quindi su nomesito.

3.

Fare doppio clic su Server, fare clic sul controller di dominio, fare clic con il pulsante destro del mouse su Impostazioni NTDS, quindi scegliere Proprietà.

4.

Nella scheda Generale deselezionare la casella di controllo Catalogo globale per rimuovere il ruolo di catalogo globale da questo server.

5.

Riavviare il controller di dominio.

NOTA: consentire tempo sufficiente perché le informazioni sull'account e sullo schema vengano replicate nel nuovo server di catalogo globale prima di rimuovere il catalogo globale dal controller di dominio originale.
Se si creano ulteriori server di catalogo globale, potrebbero essere fornite risposte più rapide alle interrogazioni degli utenti. Tuttavia se si attivano ulteriori controller di dominio come server di catalogo globale, il traffico di replica sulla rete potrebbe aumentare. Per ulteriori informazioni sulla replica di directory in Windows 2000, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):

199174 Nozioni fondamentali sulla replica di directory in Windows 2000

Riferimenti

Per ulteriori informazioni sul catalogo globale, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito (il contenuto potrebbe essere in inglese):

257203 Set di attributi predefiniti comuni per Active Directory e il catalogo globale

232517 Attributi del catalogo globale e proprietà di replica

229662 Controllo dei dati memorizzati nel catalogo globale

248717 Modifica degli attributi replicati nel catalogo globale

199174 Nozioni fondamentali sulla replica di directory in Windows 2000


Rinominare un controller di dominio Windows 2003
(http://support.microsoft.com/default.aspx?scid=kb;it;814589)

Numero di articolo

:

814589

Ultima revisione

:

domenica 29 febbraio 2004

Revisione

:

1.0

Per la versione di questo articolo relativa a Microsoft Windows 2000 vedere: 296592.

SOMMARIO

Nelle procedure di questo articolo vengono descritti vari metodi per rinominare un controller di dominio basato su Windows Server 2003.

Requisiti

Per rinominare un controller di dominio è necessario essere membro del gruppo Domain Admins oppure del gruppo Enterprise Admins in Active Directory.

Torna all'inizio

Utilizzo dello strumento Netdom per rinominare un controller di dominio

Nota: per rinominare un controller di dominio utilizzando lo strumento Netdom, assicurarsi che il livello di funzionalità del dominio sia impostato su Windows Server 2003.

1.

Fare clic sul pulsante Start, scegliere Esegui, digitare cmd nella casella Apri, quindi premere INVIO.

2.

Digitare netdom computername NomeComputerCorrente /add :NomeNuovoComputer e premere INVIO.

Si noti che NomeNuovoComputer deve essere un nome completo di dominio (FQDN). Il suffisso DNS primario specificato nel nome completo di dominio per NomeNuovoComputer deve corrispondere al suffisso DNS primario di NomeComputerCorrente o deve essere contenuto nell'elenco dei suffissi DNS consentiti nell'attributo msDS-AllowedDNSSuffixes dell'oggetto domainDns.

3.

Attendere che l'account computer venga replicato su tutti i controller di dominio e i record di risorsa DNS vengano distribuiti a tutti i server DNS di fiducia per il nome di dominio.

4.

Digitare netdom computername NomeComputerCorrente /makeprimary:NomeNuovoComputer e premere INVIO.

5.

Riavviare il computer e ripetere il passaggio 1 per aprire il prompt dei comandi.

6.

Digitare netdom computername NomeNuovoComputer /remove:NomeVecchioComputer e premere INVIO. Si noti che NomeVecchioComputer è il nome del computer rinominato, ovvero questo nome corrisponde al nome NomeComputerCorrente utilizzato nei passaggio 2 e 4.

Installazione degli Strumenti di supporto di Windows

Per installare gli Strumenti di supporto di Windows, attenersi alla seguente procedura:

1.

Inserire il CD di Windows Server 2003 nell'unità CD-ROM o DVD-ROM del computer.

2.

Fare clic sul pulsante Start, scegliere Esegui, digitare LetteraUnità:\Support\Tools\suptools.msi nella casella Apri e premere INVIO (dove LetteraUnità è l'unità CD-ROM o DVD-ROM in uso).

3.

Seguire le istruzioni visualizzate per completare l'installazione degli Strumenti di supporto di Windows.

Ridenominazione di un controller di dominio in un dominio che contiene un unico controller di dominio

Per rinominare un controller di dominio in un dominio che contiene un unico controller di dominio, attenersi alla procedura seguente:

1.

Installare un secondo computer basato su Windows Server 2003 nello stesso dominio in cui è contenuto il server da rinominare.

2.

Innalzare di livello questo secondo server controller di dominio utilizzando Configurazione guidata server oppure eseguendo il comando dcpromo.exe.

3.

Utilizzare lo snap-in Microsoft Management Console (MMC) appropriato oppure l'utilità Ntdsutil.exe per configurare il secondo server come server di catalogo globale, quindi trasferire tutti i ruoli di master operazioni sul secondo server. È necessario trasferire tali ruoli, non è sufficiente assegnarli. Per istruzioni su come assegnare responsabilità di catalogo globale, vedere il file della Guida incluso nello snap-in MMC Siti e servizi di Active Directory. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

255504 Using Ntdsutil.exe to Seize or Transfer FSMO Roles to a Domain Controller

4.

Verificare che il nuovo controller di dominio funzioni correttamente. Per verificare l'autenticazione e le ricerche di catalogo globale, eseguire l'utilità Dcdiag.exe nel controller di dominio, quindi effettuare qualsiasi altro test appropriato per verificare che il nuovo controller di dominio sia in grado di fornire tutte le funzioni di dominio una volta rimosso il controller di dominio originale dal dominio. Verificare altresì che le unità \sysvol e \netlogon siano condivise sul nuovo controller di dominio.

Eseguire il comando riportato di seguito dal prompt dei comandi della console del nuovo controller di dominio:

net share

e verificare l'esistenza di Sysvol e Netlogon nell'elenco generato.

5.

Per abbassare a livello di server membro il controller di dominio da rinominare, fare clic sul pulsante Start, scegliere Esegui, digitare dcpromo.exe nella casella Apri, quindi premere INVIO.

6.

Rinominare il computer:

a.

Fare clic sul pulsante Start, fare clic con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.

b.

Fare clic sulla scheda Nome computer, scegliere Cambia, digitare il nuovo nome computer nella casella Nomecomputer, quindi scegliere OK due volte.

c.

Riavviare il computer.

7.

Utilizzare la Configurazione guidata server oppure eseguire il comando dcpromo.exe per innalzare nuovamente di livello il server membro a controller di dominio.

8.

Riconfigurare tutti i ruoli di master operazioni e il catalogo globale in base alle necessità.

Ridenominazione di un controller di dominio in un dominio che contiene più controller di dominio

Nota: prima di rinominare un controller di dominio in un dominio con più controller di dominio, assicurarsi che il computer da rinominare non sia il server di catalogo globale e che non svolga altri ruoli FSMO (Flexible Single Master Operations). Il primo controller di dominio che è stato installato nell'insieme di strutture è il controller di dominio principale che è responsabile del catalogo globale e di tutti i ruoli FSMO. Tutte queste funzioni devono essere trasferite a un altro controller di dominio prima di rinominare il server. Per ulteriori informazioni sullo spostamento di un catalogo globale, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

313994 HOW TO: Create or Move a Global Catalog in Windows 2000

Per ulteriori informazioni sul trasferimento di ruoli FSMO, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

324801 HOW TO: View and Transfer FSMO Roles in Windows Server 2003

Una volta trasferiti il catalogo globale e tutti i ruoli FSMO a un altro controller di dominio sarà possibile rinominare il controller di dominio attenendosi alla procedura descritta per un dominio con un unico controller di dominio.
Riferimenti Per ulteriori informazioni sulla gestione dello schema di Active Directory, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

326310 HOW TO: Manage the Active Directory Schema in Windows Server 2003 Enterprise Edition

Per ulteriori informazioni sulla forzatura dell'abbassamento di livello di controller di dominio Active Directory, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

332199 Using the DCPROMO /FORCEREMOVAL Command to Force the Demotion of Active Directory Domain Controllers

 

Automatic NT Domain Logon
When you need to logon to an NT Domain, Windows95 prompts you for you User ID, Password, and Domain Name
To have Windows95 automatically log you on:
1. Make sure Password Caching is Enabled, No Minimum Password Length has been set, and User Profiles is not enabled
2. Open the Control Panel
3. Double click on the Network icon
4. Change the Primary Network Logon to Windows Logon
5. Click on the OK button
6. Do not restart the computer when prompted
7. Double click on the Passwords icon
8. Click on the Change Windows Password button
9. Do not check the Microsoft Network box
10. Type in your old password and nothing for the new and confirmation password
11. Click on the OK button
12. Restart Windows95
13. Don't type any password for your Windows password. This is what you just set it for.
14. When the Domain Login screen comes up, check Save this password in your password list
15. The next time you start Windows95, you will be automatically logged into your NT Domain.
NOTE: This bypasses the security that logging into an NT Domain is used to provide.
Do not use in areas where security is critical.
You can also download the new Tweak from Microsoft which will also allow you to do the same function.
This will work for Windows95 as well as NT 4.0

Cancellare i profili salvati localmente all'uscita dell'utente per macchine che fanno parte di un dominio NT
Questo appunto e' utile se:
- si hanno macchine Windows NT / 2000 / XP collegate ad un dominio servito da un server Windows oppure Linux con Samba che fa da Domain Controller
- si utilizzano i roaming profiles
- diventa indispensabile quando sulle workstation c'e' un elevato turnover di utenti (es. aula informatica) per evitare che i dati degli utenti "intasino" l'hard disk
Sul client occore fare una piccola modifica al registry di Windows:
Aggiungere alla chiave
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
il valore
DeleteRoamingCache
di tipo
REG_DWORD (DWORD Value)
settarla a
1 (0 = disabled, 1 = enabled)
Al riavvio successivo la modifica sara' attiva. Per funzionare senza problemi, la directory Documents and settings deve essere "pulita" e cioe' contenere solo le cartelle predefinite (Default User e All Users) o per lo meno non deve contenere cartelle di profili di utenti che si loggeranno usando le credebziali di dominio.

Sicurezza di un server Windows NT/2000.
Questo documento è una raccolta di “raccomandazioni” per il rafforzamento della sicurezza di sistemi Windows NT4 e 2000 e vuole essere il giusto compromesso tra sicurezza e affidabilità del sistema.
Informazioni aggiuntive riguardo l’installazione sicura di server Windows NT si possono trovare sul sito: http://www.microsoft.com/security.
Raccomandazioni:
- In fase d’ installazione scegliere come tipo di file system “NTFS” e una %system-root% diversa da quella proposta solitamente. (WinNT o Windows)
- rinominare l'account administrator
- creare il gruppo “Account-Applicativi” e disabilitare il diritto di Log On Locally per questo gruppo
(Questo gruppo conterra tutti gli account applicativi con la restrizione di cui sopra per evitare che un account applicativo possa essere usato per collegarsi in consolle o via terminal server)
Da start > Programs > Administrative Tools > Local Security policies (se è Stand Alone oppure Domain security policy se è un DC):
andare su Local Policy > User right assignement e impostare “Deny Logon Locally” per il gruppo appena creato.
- Impostare una password di protezione dello screen saver
- Disabilitare servizi inutili a secondo dei casi:
Per tutti i server (con le dovute eccezioni) vanno disabilitati i seguenti servizi:
- IIS Manual
- W3svc Disable
- MSFTPSV Disable
- SMTP Disable
- DHCP Client Disable
- Remote Registry Service Disable
- Messanger Disable
- Alerter Disable
- Automatic Updates Disable
- Telnet Disable
- IPSec Policy Agent Disable
N.B Su tutte le macchine i seguenti servizi SONO INDISPENSABILI:
- DNS Client
- EventLog
- Logical Disk Manager
- Plug & Play
- Protected Storage
- Security Account Manager
- Server
- Workstation
Inoltre su tutti i DC 2000 SONO INDISPENSABILI anche:
- DNS Server
- File Replication Service
- Kerberos Key distribution Center
- Net Logon
- NT LM Service Provider
- RPC Locator
- Windows Time
Stoppare inoltre tutti i servizi di terze parti non usati (Eventuali agent installati con eventuali installazioni di tipo assistito)
Subito dopo l'installazione è opportuno azzerare i privilegi esistenti per tutte le partizioni logiche di tutti i dischi in modo da rimuovere ogni occorrenza del gruppo EveryOne ed impostare i privilegi così come indicati in tabella, utilizzando l’opzione di che consente la propagazione dei nuovi privilegi a tutti i file e le sottocartelle:

 

Administrators

Authenticated Users

Creator Owner

System

Full Controll

Yes

 

Yes

Yes

List Folder Contents

 

Yes

 

 

Modify

 

Yes

 

 

Read and Execute

 

Yes

 

 

Read

 

Yes

 

 

Write

 

Yes

 

 

 


 

 

 

Al termine di queste due fasi è possibile impostare i permessi per le cartelle dei vari utenti nel modo più appropriato.
- Attivare SysKey su NT 4 (c'e' con SP3 ma non è abilitato di default cripta il SAM con algoritmo a 128 Bit anziché 40)
- Audit Event (security)
- impostazione spazio allocato 25024 mb e overwrite quando necessario
- Audit Account Logon Events = Succes /Failure
- Audit account management = Succes /Failure
- Audit Logon Events = Succes /Failure
- Audit policy change = Failure
- Audit system events = Succes /Failure
- Disabilitare funzionalità NULL - SESSION (Evita che un utente anonimo possa raccogliere informazioni aggiuntive su utenti, condivisione etc)
Impostare la chiave "RestrictAnonymous" presente nel ramo
HKLM\SYSTEM\CurrentControlSet\Control\LSA al valore:
- Non consentire l'enumerazione account e condivisioni SAM
Impostando questa chiave ad 1 si limitano le funzionalità Null-Session , per disabilitarle totalmente impostarla al valore 2.
Su alcuni sistemi non è consigliabile impostare questo valore a 2; per maggiori informazioni consultare il Q246261 della Microsoft Knowledge Base.
- Disabilitare la visualizzazione dell' ultimo utente che ha effettuato Logon serve per i software di controllo remoto
Impostare la chiave DontDisplayLastUserName =1 presente nel ramo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon
- Rimozione del Paging Files al riavvio del server
Windows fa uso del Paging File per creare memoria virtuale; spesso però in memoria vengono scritte informazioni sensibili che potrebbero essere di aiuto ad un malintenzionato. Per svuotare il Paging File ad ogni riavvio del server
Impostare la chiave ClearPageFileAtShutdown =1 presente nel ramo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\control\
Session Manager\Memory
- Parametri TCP/IP
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\
Impostare o creare le seguenti chiavi (DWORD) :
SynAttackProtect = 2
(Adegua la ritrasmissione SYN-ACK . Time Out delle risposte di
connessione è piu' breve)
TcpMaxConnectResponseRetransmissions = 2
TcpMaxDataRetransmissions = 3
TCPMaxPortsExhausted = 5
- Parametri NetBios
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
impostare o creare le seguente chiave :
RestrictNullSessAccess = 1 (DWORD)
(Limita l'accesso tramite session Null agli utenti non autenticati ad
eccezione di quelle elencate nelle voci NullSessionPipes e
NullSessionShares)
- Disabilitare solo se NON necessarie le default shares
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
impostare a 0 la seguente chiave :
AutoShareServer = 0
- Importante: Prima di rimuovere le default shares leggere attentamente l’ articolo MS KB318751 della Knowledge Base
- Rimozione chiavi sottosistema POSIX /OS2
(Importante: il sottosistema Posix/OS2 è usato da MS Service For Unix , quindi se sul server c’e’ SFU NON effettuare questa modifica)
Rimuovere le seguenti chiavi :
Optional
OS/2
POSIX
dal registro:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
- cancellare anche i seguenti files da %SystemRoot%\system32\dllcache:
os2.exe
os2ss.exe
os2srv.exe
e da %SystemRoot%\system32
os2.exe
os2ss.exe
os2srv.exe
psxss.exe
posix.exe
posixdll.dll
e tutti i files contenuti nella directory os2 eccetto le DLL e le sottodirectory
- Account
aggiungere la chiave:
ForceUnlockLogon = 1 (DWORD)
al ramo:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
(Questo fa si che qualsiasi modifica apportata ad un account venga applicata immediatamente)
Altre raccomandazioni:
- Utilizzare Microsoft Base Analyzer o HFNetCheck per verificare il livello di patch del proprio sistema.
- Configurare il servizio di Windows Update o SUS per il controllo di eventuali aggiornamenti rilasciati da Microsoft .
- Installare un Firewall o in alternativa configurare IPFilter di Windows.
- Installare un software di Anti-Virus
- Se serve cifrare le comunicazioni fra i vari server valutare l’installazione di IP-SEC.
- Disabilitare da bios la possibilità di fare il boot da CD-Rom o floppy.
- Proteggere l’accesso al bios con una password.
- Utilizzare password complesse e pianificare cambiamento ogni 60 giorni.
- Internet Information Server 4.0/5.0
- Modificare le permission su tutte le root dei vari web site assegnando all’ utente IUSR_Nomemacchina o l’utente che starta l’istanza web le permissions di: Read, Execute, Read, List
- spostare la Root di IIS (\InetPub) se iis è gia installato
- spostare la Root di IIS (\InetPub) con un installazione unattended :
- creare un file di unattended setup per iis
- Sysocmgr /i:%windir%\inf\sysoc.inf /u:c:\iisunattended.txt
Contenuto de file iisunattended.txt:
[Components]
iis_common=on
iis_inetmgr=on
iis_www=on
iis_ftp=on
iis_htmla=on
iis_doc=on
iis_pwmgr=on
iis_smtp=on
iis_smtp_docs=on
mts_core=on
msmq=off
[InternetServer]
PathFTPROOT=d:\Inetpub\FtpRoot
PathWWWRoot=d:\Inetpub\WWWRoot
- rimuovere le seguenti sottocartelle create in \InetPub :
AdminScripts
iissamples
scripts
_private
_vti_log
images
- Stoppare le istanze :
- Default Web Site
- Default FTP Site
Non configurare MAI istanze web su quelle gia’ presenti (Default WebSite) ma crearne di nuove.
- Da master properties parte WWW:
- spostare i file di log in una altra posizione / partizione
- Tab Home directory - pulsante Configuration, tab Add Options:
disabilitare Eneble parent paths
- Tab Home directory nel caso sia abilitato disablitare Directory Browsing
- Tab Home directory impostare Execute permission a None o Script only
- Rimuovere i seguenti mappings dal tab Home Directory > Add Mappings: (o i mappings non usati)
- htw , ida , idq (Index Server)
- Da master properties parte FTP:
- spostare i file di log in una altra posizione / partizione
- Tab Security Accounts : disabilitare accesso anonimo.
- Da properties parte SMTP:
- spostare i file di log in una altra posizione / partizione o disabilitare questa funzionalità
- Tab Access - pulsante connection - Only the list below : inserire l'ip del server.
- Tab Access - pulsante relay - Only the list below : inserire l'ip del server.
Altre raccomandazioni:
- Rimuovere con il tool Microsoft UrlScan il banner web di IIS.
- Valutare l’installazione di Microsoft UrlScan
- Valutare l’applicazione di Microsoft IIS Lockdown Tool kit
N.B.
Alcune modifiche apportate alla configurazione di IIS presenti in questo documento sono implementate direttamente dal Microsoft Lockdown Tool.
Questo NON è il documento Microsoft Ufficale sulla sicurezza dei sistemi Windows NT ma solo una raccolta di raccomandazioni sull’installazione sicura di un server.

DNS: che cos'è e come si integra con Windows2000
Il concetto di DNS (Domain Name System - RFC952) di Windows2000, è completamente diverso da quello di WindowsNT.
Una workstation Windows2000 che ha la necessità di contattare una risorsa, cerca il nome di quest'ultima nel DNS, in modo tale da risalire al suo indirizzo IP. Ma non solo, una workstation Windows2000 utilizza il DNS anche per fare il logon su un dominio (e quindi per contattare un Domain Controller).
Il sistema DNS svolge un ruolo fondamentale, ed è indispensabile, per il corretto funzionamento di un dominio Windows2000.
Risoluzione dei nomi
E' la conversione da nome dominio a indirizzo IP (es. www.sysadmin.it -> 62.149.130.108).
In principio, la conversione dei nomi, non veniva gestita dai DNS, ma tramite un file chiamato hosts (presente in %systemroot%/system32/drivers/etc). Con il passare del tempo, e con l'aumentare vertiginoso di server presenti su internet, diventava però impossibile aggiornare questo file. Fortunatamente, grazie al sistema DNS, questa operazione non si rende più necessaria.
Il server DNS è chiamato anche "server dei nomi" e può osservare quattro ruoli diversi:
1. Server di zona primario (DNS Primario)
E' quello che crea la zona e si dice che è quello "autoritativo" per quel dominio (ovvero la zona è su quel server). Il file di zona è un file di testo e contiene la corrispondenza tra IP e nome host, il mail server, etc.
2. Server di zona secondario (DNS secondario)
Il server secondario conserva una copia delle zone esistenti sul server primario, in caso quest'ultimo non sia disponibile. Inoltre fà si che il carico sia bilanciato.
3. Server master
Fornisce un elenco di file di zona ai server secondari, questo processo si chiama trasfer zone.
4. Server di cache
Non conservano file di zona al proprio interno, quando vengono interrogati fanno riferimento al server dei nomi, e mettono in le informazioni nella cache, in modo tale che la successiva risposta sia più veloce poichè non necessita di trasferimento di zone. Di solito vengono installati all'estremità di una WAN lenta.
Quando un server riceve una richiesta per un dominio non "autoritativo", interroga altri "name server" e le richieste che fanno possono essere di tre tipi:
1. Richieste ricorsive
Si ha quando un client interroga il suo "name server" chiedendo una risoluzione assoluta del nome di un indirizzo IP
2. Richieste Iterative
Sono richieste di risoluzione di nomi "parziali". Viene fatta, di solito, tra server di nomi.
3. Richieste inverse
Avviene quando si vuole risolvere l'indirizzo IP in un nome host. In questo caso il DNS ha una zona chiamata "in-addr.arpa" o reverse zone, in cui è riportato un elenco con gli indirizzi IP e i nomi host corrispondenti
Come funziona la distribuzione gerarchica
Per sapere se un dominio è stato registrato, si può effettuare un'interrogazione al database di un'autorità preposta alla registrazione di domini (per esempio Network Solutions). Sul questo DB però, non si troveranno informazioni sul dominio ricercato. Quindi, non si potrà sapere se all'interno del dominio (per esempio sysadmin.it) è presente il computer test.sysadmin.it. Questo perchè, tutto quello che avviene all'interno del dominio sysadmin.it non è di competenza dell'autorità che registra i domini. Tutto quello di cui ha bisogno quest'ultima, è sapere il nome del responsabile del dominio (admin-c) e dei due computer che fungeranno da DNS server (detti anche server autoritativi) per quel dominio.
Ma vediamo bene come funziona la gerarchia DNS. Supponiamo che una macchina del dominio icmp.it, voglia raggiungere via browser il dominio www.sysadmin.it, ecco passo per passo quello che succede:
1. Il browser interrogherà il DNS locale (quello di icmp.it) per conoscere l'indirizzo IP di www.sysadmin.it
2. Il DNS locale, non conoscendo l'ip, a sua volta girerà la richiesta ai DNS radice (server esterni che conoscono tutti i DNS dei domini Internet)
3. La richiesta verrà presa in carico da uno dei server radice, e quest'ultimo risponderà di non conoscere l'IP richiesto, ma di sapere l'IP dei due server DNS autoritativi del dominio sysadmin.it
4. A questo punto il DNS locale (quello di icmp.it) contatta i DNS di sysadmin.it e gli richiede l'IP di www.sysadmin.it
5. Il DNS di sysadmin.it risponde comunicando l'IP di www.sysadmin.it, completando la risoluzione
Come aggiungere un nuovo host al fine di zona
Per aggiungere un nuovo host (record) al fine di zona di un server DNS, è molto semplice grazie all'interfaccia grafica di Windows. In ambienti non Microsoft, Bind è quella più famosa, si deve editare un file ASCII.
Il DNS di Windows2000, supporta lo standard DDNS (Dynamic Domain Name System - RFC2136), che consente agli host Windows2000 di essere aggiunti automaticamente al file di zona del DNS locale.
Aggiunta di livelli al nome di dominio
Come detto prima, la struttura dei nomi è completamente gerarchica. Vediamo un altro caso:
Supponiamo di avere due sedi, una a Roma e l'altra a Milano, e ogni sede debba utilizzare un proprio DNS locale. In questo caso risulterebbe comodo aggiungere un ulteriore livello ai nomi delle macchine del dominio sysadmin.it: roma.sysadmin.it e milano.sysadmin.it. A questo, il server principale sysadmin.it terrà conto del fatto che ora ci sono altre due zone con i rispettivi server autoritativi.
Quindi la macchina della Redazione di Roma si chiamerà redazione.roma.sysadmin.it e quella di Milano si chiamerà redazione.milano.sysadmin.it.
Allo stato attuale, una query fatta da icmp.it, per richiedere l'IP di redazione.roma.sysadmin.it, seguirebbe questo percorso:
1. Il DNS di icmp.it interroga un database di un'autorità preposta alla registrazione di domini, per sapere l'IP dei server DNS di sysadmin.it
2. Il DNS di sysadmin.it, che non conosce l'IP di redazione.roma.sysadmin.it, reindirizzerà la richiesta al DNS di Roma
3. Il DNS di Roma, risponderà con l'IP di redazione.roma.sysadmin.it
Gli esempi riportati finora fanno riferimento ad una reta collegata ad Internet, ma il l'essenza discorso non cambia se tale distribuzione gerarchica viene applicata ad una rete LAN/WAN.
Il DNS e la posta elettronica
Il sistema DNS viene anche utilizzato anche per individuare i sistemi di posta elettronica installati su un dominio. Questa ricerca è resa possibile dall'inserimento di un record, chiamato record MX (Mail eXchanger), nel file di zona, che fornisce il nome della su cui è installato un server di posta.
Ridondanza dei server DNS
Al fine di garantire un'adeguata affidabilità e fault-tolerance del servizio DNS, è opportuno installare un DNS primario e un DNS secondario, e settarli entrambi sugli host.
La replica delle variazioni fatte sul file di zona avviene in modo automatico dal DNS primario al secondario. Se un host effettua una query sul DNS secondario, quest'ultimo risponderà usando la copia del proprio file di zona. il file di zona del DNS secondario è caratterizzato da un TTL (Time To Live): se non viene aggiornato (dal DNS primario) entro questo periodo di tempo (si solito 24 ore), il DNS secondario considera le proprie informazioni scritte sul file di zona obsolete e le ignora.
E' il Record SOA (State of Authority) a stabilire qual'è il DNS Primario e il Secondario. Su questo record, inoltre, viene riportato il TTL del DNS secondario e gli indirizzi di posta elettronica dei contatti tecnici del dominio.
In un dominio si può avere un solo DNS Primario e infiniti DNS Secondari.
DNS e Active Directory
Per operare con Windows2000, e per sfruttare appieno le potenzialità di Active Directory (clicca qui per leggere la guida), i server DNS devono rispettare i seguenti requisiti:
1. Devono supportare le specifiche contenute nell' RFC2052 (descrive la possibilità di interrogare altri tipi di server attraverso un nuovo tipo di record DNS: un record SRV)
2. Devono supportare le specifiche contenute nell' RFC2136 (DDNS)
Queste due specifiche non vengono supportate solo dal DNS di Microsoft, ma anche da altri server DNS come BIND (ultima versione).
Il server DNS, deve anche poter supportare i nomi di host che usano il carattere underscore, poichè quest'ultimo è utilizzato da molti record creati da Active Directory.

Configurazione dominio e utenti win2k3
Per prima cosa, prima di aggiungere un client ad un dominio 2003 è sempre meglio accertarsi che:
1. I client siano con Win2k/XP, con vecchie versioni di Windows, il funzionamento all'interno del dominio non sarà ottimale
2. I sistemi operativi dei client siano aggiornati con gli ultimi service pack disponibili, in questo modo si ha una maggiore stabilità e compatibilità con il sistema.
3. I client siano privi di virus ed altre porcherie che potrebbero intaccare il resto della rete
Il server che sarà configurato, avrà la funzione di Controller di Dominio, detto anche PDC. Dopo aver installato il sistema operativo nel server, è necessario procedere alla configurazione del dominio.
1. Aggiungere al dominio tutti i PC client presenti nella intranet
2. Configurare il DNS primario nei client usando l'indirizzo del PDC (controller di dominio, il server)
3. Creare gli utenti sul server tramite la procedura standard
4. Nel caso si necessiti dei profili con il roaming è necessario effettuare dei passi aggiuntivi:
* Creare una directory "Profili" ed impostare i seguenti permessi: "controllo completo" per il gruppo di utenti "domain admins" e "sola lettura" per il gruppo di utenti "domain users"
* Condividere la directory "Profili" con i seguenti permessi nella condivisione: "controllo completo" per il gruppo "domain admins" e "lettura + scrittura" per il gruppo di utenti "domain users".
* A questo punto si devono creare le sotto-directory degli utenti all'interno della directory "Profili". Si consiglia di usare lo stesso nome dell'utente. Attenzione: bisogna accertarsi che tali sotto-directory non devono ereditare i permessi della directory padre ("Profili").
* Impostare quindi il "controllo completo" per il gruppo "domain admins" e "lettura + scrittura" per l’utente al quale sarà assegnata la directory.
5. Per ogni utente, è necessario impostare nella scheda profilo (pannello di controllo > XXX > utenti e gruppi di AD) il percorso della directory creata in precedenza:
\\srvpdc\profili\%username%
6. Per gli utenti che hanno l’accesso al servizio terminal, bisogna aggiungerli al gruppo “remote operators”
7. Per ogni utente, nella scheda del profilo relativa alla configurazione per terminal server, è consigliato disabilitare quelli che non hanno il permesso di collegarsi tramite i servizi terminal.
8. E' importante poi stabilire se è necessario disabilitare il servizio di quote disco dalle unità presenti sul server (Risorse del Computer > tasto destro sull'unità da configurare > scheda “Quote”)
9. Nel caso in cui si desideri migrare degli utenti già presenti nei client, è necessario trasferire gli account locali nel server. Per fare questo bisogna eseguire il trasferimento dell’account locale verso il server da ogni PC.
Tramite la scheda "Profili utenti" raggiungibile dalle "Proprietà" di "Risorse del computer", selezionare il profilo da trasferire e premere il pulsante "Copia in". Nelle opzioni del wizard selezionare come utenti “Autorizzati ad usare...” l’utente di dominio relativo
10. Per garantire il corretto funzionamento dei client è necessario impostare i diritti del disco principale di ogni client (C:\) e di tutte le sotto-directory, con i permessi di lettura e scrittura al gruppo "domain users".
11. Per aumentare la sicurezza si consiglia anche di togliere dalla directory del profilo utente memorizzato in locale nei client (sotto la directory "Document and settings") i permessi per "domain users" e dare i permessi di lettura e scrittura all’utente di dominio relativo
12. In un ambiente di dominio, il software di masterizzazione "Nero Burning Rom" di default non permette agli utenti del gruppo "domain users" di utilizzare il masterizzatore, tramite l'utility "Nero Burning Rights" è possibile configurare correttamente i permessi necessari. Con gli altri software di masterizzazione invece non ho mai provato, se qualcuno ha qualche suggerimento, i commenti sono aperti :-)
13. Un ultimo suggerimento è quello di dare la possibilità agli utenti del dominio di aggiornare data/ora locali, capita infatti spesso che gli utenti hanno infatti necessità di modificare l'orologio di sistema che di default è gestito dal PDC.

Disattivare Desktop remoto utilizzando Criteri di gruppo
Sommario
Desktop remoto è una nuova funzionalità presente in Windows XP Professional che consente di effettuare la connessione remota a un computer, funzionando come se l'utente fosse seduto alla console. In questo articolo viene descritto come disattivare Desktop remoto utilizzando il criterio di gruppo locale del computer.
NOTA: Desktop remoto non è disponibile in Windows XP Home Edition.
Informazioni
Per utilizzare il criterio di gruppo locale del computer per disattivare Desktop remoto:
1. Fare clic sul pulsante Start, scegliere Esegui, digitare gpedit.msc, quindi scegliere OK.
2. Nella finestra Criterio gruppo espandere Configurazione computer, Modelli amministrativi, Componenti di Windows, quindi espandere Servizi terminal.
3. Fare doppio clic sul criterio Non consentire nuove connessioni client.
4. Scegliere l'impostazione Attivata, quindi scegliere OK.
È inoltre possibile utilizzare la procedura illustrata di seguito per disattivare Desktop remoto. Utilizzando invece la procedura descritta in precedenza la seguente configurazione verrà ignorata:
1. Fare clic con il tasto destro del mouse su Risorse del computer, quindi scegliere Proprietà.
2. Scegliere la scheda Connessione remota.
3. Nella sezione Desktop remoto deselezionare Consenti agli utenti di connettersi in remoto al computer, quindi scegliere OK.
NOTA: in Windows XP Professional Desktop remoto viene disattivato in base all'impostazione predefinita.

Come tenere la traccia di logon/logoff utenti
Sommario
Il seguente articolo consentirà di tenere la traccia di logon/logoff utenti
Suggerimenti
Il controllo
< / > L'AVANZARE
Option 1:
1 Attivare Controllo al livello di dominio utilizzando Criteri di gruppo:
Criterio Policies/Audit Settings/Local Settings/Security Computer Configuration/Windows < BR / > < BR / > Qui </STRONG> è due tipi del controllo di quell'indirizzo che accede, esse sono Controlla eventi di accesso e Audit Account Logon Events.
Il controllo "eventi di accesso" registra l'accesso nel PC della destinazione del criterio e i risultati si visualizzano nel Registro protezione in quello PC.
È inserito dagli accessi di brani di controllo Eventi di "accesso" degli account al dominio e ai risultati solo nel Registro protezione nei controller di dominio
2 Creare uno script di accesso sull'account domain/OU/user richiesto con il seguente contenuto:
echo % di % di data, % di % di tempo, % di % nomecomputer, % di % username, % di % nomesessione, % di % logonserver >
\\SERVER\SHARENAME$\LOGON.LOG
3 Creare uno script di disconnessione sull'account domain/OU/user richiesto con il seguente contenuto:
echo % di % di data, % di % di tempo, % di % nomecomputer, % di % username, % di % nomesessione, % di % logonserver >
\\SERVER\SHARENAME$\LOGOFF.LOG
Nota : quello tiene presente per che questi script il requisito possono essere che gli utenti non autorizzati modifichino
Il $ NOMECONDIVISIONE sarà scrivibile da parte degli utenti.
Opzione 2:
Utilizzare WMI/ADSI per richiedere ogni controller di dominio per gli eventi logon/logoff.

Creare un account utente locale
Per creare un account utente locale
1. Aprire Gestione computer.
2. Nella struttura della console fare clic su Utenti.
Percorso
* Gestione computer/Utilità di sistema/Utenti e gruppi locali/Utenti
3. Scegliere Nuovo utente dal menu Azione.
4. Digitare le informazioni appropriate nella finestra di dialogo.
5. Selezionare o deselezionare le seguenti caselle di controllo:
* Cambiamento obbligatorio password all'accesso successivo
* Cambiamento password non consentito
* Nessuna scadenza password
* Account disabilitato
6. Fare clic su Crea e quindi fare clic su Chiudi.
Note
* Per eseguire questa procedura, è necessario essere membri del gruppo Power Users o Administrators nel computer locale oppure disporre della delega per l'autorità appropriata. Se il computer fa parte di un dominio, i membri del gruppo Domain Admins potrebbero essere in grado di eseguire questa procedura. Per una protezione ottimale, è consigliabile eseguire questa procedura tramite la funzionalità Esegui come. Per ulteriori informazioni, vedere Gruppi locali predefiniti, Gruppi predefiniti e Utilizzo di Esegui come.
* Per aprire Gestione computer, fare clic sul pulsante Start, scegliere Pannello di controllo, fare doppio clic su Strumenti di amministrazione e quindi su Gestione computer.
* È necessario che un nome utente sia diverso da tutti gli altri nomi di utente o gruppo presenti nel computer amministrato. Può contenere un massimo di 20 caratteri maiuscoli o minuscoli, a eccezione dei seguenti:
" / \ [ ] : ; | = , + * ? < >
Un nome utente non può essere costituito solo da punti (.) o spazi.
* In Password e Conferma password è possibile digitare una password contenente un massimo di 127 caratteri. Se però la rete è composta di computer con sistemi operativi Windows 95 o Windows 98, utilizzare password non più lunghe di 14 caratteri. Se la password è più lunga, potrebbe essere impossibile stabilire una connessione alla rete da questi computer.
* L'utilizzo di password complesse e criteri appropriati per le password possono contribuire alla protezione del computer da eventuali attacchi.

Creare un profilo utente preconfigurato
Per creare un profilo utente preconfigurato
1. Creare un nuovo account utente che verrà utilizzato come modello per il profilo utente preconfigurato.
Per ulteriori informazioni, vedere Creare un account utente locale.
2. Per configurare il profilo di questo utente per il relativo modello, accedere in base al nuovo account utente, personalizzare il desktop e installare applicazioni.
3. Disconnettersi dal computer e accedere nuovamente come amministratore.
4. Aprire Sistema nel Pannello di controllo.
5. Nella scheda Avanzate fare clic su Impostazioni nel gruppo Profili utente.
6. In Profili memorizzati su questo computer selezionare l'utente creato al passaggio 1, quindi fare clic su Copia in.
* Se si desidera disporre di un profilo predefinito a livello di dominio, immettere il percorso NETLOGON\Default User nel controller di dominio per creare il profilo utente predefinito per il dominio.
* Se si desidera cambiare il profilo predefinito solo per il computer locale, copiare il profilo nella cartella systemroot\Documents and Settings\Default User.
7. Nel gruppo Autorizzati a usare della finestra di dialogo Copia in fare clic su Cambia.
8. Nella finestra di dialogo Seleziona utenti, computer o gruppi digitare Everyone nella casella Immettere il nome dell'oggetto da selezionare.
In questo modo il profilo verrà impostato come profilo predefinito per tutti gli utenti nel dominio.
Attenzione
* Se si utilizza un profilo comune e si installa un programma in un computer mentre si è connessi a un altro computer, è possibile che nel profilo comune vengano sovrascritte impostazioni del Registro di sistema fondamentali relative ai programmi, che di conseguenza non potranno essere eseguiti.
Ad esempio, si supponga di essere connessi al computer A e al computer B, se si installa un programma nel computer B e quindi ci si disconnette dal computer B, in questo computer verranno memorizzati i collegamenti dell'applicazione e verranno salvate le impostazioni del Registro di sistema nel profilo comune. Il computer A non riceverà le informazioni di profilo aggiornate fino a quando l'utente non si disconnette e si riconnette nuovamente.
Quando ci si disconnette dal computer A, tuttavia, nel computer il Registro di sistema memorizzato nel profilo comune, che inizialmentre include la registrazione MSI di Microsoft Windows Installer per il programma installato nel computer B, viene aggiornato in base alle informazioni di registro non aggiornate provenienti dal computer A. I collegamenti del programma rimarranno nel profilo comune, ma i dati di Windows Installer memorizzati nelle impostazioni del Registro di sistema verranno persi e di conseguenza il programma non potrà essere eseguito.
È possibile ripristinare il profilo comune ripristinando o reinstallando il programma nel computer B oppure installando il programma nel computer A.
Note
* Per eseguire questa procedura è necessario essere membri del gruppo Administrators nel computer locale oppure disporre della delega per l'autorità appropriata. Se il computer fa parte di un dominio, i membri del gruppo Domain Admins potrebbero essere in grado di eseguire questa procedura. Per una protezione ottimale, è consigliabile eseguire questa procedura tramite la funzionalità Esegui come.
* Per aprire Sistema, fare clic sul pulsante Start, scegliere Pannello di controllo e quindi fare doppio clic su Sistema.
* Per aprire Sistema dalla riga di comando con diritti di amministratore, digitare quanto segue:
runas /user:nomecomputer\Administrator "rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl"
* Non è possibile copiare o eliminare un profilo utente associato all'utente attualmente connesso o a un utente il cui profilo è in uso.
* Al primo accesso dell'utente al sistema viene caricata la copia del profilo utente preconfigurato disponibile sul server anziché la copia del profilo predefinito disponibile nel computer locale. Successivamente il profilo utente funzionerà come un profilo utente comune standard. Alla chiusura di ciascuna sessione, oltre ad essere salvato localmente, il profilo viene copiato sul server.
* I sistemi operativi della famiglia Windows Server 2003 non supportano l'utilizzo di file crittografati con profili utenti comuni.
* I profili utente comuni utilizzati con i client Servizi terminal vengono replicati sul server solo dopo la chiusura della sessione interattiva.

Installazione Remota con Windows 2003 Server (Server RIS)

Installare e Configurare un Server RIS

In questo tutorial vedremo come installare e configurare i Servizi di Installazione Remota (RIS) di Windows Server 2003. Per mezzo di questi servizi, è possibile installare - attraverso una rete locale - un sistema operativo su computer che ne sono privi e che abbiano - come unico requisito - quello di possedere una scheda di rete che supporti l’avvio remoto tramite il Pre-Boot eXecution Environment (PXE) o che, in alternativa, vengano avviati tramite un disco floppy di avvio remoto e dispongano di una scheda di rete supportata da tale disco. In questo tutorial mostrerò anche come creare il suddetto disco tramite l’utility rbfg.exe (Remote Boot Floppy Generator).

Nella prima parte del tutorial installerò un’immagine di Windows XP Professional sul server RIS utilizzando come fonte un CD di installazione di Windows XP; successivamente installerò il Windows XP precedentemente installato sul server RIS, su di un client privo di sistema operativo e dotato di una scheda di rete compatibile con il Pre-Boot eXecution Environment.

Nella seconda parte del tutorial utilizzerò l’utility riprep.exe (Remote Installation Preparation Wizard) per installare una seconda immagine sul server RIS. Questa immagine verrà creata a partire da un’installazione di Windows già esistente e completa di tutti i software necessari come ad esempio il Microsoft Office 2003 Professional.

Per poter installare i servizi RIS sul server, è necessario installare e configurare prima i seguenti servizi:
  1. Active Directory
  2. DNS Server
  3. DHCP Server
  4. Nuova Partizione formattata con file system NTFS in aggiunta a quella di Boot
Da notare che il servizio DHCP può essere installato anche su un server diverso da quello in cui verranno installati i servizi RIS. Per ragioni di spazio, in questo tutorial non mostrerò come installare e configurare i servizi Active Directory, DNS e DHCP. Per saperne di più sull’installazione e la configurazione di questi servizi, potete visionare i relativi tutorial presenti in questa stessa sezione.

Sul server è necessario anche inserire preventivamente un account utente per ogni client che utilizzerà il servizio di installazione remota. Per questo tutorial ho creato l’account “Client3” al quale ho assegnato i diritti di amministratore per evitare problemi durante e dopo l’installazione del sistema operativo. Una volta installato il sistema operativo e tutti i software necessari, si potranno rimuovere i diritti di amministratore al suddetto account.

Vediamo di fare un pò di chiarezza sui nuovi Servizi di Distribuzione Windows (WDS) che hanno sostituito i precedenti Servizi di Installazione Remota (RIS).

Innanzitutto bisogna dire che questa variante è stata inserita nel Service Pack 2 di Windows Server 2003 ma esiste un pacchetto di aggiornamento "standalone" che può essere installato anche su sistemi privi del Service Pack 2.

Detto questo, vediamo di chiarire alcuni punti fondamentali:

  1. I Servizi di Distribuzione Windows possono essere configurati in 3 differenti modalità operative: Legacy, Mista e Nativa;
  2. La modalità operativa impostata per default, dipende in maniera diretta dalla presenza o meno dei Servizi RIS sul server prima dell'aggiornamento;
  3. La modalità operativa può essere cambiata in qualsiasi momento tramite appositi comandi inviati da console.
Per poter installare i Sistemi Operativi precedenti a Windows Vista e Windows Server 2008, è necessario configurare i servizi in modalità "Legacy" oppure in modalità "Mista". In modalità "Legacy" i servizi WDS funzionano esattamente come i precedenti servizi RIS, mentre in modalità "Mista" è possibile installare sia immagini compatibili con i vecchi servizi RIS, sia le nuove immagini in formato .wim.

Ora vediamo quali sono i comandi più importanti:
Visualizzare la modalità operativa dei Servizi di Distribuzione Windows:     WDSUTIL /get-server /show:config
De-Inizializzare i Servizi di Distribuzione Windows:     WDSUTIL /uninitialize-server
Impostare la modalità operativa "Legacy":     RISETUP
Impostare la modalità operativa "Mista":     RISETUP WDSUTIL /initialize-server /REMINST:"D:\RemoteInstall"
Impostare la modalità operativa "Nativa":
WDSUTIL /initialize-server /REMINST:"D:\RemoteInstall"

Policies di registrazione (Monitorare i tentativi di accesso al computer e modificare le sue impostazioni)
http://windowshelp.microsoft.com/Windows/it-IT/help/8de05792-3165-416f-828a-422e9d463cd31040.mspx
Monitorare i tentativi di accesso al computer e modificare le sue impostazioni
Per eseguire questa procedura, è necessario essere connessi al computer come amministratore.
Per migliorare il livello di protezione del computer è possibile monitorare (o controllare) ciò che avviene sul computer. Attraverso il controllo del computer è possibile scoprire se qualcuno è riuscito ad accedere al computer oppure se qualcuno ha creato un nuovo account utente, ha modificato i criteri di protezione o ha aperto un documento. Questo controllo non impedisce a un pirata informatico o a un utente che ha un account sul computer di effettuare modifiche, ma segnala semplicemente quando viene effettuata una modifica e da chi. È possibile monitorare i seguenti cinque tipi di eventi: gestione di account, accesso al computer, accesso a oggetti, modifica di criteri ed eventi di sistema. Se si decide di monitorare uno o più di questi tipi di eventi, Windows li registra in un apposito registro che è possibile consultare tramite Visualizzatore eventi.
• Gestione di account
Il controllo di questi eventi consente di scoprire se qualcuno ha modificato un nome di account, abilitato o disabilitato un account, creato o eliminato un account, modificato una password o modificato un gruppo utenti.
• Eventi di accesso
Il controllo di questi eventi consente di scoprire quando qualcuno si connette o si disconnette dal computer (direttamente dal computer stesso o attraverso una rete).
• Accesso al servizio directory
Il controllo di questi eventi consente di scoprire quando qualcuno accede a un oggetto di Active Directory per il quale è stato specificato un elenco di controllo di accesso di sistema (SACL).
• Accesso a oggetti
Il controllo di questi eventi consente di scoprire se qualcuno ha utilizzato un file, una cartella, una stampante o un altro oggetto. Sebbene sia possibile controllare le chiavi del Registro di sistema, non è consigliabile farlo a meno che non si sia particolarmente esperti e si sappia come utilizzare il Registro di sistema.
• Modifica di criteri
Il controllo di questi eventi consente di scoprire eventuali tentativi di modificare i criteri di protezione locali e se qualcuno ha modificato assegnazioni di diritti utente, criteri di controllo o criteri di attendibilità.
• Uso del privilegio
Il controllo di questi eventi consente di scoprire quando qualcuno utilizza un diritto utente.
• Creazione/Chiusura di processi
Il controllo di questi eventi consente di scoprire quando si verificano eventi come l'attivazione di un programma o la chiusura di un processo.
• Eventi di sistema
Il controllo di questi eventi consente di scoprire se qualcuno ha arrestato o riavviato il computer o se un processo o un programma tenta di eseguire un'operazione senza disporre dell'autorizzazione necessaria. Se ad esempio un programma spyware tenta di modificare un'impostazione del computer senza l'autorizzazione dell'utente, il controllo degli eventi di sistema consente di registrare questo tentativo.
Per attivare il controllo degli eventi
1. Per aprire Criteri di protezione locali, fare clic sul pulsante StartImmagine del pulsante Start, digitare secpol.msc nella casella Cerca e quindi fare clic su secpol.‌ Autorizzazioni di amministratore necessarie Se viene chiesto di specificare una password di amministratore o di confermare, digitare la password o confermare.
2. Fare clic su Criteri locali, quindi fare doppio clic su Criteri controllo.
3. Fare doppio clic sul tipo di evento che si desidera controllare.
4. Selezionare la casella di controllo Operazione riuscita o Operazione non riuscita o entrambe, quindi fare clic su OK.
Se si seleziona la casella di controllo Operazione riuscita, Windows registrerà ogni tentativo riuscito di completare il tipo di evento che si sta monitorando. Se ad esempio si stanno monitorando eventi di accesso, ogni volta che qualcuno accede al computer viene considerato un evento di accesso riuscito. Se si seleziona Operazione non riuscita, verrà registrato ogni tentativo non riuscito di accedere al computer. Se si selezionano entrambe le caselle di controllo Operazione riuscita e Operazione non riuscita, Windows registrerà tutti i tentativi di accesso. Il numero di eventi che può essere registrato non può superare un centro limite e se il registro di controllo diventa troppo grande, potrebbe rallentare il funzionamento del computer. Per creare spazio, è possibile eliminare eventi dal registro utilizzando Visualizzatore eventi.
Per monitorare chi apre documenti
1. Fare clic col pulsante destro del mouse sul documento o sul file di cui si desidera tenere traccia, quindi fare clic su Proprietà.
2. Nella scheda Protezione fare clic sul pulsante Avanzate, quindi fare clic su Controllo.
3. Fare clic su Continua. Autorizzazioni di amministratore necessarie Se viene chiesto di specificare una password di amministratore o di confermare, digitare la password o confermare.
4. Fare clic su Aggiungi.
5. In Immettere il nome dell'oggetto da selezionare digitare il nome dell'utente o del gruppo di cui si desidera tenere traccia, quindi fare clic su OK.
Se si desidera monitorare tutti gli utenti o tutti i gruppi, digitare Tutti. Se si desidera monitorare un utente particolare, digitare il nome del computer seguito dal nome utente: computer\nome utente.
6. Selezionare le caselle di controllo relative alle azioni che si desidera controllare, quindi fare clic su OK. Nella tabella seguente vengono descritte le azioni che è possibile controllare.

Azioni controllabili relative a file

Azione Descrizione
Visita cartella/Esecuzione file Tiene traccia di quando qualcuno esegue un file di programma.
Visualizzazione contenuto cartella/Lettura dati Tiene traccia di quando qualcuno visualizza i dati di un file.
Lettura attributi Tiene traccia di quando qualcuno visualizza gli attributi di un file, ad esempio l'attributo Sola lettura o Nascosto.
Lettura attributi estesi Tiene traccia di quando qualcuno visualizza gli attributi estesi di un file. Gli attributi estesi sono definiti dal programma che ha creato il file.
Creazione file/Scrittura dati Tiene traccia di quando qualcuno modifica il contenuto di un file.
Creazione cartelle/Aggiunta dati Tiene traccia di quando qualcuno aggiunge dati alla fine di un file.
Scrittura attributi Tiene traccia di quando qualcuno modifica gli attributi di un file.
Scrittura attributi estesi Tiene traccia di quando qualcuno modifica gli attributi estesi di un file.
Eliminazione sottocartelle e file Tiene traccia di quando qualcuno elimina una cartella.
Eliminazione Tiene traccia di quando qualcuno elimina un file.
Autorizzazioni di lettura Tiene traccia di quando qualcuno legge le autorizzazioni (Regole associate a una risorsa condivisa in una rete, ad esempio un file, una directory o una stampante. Le autorizzazioni possono essere assegnate a gruppi, gruppi globali o singoli utenti.) associate a un file.
Modifica autorizzazioni Tiene traccia di quando qualcuno modifica le autorizzazioni associate a un file.
Diventa proprietario Tiene traccia di quando qualcuno diventa proprietario di un file.
NotaLa selezione della casella di controllo Controllo completo consente di selezionare tutte le azioni controllabili.

Per visualizzare registri di controllo
1. Per aprire Visualizzatore eventi, fare clic sul pulsante StartImmagine del pulsante Start, scegliere Pannello di controllo, Sistema e manutenzione, Strumenti di amministrazione e quindi fare doppio clic su Visualizzatore eventi.‌ Autorizzazioni di amministratore necessarie Se viene chiesto di specificare una password di amministratore o di confermare, digitare la password o confermare.
2. Nel riquadro di spostamento fare doppio clic su WindowsRegistri, quindi fare clic su Protezione.
3. Fare doppio clic su un evento per visualizzarne i dettagli.
Nota. Per eliminare registri, fare clic su Cancella registro nel riquadro Azioni.

Log accessi alle cartelle e file del dominio Windows (Auditing e GPO)
Per controllare l'accesso alle cartelle e files di un File Server Windows 2K è necessario abilitare l'auditing dei criteri di controllo (group policy). Ecco i passi necessari per la gestione di queste GPO:
# Start >> Programmi >> Strumenti di amministrazione
# Criteri di protezione Dominio
# Selezionare. nella struttura ad albero: Impostazioni di protezione > Criteri locali > Criterio Controllo.
I criteri di controllo monitorabili sono:
Controlla accesso agli oggetti
Controlla accesso al servizio directory
Controlla eventi accesso account
Controlla eventi di accesso
Controlla eventi di sistema
Controlla gestione degli account
Controlla tracciato processo
Controlla uso dei privilegi
Modifica del criterio di controllo
# Per ciascun criterio è possibile monitorare tutte le operazioni riuscite e/o fallite, per problemi di intasamento del registro di protezione converrà spuntare solo le operazioni fallite.
# E' possibile ripetere tutto ciò anche a livello del singolo PDC piuttosto che dell'intero Dominio, basta partire da: Start >> Programmi >> Strumenti di amministrazione
# Criteri di protezione Controller di Dominio
Se si decide di monitorare l'accesso agli oggetti (Directory, files, etc...) sarà necessario poi andare a modificare le proprietà di protezione avanzate degli oggetti (in genere cartelle condivise) che si vogliono tenere sott'occhio.
Alla fine eseguire:
c:\secedit /refreshpolicy machine_policy