Introduction to Active Directory Administrative Center Enhancements (Level 100)
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Il Centro di amministrazione di Active Directory in Windows Server include le funzionalità di gestione seguenti:
- Cestino per Active Directory
- Criteri granulari per le password
- Visualizzatore della cronologia di Windows PowerShell
Cestino per Active Directory
L'eliminazione accidentale di oggetti Active Directory è un problema comune per gli utenti di Servizi di dominio Active Directory e Active Directory Lightweight Directory Services. Nelle versioni precedenti di Windows Server, prima di Windows Server 2008 R2, era possibile ripristinare gli oggetti eliminati accidentalmente in Active Directory, anche se le soluzioni presentavano degli svantaggi.
In Windows Server 2008 è possibile utilizzare la funzionalità Windows Server Backup e il comando per il ripristino autorevole ntdsutil per contrassegnare gli oggetti come autorevoli e garantire la replica dei dati ripristinati nell'intero dominio. La soluzione relativa al ripristino autorevole deve tuttavia essere eseguita nella modalità ripristino servizi directory e ciò costituisce uno svantaggio. In tale modalità, infatti, il controller di dominio da ripristinare deve rimanere offline e non è pertanto in grado di soddisfare le richieste client.
In Windows Server 2003 Active Directory e Servizi di dominio Active Directory di Windows Server 2008 è possibile ripristinare oggetti Active Directory tramite il recupero degli oggetti contrassegnati per la rimozione definitiva. Non è tuttavia possibile recuperare gli attributi con valori di collegamento degli oggetti recuperati, ad esempio l'appartenenza a gruppi degli account utente, che sono stati rimossi fisicamente e gli attributi con valori non di collegamento cancellati. Gli amministratori non possono pertanto avvalersi del recupero degli oggetti contrassegnati per la rimozione definitiva come soluzione ideale in caso di eliminazione accidentale degli oggetti. Per altre informazioni sul recupero degli oggetti contrassegnati per la rimozione definitiva, vedere Recupero degli oggetti contrassegnati per la rimozione definitiva di Active Directory.
A partire da Windows Server 2008 R2, il Cestino per Active Directory si basa sull'infrastruttura esistente di recupero degli oggetti contrassegnati per la rimozione definitiva e amplia le possibilità di salvaguardare e recuperare oggetti Active Directory eliminati in modo accidentale.
Quando si attiva il Cestino per Active Directory, vengono mantenuti tutti gli attributi con valori di collegamento e non di collegamento degli oggetti Active Directory eliminati e gli oggetti vengono interamente ripristinati nello stesso stato logico coerente in cui si trovavano immediatamente prima dell'eliminazione. Gli account utente ripristinati, ad esempio, ottengono di nuovo automaticamente tutte le appartenenze ai gruppi e i diritti di accesso corrispondenti di cui disponevano all'interno del dominio e tra domini immediatamente prima dell'eliminazione. Il Cestino per Active Directory supporta gli ambienti Servizi di dominio Active Directory e Active Directory Lightweight Directory Services. Per una descrizione dettagliata del Cestino di Active Directory, vedere Novità di Servizi di dominio Active Directory: Cestino per Active Directory.
Novità In Windows Server 2012 e versioni successive, la funzione Cestino di Active Directory è migliorata e offre una nuova interfaccia grafica che consente agli utenti di gestire e ripristinare gli oggetti eliminati. Gli utenti possono infatti visualizzare un elenco di oggetti eliminati e ripristinarli nei percorsi originali o a scelta.
Se si prevede di abilitare il cestino di Active Directory in Windows Server, tenere presente quanto segue:
Per impostazione predefinita, il Cestino per Active Directory è disabilitato. Per abilitarlo, è prima necessario aumentare il livello di funzionalità della foresta dell'ambiente Active Directory Domain Services o AD LDS a Windows Server 2008 R2 o versione successiva. A sua volta è necessario che tutti i controller di dominio nella foresta o tutti i server che ospitano istanze dei set di configurazione di AD LDS eseguano Windows Server 2008 R2 o versione successiva.
Il processo di abilitazione del Cestino per Active Directory è irreversibile. Se si abilita il Cestino per Active Directory nell'ambiente in uso, non sarà più possibile disabilitarlo.
Per gestire la funzionalità Cestino tramite un'interfaccia utente, è necessario installare la versione di Centro di amministrazione di Active Directory in Windows Server 2012.
Nota
È possibile usare Server Manager per installare Strumenti di amministrazione remota del server (RSAT) al fine di usare la versione corretta del Centro di amministrazione di Active Directory per gestire il Cestino tramite un'interfaccia utente.
Per informazioni sull'installazione di Strumenti di amministrazione remota del server, vedere l'articolo Strumenti di amministrazione remota del server.
Cestino per Active Directory - Procedura dettagliata
Nei passaggi seguenti si userà ADAC per eseguire le attività seguenti del Cestino di Active Directory in Windows Server 2012:
- Passaggio 1: Aumentare il livello di funzionalità della foresta
- Passaggio 2: Abilitare il Cestino
- Passaggio 3: Creare utenti di test, gruppi e unità organizzative
- Passaggio 4: Ripristinare gli oggetti eliminati
Nota
Per eseguire i passaggi seguenti, è necessario essere membri del gruppo Enterprise Admins o disporre di autorizzazioni equivalenti.
Passaggio 1: Aumentare il livello di funzionalità della foresta
In questo passaggio si aumenterà il livello di funzionalità della foresta. Prima di abilitare il Cestino di Active Directory, è necessario aumentare il livello funzionale nella foresta di destinazione almeno a Windows Server 2008 R2.
Per aumentare il livello di funzionalità della foresta di destinazione
Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e quindi digitare dsac.exe per aprire ADAC.
Fare clic su Gestiscie su Aggiungi nodi di spostamento . Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.
Fare clic sul dominio di destinazione nel riquadro di spostamento a sinistra e nel riquadro Attività fare clic su Aumenta livello di funzionalità foresta. Selezionare un livello di funzionalità della foresta almeno pari a Windows Server 2008 R2 o versione successiva e quindi fare clic su OK.
Comandi equivalenti di Windows PowerShell
Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.
Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest -Confirm:$false
Per l'argomento -Identity specificare il nome di dominio DNS completo.
Passaggio 2: Abilitare il Cestino
In questo passaggio si abiliterà il Cestino per ripristinare oggetti eliminati in Servizi di directory Active Directory.
Per abilitare il Cestino per Active Directory in Centro di amministrazione di Active Directory nel dominio di destinazione
Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e quindi digitare dsac.exe per aprire ADAC.
Fare clic su Gestiscie su Aggiungi nodi di spostamento . Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.
Nel riquadro Attività fare clic su Abilita Cestino nel riquadro Attività , fare clic su OK nel riquadro del messaggio di avviso e quindi OK nel messaggio di aggiornamento di Centro di amministrazione di Active Directory.
Premere F5 per aggiornare Centro di amministrazione di Active Directory.
Comandi equivalenti di Windows PowerShell
Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.
Se si verifica un errore, è possibile provare a spostare sia il master dello schema che i ruoli master di denominazione del dominio nello stesso controller di dominio nel dominio radice. Eseguire quindi il cmdlet da tale controller di dominio.
Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target 'contoso.com'
Passaggio 3: Creare utenti, gruppo e unità organizzativa di prova
Nelle procedure seguenti si creeranno due utenti di prova. Si creerà quindi un gruppo di prova al quale aggiungere gli utenti di prova. Si creerà infine un'unità organizzativa.
Per creare gli utenti di prova
Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e quindi digitare dsac.exe per aprire ADAC.
Fare clic su Gestiscie su Aggiungi nodi di spostamento . Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.
Nel riquadro Attività fare clic su Nuovo e quindi su Utente.
Immettere le informazioni seguenti in Account e fare clic su OK:
- Nome completo: test1
- Accesso utente SamAccountName: test1
- Password: p@ssword1
- Conferma password: p@ssword1
Ripetere i passaggi precedenti per creare un secondo utente test2.
Per creare un gruppo di prova al quale aggiungere utenti
Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e quindi digitare dsac.exe per aprire ADAC.
Fare clic su Gestiscie su Aggiungi nodi di spostamento . Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.
Nel riquadro Attività fare clic su Nuovo e quindi su Gruppo.
Immettere le informazioni seguenti in Gruppo e fare clic su OK:
- Nome gruppo: group1
Fare clic su group1e quindi nel riquadro Attività fare clic su Proprietà.
Fare clic su Membrie su Aggiungi, digitare test1;test2e quindi fare clic su OK.
Comandi equivalenti di Windows PowerShell
Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.
Add-ADGroupMember -Identity group1 -Member test1
Per creare un'unità organizzativa
Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e quindi digitare dsac.exe per aprire ADAC.
Fare clic su Gestisci e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su **OK
Nel riquadro Attività fare clic su Nuovo e quindi su Unità organizzativa.
Immettere le informazioni seguenti in Unità organizzativa e fare clic su OK:
- NameOU1
Comandi equivalenti di Windows PowerShell
Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.
1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name "test$_" -Path "DC=fabrikam,DC=com" -AccountPassword (ConvertTo-SecureString -AsPlainText "p@ssword1" -Force) -Enabled $true}
New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -GroupScope Global -DisplayName "group1"
New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com"
Passaggio 4: Ripristinare gli oggetti eliminati
Nelle procedure seguenti gli oggetti eliminati presenti nel contenitore Oggetti eliminati verranno ripristinati nel percorso originale e in un percorso diverso.
Per ripristinare oggetti eliminati nel percorso originale
Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e quindi digitare dsac.exe per aprire ADAC.
Fare clic su Gestiscie su Aggiungi nodi di spostamento . Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.
Selezionare gli utenti test1 e test2, fare clic su Elimina nel riquadro Attività e quindi fare clic su Sì per confermare l'eliminazione.
Comandi equivalenti di Windows PowerShellIl cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.
Get-ADUser -Filter 'Name -Like "*test*"'|Remove-ADUser -Confirm:$falsePassare al contenitore Oggetti eliminati , selezionare test2 e test1 e quindi fare clic su Ripristina nel riquadro Attività .
Per confermare che gli oggetti sono stati ripristinati nel percorso originale, passare al dominio di destinazione e verificare che gli account utente sono inclusi nell'elenco.
Nota
Se si passa a Proprietà degli account utente test1 e test2 e quindi si fa clic su Membro di, si noterà che è stata ripristinata anche l'appartenenza ai gruppi.
Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.
Comandi equivalenti di Windows PowerShell
Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject
Per ripristinare oggetti eliminati in un percorso diverso
Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e quindi digitare dsac.exe per aprire ADAC.
Fare clic su Gestiscie su Aggiungi nodi di spostamento . Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.
Selezionare gli utenti test1 e test2, fare clic su Elimina nel riquadro Attività e quindi fare clic su Sì per confermare l'eliminazione.
Passare al contenitore Oggetti eliminati , selezionare test2 e test1 e quindi fare clic su Ripristina in nel riquadro Attività .
Selezionare OU1 e quindi fare clic su OK.
Per confermare che gli oggetti sono stati ripristinati in OU1, passare al dominio di destinazione, fare doppio clic su OU1 e verificare che gli account utente sono inclusi nell'elenco.
Comandi equivalenti di Windows PowerShell
Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.
Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject -TargetPath "OU=OU1,DC=contoso,DC=com"
Criteri granulari per le password
Il sistema operativo Windows Server 2008 consente alle organizzazioni di definire criteri password e di blocco account diversi a seconda del gruppo di utenti di un dominio. Nei domini di Active Directory di versioni precedenti a Windows Server 2008 è possibile applicare un solo criterio password e di blocco account a tutti gli utenti del dominio. Tali criteri vengono specificati nei criteri di dominio predefiniti del dominio. Di conseguenza, per definire impostazioni diverse per le password e il blocco degli account a seconda dei gruppi di utenti, le organizzazioni devono creare un filtro password o distribuire più domini, opzioni entrambe onerose.
È ora possibile utilizzare criteri granulari per le password per specificare più criteri password in un unico dominio e applicare restrizioni diverse per i criteri password e di blocco account a seconda dei gruppi di utenti di un dominio. È ad esempio possibile applicare impostazioni più rigide ad account con privilegi e impostazioni meno rigide per gli account di altri utenti. In altri casi è opportuno applicare criteri password speciali per gli account le cui password vengono sincronizzate con altre origini dati. Per una descrizione dettagliata dei criteri granulari per le password, vedere Servizi di dominio Active Directory: Criteri granulari per le password
Novità
In Windows Server 2012 e versioni successive la gestione dei criteri password con granularità fine è resa più semplice e visiva fornendo un'interfaccia utente per gli amministratori di Active Directory Domain Services per gestirli in ADAC. Gli amministratori possono ora visualizzare i criteri risultanti di un particolare utente, visualizzare e ordinare tutti i criteri password in un dominio specifico e gestire visivamente singoli criteri password.
Se si prevede di usare criteri password con granularità fine in Windows Server 2012, tenere presente quanto segue:
I criteri password con granularità fine si applicano solo a oggetti utente e gruppi di sicurezza globali oppure a oggetti inetOrgPerson se vengono utilizzati in sostituzione di oggetti utente. Per impostazione predefinita, solo i membri del gruppo Domain Admins possono impostare criteri granulari per le password. È tuttavia possibile delegare l'impostazione di questi criteri ad altri utenti. Il livello di funzionalità del dominio deve essere impostato su Windows Server 2008 o versione successiva.
È necessario usare la versione Windows Server 2012 o successiva del Centro di amministrazione di Active Directory per amministrare criteri password con granularità fine tramite un'interfaccia utente grafica.
Nota
È possibile usare Server Manager per installare Strumenti di amministrazione remota del server (RSAT) al fine di usare la versione corretta del Centro di amministrazione di Active Directory per gestire il Cestino tramite un'interfaccia utente.
Per informazioni sull'installazione di Strumenti di amministrazione remota del server, vedere l'articolo Strumenti di amministrazione remota del server.
Criteri granulari per le password - Procedura dettagliata
Nei passaggi seguenti si utilizzerà Centro di amministrazione di Active Directory per eseguire le attività seguenti relative ai criteri granulari per le password:
- Passaggio 1: Aumentare il livello di funzionalità del dominio
- Passaggio 2: Creare utenti di test, gruppi e unità organizzative
- Passaggio 3: Creare un nuovo criterio password con granularità fine
- Passaggio 4: Visualizzare un set di criteri risultante per un utente
- Passaggio 5: Modificare un criterio password con granularità fine
- Passaggio 6: Eliminare un criterio password con granularità fine
Nota
Per eseguire i passaggi seguenti, è necessario essere membri del gruppo Domain Admins o disporre di autorizzazioni equivalenti.
Passaggio 1: Aumentare il livello di funzionalità del dominio
Nella procedura seguente si aumenta il livello di funzionalità del dominio di destinazione a Windows Server 2008 o versione successiva. Per abilitare criteri password con granularità fine, è necessario un livello funzionale di dominio di Windows Server 2008 o versione successiva.
Per aumentare il livello di funzionalità del dominio
Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e quindi digitare dsac.exe per aprire ADAC.
Fare clic su Gestiscie su Aggiungi nodi di spostamento . Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.
Fare clic sul dominio di destinazione nel riquadro di spostamento a sinistra, quindi nel riquadro Attività fare clic su Aumenta livello di funzionalità dominio. Selezionare un livello di funzionalità della foresta almeno di Windows Server 2008 o versione successiva e quindi fare clic su OK.
Comandi equivalenti di Windows PowerShell
Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.
Set-ADDomainMode -Identity contoso.com -DomainMode 3
Passaggio 2: Creare utenti, gruppo e unità organizzativa di prova
Per creare gli utenti e il gruppo di prova per questo passaggio, eseguire le procedure descritte in Passaggio 3: Creare utenti, gruppo e unità organizzativa di prova. Non è necessario creare l'unità organizzativa per dimostrare i criteri granulari per le password.
Passaggio 3: Creare un nuovo criterio granulare per le password
Nella procedura seguente si creerà un nuovo criterio granulare per le password utilizzando l'interfaccia utente di Centro di amministrazione di Active Directory.
Per creare un nuovo criterio granulare per le password
Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e quindi digitare dsac.exe per aprire ADAC.
Fare clic su Gestiscie su Aggiungi nodi di spostamento . Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.
Nel riquadro di spostamento di Centro di amministrazione di Active Directory aprire il contenitore System e fare clic sul contenitore Password Settings Container.
Nel riquadro Attività fare clic su Nuovoe quindi su Impostazioni password.
Compilare o modificare i campi nella pagina delle proprietà per creare un nuovo oggetto Impostazioni password . I campi Nome e Precedenza sono obbligatori.
In Si applica direttamente ae su Aggiungi, digitare group1e quindi fare clic su OK.
In tal modo l'oggetto Criteri password verrà associato ai membri del gruppo globale creato per l'ambiente di testing.
Fare clic su OK per completare la creazione.
Comandi equivalenti di Windows PowerShell
Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.
New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1
Passaggio 4: Visualizzare un insieme risultante di criteri per un utente
Nella procedura seguente si visualizzeranno le impostazioni password risultanti per un utente membro del gruppo a cui è stato assegnato un criterio granulare per le password in Step 3: Create a new fine-grained password policy.
Per visualizzare un insieme risultante di criteri per un utente
Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e quindi digitare dsac.exe per aprire ADAC.
Fare clic su Gestiscie su Aggiungi nodi di spostamento . Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.
Selezionare un utente test1 appartenente al gruppo group1 a cui è stato associato un criterio granulare per le password in Step 3: Create a new fine-grained password policy.
Fare clic su Visualizza impostazioni password risultanti nel riquadro Attività .
Esaminare i criteri di impostazione password e quindi fare clic su Annulla.
Comandi equivalenti di Windows PowerShell
Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.
Get-ADUserResultantPasswordPolicy test1
Passaggio 5: Modificare un criterio granulare per le password
Nella procedura seguente si modificherà il criterio granulare per le password creato in Step 3: Create a new fine-grained password policy.
Per modificare un criterio granulare per le password
Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e quindi digitare dsac.exe per aprire ADAC.
Fare clic su Gestiscie su Aggiungi nodi di spostamento . Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.
Nel riquadro di spostamentodi Centro di amministrazione di Active Directory espandere Sistema e fare clic su Contenitore Impostazioni password.
Selezionare i criteri granulari per le password creati in Step 3: Create a new fine-grained password policy e fare clic su Proprietà nel riquadro Attività .
In Imponi cronologia delle passwordmodificare il valore di Numero di password memorizzate in 30.
Fare clic su OK.
Comandi equivalenti di Windows PowerShell
Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.
Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"
Passaggio 6: Eliminare criteri granulari per le password
Per eliminare criteri granulari per le password
Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e quindi digitare dsac.exe per aprire ADAC.
Fare clic su Gestiscie su Aggiungi nodi di spostamento . Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.
Nel riquadro di spostamento di Centro di amministrazione di Active Directory espandere Sistema e fare clic sul contenitore Impostazioni password.
Selezionare i criteri granulari per le password creati in Step 3: Create a new fine-grained password policy e fare clic su Proprietà nel riquadro Attività.
Deselezionare la casella di controllo Proteggi da eliminazioni accidentali e fare clic su OK.
Selezionare i criteri granulari per le password e fare clic su Elimina nel riquadro Attività.
Fare clic su OK nella finestra di dialogo di conferma.
Comandi equivalenti di Windows PowerShell
Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.
Set-ADFineGrainedPasswordPolicy -Identity TestPswd -ProtectedFromAccidentalDeletion $False
Remove-ADFineGrainedPasswordPolicy TestPswd -Confirm
Visualizzatore della cronologia di Windows PowerShell
Centro di amministrazione di Active Directory è uno strumento di interfaccia utente basato su Windows PowerShell. In Windows Server 2012 e versioni successive, gli amministratori IT possono sfruttare ADAC per apprendere i cmdlet di Windows PowerShell per Active Directory usando il Visualizzatore cronologia di Windows PowerShell. Poiché le azioni vengono eseguite nell'interfaccia utente, il comando di Windows PowerShell equivalente viene visualizzato nel Visualizzatore della cronologia di Windows PowerShell. In tal modo gli amministratori possono creare script automatizzati e ridurre le attività ripetitive, incrementando la produttività. Questa funzionalità consente inoltre di ridurre i tempi di apprendimento di Windows PowerShell per Active Directory e di incrementare il livello di familiarità degli utenti e di conseguenza di correttezza degli script di automazione creati.
Quando si usa il Visualizzatore cronologia di Windows PowerShell in Windows Server 2012 o versione successiva, tenere presente quanto segue:
Per utilizzare il Visualizzatore della cronologia di Windows PowerShell, è necessario usare la versione di Windows Server 2012 o versione successiva di ADAC
Nota
È possibile usare Server Manager per installare Strumenti di amministrazione remota del server (RSAT) al fine di usare la versione corretta del Centro di amministrazione di Active Directory per gestire il Cestino tramite un'interfaccia utente.
Per informazioni sull'installazione di Strumenti di amministrazione remota del server, vedere l'articolo Strumenti di amministrazione remota del server.
Avere una conoscenza di base di Windows PowerShell. ad esempio il funzionamento del piping. Per altre informazioni sul piping in Windows PowerShell, vedere Piping e pipeline in Windows PowerShell.
Visualizzatore della cronologia di Windows PowerShell - Procedura dettagliata
Nella procedura seguente si utilizzerà il Visualizzatore della cronologia di Windows PowerShell di Centro di amministrazione di Active Directory per creare uno script di Windows PowerShell. Prima di iniziare questa procedura, rimuovere l'utente test1 dal gruppo group1.
Per creare uno script con il Visualizzatore della cronologia di Windows PowerShell
Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e quindi digitare dsac.exe per aprire ADAC.
Fare clic su Gestiscie su Aggiungi nodi di spostamento . Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.
Espandere il riquadro Visualizzatore della cronologia di Windows PowerShell nella parte inferiore della schermata di Centro di amministrazione di Active Directory.
Selezionare l'utente test1.
Fare clic su Aggiungi al gruppo... nel riquadro Attività.
Passare a group1 e fare clic su OK nella finestra di dialogo.
Passare al riquadro Cronologia di Windows PowerShell e individuare il comando appena generato.
Copiare il comando e incollarlo nell'editor desiderato per creare lo script.
È ad esempio possibile modificare il comando per aggiungere un utente diverso a group1oppure aggiungere test1 a un gruppo diverso.