Amministratore locale per tutti i computer

-

Articolo originale: https://www.emanuelegenovese.it/utente-di-dominio-amministratore-locale-su-tutti-i-computer/


Come rendere un utente di dominio un amministratore locale per tutti i computer


In una rete aziendale è sicuramente cosa utile rendere un utente di dominio, amministratore locale per tutti i computer del dominio.

Anzi, normalmente viene concesso questo privilegio ad un gruppo specifico di utenti, magari coloro che lavorano nel reparto IT aziendale, o chi si occupa di helpdesk per i colleghi.

Si potrebbe raggiungere lo scopo, aggiungendo lo specifico utente al gruppo di dominio Domain Admins, ma non conviene quasi mai agire in tal senso, soprattutto se l’utente in questione non ha sufficienti skills come sistemista su macchine server.

Nella pratica, il sistema migliore è quello di creare uno specifico gruppo di sicurezza e poi abilitare un criterio di gruppo che andrà a configurare correttamente le macchine locali.

Cominciamo.

Step 1 – Creare un Gruppo di Sicurezza

Come prima cosa bisogna creare un gruppo di sicurezza del Dominio, nel quale dovranno essere inseriti gli utenti interessati.
Logghiamoci al Domain Controller e dal Server Manager selezioniamo Strumenti -> Utenti e computer di Active Directory oppure digitiamo dsa.msc dalla shell dei comandi.

Dal menu in alto selezioniamo Azione -> Nuovo -> Gruppo

Diamo un nome al nuovo gruppo, per esempio G_Ufficio_IT.

Aggiungiamo gli utenti interessati al gruppo appena creato, per esempio tutti gli utenti che lavorano nell’ufficio IT aziendale.

Step 2 – Creare un criterio di gruppo

Il prossimo passo è creare un criterio di gruppo che possa essere associato a tutti i computer del dominio.

Per fare questo, dal Server Manager, selezioniamo Strumenti -> Gestione Criteri di Gruppo oppure digitiamo gpmc.msc dalla shell dei comandi.

Facciamo click destro su Oggetti Criteri di gruppo e selezioniamo Nuovo.

Assegniamo un nome all’oggetto, per esempio “Local Admin GPO”, e facciamo click su OK.

Step 3 – Configurare il criterio di gruppo

Adesso è arrivato il momento di configurare il nuovo oggetto appena creato.

Facciamo click con il tasto destro su “Local Admin GPO” e selezioniamo Modifica.

Espandiamo i nodi Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni sicurezza\Gruppi con restrizioni, e nel pannello di sinistra, su Gruppi con restrizioni, clicchiamo con il destro e selezioniamo Aggiungi gruppo.

Nella finestra di dialogo Aggiungi gruppo, selezionare Sfoglia e scrivere G_Ufficio_IT e poi cliccare su “Controlla nomi”.

Successivamente cliccare due volte su OK, per chiudere la finestra di dialogo.

Si aprirà ora la finestra delle proprietà del gruppo, nella quale andremo ad impostare i gruppi locali dei pc.

  • Clicchiamo su Aggiungi, di fianco al riquadro “Questo gruppo è membro di:
  • Aggiungiamo il gruppo “Administrators
  • Aggiungiamo il gruppo “Utenti desktop remoto
  • Clicchiamo due volte su OK per chiudere la finestra di dialogo

Step 4 – Collegare il criterio di gruppo

A questo punto la configurazione del Criterio di gruppo è terminata, e non ci resta che collegarlo al dominio o ad una UO.

Nella console di management, clicchiamo con il tasto destro sul dominio oppure su una Unità Organizzativa (UO) e selezioniamo Collega oggetto Criteri di gruppo esistente.

Selezioniamo Local Admin GPO e clicchiamo su OK.

Step 5 – Testare la GPO

Effettuiamo il login su un PC membro del dominio e lanciamo il comando gpupdate /force dalla shell dei comandi, per costringere il PC ad aggiornare i criteri di gruppo.

Andando a controllare il gruppo locale Administrator, si vedrà che il gruppo G_Ufficio_IT ne è un membro.

Assicurati che tutti i PC a cui si vuole dare accesso si trovino in una Unità Organizzativa, e che questa UO sia correttamente linkata al Criterio precedentemente creato.

Adesso tutti gli utenti di dominio che sono membri di G_Ufficio_IT potranno collegarsi in remoto su tutti i PC come amministratori locali.

Commenti

Posta un commento

Solo soluzioni pratiche e/o suggerimenti, migliorie, proprie esperienze. Grazie

Post popolari in questo blog

Come bypassare password Windows senza usare un supporto di avvio

-
Immagine
Articolo originale dal sito IlSoftware   Una guida per bypassare la password di Windows quando non si ha accesso agli account utente. Presentiamo un metodo semplice che utilizza uno script batch, scaricabile gratuitamente. Nell’era digitale, la sicurezza dei dati è fondamentale e le password rappresentano una delle prime linee di difesa contro accessi non autorizzati. Tuttavia, può capitare di trovarsi in situazioni in cui è necessario accedere a un computer Windows quando sprovvisti della password di qualsiasi account configurato sulla macchina. In questo nostro articolo presentiamo un’efficace tecnica che permette di  bypassare  la  password di Windows  alla comparsa della schermata di login, indipendentemente dalla tipologia e dal numero di account utente configurati. Il  vantaggio , in questo caso, è che diventa possibile tornare ad accedere al contenuto dei PC dai quali si riteneva essere ormai “tagliati fuori”. Diversamente rispetto ad altri approcci,...
Continua a leggere

Perché "sfc /scannow" spesso non funziona e come risolvere davvero!

-
Fonte:  https://www.patreon.com/posts/143585039?collection=1706406 Se hai mai cercato su Google "come riparare Windows", ti sarai sicuramente imbattuto nel famoso comando sfc /scannow. Lo trovi ovunque: forum, guide, video su YouTube. È presentato come la soluzione miracolosa a tutti i problemi di Windows. Apri il Prompt dei comandi come amministratore, digiti quel comando magico e... niente. Il 99% delle volte non risolve proprio un bel niente. Ti sei mai chiesto perché? Il mito del comando magico Partiamo dalle basi: SFC sta per System File Checker, cioè "Controllo dei file di sistema". L'idea dietro questo strumento è semplice e sensata: Windows confronta i file di sistema attualmente presenti sul tuo PC con una copia di backup "pulita" che conserva da qualche parte. Se trova qualcosa di corrotto o mancante, dovrebbe sostituirlo automaticamente. Sulla carta funziona benissimo. Nella pratica? Ti ritrovi con messaggi del tip...
Continua a leggere

Aggiungere collegamenti sul Desktop a tutti gli utenti di un dominio AD

-
Spesso mi è capitato di dover creare dei collegamenti a risorse/file presenti in rete per poi doverli distribuire a tutti gli utenti di un dominio Actie Directory. Di fronte a questa richiesta la prima cosa che viene in mente è quella di creare i collegamenti e poi copiarli facendo il giro dei client nella cartella C:/Documents and Settings/All User/Desktop. Ma quando i client in questione sono numerosi la cosa può essere parecchio dispendiosa in termini di tempo. Perchè non sfruttare uno script da lanciare via GPO? Basta applicare una GPO alle OU alle quali vogliamo distribuire i collegamenti. Tale GPO non dovrà far altro che eseguire uno script .bat in Configurazione utente\Criteri\Impostazioni di Windows\Script (Accesso/Fine sessione). Lo script non dovrà far altro che eseguire il comando DOS copy per copiare i collegamenti preventivamente salvati su una share di rete nella cartella C:/Documents And Settings/[utente]/Desktop sfruttando la variabile d’ambiente %UserPro...
Continua a leggere