Introduction to Active Directory Administrative Center Enhancements (Level 100)

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Il Centro di amministrazione di Active Directory in Windows Server include funzionalità di gestione per gli elementi seguenti:

Cestino per Active Directory

L'eliminazione accidentale di oggetti Active Directory è un problema comune per gli utenti di Servizi di dominio Active Directory e Active Directory Lightweight Directory Services. Nelle versioni precedenti di Windows Server, prima di Windows Server 2008 R2, era possibile recuperare gli oggetti eliminati accidentalmente in Active Directory, ma le soluzioni avevano i loro svantaggi.

In Windows Server 2008 è possibile utilizzare la funzionalità Windows Server Backup e il comando per il ripristino autorevole ntdsutil per contrassegnare gli oggetti come autorevoli e garantire la replica dei dati ripristinati nell'intero dominio. La soluzione relativa al ripristino autorevole deve tuttavia essere eseguita nella modalità ripristino servizi directory e ciò costituisce uno svantaggio. In tale modalità, infatti, il controller di dominio da ripristinare deve rimanere offline e non è pertanto in grado di soddisfare le richieste client.

In Windows Server 2003 Active Directory e Servizi di dominio Active Directory di Windows Server 2008 è possibile ripristinare oggetti Active Directory tramite il recupero degli oggetti contrassegnati per la rimozione definitiva. Non è tuttavia possibile recuperare gli attributi con valori di collegamento degli oggetti recuperati, ad esempio l'appartenenza a gruppi degli account utente, che sono stati rimossi fisicamente e gli attributi con valori non di collegamento cancellati. Gli amministratori non possono pertanto avvalersi del recupero degli oggetti contrassegnati per la rimozione definitiva come soluzione ideale in caso di eliminazione accidentale degli oggetti. Per altre informazioni sul recupero degli oggetti contrassegnati per la rimozione definitiva, vedere Recupero degli oggetti contrassegnati per la rimozione definitiva di Active Directory.

A partire da Windows Server 2008 R2, il Cestino per Active Directory si basa sull'infrastruttura esistente di recupero degli oggetti contrassegnati per la rimozione definitiva e amplia le possibilità di salvaguardare e recuperare oggetti Active Directory eliminati in modo accidentale.

Quando si attiva il Cestino per Active Directory, vengono mantenuti tutti gli attributi con valori di collegamento e non di collegamento degli oggetti Active Directory eliminati e gli oggetti vengono interamente ripristinati nello stesso stato logico coerente in cui si trovavano immediatamente prima dell'eliminazione. Gli account utente ripristinati, ad esempio, ottengono di nuovo automaticamente tutte le appartenenze ai gruppi e i diritti di accesso corrispondenti di cui disponevano all'interno del dominio e tra domini immediatamente prima dell'eliminazione. Il Cestino per Active Directory supporta gli ambienti Servizi di dominio Active Directory e Active Directory Lightweight Directory Services. Per una descrizione dettagliata del Cestino di Active Directory, vedere Novità di Servizi di dominio Active Directory: Cestino per Active Directory.

Novità In Windows Server 2012 e più recente, la funzionalità active directory Cestino è stata migliorata con una nuova interfaccia utente grafica che consente agli utenti di gestire e ripristinare gli oggetti eliminati. Gli utenti possono infatti visualizzare un elenco di oggetti eliminati e ripristinarli nei percorsi originali o a scelta.

Se si prevede di abilitare Active Directory Cestino in Windows Server, tenere presente quanto segue:

  • Per impostazione predefinita, il Cestino per Active Directory è disabilitato. Per abilitarlo, è necessario innanzitutto aumentare il livello di funzionalità della foresta di Servizi di dominio Active Directory o dell'ambiente AD LDS a Windows Server 2008 R2 o versione successiva. A sua volta, è necessario che tutti i controller di dominio nella foresta o tutti i server che ospitano istanze di AD LDS set di configurazione siano in esecuzione Windows Server 2008 R2 o versione successiva.

  • Il processo di abilitazione del Cestino per Active Directory è irreversibile. Se si abilita il Cestino per Active Directory nell'ambiente in uso, non sarà più possibile disabilitarlo.

  • Per gestire la Cestino funzionalità tramite un'interfaccia utente, è necessario installare la versione di Centro di amministrazione di Active Directory in Windows Server 2012.

    Nota

    È possibile usare Server Manager per installare Strumenti di amministrazione remota del server (RSAT) per usare la versione corretta di Centro di amministrazione di Active Directory per gestire i Cestino tramite un'interfaccia utente.

    Per informazioni sull'installazione di Strumenti di amministrazione remota del server, vedere l'articolo Strumenti di amministrazione remota del server.

Cestino per Active Directory - Procedura dettagliata

Nei passaggi seguenti si userà l'interfaccia di amministrazione di Active Directory per eseguire le attività seguenti Cestino Active Directory in Windows Server 2012 :

Nota

Per eseguire i passaggi seguenti, è necessario essere membri del gruppo Enterprise Admins o disporre di autorizzazioni equivalenti.

Passaggio 1: Aumentare il livello di funzionalità della foresta

In questo passaggio si aumenterà il livello di funzionalità della foresta. È necessario aumentare almeno il livello di funzionalità nella foresta di destinazione Windows Server 2008 R2 prima di abilitare Active Directory Cestino.

Per aumentare il livello di funzionalità della foresta di destinazione

  1. Fare clic con il pulsante Windows PowerShell destro del mouse sull'icona del Windows PowerShell, scegliere Esegui come amministratore e digitaredsac.exe per aprire Centro di amministrazione di Active Directory.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.

  3. Fare clic sul dominio di destinazione nel riquadro di spostamento a sinistra e nel riquadro Attività fare clic su Aumenta livello di funzionalità foresta. Selezionare un livello di funzionalità della foresta Windows Server 2008 R2 o versione successiva e quindi fare clic su OK.

Logo di PowerShell, mostra i comandi equivalenti di PowerShell per aumentare il livello di funzionalità della foresta.Windows PowerShell comandi equivalenti

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest -Confirm:$false

Per l'argomento -Identity specificare il nome di dominio DNS completo.

Passaggio 2: Abilitare il Cestino

In questo passaggio si abiliterà il Cestino per ripristinare oggetti eliminati in Servizi di directory Active Directory.

Per abilitare il Cestino per Active Directory in Centro di amministrazione di Active Directory nel dominio di destinazione

  1. Fare clic con il pulsante Windows PowerShell destro del mouse sull'icona del Windows PowerShell, scegliere Esegui come amministratore e digitaredsac.exe per aprire Centro di amministrazione di Active Directory.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.

  3. Nel riquadro Attività fare clic su Abilita Cestino ... nel riquadro Attività, fare clic su OK nel riquadro del messaggio di avviso e quindi OK nel messaggio di aggiornamento di Centro di amministrazione di Active Directory.

  4. Premere F5 per aggiornare Centro di amministrazione di Active Directory.

Logo di PowerShell, mostra i comandi equivalenti di PowerShell per l'abilitazione del Cestino.Windows PowerShell comandi equivalenti

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target 'contoso.com'

Passaggio 3: Creare utenti, gruppo e unità organizzativa di prova

Nelle procedure seguenti si creeranno due utenti di prova. Si creerà quindi un gruppo di prova al quale aggiungere gli utenti di prova. Si creerà infine un'unità organizzativa.

Per creare gli utenti di prova

  1. Fare clic con il pulsante Windows PowerShell destro del mouse sull'icona del Windows PowerShell, scegliere Esegui come amministratore e digitaredsac.exe per aprire Centro di amministrazione di Active Directory.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.

  3. Nel riquadro Attività fare clic su Nuovo e quindi su Utente.

    Screenshot che mostra come creare un nuovo utente di test.

  4. Immettere le informazioni seguenti in Account e fare clic su OK:

    • Nome completo: test1
    • Accesso utente SamAccountName: test1
    • Password: p@ssword1
    • Conferma password: p@ssword1
  5. Ripetere i passaggi precedenti per creare un secondo utente test2.

Per creare un gruppo di prova al quale aggiungere utenti

  1. Fare clic con il pulsante Windows PowerShell destro del mouse sull'icona del Windows PowerShell, scegliere Esegui come amministratore e digitaredsac.exe per aprire Centro di amministrazione di Active Directory.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.

  3. Nel riquadro Attività fare clic su Nuovo e quindi su Raggruppa..

  4. Immettere le informazioni seguenti in Gruppo e fare clic su OK:

    • Nome gruppo:group1
  5. Fare clic su group1 e quindi nel riquadro Attività fare clic su Proprietà.

  6. Fare clic su Membri e su Aggiungi, digitare test1;test2 e quindi fare clic su OK.

Logo di PowerShell, Mostra i comandi equivalenti di PowerShell per l'aggiunta di utenti al gruppo.Windows PowerShell comandi equivalenti

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

Add-ADGroupMember -Identity group1 -Member test1

Per creare un'unità organizzativa

  1. Fare clic con il pulsante Windows PowerShell destro del mouse sull'icona del Windows PowerShell, scegliere Esegui come amministratore e digitaredsac.exe per aprire Centro di amministrazione di Active Directory.

  2. Fare clic su Gestisci,fare clic su Aggiungi nodi di spostamento e selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su **OK

  3. Nel riquadro Attività fare clic su Nuovo e quindi su Unità organizzativa.

  4. Immettere le informazioni seguenti in Unità organizzativa e fare clic su OK:

    • NomeOU1

Logo di PowerShell, Mostra i comandi equivalenti di PowerShell per la creazione di un'unità organizzativa.Windows PowerShell comandi equivalenti

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name "test$_" -Path "DC=fabrikam,DC=com" -AccountPassword (ConvertTo-SecureString -AsPlainText "p@ssword1" -Force) -Enabled $true}
New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -GroupScope Global -DisplayName "group1"
New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com"

Passaggio 4: Ripristinare gli oggetti eliminati

Nelle procedure seguenti gli oggetti eliminati presenti nel contenitore Deleted Objects verranno ripristinati nel percorso originale e in un percorso diverso.

Per ripristinare oggetti eliminati nel percorso originale

  1. Fare clic con il pulsante destro Windows PowerShell'icona, fare clic su Esegui come amministratore e digitaredsac.exe per aprire ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.

  3. Selezionare gli utenti test1 e test2, fare clic su Elimina nel riquadro Attività e quindi fare clic su per confermare l'eliminazione.

    Logo di PowerShell: mostra i comandi equivalenti di PowerShell per la rimozione degli utenti.Windows PowerShell comandi equivalenti

    Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

    Get-ADUser -Filter 'Name -Like "*test*"'|Remove-ADUser -Confirm:$false
    
  4. Passare al contenitore Deleted Objects, selezionare test2 e test1 e quindi fare clic su Ripristina nel riquadro Attività.

  5. Per confermare che gli oggetti sono stati ripristinati nel percorso originale, passare al dominio di destinazione e verificare che gli account utente sono inclusi nell'elenco.

    Nota

    Se si passa a Proprietà degli account utente test1 e test2 e quindi si fa clic su Membro di, si noterà che è stata ripristinata anche l'appartenenza ai gruppi.

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

Logo di PowerShell: mostra i comandi equivalenti di PowerShell per ripristinare gli oggetti nella posizione originale.Windows PowerShell comandi equivalenti

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject

Per ripristinare oggetti eliminati in un percorso diverso

  1. Fare clic con il pulsante destro Windows PowerShell'icona, fare clic su Esegui come amministratore e digitaredsac.exe per aprire ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.

  3. Selezionare gli utenti test1 e test2, fare clic su Elimina nel riquadro Attività e quindi fare clic su per confermare l'eliminazione.

  4. Passare al contenitore Deleted Objects, selezionare test2 e test1 e quindi fare clic su Ripristina in nel riquadro Attività.

  5. Selezionare OU1 e quindi fare clic su OK.

  6. Per confermare che gli oggetti sono stati ripristinati in OU1, passare al dominio di destinazione, fare doppio clic su OU1 e verificare che gli account utente sono inclusi nell'elenco.

Logo di PowerShell: mostra i comandi equivalenti di PowerShell per il ripristino degli oggetti eliminati in un percorso diverso.Windows PowerShell comandi equivalenti

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject -TargetPath "OU=OU1,DC=contoso,DC=com"

Criteri granulari per le password

Il sistema operativo Windows Server 2008 consente alle organizzazioni di definire criteri password e di blocco account diversi a seconda del gruppo di utenti di un dominio. Nei domini di Active Directory di versioni precedenti a Windows Server 2008 è possibile applicare un solo criterio password e di blocco account a tutti gli utenti del dominio. Tali criteri vengono specificati nei criteri di dominio predefiniti del dominio. Di conseguenza, per definire impostazioni diverse per le password e il blocco degli account a seconda dei gruppi di utenti, le organizzazioni devono creare un filtro password o distribuire più domini, opzioni entrambe onerose.

È ora possibile utilizzare criteri granulari per le password per specificare più criteri password in un unico dominio e applicare restrizioni diverse per i criteri password e di blocco account a seconda dei gruppi di utenti di un dominio. È ad esempio possibile applicare impostazioni più rigide ad account con privilegi e impostazioni meno rigide per gli account di altri utenti. In altri casi è opportuno applicare criteri password speciali per gli account le cui password vengono sincronizzate con altre origini dati. Per una descrizione dettagliata dei criteri granulari per le password, vedere Servizi di dominio Active Directory: Criteri granulari per le password

Novità

In Windows Server 2012 e più recente, la gestione dei criteri delle password con granularità fine è resa più semplice e visiva fornendo un'interfaccia utente per gli amministratori di Servizi di dominio Active Directory per gestirli in ADAC. Gli amministratori possono ora visualizzare i criteri risultanti di un determinato utente, visualizzare e ordinare tutti i criteri password all'interno di un determinato dominio e gestire visivamente i singoli criteri password.

Se si prevede di usare criteri granulari per le password in Windows Server 2012, tenere presente quanto segue:

  • I criteri granulari per le password si applicano solo ai gruppi di sicurezza globali e agli oggetti utente (o agli oggetti inetOrgPerson se vengono usati al posto degli oggetti utente). Per impostazione predefinita, solo i membri del gruppo Domain Admins possono impostare criteri granulari per le password. È tuttavia possibile delegare l'impostazione di questi criteri ad altri utenti. Il livello di funzionalità del dominio deve essere impostato su Windows Server 2008 o versione successiva.

  • È necessario usare la versione Windows Server 2012 o più recente di Centro di amministrazione di Active Directory per amministrare criteri granulari per le password tramite un'interfaccia utente grafica.

    Nota

    È possibile usare Server Manager per installare Strumenti di amministrazione remota del server (RSAT) per usare la versione corretta di Centro di amministrazione di Active Directory per gestire Cestino tramite un'interfaccia utente.

    Per informazioni sull'installazione di RSAT, vedere l'articolo Strumenti di amministrazione remota del server.

Criteri granulari per le password - Procedura dettagliata

Nei passaggi seguenti si utilizzerà Centro di amministrazione di Active Directory per eseguire le attività seguenti relative ai criteri granulari per le password:

Nota

Per eseguire i passaggi seguenti, è necessario essere membri del gruppo Domain Admins o disporre di autorizzazioni equivalenti.

Passaggio 1: Aumentare il livello di funzionalità del dominio

Nella procedura seguente si eleva il livello di funzionalità del dominio di destinazione a Windows Server 2008 o versione successiva. Per abilitare criteri granulari per le password, è necessario un livello di funzionalità del dominio Windows Server 2008 o versione successiva.

Per aumentare il livello di funzionalità del dominio
  1. Fare clic con il pulsante destro Windows PowerShell'icona, fare clic su Esegui come amministratore e digitaredsac.exe per aprire ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.

  3. Fare clic sul dominio di destinazione nel riquadro di spostamento a sinistra, quindi nel riquadro Attività fare clic su Aumenta livello di funzionalità dominio. Selezionare un livello di funzionalità della foresta almeno Windows Server 2008 o versione successiva e quindi fare clic su OK.

Logo di PowerShell: mostra i comandi equivalenti di PowerShell per aumentare il livello di funzionalità del dominio.Windows PowerShell comandi equivalenti

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

Set-ADDomainMode -Identity contoso.com -DomainMode 3

Passaggio 2: Creare utenti, gruppo e unità organizzativa di prova

Per creare gli utenti e il gruppo di test necessari per questo passaggio, seguire le procedure disponibili qui: Passaggio 3: Creare utenti, gruppi e unità organizzativa di test (non è necessario creare l'unità organizzativa per illustrare criteri granulari per le password).

Passaggio 3: Creare un nuovo criterio granulare per le password

Nella procedura seguente si creerà un nuovo criterio granulare per le password utilizzando l'interfaccia utente di Centro di amministrazione di Active Directory.

Per creare un nuovo criterio granulare per le password
  1. Fare clic con il pulsante destro Windows PowerShell'icona, fare clic su Esegui come amministratore e digitaredsac.exe per aprire ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.

  3. Nel riquadro di spostamento di Centro di amministrazione di Active Directory aprire il contenitore System e fare clic sul contenitore Password Settings Container.

  4. Nel riquadro Attività fare clic su Nuovo e quindi su Impostazioni di password.

    Compilare o modificare i campi nella pagina delle proprietà per creare un nuovo oggetto Impostazioni di password. I campi Nome e Precedenza sono obbligatori.

    Screenshot che mostra come creare o modificare le impostazioni della password.

  5. In Si applica direttamente ae su Aggiungi, digitare group1e quindi fare clic su OK.

    In tal modo l'oggetto Criteri password verrà associato ai membri del gruppo globale creato per l'ambiente di testing.

  6. Fare clic su OK per completare la creazione.

Logo di PowerShell: mostra i comandi equivalenti di PowerShell per la creazione di nuovi criteri granulari per le password.Windows PowerShell comandi equivalenti

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1

Passaggio 4: Visualizzare un insieme risultante di criteri per un utente

Nella procedura seguente si visualizzeranno le Impostazioni di password risultanti per un utente membro del gruppo a cui è stato assegnato un criterio granulare per le password in Passaggio 3: Creare nuovi criteri granulari per le password.

Per visualizzare un insieme risultante di criteri per un utente
  1. Fare clic con il pulsante destro Windows PowerShell'icona, fare clic su Esegui come amministratore e digitaredsac.exe per aprire ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.

  3. Selezionare un utente test1 appartenente al gruppo group1 a cui è stato associato un criterio granulare per le password in Passaggio 3: Creare nuovi criteri granulari per le password.

  4. Fare clic su Visualizza Impostazioni di password risultanti nel riquadro Attività.

  5. Esaminare i criteri di impostazione password e quindi fare clic su Annulla.

Logo di PowerShell: mostra i comandi equivalenti di PowerShell per la visualizzazione di un set di criteri risultante per un utente. Windows PowerShell comandi equivalenti

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

Get-ADUserResultantPasswordPolicy test1

Passaggio 5: Modificare un criterio granulare per le password

Nella procedura seguente si modificherà il criterio granulare per le password creato in Passaggio 3: Creare nuovi criteri granulari per le password.

Per modificare un criterio granulare per le password
  1. Fare clic con il pulsante destro del Windows PowerShell, scegliere Esegui come amministratore e digitaredsac.exe per aprire ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.

  3. Nel riquadro di spostamento di Centro di amministrazione di Active Directory espandere Sistema e fare clic su Contenitore Impostazioni password.

  4. Selezionare i criteri granulari per le password creati in Passaggio 3: Creare nuovi criteri granulari per le password e fare clic su Proprietà nel riquadro Attività.

  5. In Imponi cronologia delle password modificare il valore di Numero di password memorizzate in 30.

  6. Fare clic su OK.

Logo di PowerShell: mostra i comandi equivalenti di PowerShell per la modifica di criteri granulari per le password.Windows PowerShell comandi equivalenti

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"

Passaggio 6: Eliminare criteri granulari per le password

Per eliminare criteri granulari per le password
  1. Fare clic con il pulsante destro del Windows PowerShell, scegliere Esegui come amministratore e digitaredsac.exe per aprire ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.

  3. Nel riquadro di spostamento di Centro di amministrazione di Active Directory espandere System e fare clic sul contenitore Password Settings Container.

  4. Selezionare i criteri granulari per le password creati in Passaggio 3: Creare nuovi criteri granulari per le password e fare clic su Proprietà nel riquadro Attività.

  5. Deselezionare la casella di controllo Proteggi da eliminazioni accidentali e fare clic su OK.

  6. Selezionare i criteri granulari per le password e fare clic su Elimina nel riquadro Attività.

  7. Fare clic su OK nella finestra di dialogo di conferma.

Introduzione all'interfaccia di amministrazione di AD Windows PowerShellcomandiequivalenti

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

Set-ADFineGrainedPasswordPolicy -Identity TestPswd -ProtectedFromAccidentalDeletion $False
Remove-ADFineGrainedPasswordPolicy TestPswd -Confirm

Visualizzatore della cronologia di Windows PowerShell

Centro di amministrazione di Active Directory è uno strumento di interfaccia utente basato su Windows PowerShell. In Windows Server 2012 e versioni più nuove, gli amministratori IT possono sfruttare ADAC per Windows PowerShell per i cmdlet di Active Directory usando il visualizzatore Windows PowerShell cronologia. Poiché le azioni vengono eseguite nell'interfaccia utente, il comando di Windows PowerShell equivalente viene visualizzato nel Visualizzatore della cronologia di Windows PowerShell. In tal modo gli amministratori possono creare script automatizzati e ridurre le attività ripetitive, incrementando la produttività. Inoltre, questa funzionalità riduce il tempo necessario per apprendere Windows PowerShell per Active Directory e aumenta l'attendibilità degli utenti nella correttezza degli script di automazione.

Quando si usa Windows PowerShell Visualizzatore cronologia Windows Server 2012 o versione più recente, tenere presente quanto segue:

  • Per usare Windows PowerShell Script Viewer, è necessario usare Windows Server 2012 versione più recente di ADAC

    Nota

    È possibile usare Server Manager per installare Strumenti di amministrazione remota del server (RSAT) per usare la versione corretta di Centro di amministrazione di Active Directory per gestire Cestino tramite un'interfaccia utente.

    Per informazioni sull'installazione di RSAT, vedere l'articolo Strumenti di amministrazione remota del server.

  • Avere una conoscenza di base di Windows PowerShell. ad esempio il funzionamento del piping. Per altre informazioni sul piping in Windows PowerShell, vedere Piping e pipeline in Windows PowerShell.

Visualizzatore della cronologia di Windows PowerShell - Procedura dettagliata

Nella procedura seguente si utilizzerà il Visualizzatore della cronologia di Windows PowerShell di Centro di amministrazione di Active Directory per creare uno script di Windows PowerShell. Prima di iniziare questa procedura, rimuovere l'utente test1 dal gruppo group1.

Per creare uno script con il Visualizzatore della cronologia di Windows PowerShell

  1. Fare clic con il pulsante destro del Windows PowerShell, scegliere Esegui come amministratore e digitaredsac.exe per aprire ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.

  3. Espandere il riquadro Cronologia di Windows PowerShell nella parte inferiore della schermata di Centro di amministrazione di Active Directory.

  4. Selezionare l'utente test1.

  5. Fare clic su Aggiungi al gruppo nelriquadro Attività.

  6. Passare a group1 e fare clic su OK nella finestra di dialogo.

  7. Passare al riquadro Cronologia di Windows PowerShell e individuare il comando appena generato.

  8. Copiare il comando e incollarlo nell'editor desiderato per creare lo script.

    È ad esempio possibile modificare il comando per aggiungere un utente diverso a group1 oppure aggiungere test1 a un gruppo diverso.

Vedere anche

Advanced AD DS Management Using Active Directory Administrative Center (Level 200)