Windows Server 2008 R2 : Comprendere Utenti e Gruppi Locali (parte 1) – Amministrare Utenti e Gruppi Locali

Anche se si stanno utilizzando Active Directory, hai ancora bisogno di capire come gli utenti locali e gruppi di lavoro. Gli utenti e i gruppi locali svolgono un ruolo chiave non solo per la manutenzione, ma anche per l’amministrazione centrale.

In questa sezione, vedrai come gestire utenti e gruppi locali su entrambe le installazioni server complete di Windows Server 2008 R2 e le installazioni Server Core. Imparerai anche gli utenti/gruppi locali predefiniti e le impostazioni predefinite su questi server e in che modo tali impostazioni influiscono sull’infrastruttura.

1. Scopri utenti e gruppi locali predefiniti

Sia che tu stia lavorando con un’installazione completa di Windows Server 2008 R2 o con Server Core, la gestione dei gruppi locali offre alcune grandi somiglianze. A partire dalle installazioni predefinite, entrambi i sistemi hanno gli stessi utenti e gruppi predefiniti installati.

Sul server Windows Server 2008 R2, per impostazione predefinita sono creati due account utente, Amministratore e Guest.

  • Amministratore è l’account predefinito incorporato per l’amministrazione della macchina locale. L’account Amministratore è per impostazione predefinita l’unico account abilitato.

  • Guest è l’account predefinito integrato per l’accesso guest al sistema; tuttavia, l’account è disabilitato per impostazione predefinita.

La tabella 1 descrive diversi altri gruppi installati di default che è necessario conoscere.

Tabella 1. Gruppi locali predefiniti
Gruppo Definizione e utilizzo
Amministratori Questo gruppo ha accesso illimitato al computer locale. Questo account è l’account principale per eseguire qualsiasi attività su un server. Per impostazione predefinita, l’account amministratore è l’unico membro di questo gruppo.
Operatori di backup Questo gruppo, come suggerisce il nome, è progettato per il backup e il ripristino dei file sul server.
Certificate Service DCOM Access Questo gruppo può connettersi alle autorità di certificazione per la registrazione nell’infrastruttura a chiave pubblica preferita.
Operatori crittografici Questo gruppo è autorizzato e autorizzato a eseguire operazioni di crittografia sul server. Queste impostazioni includono le impostazioni crypto nella politica IPSec del Firewall di Windows, tra le altre impostazioni.
Utenti COM distribuiti Questo gruppo può attivare e lanciare oggetti DCOM sul server. Gli oggetti DCOM vengono utilizzati per le comunicazioni delle applicazioni.
Lettori del registro eventi Questo gruppo può lavorare e leggere i registri eventi locali sul server.
Ospiti Gli utenti di questo gruppo per impostazione predefinita hanno lo stesso accesso del gruppo Utenti, ad eccezione dell’account ospite, che è ulteriormente limitato. Per impostazione predefinita, l’unico account in questo gruppo è l’account Guest disabilitato.
IIS_IUSRS Questo è l’account di gruppo predefinito da utilizzare con Internet Information Services.
Operatori di configurazione di rete Gli utenti di questo gruppo hanno alcuni privilegi amministrativi sulla gestione della configurazione delle funzionalità di rete sul server.
Utenti registro prestazioni Questo gruppo consente agli utenti di pianificare la registrazione dei contatori prestazioni, abilitare i provider di traccia e raccogliere le tracce di eventi per il server locale. Le attività possono essere eseguite localmente o in remoto.
Utenti del monitoraggio delle prestazioni Questo gruppo può accedere ai dati del contatore delle prestazioni locali localmente o tramite amministrazione remota.
Power Users Questo gruppo ha funzionalità amministrative limitate sul sistema ed è principalmente incluso per la compatibilità con i sistemi operativi precedenti.
Operatori di stampa Questi utenti possono lavorare e amministrare le stampanti sul sistema server locale.
Utenti desktop remoti Gli utenti di questo gruppo hanno il diritto di accedere in remoto al server.
Replicator Questo gruppo è progettato per la replica dei file.
Gli utenti Hanno un accesso amministrativo limitato al sistema per impedire ai membri di apportare inavvertitamente modifiche che possono causare modifiche a livello di sistema; tuttavia, gli utenti di questo gruppo possono eseguire e accedere alla maggior parte delle applicazioni.

L’inserimento di account utente in questi gruppi locali consentirà agli utenti di accedere alle autorizzazioni e alle responsabilità appropriate per i gruppi. Il concetto di base dietro l’uso di gruppi consente di assegnare autorizzazioni solo una volta al gruppo, concedendo così autorizzazioni a tutti i membri del gruppo. Questo offre un modo semplice per delegare l’amministrazione per il server. Ad esempio, se si desidera che un utente esegua un backup giornaliero del server, è sufficiente aggiungerlo al gruppo Operatori di backup e gli verranno concessi i diritti necessari per eseguire operazioni di backup e ripristino.

2. Amministrare utenti e gruppi locali

La gestione dei gruppi di utenti locali sul server è solo una questione di caricare lo snap-in corretto per la Microsoft Management Console (MMC). È possibile gestire un’installazione completa del server Windows Server 2008 R2 o un’installazione di base del server. Tuttavia, se si desidera gestire gli utenti e i gruppi locali sull’installazione del core del server con MMC, è necessario farlo da remoto. Ci sono comandi di sistema che consentono di gestire il core del server in locale, e vedrete quei comandi più avanti in questa sezione. Per accedere ai gruppi di utenti locali, si può andare al Pannello di controllo per gestire gli account, o si può preferire uno sguardo più approfondito gli utenti. Vedrai gli utenti locali e gli strumenti di gestione del gruppo per l’installazione completa di server e Server Core nei passaggi seguenti.

  1. Selezionare Start = > Esegui, digitare MMC e premere Invio. Questo carica un MMC vuoto, come mostrato in Figura 1.

    Figura 1. MMC vuoto

  2. Per eseguire il lavoro in qualsiasi MMC vuoto, è necessario caricare lo snap-in appropriato. Per caricare snap-in, selezionare File => Aggiungi/Rimuovi snap-in. Questo caricherà la finestra di dialogo Aggiungi o Rimuovi snap-In, come illustrato in Figura 2.

    Figura 2. Aggiunta di snap-in

    Per gestire utenti e gruppi locali, selezionare lo snap-in Utenti e gruppi locali e fare clic sul pulsante Aggiungi. Si aprirà la finestra di dialogo Scegli macchina di destinazione, come illustrato in Figura 3.

    Figura 3. Macchina di destinazione

    Nel Scegliere la Macchina di Destinazione nella finestra di dialogo, selezionare computer locale per gestire gli utenti sulla macchina che si sta eseguendo il console oppure selezionare il pulsante di opzione Altro Computer e immettere l’indirizzo IP o il nome del computer che si desidera gestire. Questa opzione consente di gestire gli utenti e i gruppi locali su un server remoto come Server Core, se si dispone delle autorizzazioni appropriate. Dopo aver effettuato la selezione, fare clic su Fine per tornare alla finestra di dialogo Aggiungi o Rimuovi snap-In.

  3. Nella finestra di dialogo Aggiungi o Rimuovi snap-In, fare clic su OK per caricare lo snap-in nella MMC. Figura 4 mostra un utenti locali e gruppo MMC.

    Figura 4. Gestione di utenti e gruppi locali

    Dopo aver caricato gli snap-in nella MMC, è possibile salvare la MMC personalizzata per un uso futuro. Per fare ciò, selezionare File => Salva.

Dopo aver caricato MMC per gestire utenti e gruppi locali, è possibile lavorare facilmente con utenti e gruppi. La creazione di ID utente e gruppi, la modifica delle password o altre proprietà può essere eseguita facilmente con l’interfaccia.

2.1. Creare un account utente locale

Quando si crea un account utente locale, si concede all’account l’accesso al server locale, che è un processo semplice:

  1. All’interno degli utenti locali e del gruppo MMC creati nella procedura precedente, fare clic con il pulsante destro del mouse sul contenitore Utenti.

  2. Selezionare Nuovo utente, che visualizzerà la finestra di dialogo Nuovo utente, come mostrato in Figura 5.

    Figura 5. Finestra di dialogo Nuovo utente

  3. Digitare il nome utente, il nome completo e la descrizione facoltativa, nonché la password. La password di default deve seguire i requisiti di complessità della password elencati nella barra laterale “Requisiti password predefiniti”. Inoltre, è possibile contrassegnare l’account disabilitato, se si sa che l’account non sarà in uso per un periodo di tempo. Hai anche le seguenti opzioni per quanto riguarda l’impostazione della password iniziale:

    L’utente deve cambiare la password Al prossimo accesso Questa è l’impostazione predefinita e dovresti considerare di mantenere questa casella di controllo abilitata quando crei un nuovo account utente. L’unica volta che è necessario deselezionare questa casella di controllo è quando l’account che si sta creando sarà un account di servizio per un’applicazione. Questa impostazione consente all’utente di impostare la propria password personale quando accede al sistema la prima volta. Tutto quello che devi fare come amministratore è impostare una password temporanea iniziale per l’utente. Potresti voler conoscere le password per i tuoi utenti nel caso in cui un utente lasci l’azienda o sia in vacanza. In realtà, fino a quando si conosce la password di amministratore, si ha il diritto amministrativo di reimpostare temporaneamente una password e accedere a un account. Anche se è bene avere questa capacità, dovresti esercitarla con cautela e solo quando la situazione lo giustifica.

    L’utente non può cambiare la password Per impostazione predefinita questa impostazione è disattivata e diventa disponibile solo quando si deseleziona l’utente deve cambiare la password Alla prossima impostazione di accesso, menzionata in precedenza. Ciò consente di assicurarsi che la password per l’account non cambi. Questo è anche un bene per gli account di servizio per le applicazioni caricate sul server. Questa impostazione consente inoltre di ignorare qualsiasi criterio di account password della macchina locale.

    La password non scade mai Per impostazione predefinita anche questa impostazione è disattivata e, come l’impostazione precedente, diventa disponibile solo quando l’utente deve cambiare la password Al successivo accesso. L’impostazione, come suggerisce il nome, blocca la password. Questa impostazione consente inoltre di ignorare qualsiasi criterio di password della macchina locale.

  4. Dopo aver compilato il modulo, fare clic su Crea per creare l’account. Se la password non soddisfa i requisiti per la complessità della password, verrà visualizzata la schermata in Figura 6.

    Figura 6. Errore di complessità della password

    Requisiti password predefiniti

    I requisiti password predefiniti sono gli stessi sia per gli account utente locali che per gli account utente Active Directory . I requisiti di password predefiniti per un server Windows Server 2008 R2 sono i seguenti:

    • Non può contenere il nome account dell’utente o di parti del nome completo dell’utente che superi i due caratteri consecutivi

    • Essere di almeno sei caratteri

    • Contenere caratteri appartenenti a tre delle seguenti quattro categorie:

      lettere maiuscole (A–Z)

      lettere minuscole (a–z)

      in Base 10 cifre (0-9)

      caratteri non alfabetici (ad esempio !, $, #, %)

  5. Se non hai più account di utenti locali da creare, fai clic su Chiudi. In caso contrario, ripetere i passaggi 3 e 4 per continuare a creare account locali sul server.

2.2. Creare un gruppo locale

Dopo aver creato gli account utente, è molto probabile che si desideri creare gruppi a cui aggiungere gli utenti. I gruppi, come forse saprete, vengono utilizzati per concedere le autorizzazioni in genere ai file o alle stampanti che si trovano sul server Windows Server 2008 R2. A questi gruppi locali possono essere concessi diritti e autorizzazioni alle risorse solo sul server locale.

  1. All’interno degli utenti locali e del gruppo MMC creati in precedenza, fare clic con il pulsante destro del mouse sul contenitore Gruppi.

  2. Selezionare Nuovo gruppo, che visualizzerà la finestra di dialogo Nuovo gruppo, come mostrato in Figura 7.

    Figura 7. Finestra di dialogo Nuovo gruppo

    Digitare il nome del nuovo gruppo e una descrizione. Per aggiungere immediatamente membri al tuo gruppo, fai clic sul pulsante Aggiungi nella parte inferiore dello schermo. Facendo clic sul pulsante Aggiungi viene visualizzata la finestra di dialogo Seleziona utenti, come mostrato in Figura 8.

    Figura 8. Finestra di dialogo Seleziona utenti

    Per aggiungere utenti, è possibile digitarli nella casella di testo nome. Per verificare l’ortografia dei nomi utente che si desidera aggiungere, è possibile fare clic su Controlla nomi, che verificherà i nomi utente per voi. È inoltre possibile fare clic sul pulsante Avanzate, che espanderà la finestra di dialogo per consentire di elencare tutti gli account utente sul sistema. Questa finestra di dialogo ha un’opzione Trova ora per consentire di elencare rapidamente tutti gli utenti sul sistema. Se si fa clic su Trova ora, verrà visualizzata una schermata simile alla Figura 9.

    Figura 9. Selezione avanzata utenti

  3. Dopo aver fatto clic su Trova ora, verrà visualizzato un elenco di utenti sul sistema, nonché account utente e di gruppo del sistema locale. Selezionare l’utente o gli utenti che si desidera essere nel gruppo. Per selezionare più utenti, è possibile tenere premuto il tasto Ctrl sulla tastiera come si fa clic. È anche possibile selezionare un elenco utilizzando il tasto Maiusc. Se fai clic sull’elemento superiore dell’elenco, tieni premuto il tasto Maiusc e fai clic sull’elemento inferiore dell’elenco, selezionerai tutti gli elementi tra la selezione superiore e inferiore.

Gruppi di identità speciali

È possibile notare che quando si aggiungevano utenti al gruppo, si disponevano di diversi altri account e gruppi che non sono stati creati. Si tratta di gruppi di identità speciali e non è possibile controllare l’appartenenza a questi gruppi. Gli utenti diventano membri di questi gruppi attraverso il corso delle azioni che eseguono sui server o il modo in cui accedono ai server, e l’appartenenza a questi gruppi è temporanea e normalmente cambia dato come l’utente lavorerà con il sistema. I gruppi di sistema possono essere utilizzati per impostare le autorizzazioni in base al modo in cui gli utenti accedono o interagiscono con il server. La tabella 2 elenca alcuni dei gruppi di sistema che potresti incontrare mentre lavori con il server.

I gruppi non elencati nella tabella sono normalmente gruppi di sistema riservati all’utilizzo del sistema operativo e dei servizi in esecuzione sul server Windows Server 2008 R2. In particolare, è necessario prestare particolare attenzione a un account di identità speciale, l’account di SISTEMA. L’account di SISTEMA rappresenta il sistema operativo Windows Server 2008 R2. Mentre lavori con i file sul tuo server e i diritti utente, potresti incontrare l’account di SISTEMA e dovresti lasciare questo account non modificato. Se si apportano modifiche alle autorizzazioni o ai diritti dell’account di SISTEMA sul server, è possibile disabilitare il server, il che potrebbe comportare la reinstallazione del sistema operativo.

Tabella 2. Gruppi di identità speciali
Gruppo Descrizione
Accesso anonimo Rappresenta quando gli utenti non utilizzano credenziali di alcun tipo per accedere al sistema.
Utenti autenticati Gli utenti vengono automaticamente inseriti in questo gruppo quando accedono localmente al sistema. Sfruttare questo gruppo è un ottimo modo per assicurarsi che solo gli utenti validi e autenticati possano accedere alle risorse.
Creator Owner Quando un utente crea un oggetto, ad esempio un file o una cartella sul server, viene inserito nel gruppo Creator Owner per tale oggetto. In generale, l’utente Proprietario creatore ha il pieno controllo sull’oggetto creato.
Dialup Quando un utente si connette al server tramite una connessione remota, ad esempio una connessione VPN remota, viene aggiunto a questo gruppo.
Tutti Tutti sono membri di questo gruppo indipendentemente da come accedono al server.
Interattivo Quando un utente accede localmente al server (in altre parole, ha accesso fisico al server e accede fisicamente al server), gli utenti vengono inseriti in questo gruppo.
Rete Quando un utente accede al server da remoto tramite una connessione di rete, ad esempio quando si connette a una condivisione di file, viene inserito in questo gruppo.
Accesso Interattivo Remoto Quando un utente accede al server in remoto con un ID utente locale e attivamente accede al sistema per eseguire operazioni in remoto, ad esempio quando un amministratore accede al server da una postazione remota, vengono inseriti in questo gruppo.
Sistema Questo è l’ID del gruppo di account utilizzato dal sistema operativo Windows Server 2008 R2.
Utente Terminal Server Quando gli utenti accedono al server utilizzando Servizi Desktop remoto, vengono automaticamente inseriti in questo gruppo.

2.3. Gestire gli utenti e i gruppi locali

Dopo aver creato i gruppi di utenti, è necessario mantenere e gestire gli account locali. Per iniziare a gestire i gruppi locali, basta fare clic con il pulsante destro del mouse sull’utente o sul gruppo che si desidera gestire. Condividono alcuni compiti comuni. Quando si fa clic con il pulsante destro del mouse su un utente o gruppo, è possibile eliminare, rinominare, aprire la guida o visualizzare le proprietà univoche dell’oggetto.

Quando si fa clic con il pulsante destro del mouse sull’utente, è possibile impostare una nuova password per l’utente. L’unica volta che è necessario impostare la password per un account esistente è se l’utente ha dimenticato o perso la password. L’utente perderà l’accesso a informazioni come file crittografati, password Internet memorizzate (sebbene l’utente possa ricrearle con la nuova password), e-mail crittografate con la chiave pubblica dell’utente e tutti i certificati memorizzati (di nuovo, i nuovi certificati possono essere rilasciati per concedere ancora l’accesso). Il rischio potenziale qui è la perdita di dati in file che sono stati crittografati dal file system crittografato (EFS). Se è stato eseguito il backup delle chiavi di ripristino, sarà possibile recuperare i dati; tuttavia, se non vi è alcun backup delle chiavi, non sarà possibile accedere ai dati.

Quando si fa clic destro su un account utente, si sono presentati con la scelta di impostare la password. Quando si seleziona l’opzione, si riceverà l’avviso mostrato in Figura 10.

Figura 10. Impostazione della password di avvertimento

Quando si fa clic con il pulsante destro del mouse su un gruppo e si seleziona Aggiungi al gruppo, verrà avviato lo stesso processo per aggiungere membri al gruppo utilizzato nella procedura precedente al momento della creazione del gruppo. Inoltre, quando si seleziona l’opzione Proprietà dopo aver fatto clic destro sul gruppo, vi porterà alle proprietà in cui è possibile utilizzare la finestra di dialogo Aggiungi membri.

Quando si seleziona l’opzione Proprietà dopo aver fatto clic destro si aprirà un elenco di proprietà è possibile modificare per l’account utente, come mostrato in Figura 11.

Le proprietà elencate qui sono la documentazione delle parti e la configurazione dell’account delle parti. Le schede elencate ti permetteranno di configurare le informazioni di base sul nome utente e sulla descrizione e l’appartenenza al gruppo. È inoltre possibile impostare le proprietà per le informazioni sulle connessioni dei servizi Desktop remoto, i profili utente, le informazioni sulla directory home e l’accesso dial-in.

Figura 11. Proprietà utente

2.4. Gestione di utenti e gruppi locali su Server Core

È possibile che non si abbia accesso a una console di gestione Microsoft e che sia necessario apportare modifiche agli utenti e ai gruppi locali su un’installazione di Windows Server 2008 R2 Server Core. È possibile aggiungere, eliminare e modificare tutti gli aspetti degli utenti e dei gruppi locali tramite il prompt dei comandi. In particolare, il comando net è il modo in cui si lavora con utenti e gruppi direttamente sul Core del server. Il comando net funzionerà anche su un’installazione completa del server Windows Server 2008 R2.

Il comando net ha molte funzioni, tra cui l’avvio e l’arresto dei servizi e la configurazione dell’indirizzo IP sul server. Vedrai in questa sezione come usare il comando net per lavorare con i tuoi utenti e gruppi locali.

Tutti i comandi net iniziano con net; per gli utenti questo sarà seguito da user, e per i gruppi locali questo sarà seguito da localgroup. Ad esempio, per visualizzare l’elenco corrente degli utenti locali o dei gruppi locali, digitare uno dei seguenti comandi semplici e premere Invio:

  • Utilizzare net user per visualizzare un elenco di utenti locali.

  • Utilizzare net localgroup per visualizzare un elenco di gruppi locali.

Per aggiungere un utente o un gruppo locale al sistema, i comandi seguono una sintassi simile. I comandi includeranno l’opzione / add. Per esempio, per aggiungere un utente di nome Harold, con una password al vostro sistema, si può usare il seguente comando:

net user Harold /add

Per aggiungere un gruppo locale chiamato Scrittori per il server, è necessario utilizzare il seguente comando:

net localgroup Writers /add

Per aggiungere Harold agli Scrittori di gruppo, utilizzare il seguente comando:

net localgroup Writers Harold /add

Per visualizzare l’appartenenza corrente per gli autori di gruppi locali, utilizzare il seguente comando:

net localgroup Writers

Write a Comment

Il tuo indirizzo email non sarà pubblicato.