Configurazione di Active Directory in Windows 2008...

Sistemi - Classe Quinta robertomana.it

Configurazione di Active Directoy in Windows 2008 server

pag 1

Configurazione di Active Directory in Windows 2008 server Rev. Digitale 1.0 del 01/09/2016

Passo 1 ) Creazione macchina virtuale Win2008 Server Versioni di Windows Server:

Windows 2000 Server (febbraio 2000) Windows Server 2003 (aprile 2003) (xp) Windows Server 2003 R2 (dicembre 2005) Windows Server 2008 (febbraio 2008) (vista) Windows Server 2008 R2 (luglio 2009) Windows Server 2012 (settembre 2012) (seven) Windows Server 2012 R2 (ottobre 2013)

a) Creazione della macchina virtuale Win2008 e relativo HD

RAM: 2 GB Disco Crea Nuovo Disco VDI (formato base di Virtual Box) Allocato Dinamicamente oppure Dimensione Fissa PATH Dimensione 25 GBytes

Bisognerebbe fare almeno due partizioni, una per il SO ed una per i dati (20 e 20 GBytes)

b) Impostazioni della macchina virtuale Win2008

Eseguire le seguenti semplici configurazioni:

System [Sistema] - Scheda Madre: Disabilitare l’avvio da Floppy - Processore: 2 CPU dedicate al sistema virtuale

Network [Rete] Impostare Internal Network. [ Nome=IntNet OK] Scheda Avanzate / Tipo di Scheda = Intel Pro/1000 MT Server

Volendo è possibile abilitare e configurare una seconda scheda di rete (di tpo NAT) per la navigazione in Internet. Forse l’opzione Rete con Nat fa la stessa cosa su una unica scheda di rete

c) AVVIO Macchina Virtuale Win2008Server

Lingua = Italiano

Installa

Scelta della versione = Standard (installazione completa) x64

Accetto le condizioni di licenza

Installazione personalizzata

Conferma percorso Unità Disco

Viene automaticamente avviata la Formattazione NTFS.

http://it.wikipedia.org/wiki/Windows_2000

http://it.wikipedia.org/wiki/Windows_Server_2003

http://it.wikipedia.org/wiki/Windows_Server_2003_R2


http://it.wikipedia.org/wiki/Windows_Server_2008_R2


http://it.wikipedia.org/w/index.php?title=Windows_Server_2012_R2&action=edit&redlink=1



pag 2

Trattandosi di una versione di prova limitata ad un mese il numero di serie NON viene richiesto. Il sistema continua però a lavorare anche oltre la scadenza del mese, con sfondo nero. Al termine viene richiesta l’impostazione della password di administrator. Impostare .

USER: administrator

PW: inf5C!!! (deve contenere almeno un numero ed un carattere speciale). Le password

successive dovranno avere lunghezza 8. Tanto vale iniziare subito così e usare sempre la stessa.

Passo 2 ) Creazione Macchina Virtuale XP

Creare una nuova macchina virtuale e installazione di Windows XP

RAM = 1 GByte

HD = Dimensione Fissa 10 GBytes

Scheda di rete : classica Intel Pro/1000 MT Desktop per le macchine desktop

Al termine Devices / Install Guest Additions Configurazioni

Apertura Guida di Windows

Eliminazione tastiera inglese

Disabilitazione Firewall e Aggiornamenti Automatici

CONFIGURA RETE = IP=10.0.0.11/24, DNS = 10.0.0.1

Nome = PC01

Passo 3 ) Attività di Configurazione Iniziale di Win2008Server

La finestra Attività di configurazione iniziale è una nuova funzionalità di Windows Server 2008 che viene aperta automaticamente al termine del processo di installazione del sistema operativo e che consente di completare rapidamente la configurazione iniziale del server.

Mostra un elenco di operazioni preliminari elencate nel presunto ordine con cui devono essere gestite.

Nelle versioni precedenti, l'installazione dei sistemi operativi server veniva ogni volta sospesa per consentire agli amministratori di specificare informazioni sull'account amministratore, sul dominio e sulla rete. In base ai commenti e suggerimenti ricevuti, è risultato che ciò rallentava il processo di distribuzione del sistema operativo e del server, poiché il completamento dell'installazione veniva imandato finché gli amministratori non rispondevano alle richieste specificando le informazioni necessarie.

Attività di configurazione iniziale consente agli amministratori di rimandare tali attività al termine dell'installazione in modo di ridurre il numero di interruzioni durante l'esecuzione del processo.

Terminate le configurazioni iniziali, si può impostare il check “Non visualizzare questa finestra

all’accensione” e, trattandosi appunti di configurazioni iniziali, la finestra non potrà più essere riaperta.

Le varie configurazioni sono comunque tutte disponibili all’interno dell’utility Server Manager.



pag 3

a) Impostazione fuso orario

L’ultima scheda consente di abilitare il servizio denominato UTC mediante il quale il server si collegherà in automatico ad un time server preconfigurato chiedendo l’ora esatta.

b) Configura rete

Andiamo ad impostare sulla scheda di rete ipv4 un IP statico per la verifica della connettività Sulle proprietà di ipv4 impostare IP=10.0.0.1/24, DNS 10.0.0.1, no gateway La finestra è apribile anche dalla Barra degli Strumenti in basso a destra (Tray Bar) / pulsantino con icona di rete / “Centro Connessioni di Rete” / Gestisci connessioni di rete.

Con il pulsantino in alto a destra si possono anche rinominare le connessioni di rete assegnando dei nomi più indicativi. Ad Esempio Rete Interna

Ipv6 può essere disabilitato

c) Specifica Nome e Dominio del Computer

Specifica del Nome = winServer Descrizione = Primary Domain Controller Il Nome del Dominio può essere attivato solo dopo aver attivato e configurato Active Directory

d) Aggiornamenti Automatici

Trattandosi di un server di prova gli aggiornamenti automatici possono essere disabilitati (default). Nel caso di server reali gli aggiornamenti automatici rappresentano ovviamente una attività fondamentale.

Diagnostica di Rete

Sul Server :

ping 10.0.0.11 OK

ping PC01 OK

Sul Client :

ping 10.0.0.1 NOK La risposta che il server riceve è Richiesta Scaduta, che una cosa diversa da Macchina non raggiungibile. Significa che la macchina non è abilitata a rispondere alle Echo Request. Infatti Windows 2008 Server per default è disabilitato a rispondere ai messaggi ICMP. Anche Windows 7 (a differenza di XP) per default è disabilitato a rispondere ai messaggi ICMP: Per abilitare sia il Server sia il Client a rispondere ai messaggi ICMP occorre : Abilitazione a rispondere alle Echo Request

STRUMENTI DI AMMINISTRAZIONE / "Windows Firewall con Protezione avanzata" / Regole Connessione in Entrate / abilitare:

Condivisione file e stampanti (richiesta echo - ICMPv4-In) Abilitata Si Ripetere la stessa operazione per tutte le 3 voci (pubblico, privato, dominio).



pag 4

Sul Client XP :

ping 10.0.0.1 OK

ping winServer NOK Questa volta il problema è che sul server, per default, il Net BIOS è disabilitato, mentre sul client XP, per default, è abilitato. A tal fine, sempre nella finestra precedente, abilitare la riga sopra a quella di prima :

Regole Connessione in Entrate / abilitare: Condivisione file e stampanti (NB-Name-In) (abilita NetBIOS porta 137) Ripetere la stessa operazione per tutte le 3 voci (pubblico, privato, dominio). Accesso al Server tramite Desktop Remoto

Sul Server :

"Attività Configurazione Iniziale" / Attiva Desktop remoto "Consenti connessioni da computer che eseguono qualsiasi versione di Desktop remoto"

Sul Client :

ACCESSORI / CONNESSIONE DESKTOP REMOTO COMPUTER 10.0.0.1 opzioni >>

UTENTE ADMINISTRATOR (ovviamente utente del server)

Salvare la connessione sul desktop in un file RDP (Remote Desktop Protocol) avente nome ad esempio winServer

Aumento del timeout di standby

Dalla postazione remota assumere il controllo di winServer. Se c’è un amministratore localmente connesso su winServer, questo verrà automaticamente disconnesso.

Dalla postazione remota andare su

PANNELLO DI CONTROLLO OPZIONI D RISPARMIO ENERGIA Specifica impostazioni di disattivazione dello schermo – 1 h Chiudere infine la sessione remota.



pag 5

START / Strumenti di Amministrazione / Server Manager

è il cuore di tutto il sistema. Consente di definire quali saranno i RUOLI di questo server, che potrà svolgere il Ruolo di Active Directory, DHCP, DNS, DESKTOP REMOTO, etc.

Server Manager Archiviazione / Gestione Disco

Creazione di un nuovo volume

E’ possibile partizionare un disco creando un secondo volume Selezionare il disco C. Tasto Destro / Riduci.

Ridurlo di 10 GB in modo che il disco abbia una dimensione rimanente di 15GB con una nuova partizione dati di 10 GB.

Andare sulla nuova partizione, Tasto Destro / Nuovo Volume Semplice.

Parte un wizard che richiede alcune conferme quali:

il nome da assegnare all’unità (La seconda opzione consente di “montare” la nostra partizione all’interno di una directory già presente all’interno del sistema, creando di fatto un albero come avviene nei sistemi Unix)

L’unico File System disponibile è NTFS. E’ possibile anche impostare la dimensione del cluster (Unità di Allocazione). Typ 1024 Bytes : valore piccolo che va bene quando ho molti file di piccole dimensioni. Se avessi pochi file di grandi dimensioni sarebbe conveniente avere cluster più grandi

Impostare Esegui formattazione veloce

E’ possibile impostare la compressione automatica dei files. Occupo meno spazio ma il sistema diventa più lento.

Al termine, provvede ad eseguire la formattazione e a creare il nuovo volume. Tramite Tasto Destro / Proprietà -> Assegniamo a questo volume il nome Dati L’altro volume (C:) lo possiamo lasciare anche senza nome.



pag 6

Attivazione di ACTIVE DIRECTORY e Impostazione del Dominio

I vari servizi devono prima essere installati poi configurati ed attivati.

Un dominio windows è un raggruppamento logico di computer in rete che condividono il servizio di Active Direcotry. Il computer su cui risiede ADS è detto Domain Controller.

Installazione di ACTIVE DIRECTORY

Server Manager / Ruoli / Aggiungi Ruoli

Compare un elenco dei 16 ruoli disponibili Selezionare Servizi di Dominio Active Directory Leggere Attentamente le note:

Active Directory richiede espressamente la presenza di un DNS In caso di assenza di un DNS, durante la configurazione di Active Directory verrà automaticamente installato un server DNS sulla macchina corrente.

Procedere all’installazione

Attivazione del Servizio

Server Manager / Ruoli / Servizi di Dominio Active Directory

Clickare sul link in alto “Eseguire l’installazione Guidata Servizi di Dominio tramite l’utility dcPromo.exe (Directory Controller Promotion), eseguibile anche dalla finestra START / ESEGUI e digitando dcPromo.exe. Parte il wizard di attivazione

Active Directory può essere attivato in modalità Normale (default) oppure, mediante un apposito check, in modalità Avanzata. Va bene la modalità Normale.

Foresta = Organizzazione di più domini. Il primo Radio Button consente di agganciare il Dominio ad una Foresta già esistente. Il secondo Radio Button consente invece di Creare un nuovo Dominio in una nuova Foresta, che è ciò che vogliamo fare.

Impostare il Nome del Dominio ad esempio vbox.net (E’ consigliato l’utilizzo del puntino)

Livello Funzionalità foresta. Problema di retro compatibilità. Se all’interno della foresta sono già presenti altri server di tipo Win2000 o Win2003, si può scegliere di far funzionare l’intera foresta con il Livello di Funzionalità delle macchine più vecchie (es Win 2000). Nel nostro caso va bene Win2008. Scegliendo Win 2008 non potranno poi essere aggiunti altri server con versioni più vecchie.

DNS Server Per funzionare correttamente Active Direcory deve disporre di un DNS Server che normalmente viene attivato sulla stessa macchina (scelta consigliata).

Il warning avvisa che ci potrebbe già essere un altro server di dominio e che i due potrebbero andare in conflitto. Nel ns caso non ci sono problemi. CONTINUARE = SI

Database di sistema Viene richiesto dove memorizzare i tre database che rappresentano il cuore di Active Dirctory Questi dovrebbero essere salvati su dischi RAID ad elevata affidabilità. Nel nostro caso accettiamo il percorso proposto (cioè c:\windows).

Password Ripristino Per ultima cosa viene richiesta una password da usare per le modalità di ripristino. E’ consigliabile utilizzare la stessa password già utilizzata per admin.

Istallare Administrator come utente di domino ? Normalmente Si, in modo che l’utente di dominio Administrator possa essere usato per operazioni di convalida tramite rete (tra l’altro in questo momento sarà l’unico utente esistente).

L’esportazione testuale della configurazione è abbastanza comoda sia per la leggibilità sia perché può poi essere riutilizzata come import.

Riavviare il PC



pag 7

Lato Client: Collegamento della macchina al Dominio

1) Dalla Connessione di Rete impostare l’indirizzo IP del DNS primario 2) Pannello di Controllo / Sistema / Nome Computer

Per rinominare il Computer o aggiungerlo a un Dominio :

scegliere il pulsante CAMBIA

Impostare vbox.net ed inserire username e password dell’Administrator del dominio (al termine dell’istallazione, Active Directory aveva chiesto di installare Administrator come Utente di Dominio).

Il nome PC01 viene registrato all’interno del DNS locale di zona.

Nell’ultima finestra il wizard richiede di creare un profilo utente sulla macchina locale relativamente all’utente vbox.net \Administrator. SI può tranquillamente rispondere di si,

La finestra successiva chiede quali diritti avrà l’utente di rete all’interno della macchina locale. Normalmente si stabilisce che l’amministratore del dominio venga aggiunto come membro del gruppo administrators locale. Facendo quindi login come utente Administrator si potrà installare tranquillamente tutti i programmi che si desidera- Scegliere quindi Administrator.

Riavviare il PC Disabilitazione dei servizio NetBIOS Naming

Server : Start / Strumenti di Amministraione / Windows Firewall / Regole connessioni in entrata

Client : Pannello di Controllo / Windows Firewall / Avanzate / Regole connessioni in entrata

Disabilitare il servizio NetBios Naming (NB Name IN)

Riprovare i ping su winServer e su PC01 Che dovrebbero andare a buon fine grazie alla risoluzione DNS che ha registrato il nome del PC01. Provare anche dalla macchina Linux. Non funziona il quanto il nome della macchina Linux non è registrato all’interno del DNS Abilitazione del DHCP

Server Manager / Aggiungi Ruoli

Ci sono al momento due ruoli registrati: Active Directory e DNS

Seleziona DHCP

Bypassare Wins Impostare il range di indirizzi IP, partendo ad esempio da 11.



pag 8

Il tempo di lease non sembra modificabile. In realtà andando su Server Manager / DHCP / Ambito / tasto destro / proprietà si apre una finestra simile a quella precedente. in cui però questa volta risulta modificabile anche il tempo di lease.

Sul client

impostare “Ottieni automaticamente indirizzo IP”

ipconfig / all

L’indirizzo IP ovviamente continua ad essere 11. Modificare il range sul server partendo da 13. Sul client eseguire i seguenti comandi :

ipconfig / release

ipconfig / renew

nslookup 10.0.0.1



pag 9

La Gestione degli Utenti Server Manager

Ruoli Servizi di Dominio Utenti e Computer di Active Directory scegliere il dominio vbox Users

Si entra nel gruppo base degli Users che mostra Utenti e Gruppi del dominio. Gruppi Domain Users:

Gruppo dal quale erediteranno tutti gli altri gruppi e utenti singoli registrati all’interno del Dominio. A sua volta eredita direttamente dall’HD. Altri Gruppi già esistenti (ereditati da Users)

Sono tutti gruppi di sistema da lasciare così come sono. Tra l’altro su questi utenti predefiniti non è nemmeno possibile modificare le Policy.

Utenti già esistenti:

Administrator rappresenta l’amministratore principale del server.

Guest rappresenta l’utente generico, cioè che può accedere alla rete senza autenticarsi (ad esempio quando arrivo con un portatile esterno, mi collego alla rete e posso navigare in Internet senza mai autenticarmi. Per default l’utente Guest è disabilitato. Può essere abilitato impostando il check nella relativa scheda Account. [Non è richiesta la password].

Gruppo Everyone = Gruppo Users + utente Guest. Facendo doppio click oppure tasto Destro / Proprietà si accede alle Proprietà degli utenti.

1 Creazione di nuovi Utenti

Users tasto Destro / Nuovo / Utente

Si apre la seguente finestra di configurazione dell’utente, in cui è possibile creare SOLO utenti di dominio per il dominio vbox.net e non utenti della macchina



pag 10

Occorre definire Nome e Cognome dell’utente ed impostare il Nome Accesso (username).

Come dice l’ultima nota, per l’accesso ad eventuali server più vecchi occorrerà scrivere vbox\username

Nella finestra successiva si imposta la password dell’utente e la sua durata. L’opzione Nessuna scadenza password è la meno invasiva (anche e soprattutto per Administrator).

La password utilizzata per gli studenti è inf5C!!! A questo punto l’utente è creato, ma non ha ancora nessuna risorsa di rete disponibile. Provando sul client a fare \\10.0.0.1 si le vedono due cartelle condivise

netlogon

sysvol rispetto alle quali però si ha soltanto il diritto di lettura. Queste cartelle contengono le Policy delle varie cartelle, però spesso confondono soltanto le idee, per cui una delle prime cose da fare sul server è quella eliminare la condivisione di queste due cartelle.

2 Configurazione di un Utente

Aprendo le Proprietà di studente01 appaiono un sacco di informazioni che consentono una configurazione più fine dell’utente. Conviene impostare per bene la configurazione del primo Utente e poi utilizzare questo utente per duplicare tutti gli altri. Finestra Account

E’ la finestra principale. Si possono definire, relativamente all’account :

gli orari di accesso

L’elenco dei computer a cui l’utente può accedere. Ad es posso consentire l’accesso dell’utente soltanto ai computer del laboratorio MM assegnato alla classe.

Una data di scadenza dell’account



pag 11

Scendendo nel menù a discesa è possibile :

Archiviare la password in modo crittografato

Disabilitare l’account

Accettare l’accesso tramite smart card

Impostare le modalità di crittografia di kerberos

Finestra Profilo

Per default il profilo viene creato sul PC client. E’ possibile salvare il profilo sul server specificando il percorso:

Vantaggi: ovunque mi collego trovo sempre lo stesso desktop

Svantaggi: problemi se su una macchina c’è XP, sull’altra Vista, sull’altra Seven. Inoltre è molto più lento in quanto ogni volta deve scaricarsi l’intero profilo.

Finestra Membro Di

Gruppi a cui appartiene l’utente. Ogni utente appartiene per default al gruppo Domain Users. Se si crea un gruppo studenti e l’utente diventa membro del gruppo, invece di assegnare i diritti ai singoli utenti, li si potrà assegnare per gruppi, facendo molto prima. A questo punto provvediamo a creare 6 utenti complessivi, copiati da studente01. Cancellazione di un Utente

Quando cancello un utente, viene rimosso il suo CID univoco. Le informazioni sull’utente vanno perse per sempre. Non potrò mai più ricrearlo uguale identico. Anche a parità di UserName e Password avrà un CID differente.

3 Creazione dei gruppi e associazioni degli utenti ai gruppi

Users tasto Destro / Nuovo / Gruppo

Impostare il nome studenti

Ambito Globale (default) significa che il gruppo è valido sull’intera Foresta. A questo punto è sufficiente selezionare tutti gli studenti e fare tasto Destro / Aggiungi a un gruppo

Impostare il nome del gruppo

Il pulsantino Controlla Nomi è comodissimo e verifica l’esistenza del gruppo. In caso di successo provvede a sottolineare il nome del gruppo. Oppure clickare su AVANZATE che mostra l’elenco completo degli utenti da cui si può scegliere l’utente desiderato.



pag 12

La Condivisione delle Cartelle Sulla macchina Server devono esserci sempre almeno 2 volumi:

Il volume di sistema C

Il volume dati D. In modo che se per qualche motivo il sistema dovesse andare in crash, i dati risultino comunque salvi.

In simulazione, non avendo a disposizione il secondo volume, si può creare su C una cartelle Dominio all’interno della quale verranno caricati tutti i dati. Nella cartella Dominio creare le cartelle

Studenti

classe01 con all’interno studente01, studente02, studente03,

classe02 con all’interno studente04, studente05, studente06,

Docenti con i vari account senza ulteriori sottocartelle Sulla cartella studenti fare Tasto Destro / Condividi Una cartella condivisa sul Server, ovunque essa si trovi nel File System del server, sarà visibile da TUTTI i computer client direttamente all’interno delle Risorse di Rete.

Anche un utente non ha nessun diritto su quella cartella, la vede comunque fra le risorse di rete disponibili. Clickando sopra sarà però vietato l’accesso.

Per non avere troppe cartelle, è bene Condividere un numero limitato di cartelle e poi agire sulle Protezioni di Accesso delle varie sottocartelle. Nota:

Se si utilizza come Nome di Condivisione un nome terminante con il carattere $, la cartella condivisa NON sarà visibile dentro Risorse di Rete, però si può comunque accedere (avendone i diritti) scrivendo la

url nella Barra di navigazione: \\mmserver\miaCartella$

Chi potrà accedere alla Cartella studenti ?

Per avere maggior controllo si da l’accesso al solo gruppo studenti.

Sulla cartella Studenti scegliere Condividi che apre una finestra in cui occorre .

aggiungere studenti come Collaboratore aggiungere Administrators come Comproprietario Il Proprietario di ogni cartella deve essere sempre Administrator.

clickare su Condividi e chiudere.

Assegnando al Gruppo studenti l’autorizzazione di Lettore, nessun studente potrà mai apportare modifiche a nessuna sottocartelle. L’ Autorizzazione di Condivisione è infatti prioritaria rispetto a qualunque altro diritto di accesso. Se la cartella è condivisa in sola lettura, non sarà mai possibile scrivere al suo interno. Se invece la cartella è condivisa in scrittura, sarà possibile negare il diritto di scrittura agli utenti.

Sulla cartella Studenti assegnare anche a docenti l’autorizzazione di Collaboratore

Sulla cartella Docenti assegnare ai soli docenti l’autorizzazione di Collaboratore



pag 13

Invece di condividere la singola cartella Studenti, si potrebbero condividere tutte la varie cartelle delle classi, ognuna condivisa con la rispettiva CLASSE e con DOCENTI. Va anche bene, forse addirittura meglio. Ogni studente vedrà TUTTE le cartelle di classe ma potrà accedere SOLO nella cartella della sua classe. Modifica delle Autorizzazioni di Condivisione

In qualunque momento è comunque possibile Modificare le Autorizzazioni di Condivisione e consentire l’accesso soltanto a qualche specifico gruppo. A tal fine occorre di nuovo andare sulla cartella e

Sulla cartella studenti fare Tasto Destro / Condividi

Scegliere CAMBIA AUTORIZZAZIONI DI CONDIVISIONE

Accesso da un Client Everyone e Guest

Se la Condivisione fosse stata estesa ad Everyone,

e se l’utente Guest fosse stato abilitato,

visto che l’utente Guest fa anche lui parte di Everyone, anche chi avesse acceduto alla rete come utente della macchina (cioè senza essersi autenticato) nel momento in cui tenta di accedere al server digitando ad esempio \\10.0.0.1 allora verrebbe riconosciuto come utente Guest e potrebbe accedere al server vedendo la cartella condivisa Studenti esattamente come tutti gli altri.

Se invece l’utente Guest è disabilitato (come da default), nel momento in cui l’utente tenta di accedere al server, si apre automaticamente una finestra che chiede all’utente di inserire :

username password

cioè in sostanza il server richiede all’utente anonimo di farsi riconoscere.

Prova di Condivisione di tutte le cartelle dei singoli studenti (da non fare)

Come detto condividere le cartelle dei singoli studenti non va bene. Però per provare si può condividere la cartella di uno studente ed assegnare le Autorizzazioni di Condivisione al relativo studente.

Scegliere la cartella Studente01 / Tasto Destro / Condividi

Impostare l’utente Studente01 come Collaboratore in modo che possa apportare modifiche

Ripetere per tutti gli altri studenti.

Lo studente01, collegandosi a \\10.0.0.1 vedrà ora in modo diretto tutte le cartelle condivise, avendo però diritto di modifica soltanto sulla propria. Questo VA bene, ma non è bello. Se gli studenti fossero 1000 vedrei 1000 cartelle



pag 14

La Protezione di Accesso

Dunque, volendo condividere soltanto la cartella principale studenti, togliere l’Autorizzazione di condivisione sulle sottocartelle studente01, studente02, etc, e

Tasto destro / Condividi

Termina Condivisione

A questo punto ritornando sulla cartella studenti, facendo tasto destro / Proprietà si può notare che esistono due differenti sottofinestre:

Condivisione per impostare le precedenti impostazioni di Condivisione

Protezione di Accesso per una impostazione più fine delle protezioni

Facendo tasto destro / Condivisione, assegnare il livello Collaboratore al gruppo Studenti

Per evitare però che ogni studente possa aver accesso e modificare ogni singola sottocartella, sempre sulla cartella studenti, facciamo tasto destro / Proprietà e andiamo a modificare la Protezione di accesso nel modo seguente:

Per cambiare le Autorizzazioni clickare su Modifica

Selezionare studenti Togliere la spunta alla Scrittura in modo che il gruppo studenti che non possa scrivere

direttamente all’interno della cartella studenti.

In questo modo tutti gli studenti, essendo Collaboratori, potenzialmente hanno la possibilità di apportare delle modifiche però, in pratica, avendo tolto loro l’autorizzazione alla scrittura nessuno può far nulla.

Esercizio Completo

Condividere la cartella Studenti al livello di Collaboratore Utenti

Nella Gestione degli Utenti creare un nuovo Gruppo classe01 e fare tasto destro / Aggiungi a Gruppo / studenti

Nella Gestione degli Utenti creare un nuovo Gruppo classe02 e fare tasto destro / Aggiungi a Gruppo / studenti

Selezionare gli studenti 01 02 03 e fare tasto destro / Aggiungi a Gruppo / classe01.

Selezionare gli studenti 04 05 06 e fare tasto destro / Aggiungi a Gruppo / classe02.

Andare sul gruppo STUDENTI ed eliminare tutti i singoli studenti dal gruppo

In questo modo classe01 erediterà da studenti, mentre studente01 erediterà soltanto da classe01. Avendo modificato i livelli di ereditarietà studente01 deve riconnettersi per poter usufruire delle modifiche, altrimenti continuerà a ereditare da studenti.



pag 15

Cartelle

Nella cartella studenti creare due nuove cartelle classe01 e classe02

Nella cartella classe01 creare le cartelle di 3 studenti una nuova cartella Area di Scambio

Nella cartella classe02 creare le cartelle di 3 studenti una nuova cartella Area di Scambio Cartella studenti

Proprietà / Protezione / Modifica / Aggiungi Digitare studenti ed assegnare i 3 diritti di lettura Digitare docenti ed assegnare i 3 diritti di lettura + il diritto di scrittura

E’ bene impostare fin da subito anche i diritti dei docenti, in modo che vengano automaticamente ereditati da tutte le sottocartelle. In caso contrario, se si interrompono i livelli di ereditarietà, nel momento in cui si vorranno aggiungere nuove autorizzazioni occorrerà implementarle manualmente su tutte le cartelle !

Cartella classe01

studenti e docenti ereditano i diritti di lettura (e scrittura per i docenti) dalla cartella precedente.

Per cambiare le Autorizzazioni clickare su Proprietà / Protezione / Modifica / Aggiungi

Digitare classe01 ed assegnare i 3 diritti di lettura Cartella Area Scmbio

Nella cartella Area Scambio digitare classe01 ed assegnare anche il diritto di Scrittura

Come detto, questi ultimi diritti impostati esplicitamente sulla cartella Area di Scambio prevalgono su quelli ereditati dal Gruppo studenti, per cui tutti gli studenti della classe01 ereditano da classe01 il diritto di scrittura sulla cartella Area di Scambio.

Cartella classe02

Ripetere tutte le stesse operazioni

Accesso in scrittura di un utente alla propria cartella

Sulle varie sottocartelle degli studenti, andiamo a modificare in modo più fine i diritti di accesso alle singole sottocartelle, riassegnando l’autorizzazione alla scrittura ai singoli studenti proprietari della cartella

Selezionare la cartella studente01 / tasto desto Proprietà / Protezione / Modifica / Aggiungi

Digitare studente01 Assegnare il diritto di Scrittura (non quello di Modifica

Il diritto di modifica consentirebbe infatti all’utente attuale di poter modificare e rimuovere eventuali documenti creati da altri utenti con l’accesso in scrittura alla cartella (ed anche di poter cancellare la cartella stessa !).

La Protezione di Accesso di solito viene data SEMPRE SOLO in Scrittura e MAI di Modifica.



pag 16

Riassumendo

Tutti gli studenti, essendo Collaboratori, dispongono di una condivisione R/W. La condivisione viene gestita a livello di Rete, per cui tutti gli studenti vedono sul loro PC la Cartella Condivisa studenti e potenzialmente possono scrivere ovunque all’interno della cartella studenti.

La protezione degli accessi viene invece gestita a livello di SO sul server. Il gruppo studenti ha un diritto di protezione soltanto di tipo R. Ogni singolo studente ha invece un diritto R/W sulla propria cartella.

Le eventuali negazioni di Condivisione (solo lettore) prevalgono su tutto il resto

I diritti impostati esplicitamente sulla cartella prevalgono rispetto a quelli ereditati. Per cui l’utente studente01 che aveva ereditato dal Gruppo studenti il diritto di accesso alla cartella come Collaboratore, ma senza i diritti di scrittura, ora acquisisce tale diritto sulla singola cartella.

Accesso da un Client

Proviamo ora da un client loggato come studente01 ad accedere a winServer. studente01 può entrare nella propria cartella di rete e creare nuovi documenti. studente01 può entrare nella cartella degli altri ma non può apportare modifiche.

Negazione dell’accesso in lettura alle cartelle delle altre classi

E’ abbastanza brutto che un utente possa entrare nelle cartelle delle altre classi e visionare i contenuti delle cartelle relative ai singoli studenti. Primo tentativo di soluzione

classe01 / proprietà

togliere i 3 diritti di lettura al Gruppo studenti / NEGA NON funziona !!

Se il client prova a entrare nella Cartella studenti non vede più la Cartella classe01 !! Quando si da l’ok alla negazione dei diritti del gruppo studenti, compare il seguente messaggio molto chiaro



pag 17

che dice che, a differenza di quelle ereditate, in caso di autorizzazioni di pari livello, le autorizzazioni negate prevalgono su quelle concesse. Se un utente appartiene a due gruppi (studenti e classe01) ed un gruppo presenta autorizzazioni negate mentre l’altro presenta autorizzazioni concesse, quelle negate prevalgono. Non fa nulla che i singoli studenti siano stati eliminati dal gruppo STUDENTI. Essi appartengono al gruppo CLASSE01, che a sua volta appartiene al gruppo STUDENTI per cui è come se i singoli studenti appartenessero al gruppo STUDENTI. Mentre prima il consenso alla Scrittura del singolo utente prevaleva rispetto alla negazione ereditata dal gruppo SUDENTI, qui stiamo impostando due autorizzazioni sullo stesso livello, che avranno pertanto pari importanza ed in tal caso prevale la negazione. Notare inoltre come, negando ad un certo utente il consenso alla lettura su una certa cartella, questo utente NON veda più quella cartelle all’interno di winServer. L’unico modo per mostrargli una cartella senza che abbia il permesso di entrare dentro è quello di CONDIVIDERE la cartella (che sarà quindi visibile da tutti) impostando i diritti di COLLABORATORE soltanto su gruppi a cui l’utente non appartiene. Secondo Tentativo di soluzione (non funzionante)

Posso tentare allora di eliminare il gruppo studenti dai gruppi che possono accedere alla cartella classe01. In questo modo non imposto il diritto di negazione e dovrebbe prevalere il diritto di accesso del gruppo CLASSE01. In realtà se si tenta di eliminare il gruppo STUDENTI dalla finestra relativa alla protezione di accesso, viene fuori il seguente messaggio che dice chiaramente che non è possibile rimuovere un gruppo STUDENTI perché il gruppo eredita le autorizzazioni dall’oggetto padre.

Per poter rimuovere il gruppo STUDENTI dalle autorizzazioni sulla cartella CLASSE01 è necessario impedire che le autorizzazioni vengano ereditate.



pag 18

Blocco delle autorizzazioni ereditate

L’unica soluzione possibile è quella di eliminare i vincoli di ereditarietà (che possono essere eliminat in fase di creazione delle cartelle oppure anche dopo la creazione delle cartelle stesse).

Eliminazione dei diritti del gruppo USERS

Il gruppo USERS creato automaticamente on i suoi diritti, in realtà da soltanto fastidio. Prima di eliminare altri vincoli di ereditarietà, mentre le catene sono ancora tutte attive, per prima cosa si può eliminare i diritti di Users dalla cartella Dominio. A tal fine fare Proprietà / Protezione / Modifica selezionare Users e fare Rimuovi. In realtà, esattamente come nel caso precedente, la rimozione fallisce, in quanto i diritti di Users non sono impostati direttamente ma sono a loro volta ereditati ereditati. Per togliere il vincolo di ereditarietà scegliamo Proprietà / Protezione / Avanzate / Modifica, e togliamo il chek a

includi le autorizzazioni ereditabili dal padre dell’oggetto

Una apposita finestra chiede se:

Copiare all’oggetto i diritti ereditati. In sostanza i diritti di TUTTI i cari utenti vengono mantenuti ma vengono impostati come impostazione diretta e non più ereditata.

Rimuovere i diritti ereditati. In questo modo tutti i diritti ereditati vengono rimossi e pertanto vengono rimossi anche tutti gli utenti che avevano solo diritti ereditati (in pratica quasi tutti gli utenti).

L’opzione Rimuovi è abbastanza pericolosa. Scegliere SEMPRE COPIA e poi rimuovere manualmente gli utenti indesiderati, nel nostro caso Users, Per eliminare Users ritornare nella finestra principale, fare Protezione / Modifica, scegliere Users e poi fare Rimuovi. Come prima i diritti del gruppo Users verranno rimossi anche da tutte le sottocartelle.

La situazione finale della cartella Dominio rimane la seguente:



pag 19

Eliminazione dei diritti dell’Administrator sulla cartella STUDENTI

Pur non essendo vitale ai fini della trattazione, non ha comunque molto senso suddividere il singolo Administrator dal gruppo Administrators. E’ sempre bene tenere un unico Gruppo di Administrators in modo che quando si assegnano i diritti non se ne dimentichi qualcuno. Andiamo sulla cartella Studenti ad eliminare i diritti del singolo Administrator.. A tal fine fare Protezione / Modifica selezionare Administrator e fare Rimuovi. I diritti di Aministrator erano stati assegnati manualmente, per cui la loro rimozione è consentita senza problemi. L’eliminazione di Administrator viene automaticamente propagata anche alle sottocartelle. Non potendo accedere alla cartella studenti, l’utente Administrator non potrà certo accedere alle sottocartelle. La stessa operazione andrebbe eseguita anche sulla Condivisione : Condivisione Avanzata / Autorizzazioni / Elimina Administrator / Aggiungi Administrators sempre con il diritto di Controllo Completo. Anche la presenza di Users sembra abbastanza irrilevante. I diritti di Users erano stai ereditati dalla cartella dominio alla quale erano stati assegnati in automatico al momento della creazione.

Diritti sulla cartella STUDENTI

A questo punto, ritornando sulla cartella studenti, la situazione dei diritti rimane la stessa di prima (con la sola mancanza di users). Andando su Proprietà / Protezione / Avanzate / Modifica si può verificare in maggiore dettaglio lo stato attuale dei diritti:

In cui si può vedere che non ci sono sostanzialmente dei diritti ereditati (con la sola eccezione degli amministratori) per cui la spunta all’opzione “Elimina le autorizzazioni ereditabili” può anche essere lasciata.



pag 20

Diritti sulla cartella CLASSE01

Andare infine sulla cartella classe01 e, andando su Proprietà / Protezione / Avanzate / Modifica, si può eliminare la spunta sull’opzione

includi le autorizzazioni ereditabili dal padre dell’oggetto

A questo punto rimuoviamo il gruppo STUDENTI in modo che non vada ad interferire con il gruppo CLASSE01 e finalmente si ottiene il risultato desiderato.

Rimuovendo il gruppo Studenti rimane solo Classe01 con i 3 diritti di sola lettura. (non vogliamo che gli studenti possano andare a scrivere direttamente nella cartella studenti.

Diritti sulla cartella CLASSE02

Togliere al solito modo l’ereditarietà, sempre Copiando i diritti.

Rimuovere il gruppo Studenti

Rimane solo Classe02 con i 3 diritti di lettura.. Diritti sulle cartelle STUDENTE01, STUDENTE02, STUDENTE03,

Togliere al solito modo l’ereditarietà, sempre Copiando i diritti.

Rimuovere il gruppo Classe01

Rimane solo Studente01 con 4 diritti (compresa scrittura). Area scambio all’interno della cartella classe01

Rimane l’unica che eredita con l’aggiunta dei diritti di scrittura al gruppo CLASSE01.

Il funzionamento di AreaScambio è quello di default, cioè un utente non può modificare quello che hanno fatto gli altri, ma può creare nuovi documenti e modificare / rimuovere i propri documenti..



pag 21

Autorizzazioni avanzate

Una ulteriore soluzione alternativa, molto simile alla precedente ma forse ancora più strutturata, è quella di non tagliare i vincoli di ereditarietà ma evitare a monte di impostarli. Andare sulla cartella STUDENTI / Proprietà / Protezione / AVANZATE / Modifica Scegliere il gruppo Studenti e clickare su MODIFICA Per poter accedere alla cartella l’utente deve avere le autorizzazioni indicate dai check della figura sottotante:

Notare il ComboBox che indica di applicare le autorizzazioni alla cartella corrente e a tutte le sue sottocartelle. In pratica in questo modo le autorizzazioni vengono ereditate da tutte le sottocartelle interne di qualsiasi livello (situazione normale di default)- Scegliendo invece di applicare le autorizzazioni soltanto alla cartella corrente, queste non verrebbero più ereditate dalle sottocartelle, sulle quali in pratica il gruppo STUDENTI non avrebbe più alcuna autorizzazione. Notare infine il check in basso che, abbinato alla voce “applica le autorizzazioni alla cartella corrente e a tutte le sue sottocartelle” consente di applicare le autorizzazioni soltanto alla cartella corrente e alle sottocartelle di primo livello. In questo modo le autorizzazioni della cartella STUDENTI vengono ereditate dalle varie cartelle delle CLASSI, per cui l’utente, una volta entrato nella cartella STUDENTI, potrà vedere tutte le cartelle relative alle varie classi ed entrare al loro interno..



pag 22

Sulla cartella CLASSE01 si possono impostare per il gruppo classe01 gli stessi diritti precedenti, però SOLO per la cartella corrente (che equivale a tagliare l’ereditarietà verso le cartelle dei singoli studenti).

In questo modo lo studente corrente, all’interno della cartella della propria classe, vedrà soltanto la propria cartella e non quella degli altri studenti della classe, mentre per quanto riguarda le cartelle delle altre classi, vedrà delle cartelle vuote. Volendo nascondere allo studente attuale le cartelle delle altre classi è sufficiente andare sulla cartella STUDENTI ed eliminare l’Autorizzazione di lettura. In questo modo si ritorna esattamente nella situazione dell’esempio precedente. I primi tre diritti servono allo studente per poter entrare all’interno della cartella STUDENTI. A questo punto è inutile far ereditare i tre diritti alle sottocartelle di classe (le quali, essendo vietata la lettura, in ogni caso non sarebbero visibili). e, nel combo box, le autorizzazioni possono essere applicate SOLO alla all’utente corrente.



pag 23

Installazione di IIS su Windows 2008 server

Server Manager / Ruoli / Aggiungi Ruoli

Selezionare IIS e selezionare i check relativi alle librerie ASP e ASP Net ed installare.

Inetpub è la cartella che IIS utilizza per la memorizzazione dei siti web ospitati

Insieme all’installazione viene creato anche una nuova applicazione web vuota memorizzata all’interno della cartella

wwwroot. Mai si potranno poi creare altre cartelle parallele, una per ogni sito web

Andare nella cartella c:\inetpub\wwwroot e creare una pagina index.html

Dal client aprire un browser e richiamare http://vbox.net/index.html

Oppure meglio http://winserver.vbox.net/index.html

Andare nella cartella c:\inetpub\wwwroot e creare la seguente pagina index.html o index.asp

Dal client aprire un browser e richiamare http://vbox.net/index.asp

oppure http://winserver.vbox.net/index.asp

Nel caso del Default Web Site, che rappresenta il sito di risposta di default da parte di IIS (cioè quello restituito

quando non si specifica nessun Host Name specifico), è meglio NON modificare il Binding. lasciando che il sito

senza Host Name e lasciando che risponda su tutti gli indirizzi IP disponibili

Configurazione di IIS

Da Pannello di Controllo / Strumenti di Amministrazione selezionare Gestione Internet Information Services.

Si apre un ambiente di configurazione che nella letteratura tecnica viene indicato come ISM = Internet Services

Manager oppure come MMC = Microsoft Management Console

Aprire winserver / Siti.

All’inizio c’è soltanto il Default Web Site che rappresenta il sito base di IIS memorizzate all’interno della cartella

wwwroot. Selezionarlo.

Nell’area centrale si può passare da Visualizzazione Funzionalità a Visualizzazione Contenuto e viceversa

mediante i due link inferiori. In Visualizzazione Funzionalità sono suddivise in due gruppi: quelle relative a ASPx e

quelle relativa a IIS che sono le più interessanti.

Documento predefinito consente di impostare quale pagine IIS deve utilizzare come pagina di apertura del sito. La

sequenza predefinita è Default.aspx, Default.htm, Default.asp, Index.htm, isstart.html che è una pagina predefinita

preesistente che viene aperta nel caso in cui non venga individuata nessuna delle pagine precedenti.

Per velocizzare a risposta inserire in cima il file realmente utilizzato.

Impostazioni SSL avendo installato tutti i moduli relativi a SSL, mediante il pulsante Certificato Server

consente la Creazione di un Certificato Digitale

La finestra di destra contiene un elenco di ulteriori azioni.

Impostazioni Di Base consente di ridefinire il nome dell’applicazione (es sito1) ed anche il suo percorso fisico .

Impostazioni Avanzate consente di definire i protocolli di accesso abilitati, il timeout di connessione, la porta.



pag 24

Binding…

La finestra Binding… consente di associare al sito uno specifico Nome Host (ad esempio www.vbox.net) ed uno

specifico indirizzo IP.

Nome Host: Il Nome Host dovrà essere risolto a monte tramite DNS. Per cui da Server Manager occorre selezionare

il DNS / winserver / Zone di Ricerca Diretta / vbox.net / Nuovo host A

Indirizzo IP: E’ possibile su una stessa scheda di rete configurare più indirizzi IP (dalla finestra TCP v4 / Avanzate).

Nel caso in cui la scheda di rete sia stata configurata con più indirizzi IP occorre impostare su quale indirizzo deve

rispondere il Sito. Ovviamente più siti possono rispondere sul medesimo indirizzo IP. In queso caso non sarà

possibile all’interno del DNS definire un record PTR per risoluzione inversa (da indirizzo IP a dnsName ) in quanto

la risoluzione non risulta univoca.

Creazione di una nuova Directory Virtuale

Selezionato un sito web (ad esempio Sito1) fare Tasto Destro / Aggiungi Directory Virtuale

Una directory virtuale rappresenta un sto web privo di una propria URL ma accessibile soltanto come sottocartella di

un altro sito web principale (altervista).

Assegnare alla directory un Alias (ad esempio miosito) e creare una nuova sottocartella all’interno di wwwroot.

I visitatori potranno accedere al sito, mediante la sintassi http://www.vbox.net/miosito

Creazione di un nuovo Sito con URL indipendente

Da Siti fare Tasto Destro / Aggiungi Sito Web. Consente di creare un nuovo sito web gestito dallo stesso

web server. Il sito dovrà essere creato all’interno di una nuova cartella sempre all’interno di intetpub in una

nuova cartella figlia di wwwroot.

Definire sul DNS un nuovo record relativo all’Host Name (ad es sito2.vbox.net) del nuovo sito web mappato

sempre su 10.0.0.1, in modo che il DNS possa restituire correttamente l’indirizzo IP del nuovo sito.

Impostare quindi come Host Name del nuovo sito sito2.vbox.net

Creare all’interno della cartella sito2 una pagina di prova index.html o index.asp e provare ad aprire il sito

NB: Occorre sempre PRIMA creare una cartella web vuota e DOPO copiare gli eventuali files.

Pubblicazione di un sito ASPx

La procedura è molto più semplice rispetto a Windows Server 2003 ed è identica a quella di tutti gli altri siti. Occorre:

Creare un nuovo sito

Registrarlo all’interno del DNS

Creare le pagine ASPx all’interno della cartella

Affinché gli errori vengano ritornati direttamente al chiamante occorre aggiungere all’interno del file web,config il la

seguente direttiva: <system.web>

<customErrors mode="Off"> </customErrors>

</system.web>

Dichiarazione di pagina Default.aspx

<%@ Page Language="C#" AutoEventWireup="true" CodeFile="Default.aspx.cs" Inherits="_Default" %> <!DOCTYPE html>

Pagina Default.aspx.cs using System; using System.Collections.Generic; using System.Web;

using System.Web.UI; using System.Web.UI.WebControls;

public partial class _Default : System.Web.UI.Page {

protected void btnEsegui_Click(object sender, EventArgs e)

{ lblNome.Text = txtNome.Text; }

http://www.vbox.net/

Configurazione di Active Directory in Windows 2008...

Documents

Transcript of Configurazione di Active Directory in Windows 2008...