windows server Archivi

7 Ottobre 2020 Nessun commento

[PHP] Classe in PHP per autenticazione utenti con LDAP

Immaginiamo di avere un server Windows con dominio chiamato torregatti.local. Possiamo effettuare l’autenticazione tramite PHP utilizzando il metodo LDAP (Lightweight Directory Access Protocol).

Anzitutto assicuriamoci di avere attiva la libreria LDAP all’interno del PHP.

Su Linux possiamo installare la libreria, per esempio con Ubuntu digitiamo:

apt-get install php-ldap

1	apt-get install php-ldap

Mentre su Windows, per esempio usando XAMPP, sarà sufficiente attivare l’estensione nel file php.ini, rimuovendo il commento alla seguente riga:

;extension=php_ldap.dll

1	;extension=php_ldap.dll

Che diventerà quindi:

extension=php_ldap.dll

1	extension=php_ldap.dll

Fatto questo possiamo creare una classe che si occupi del processo di login.

Prima di procedere vediamo il minimo indispensabile per effettuare il processo:

$conn = ldap_connect("ldap://192.168.56.1", 389 );

if( $conn ) {
	
	ldap_set_option($conn, LDAP_OPT_PROTOCOL_VERSION, 3);
	ldap_set_option($conn, LDAP_OPT_REFERRALS, 0);
	
	$bind = @ldap_bind($conn, "TORREGATTI\\ADMINISTRATOR", "Password123");
	
	if( $bind ) {
		ldap_close( $conn );
		echo "connesso!";
	} else {
		die("Errore autenticazione");
	}

} else {
	die("Errore di connessione");
}

$conn = ldap_connect("ldap://192.168.56.1", 389 );

if( $conn ) {

ldap_set_option($conn, LDAP_OPT_PROTOCOL_VERSION, 3);

ldap_set_option($conn, LDAP_OPT_REFERRALS, 0);

$bind = @ldap_bind($conn, "TORREGATTI\\ADMINISTRATOR", "Password123");

if( $bind ) {

ldap_close( $conn );

echo "connesso!";

} else {

die("Errore autenticazione");

}

} else {

die("Errore di connessione");

}

In questo caso stiamo entrando con l’utente amministratore TORREGATTI\ADMINISTRATOR che ha per password Password123

Ricordiamoci che nel nostro esempio il dominio è torregatti.local e il server si trova sull’indirizzo 192.168.56.1. Ci stiamo collegando con una connessione non sicura, usando il protocollo ldap anziché ldaps (richiederebbe la porta 636).

Possiamo creare una classe che effettui tutto il processo di login e ci permetta di verificare l’autenticazione mediante i cookie, nella maniera seguente:

class LDAPLogin {
	
	private $server;
	private $username;
	private $password;
	private $ssl;
	private $key;
	
	const ERR_NO_ERROR = 0x0;
	const ERR_CONNECTION = 0x1;
	const ERR_PROTOCOL = 0x2;
	const ERR_REFERRALS = 0x3;
	const ERR_SERVER = 0x4;
	const ERR_USERNAME = 0x5;
	const ERR_AUTH = 0x6;
	const ERR_KEY = 0x7;
	
	private $status = 0x0;
	private $cookie_username = "ldap_username";
	private $cookie_hash = "ldap_hash";
	private $cookie_expire = 30;
	
	function __construct( $server = NULL, $user = NULL, $pass = NULL , $ssl = false , $key = null ) {
		$this->setServer( $server );
		$this->setUsername( $user );
		$this->setPassword( $pass );
		$this->setSSL( $ssl );
		$this->setKey( $key );
	}
	
	function setCookies( $username , $hash , $expire ) {
		$this->cookie_username = $username;
		$this->cookie_hash = $hash;
		$this->cookie_expire = $expire;
	}
	
	function setServer( $server ) {
		$this->server = $server;
		return $this;
	}
	
	function setUsername( $username ) {
		$this->username = $username;
		return $this;
	}
	
	function setPassword( $password ) {
		$this->password = $password;
		return $this;
	}
	
	function setSSL( $ssl = true ) {
		$this->ssl = $ssl;
		return $this;
	}
	
	function setKey( $key ) {
		$this->key = $key;
		return $this;
	}
	
	function authenticate() {
		
		if( !$this->server ) $this->status = self::ERR_SERVER;
		if( !$this->username ) $this->status = self::ERR_USERNAME;
		if( !$this->key ) $this->status = self::ERR_KEY;
		
		if( $this->status == self::ERR_NO_ERROR ) {
			
			$connString = ($this->ssl?"ldaps":"ldap") . "://" . $this->server;
			$connPort = $this->ssl ? 636 : 389;
			
			$conn = ldap_connect( $connString , $connPort );
			
			if( $conn ) {
				
				ldap_set_option($conn, LDAP_OPT_PROTOCOL_VERSION, 3) or $this->status = self::ERR_PROTOCOL;
				ldap_set_option($conn, LDAP_OPT_REFERRALS, 0) or $this->status = self::ERR_REFERRALS;
				
				if( $this->status == self::ERR_NO_ERROR ) {
					
					$bind = @ldap_bind($conn, $this->username, $this->password);
				
					if( $bind ) {
						
						ldap_close( $conn );
						
						setcookie( $this->cookie_username , $this->username , time() + 3600 * 24 * $this->cookie_expire );
						
						setcookie( $this->cookie_hash , hash("sha512",$this->username . $this->key) , time() + 3600 * 24 * $this->cookie_expire );
						
					} else {
						
						$this->status = self::ERR_AUTH;
						
					}
	
				}
				
			} else {
				$this->status = self::ERR_CONNECTION;
			}
		
		}
		
		return $this;
		
	}
	
	function getError() {
		return $this->status;
	}
	
	function isAuth() {
		return $_COOKIE[$this->cookie_hash] == hash("sha512",$_COOKIE[$this->cookie_username] . $this->key);
	}
	
	function logout() {
		setcookie( $this->cookie_username , NULL , 0 );
		setcookie( $this->cookie_hash , NULL , 0 );
		return $this;
	}
}

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

class LDAPLogin {

private $server;

private $username;

private $password;

private $ssl;

private $key;

const ERR_NO_ERROR = 0x0;

const ERR_CONNECTION = 0x1;

const ERR_PROTOCOL = 0x2;

const ERR_REFERRALS = 0x3;

const ERR_SERVER = 0x4;

const ERR_USERNAME = 0x5;

const ERR_AUTH = 0x6;

const ERR_KEY = 0x7;

private $status = 0x0;

private $cookie_username = "ldap_username";

private $cookie_hash = "ldap_hash";

private $cookie_expire = 30;

function __construct( $server = NULL, $user = NULL, $pass = NULL , $ssl = false , $key = null ) {

$this->setServer( $server );

$this->setUsername( $user );

$this->setPassword( $pass );

$this->setSSL( $ssl );

$this->setKey( $key );

}

function setCookies( $username , $hash , $expire ) {

$this->cookie_username = $username;

$this->cookie_hash = $hash;

$this->cookie_expire = $expire;

}

function setServer( $server ) {

$this->server = $server;

return $this;

}

function setUsername( $username ) {

$this->username = $username;

return $this;

}

function setPassword( $password ) {

$this->password = $password;

return $this;

}

function setSSL( $ssl = true ) {

$this->ssl = $ssl;

return $this;

}

function setKey( $key ) {

$this->key = $key;

return $this;

}

function authenticate() {

if( !$this->server ) $this->status = self::ERR_SERVER;

if( !$this->username ) $this->status = self::ERR_USERNAME;

if( !$this->key ) $this->status = self::ERR_KEY;

if( $this->status == self::ERR_NO_ERROR ) {

$connString = ($this->ssl?"ldaps":"ldap") . "://" . $this->server;

$connPort = $this->ssl ? 636 : 389;

$conn = ldap_connect( $connString , $connPort );

if( $conn ) {

ldap_set_option($conn, LDAP_OPT_PROTOCOL_VERSION, 3) or $this->status = self::ERR_PROTOCOL;

ldap_set_option($conn, LDAP_OPT_REFERRALS, 0) or $this->status = self::ERR_REFERRALS;

if( $this->status == self::ERR_NO_ERROR ) {

$bind = @ldap_bind($conn, $this->username, $this->password);

if( $bind ) {

ldap_close( $conn );

setcookie( $this->cookie_username , $this->username , time() + 3600 * 24 * $this->cookie_expire );

setcookie( $this->cookie_hash , hash("sha512",$this->username . $this->key) , time() + 3600 * 24 * $this->cookie_expire );

} else {

$this->status = self::ERR_AUTH;

}

} else {

$this->status = self::ERR_CONNECTION;

}

return $this;

}

function getError() {

return $this->status;

}

function isAuth() {

return $_COOKIE[$this->cookie_hash] == hash("sha512",$_COOKIE[$this->cookie_username] . $this->key);

}

function logout() {

setcookie( $this->cookie_username , NULL , 0 );

setcookie( $this->cookie_hash , NULL , 0 );

return $this;

}

Per effettuare il login sarà sufficiente configurare la classe nella maniera seguente:

$ldap = (new LDAPLogin( "192.168.56.1" , "TORREGATTI\\ADMINISTRATOR" , "Password123" ))
		->setKey("0bb74b7aa9cadf13d2c05332744ebc8ee5b09ef9a53cb67ea0b3adabde4f598b");
		
if( $ldap->authenticate()->getError() == LDAPLogin::ERR_NO_ERROR ) {
	// autenticazione avvenuta
}

$ldap = (new LDAPLogin( "192.168.56.1" , "TORREGATTI\\ADMINISTRATOR" , "Password123" ))

->setKey("0bb74b7aa9cadf13d2c05332744ebc8ee5b09ef9a53cb67ea0b3adabde4f598b");

if( $ldap->authenticate()->getError() == LDAPLogin::ERR_NO_ERROR ) {

// autenticazione avvenuta

}

Abbiamo aggiunto una nostra chiave casuale e segreta che verrà utilizzata per la costruzione del hash nei cookie.

Per verificare che l’utente sia autenticato, una volta terminato il processo di login, sarà sufficiente richiamare:

if( $ldap->isAuth() ) {
	// ok, utente autenticato
}

if( $ldap->isAuth() ) {

// ok, utente autenticato

}

Per effettuare il logout sarà sufficiente richiamare:

$ldap->logout();

1	$ldap->logout();

E’ molto probabile che l’inserimento di username e password lo si voglia fare dopo aver costruito l’oggetto per l’autenticazione LDAP, in tal caso si potrebbe procedere nella maniera seguente:

$ldap = (new LDAPLogin("192.168.56.1"))->setKey("0bb74b7aa9cadf13d2c05332744ebc8ee5b09ef9a53cb67ea0b3adabde4f598b");

$ldap->setUsername( "TORREGATTI\\ADMINISTRATOR" )->setPassword( "Password123" );
		
if( $ldap->authenticate()->getError() == LDAPLogin::ERR_NO_ERROR ) {
	echo "autenticazione avvenuta!";
}

$ldap = (new LDAPLogin("192.168.56.1"))->setKey("0bb74b7aa9cadf13d2c05332744ebc8ee5b09ef9a53cb67ea0b3adabde4f598b");

$ldap->setUsername( "TORREGATTI\\ADMINISTRATOR" )->setPassword( "Password123" );

if( $ldap->authenticate()->getError() == LDAPLogin::ERR_NO_ERROR ) {

echo "autenticazione avvenuta!";

}

Con il metodo getError() è possibile verificare gli altri eventuali errori durante il processo di autenticazione, sfruttando le costanti della classe.

Vedi articolo

3 Aprile 2020 1 commento

Configurazione Windows Server 2016 con Dominio, DNS e DHCP [per esordienti totali]

Vediamo come configurare Windows Server 2016 impostando il server come controller di Dominio (Active Directory) e configurando DNS e DHCP. Gli argomenti trattati in questo articolo saranno i seguenti:

Configurazione di VirtualBox
Installazione di Windows Server 2016
Configurazione DHCP
Configurazione del DNS
Configurazione Dominio su Active Directory

Per questa guida utilizzerò una macchina virtuale configurata con VirtualBox. Prima di procedere assicuriamoci quindi di disporre di:

VirtualBox installato sul computer (se vogliamo replicare l’operazione su una macchina virtuale)
Un disco di installazione di Windows Server 2016

Le modalità di configurazione, a esclusione della macchina virtuale ovviamente, sono valide per qualunque Windows Server 2016.

1. Configurazione di VirtualBox

Anzitutto creiamo una nuova macchina virtuale. Per farlo apriamo VirtualBox e sotto la voce Macchina selezioniamo Nuova, possiamo anche premere CTRL+N

Diamo un nome alla nostra macchina e selezioniamo, alla voce Versione, l’opzione Windows 2016 (64-bit):

Assegniamo 4096MB di RAM (ne sarebbero sufficienti 2048, dipende da quante risorse ha la nostra macchina host) e premiamo su successivo:

Lasciamo spuntata la voce Crea subito un nuovo disco fisso virtuale:

E come tipo di disco, alla pagina successiva, scegliamo VDI (VirtualBox Disk Image):

Scegliamo di allocare lo spazio dinamicamente e procediamo oltre:

Possiamo lasciare come dimensione predefinita 50GB:

A questo punto la macchina virtuale è pronta per essere avviata. Nell’elenco delle macchine disponibili dovremmo vedere qualcosa del genere:

Clicchiamo sul tasto Avvia. Ci verrà chiesto di selezionare il dispositivo per l’installazione, scegliamo il disco o l’ISO di installazione per Windows Server 2016.

2. Installazione di Windows Server 2016

Anzitutto ci verrà chiesta la lingua in cui vogliamo configurare Windows, io lascerò tutto in italiano nel modo seguente:

Premiamo Avanti. A questo punto scegliamo Installa.

Immettiamo il codice seriale se lo possediamo, altrimenti scegliamo Non ho un codice Product Key per installare la versione di prova.

Scegliamo a questo punto la versione da installare (questa opzione dipende anche dalla versione del disco di installazione che stiamo utilizzando). Io installerò la versione Windows Server 2016 Standard (Esperienza desktop). ATTENZIONE! Installando la versione senza Esperienza desktop, si avrà accesso al sistema operativo solo da PowerShell.

Premiamo avanti e accettiamo le condizioni di licenza.

Procediamo avanti e ci verrà chiesto il tipo di installazione che intendiamo fare. Scegliamo Personalizzata: installa solo Windows (opzione avanzata).

Scegliamo il disco sul quale intendiamo effettuare l’installazione. Nel mio caso ho un unico disco e posso utilizzarlo per intero (il disco virtuale da 50GB creato all’inizio).

A questo punto comincerà la copia dei file per l’installazione, aspettiamo.

Finita l’installazione Windows si riavvierà da solo e arriverà a chiederci una password per Administrator.

Fatto tutto questo si arriverà alla schermata di accesso.

Per usare ALT+CTRL+CANC dentro a VirtualBox premiamo i tasti CTRL (destro) + CANC. Inseriamo la password e premiamo Invio.

Lasciamo avviare Windows, mentre verrà aperto il Server Manager. Ci verrà chiesto se attivare l’individuazione della rete, diciamo di sì.

Nel caso ci siano dei servizi non avviati sotto il Server Locale, clicchiamo sulla voce Servizi.

Clicchiamo col destro su ciascun servizio in arresto e scegliamo l’opzione Avvia servizi.

Se tutti i servizi ripartono arriveremo ad una situazione come la seguente.

Potrebbe capitare comunque, a seguito di installazioni successive, che alcuni servizi non si avviino o tendano a disattivarsi automaticamente. Di solito si tratta di servizi secondari e non essenziali all’operatività del sistema operativo, in tal caso possiamo anche ignorarli.

3. Configurazione DHCP

Procediamo adesso a configurare sul server il servizio di DHCP, in modo che il nostro server si occupi dell’assegnazione degli indirizzi all’interno della rete. Questo servizio andrà poi disabilitato sul router, per evitare conflitti tra i due. Per chi volesse approfondire il funzionamento del DHCP rimando alla pagina dedicata all’argomento su Wikipedia:

In telecomunicazioni e informatica il Dynamic Host Configuration Protocol (DHCP) (protocollo di configurazione IP dinamica) è un protocollo di rete di livello applicativo che permette ai dispositivi o terminali di una certa rete locale di ricevere automaticamente ad ogni richiesta di accesso a una rete IP. Fonte: Wikipedia – DHCP

Apriamo dunque il Server Manager e andiamo su Gestione > Aggiungi ruoli e funzionalità

Andiamo su Ruoli Server e spuntiamo la voce Server DHCP. Clicchiamo su Aggiungi funzionalità.

Si verrà avvisati che dobbiamo assegnare un indirizzo IP statico al Server.

Premiamo su Annulla e premiamo WIN + R per aprire la finestra Esegui. Digitiamo CMD.

Nel prompt dei comandi digitiamo ipconfig. Scopriamo così i parametri della rete sulla quale si trova il server. Nel mio caso questa rete dipende dalla macchina virtuale di VirtualBox e appare configurata nel modo seguente:

A questo punto apriamo il Pannello di controllo dal menu Start.

Andiamo su Rete e Internet > Centro connessioni di rete e condivisione > Modifica impostazioni scheda. Individuiamo la nostra scheda di rete e clicchiamoci sopra col destro, andiamo su Proprietà.

Selezioniamo Protocollo Internet versione 4 (TCP/IPv4) e poi scegliamo Proprietà. Configuriamo i parametri nel modo seguente (ovviamente si dovranno mettere i parametri rispetto alla rete che si intende configurare):

Questo significa che ho posizionato il server all’indirizzo 10.0.2.100. Questa è una scelta assolutamente arbitraria. Dal momento che ci troviamo all’interno della rete 10.0.0.0/8 abbiamo a disposizione 16.777.214 di host assegnabili. Per valutare i parametri della rete rimando all’IP Calculator.

Premiamo OK. Una volta tornati sulla schermata con tutte le reti disabilitiamo e riabilitiamo la rete, cliccandoci sopra col destro e scegliendo l’opportuna voce.

Torniamo sul Server Manager e riprendiamo la configurazione del DHCP. Se l’errore dovesse ripresentarsi premiamo su Continua e ignoriamolo (ormai sappiamo di aver impostato un indirizzo statico). Clicchiamo su Avanti.

Alla voce Funzionalità clicchiamo ancora Avanti. Qui non selezioniamo alcunché.

Sotto la voce Server DHCP clicchiamo su Avanti.

Alla Conferma spuntiamo la voce Riavvia automaticamente il server di destinazione se necessario. Premiamo Installa.

Attendiamo la fine dell’installazione. Una volta conclusa clicchiamo su Completa configurazione DHCP.

Nella schermata successiva clicchiamo su Commit.

Se tutto è andato bene vedremo una schermata come la seguente. Clicchiamo su Chiudi.

Adesso sul Server Manager spostiamoci su Strumenti > DHCP.

Si aprirà una schermata come la seguente. Clicchiamo col destro sul nome del server e poi scegliamo Aggiungi/Rimuovi binding.

Nella schermata successiva confermiamo la scheda di rete interessata.

Adesso espandiamo la voce sotto al server e clicchiamo col destro su IPv4, dopodiché scegliamo Nuovo ambito…

Premiamo Avanti.

Diamo un nome all’ambito, tipo Generale. Il nome è a piacere. Poi premiamo su Avanti.

Configuriamo l’indirizzo IP iniziale e finale. Ricordiamoci i parametri di cui parlavamo prima. La nostra rete ha lunghezza 8 e subnet mask 255.0.0.0. Il primo indirizzo IP sarà al minimo 10.0.0.1 mentre il massimo indirizzo IP sarà 10.255.255.254. Possiamo ovviamente scegliere anche un intervallo minore. Io avrò una configurazione come la seguente:

Negli indirizzi esclusi inseriamo quello assegnato al server e al gateway. Per aggiungere un singolo indirizzo basta mettere quello iniziale e premere su Aggiungi. Altrimenti si può aggiungere un intervallo scegliendo l’indirizzo iniziale e quello finale.

Premiamo su Avanti. Scegliamo la durata del lease. Se non abbiamo particolari esigenze possiamo lasciare il valore predefinito.

Confermiamo di voler configurare le opzioni adesso.

Inseriamo ora l’indirizzo del router (gateway predefinito), nel mio caso 10.0.2.2.

Al DNS aggiungiamo quello di Google per ora 8.8.8.8

Alla voce Server WINS premiamo ancora Avanti.

Confermiamo l’attivazione dell’ambito.

Infine premiamo su Fine.

4. Configurazione del DNS

Procediamo adesso a configurare il server come server DNS. In questo modo il server si occuperà della traduzione dei nomi di dominio.

Andiamo nuovamente su Server Manager > Gestione > Aggiungi ruoli e funzionalità. Sotto la voce Ruoli server selezioniamo Server DNS.

Una volta spuntata la voce confermiamo Aggiungi funzionalità.

Premiamo Avanti fino alla voce Conferma. Selezioniamo Riavvia automaticamente il server di destinazione se necessario. Poi scegliamo Installa.

Attendiamo il completamento dell’installazione. Una volta completata premiamo su Chiudi. Adesso sempre andiamo ancora su Server Manager > Strumenti > DNS.

Si aprirà una finestra simile alla seguente.

Adesso clicchiamo col destro sul nome del nostro server e poi su Configurazione server DSN…

Scegliamo ancora Avanti.

Scegliamo Creazione di una zona di ricerca diretta e poi di nuovo Avanti.

Scegliamo Questo server gestirà la zona e premiamo ancora Avanti.

Diamo un nome alla zona, che sarà anche il nome del dominio che andremo a configurare in seguito. Nel mio caso metterò petarkaran.local. Ci possiamo mettere quello che preferiamo.

Confermiamo la creazione di un nuovo file DNS. Premiamo Avanti.

Selezioniamo Consenti aggiornamenti dinamici sicuri e non sicuri. Di nuovo Avanti.

Nella schermata successiva aggiungiamo i server DNS da cui prelevare le informazioni. Nel nostro caso utilizzerò quelli di Google: 8.8.8.8 e 8.8.4.4. Aggiungiamo anche quelli di OpenDNS: 208.67.222.222 e 208.67.220.220

Per aggiungerli è sufficiente digitare gli indirizzi e premere Invio.

Confermiamo la configurazione finale.

A questo punto dobbiamo fare solo un paio di modifiche. Anzitutto torniamo alla configurazione della scheda di rete. Impostiamo l’indirizzo del server come Server DNS preferito.

Confermiamo con OK. Adesso andiamo sul DHCP. Server Manager > Strumenti > DHCP

Sotto il nostro server, all’IPv4 sotto la voce Ambito > Opzioni Ambito individuiamo 006 Server DNS ed impostiamo l’indirizzo IP del nostro server.

Clicchiamo sopra 006 Server DNS e rimuoviamo il DNS di Google impostato prima, mettendoci l’indirizzo del nostro server. Questo sarà il valore per il Server DNS preferito per tutti i client attaccati alla rete gestita dal nostro Server.

Se abbiamo fatto tutto correttamente dovremmo arrivare ad una situazione del genere:

Premiamo OK e con questo abbiamo configurato anche il servizio DNS.

5. Configurazione Dominio su Active Directory

Infine configuriamo il dominio che gestirà il nostro server. Un dominio di Active Directory è esattamente la stessa cosa di un dominio web a cui siamo abituati comunemente. Per esempio petarkaran.it è un dominio e potrei utilizzarlo anche come dominio di AD. Inutile dire che se lo configurassi come tale, dopo dovrei provvedere ad indirizzare le chiamate sulla porta 80 e la porta 443 verso il mio server web dove si trova il sito internet, per non creare conflitti interni. In caso contrario, da dentro il dominio gestito da Windows, il sito risulterebbe irraggiungibile. Allo scopo di questo esercizio configurerò un dominio chiamato petarkaran.local. Non essendo *.local utilizzato dai siti web non rischio conflitti con la rete esterna. Inutile dire che il dominio può essere scelto in modo arbitrario e a piacere.

Prima di procedere voglio fare un altro piccolo approfondimento. Possiamo immaginare un dominio come il contenitore del nostro server, gestore del dominio, di tutti i client (gli utenti che possono accedere al dominio) e di tutti i computer (dispositivi che sono connessi al dominio). In sostanza un dominio contiene questi 3 elementi principali.

Il Server si occupa di amministrare i permessi e le relazioni tra client (utenti) e dispositivi (computer). Un gruppo di domini costituisce un albero.

A sua volta un gruppo di alberi costituisce una foresta.

Detto tutto questo cominciamo la configurazione del nostro server per elevarlo a gestore del Dominio.

Anzitutto voglio cambiare nome al mio server, chiamandolo SERVER (questo passaggio non è obbligatorio, lo faccio per motivi puramente estetici). Questo passaggio non è obbligatorio e può essere saltato.

Cliccando col tasto destro sul simbolo di Windows scegliamo Sistema.

Individuiamo il nome del computer e clicchiamo su Cambia impostazioni

Nella finestra che si aprirà scegliamo Cambia… Cambiamo il nome in SERVER.

Premiamo OK e di nuovo OK. Poi scegliamo di riavviare il server.

Una volta riavviato il server andiamo su Server Manager > Gestione > Aggiungi ruoli e funzionalità

Dalla sezione Ruoli server selezioniamo Servizi di dominio Active Directory.

Come al solito premiamo Avanti e configuriamo il Riavvio automatico. Premiamo infine su Installa.

Aspettiamo la conclusione dell’aggiornamento, dopodiché selezioniamo la voce Alza di livello il server a controller di dominio.

Essendo il primo dominio che configuriamo dobbiamo aggiungere una nuova foresta. Procediamo quindi nel modo seguente (il mio dominio sarà petarkaran.local):

Premiamo su Avanti. Creiamo adesso una password per le modalità di ripristino dei servizi di directory. E’ molto importante non dimenticare questa password, perché sarà necessaria in caso di necessità di ripristino della active directory. Premiamo su Avanti.

Confermiamo la creazione della Delega DNS.

Clicchiamo su Cambia… e inseriamo utente e password di amministratore.

Clicchiamo su Avanti. Confermiamo il nome di dominio NetBIOS (sono i vecchi nomi di dominio sostanzialmente). Clicchiamo su Avanti.

Alla schermata successiva clicchiamo ancora su Avanti.

Verrà mostrato il riepilogo di tutte le impostazioni, clicchiamo di nuovo su Avanti.

Se va tutto bene arriveremo ad una schermata come la seguente. L’importante è che compaia la spunta verde che Tutti i controlli dei prerequisiti sono riusciti.

Clicchiamo infine su Installa. Se tutto è andato bene il sistema verrà riavviato e al prossimo accesso apparirà una schermata simile a questa:

Faccio notare come questa volta l’amministratore non è più del SERVER ma del dominio PETARKARAN. Notiamo anche l’avviso sulla scheda di rete.

Entriamo dentro Windows e andiamo alle impostazioni della scheda di rete. Noteremo che l’indirizzo del DNS è stato spostato su 127.0.0.1. Benché funzioni anche così, facendo il loopback sull’indirizzo locale della macchina, che è anche il server DNS, per una serie di bug di Windows ci viene mostrato un errore.

Modifichiamo il server DNS preferito impostando l’indirizzo su quello del nostro SERVER, nel mio caso nel modo seguente:

Adesso andiamo su Server Manager > Strumenti > DHCP e aggiungiamo alle Opzioni ambito il parametro 015 Nome dominio DNS inserendo il nome del nostro dominio, nel modo seguente:

Premiamo OK. Se tutto è andato bene vedremo una configurazione come la seguente alla fine:

A questo punto il nostro Server è stato elevato a controller di dominio e abbiamo finito.

Vedi articolo

17 Aprile 2018 Nessun commento

[windows] Migrare utenti su un nuovo dominio, senza migrazione del dominio

Per quelli a cui piace complicarsi la vita, ecco come migrare i computer e gli utenti da un dominio all’altro, preservando configurazioni e file.

Scenario: abbiamo dei computer con degli utenti di dominio, con Windows Server, che vogliamo spostare su un nuovo dominio, senza però effettuare la migrazione del dominio stesso

Anzitutto assicuriamoci di avere sui computer l’utente amministratore locale accessibile. Qualora non ci fosse, o non se ne ricordasse la password, possiamo ripristinarlo seguendo questa guida.

Qualora l’utente administrator non fosse abilitato, ricordiamoci che possiamo attivarlo (eventualmente anche dalla modalità di ripristino) digitando:

net user Administrator /active:yes

1	net user Administrator /active:yes

A questo punto sul nostro computer avremo un utente di dominio, che chiameremo CONTOSO\Mario, e un utente locale Administrator.

Attacchiamo il computer alla rete con il nuovo dominio, chiamato NEWCONTOSO, dove abbiamo creato un nuovo utente NEWCONTOSO\Mario
Entriamo come amministratore locale
Apriamo C:\Users ed individuiamo la cartella che apparteneva all’utente CONTOSO\Mario, supponiamo che sia mario.contoso
Apriamo Esegui (WIN + R) e digitiamo regedit per aprire l’editor del registro
Raggiungiamo l’elenco dei profili su HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\
Qui compariranno varie voci del tipo S-1-5-21-XXXX dei profili degli utenti, cerchiamo le voci corrispondenti alla cartella mario.contoso alla voce ProfileImagePath
Cancelliamo la voce del registro associata al profilo utente del precedente dominio
Per evitare ogni forma di conflitto rinominiamo la cartella C:\Users\mario.contoso in qualcosa tipo C:\Users\mario.contoso__
Scarichiamo CCleaner e facciamo una pulizia del registro
Apriamo il Panello di controllo e creiamo un nuovo utente amministratore del computer, chiamato Mario, come l’utente che intendiamo registrare
Andiamo sopra C:\Users\mario.contoso__ e clicchiamo col destro, andiamo su Proprietà > Sicurezza > Avanzate, qui andiamo su Autorizzazioni > Cambia autorizzazioni, se non esiste aggiungiamo il nuovo utente amministratore Mario e diamogli completa autorizzazione sulla cartella, spuntiamo anche le voci Includi autorizzazioni ereditarietà dell’oggetto padre di questo oggetto e Sostituisci tutte le autorizzazioni degli oggetti figlio con autorizzazioni ereditabili derivate da questo oggetto, premiamo OK e attendiamo. Se ci fossero degli errori ignoriamoli e diamo Continua fino alla fine. Poi andiamo su Proprietario > Modifica, se non vediamo l’utente Mario aggiungiamolo premendo Altri utenti o gruppi… altrimenti selezioniamolo e spuntiamo Sostituisci proprietario in sottocontenitori ed oggetti
Adesso facciamo logout dall’account amministratore ed entriamo con l’utente amministratore locale Mario
A questo punto apriamo il prompt dei comandi (WIN+R e poi cmd) e digitiamo il comando:

takeown /f C:\Users\mario.contoso__ /r

1

takeown /f C:\Users\mario.contoso__ /r

In questo modo prendiamo il controllo della cartella
Sistemiamo i permessi in modo che il nostro utente locale Mario abbia accesso completo

icacls C:\Users\mario.contoso__ /reset /T icacls C:\Users\mario.contoso__ /inheritance:r icacls C:\Users\mario.contoso__ /setowner Mario /T

1
2
3

icacls C:\Users\mario.contoso__ /reset /T
icacls C:\Users\mario.contoso__ /inheritance:r
icacls C:\Users\mario.contoso__ /setowner Mario /T
Adesso usciamo da Mario (mi raccomando disconnettiamo l’utente) e torniamo su Administrator
Una volta dentro andiamo su Esplora risorse e selezioniamo la visualizzazione dei file nascosti
Adesso tagliamo (CTRL+X) le cartelle AppData, Documents, Pictures, Videos, Desktop (ed eventuali altre) dalla cartella C:\Users\mario.contoso__ e spostiamoli nella cartella dell’utente Mario locale, probabilmente C:\Users\mario
Diamo OK a tutti gli alert, tentiamo Riprova laddove possibile, altrimenti diamo Ignora
Riavviamo il computer
A questo punto possiamo procedere a configurare il nuovo dominio, utilizzando il Computer Connector di Windows Server
Una volta eseguita la connessione ci chiederà quali utenti vogliamo far migrare i profili, selezioniamo la seconda voce Configura il computer per me e per altri utenti
Selezioniamo l’utente NEWCONTOSO\Mario e andiamo avanti
Nella scelta del profilo selezioniamo il profilo locale Mario
Proseguiamo e concludiamo la configurazione con le altre opzioni a nostra scelta

Vedi articolo

19 Marzo 2018 Nessun commento

[windows server] Spostare la cartella dei file di aggiornamento di WSUS

Obiettivo: spostare la cartella di archiviazione degli aggiornamenti di WSUS in una nuova posizione

Tipicamente i file di aggiornamento gestiti dal server WSUS si trovano nella posizione C:\Comsys WSUS.

Per cambiare tale cartella è sufficiente trovare il programma wsusutil.exe ed effettuare lo spostamento nel modo in cui segue:

WIN+R per aprire ESEGUI e digitare CMD per aprire il prompt dei comandi
Spostarsi nella cartella di wsusutil.exe tipicamente dovrebbe trovarsi in C:\Program Files\Update Services\Tools
Digitare quindi CD C:\Program Files\Update Services\Tools
Creare quindi la nuova cartella di destinazione dei file di aggiornamento, per esempio su un disco F creando una cartella F:\WSUS
Digitare quindi wsusutil.exe movecontent F:\WSUS F:\move.log
Questo comando avvierà lo spostamento dei file dalla posizione attuale a quella nuova

Vedi articolo