Introduction to Active Directory Administrative Center Enhancements (Level 100)Introduction to Active Directory Administrative Center Enhancements (Level 100)

Si applica a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Il Centro di amministrazione di Active Directory in Windows Server include funzionalità di gestione per le seguenti operazioni:The Active Directory Administrative Center in Windows Server includes management features for the following:

Cestino per Active DirectoryActive Directory Recycle Bin

L'eliminazione accidentale di oggetti Active Directory è un problema comune per gli utenti di Servizi di dominio Active Directory e Active Directory Lightweight Directory Services.Accidental deletion of Active Directory objects is a common occurrence for users of Active Directory Domain Services (AD DS) and Active Directory Lightweight Directory Services (AD LDS). Nelle versioni precedenti di Windows Server, prima di Windows Server 2008 R2, è possibile ripristinare gli oggetti eliminati accidentalmente in Active Directory, ma le soluzioni presentano svantaggi.In past versions of Windows Server, prior to Windows Server 2008 R2 , one could recover accidentally deleted objects in Active Directory, but the solutions had their drawbacks.

In Windows Server 2008 è possibile utilizzare la funzionalità Windows Server Backup e il comando per il ripristino autorevole ntdsutil per contrassegnare gli oggetti come autorevoli e garantire la replica dei dati ripristinati nell'intero dominio.In Windows Server 2008, you could use the Windows Server Backup feature and ntdsutil authoritative restore command to mark objects as authoritative to ensure that the restored data was replicated throughout the domain. La soluzione relativa al ripristino autorevole deve tuttavia essere eseguita nella modalità ripristino servizi directory e ciò costituisce uno svantaggio.The drawback to the authoritative restore solution was that it had to be performed in Directory Services Restore Mode (DSRM). In tale modalità, infatti, il controller di dominio da ripristinare deve rimanere offlineDuring DSRM, the domain controller being restored had to remain offline. e non è pertanto in grado di soddisfare le richieste client.Therefore, it was not able to service client requests.

In Windows Server 2003 Active Directory e Servizi di dominio Active Directory di Windows Server 2008 è possibile ripristinare oggetti Active Directory tramite il recupero degli oggetti contrassegnati per la rimozione definitiva.In Windows Server 2003 Active Directory and Windows Server 2008 AD DS, you could recover deleted Active Directory objects through tombstone reanimation. Non è tuttavia possibile recuperare gli attributi con valori di collegamento degli oggetti recuperati, ad esempio l'appartenenza a gruppi degli account utente, che sono stati rimossi fisicamente e gli attributi con valori non di collegamento cancellati.However, reanimated objects' link-valued attributes (for example, group memberships of user accounts) that were physically removed and non-link-valued attributes that were cleared were not recovered. Gli amministratori non possono pertanto avvalersi del recupero degli oggetti contrassegnati per la rimozione definitiva come soluzione ideale in caso di eliminazione accidentale degli oggetti.Therefore, administrators could not rely on tombstone reanimation as the ultimate solution to accidental deletion of objects. Per altre informazioni sul recupero degli oggetti contrassegnati per la rimozione definitiva, vedere Recupero degli oggetti contrassegnati per la rimozione definitiva di Active Directory.For more information about tombstone reanimation, see Reanimating Active Directory Tombstone Objects.

A partire da Windows Server 2008 R2, il Cestino per Active Directory si basa sull'infrastruttura esistente di recupero degli oggetti contrassegnati per la rimozione definitiva e amplia le possibilità di salvaguardare e recuperare oggetti Active Directory eliminati in modo accidentale.Active Directory Recycle Bin, starting in Windows Server 2008 R2, builds on the existing tombstone reanimation infrastructure and enhances your ability to preserve and recover accidentally deleted Active Directory objects.

Quando si attiva il Cestino per Active Directory, vengono mantenuti tutti gli attributi con valori di collegamento e non di collegamento degli oggetti Active Directory eliminati e gli oggetti vengono interamente ripristinati nello stesso stato logico coerente in cui si trovavano immediatamente prima dell'eliminazione.When you enable Active Directory Recycle Bin, all link-valued and non-link-valued attributes of the deleted Active Directory objects are preserved and the objects are restored in their entirety to the same consistent logical state that they were in immediately before deletion. Gli account utente ripristinati, ad esempio, ottengono di nuovo automaticamente tutte le appartenenze ai gruppi e i diritti di accesso corrispondenti di cui disponevano all'interno del dominio e tra domini immediatamente prima dell'eliminazione.For example, restored user accounts automatically regain all group memberships and corresponding access rights that they had immediately before deletion, within and across domains. Il Cestino per Active Directory supporta gli ambienti Servizi di dominio Active Directory e Active Directory Lightweight Directory Services.Active Directory Recycle Bin works for both AD DS and AD LDS environments. Per una descrizione dettagliata del Cestino di Active Directory, vedere Novità di Servizi di dominio Active Directory: Cestino per Active Directory.For a detailed description of Active Directory Recycle Bin, see What's New in AD DS: Active Directory Recycle Bin.

NovitàWhat's new? In Windows Server 2012 e versioni successive, la funzionalità Active Directory Cestino è stata migliorata con una nuova interfaccia utente grafica che consente agli utenti di gestire e ripristinare gli oggetti eliminati.In Windows Server 2012 and newer, the Active Directory Recycle Bin feature is enhanced with a new graphical user interface for users to manage and restore deleted objects. Gli utenti possono infatti visualizzare un elenco di oggetti eliminati e ripristinarli nei percorsi originali o a scelta.Users can now visually locate a list of deleted objects and restore them to their original or desired locations.

Se si prevede di abilitare Active Directory Cestino in Windows Server, tenere presente quanto segue:If you plan to enable Active Directory Recycle Bin in Windows Server, consider the following:

  • Per impostazione predefinita, il Cestino per Active Directory è disabilitato.By default, Active Directory Recycle Bin is disabled. Per abilitarla, è innanzitutto necessario aumentare il livello di funzionalità della foresta dell'ambiente di servizi di dominio Active Directory o AD LDS a Windows Server 2008 R2 o versione successiva.To enable it, you must first raise the forest functional level of your AD DS or AD LDS environment to Windows Server 2008 R2 or higher. Questa operazione richiede a sua volta che tutti i controller di dominio della foresta o tutti i server che ospitano istanze di AD LDS set di configurazione eseguono Windows Server 2008 R2 o versione successiva.This in turn requires that all domain controllers in the forest or all servers that host instances of AD LDS configuration sets be running Windows Server 2008 R2 or higher.

  • Il processo di abilitazione del Cestino per Active Directory è irreversibile.The process of enabling Active Directory Recycle Bin is irreversible. Se si abilita il Cestino per Active Directory nell'ambiente in uso, non sarà più possibile disabilitarlo.After you enable Active Directory Recycle Bin in your environment, you cannot disable it.

  • Per gestire la funzionalità di cestino tramite un'interfaccia utente, è necessario installare la versione di Centro di amministrazione di Active Directory in Windows Server 2012.To manage the Recycle Bin feature through a user interface, you must install the version of Active Directory Administrative Center in Windows Server 2012.

    Nota

    È possibile utilizzare Server Manager per installare strumenti di amministrazione remota del server (amministrazione remota del server) per utilizzare la versione corretta di centro di amministrazione di Active Directory per gestire il cestino tramite un'interfaccia utente.You can use Server Manager to install Remote Server Administration Tools (RSAT) to use the correct version of Active Directory Administrative Center to manage Recycle Bin through a user interface.

    Per informazioni sull'installazione di strumenti di amministrazione remota del server, vedere l'articolo strumenti di amministrazione remota del server.For information about installing RSAT, see the article Remote Server Administration Tools.

Cestino per Active Directory - Procedura dettagliataActive Directory Recycle Bin step-by-step

Nei passaggi seguenti si userà centro di attività per eseguire le seguenti attività di Active Directory Cestino in Windows Server 2012:In the following steps, you will use ADAC to perform the following Active Directory Recycle Bin tasks in Windows Server 2012 :

Nota

Per eseguire i passaggi seguenti, è necessario essere membri del gruppo Enterprise Admins o disporre di autorizzazioni equivalenti.Membership in the Enterprise Admins group or equivalent permissions is required to perform the following steps.

Passaggio 1: Aumentare il livello di funzionalità della forestaStep 1: Raise the forest functional level

In questo passaggio si aumenterà il livello di funzionalità della foresta.In this step, you will raise the forest functional level. Prima di abilitare Active Directory Cestino, è necessario aumentare il livello di funzionalità della foresta di destinazione in modo che sia Windows Server 2008 R2 almeno.You must first raise the functional level on the target forest to be Windows Server 2008 R2 at a minimum before you enable Active Directory Recycle Bin.

Per aumentare il livello di funzionalità della foresta di destinazioneTo raise the functional level on the target forest

  1. Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e digitare dsac.exe per aprire ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Fare clic sul dominio di destinazione nel riquadro di spostamento a sinistra e nel riquadro Attività fare clic su Aumenta livello di funzionalità foresta.Click the target domain in the left navigation pane and in the Tasks pane, click Raise the forest functional level. Selezionare un livello di funzionalità della foresta almeno Windows Server 2008 R2 o versione successiva, quindi fare clic su OK.Select a forest functional level that is at least Windows Server 2008 R2 or higher and then click OK.

Il logo di PowerShell Mostra i comandi equivalenti di PowerShell per aumentare il livello di funzionalità della foresta. * Comandi equivalenti di Windows PowerShell PowerShell logo, Shows the PowerShell equivalent commands for raising the forest functional level.**Windows PowerShell equivalent commands_* _

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest -Confirm:$false

Per l'argomento _ -Identity* specificare il nome di dominio DNS completo.For the _ -Identity* argument, specify the fully qualified DNS domain name.

Passaggio 2: Abilitare il CestinoStep 2: Enable Recycle Bin

In questo passaggio si abiliterà il Cestino per ripristinare oggetti eliminati in Servizi di directory Active Directory.In this step, you will enable the Recycle Bin to restore deleted objects in AD DS.

Per abilitare il Cestino per Active Directory in Centro di amministrazione di Active Directory nel dominio di destinazioneTo enable Active Directory Recycle Bin in ADAC on the target domain

  1. Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e digitare dsac.exe per aprire ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Nel riquadro Attività fare clic su Abilita Cestino ... nel riquadro Attività, fare clic su OK nel riquadro del messaggio di avviso e quindi OK nel messaggio di aggiornamento di Centro di amministrazione di Active Directory.In the Tasks pane, click Enable Recycle Bin ... in the Tasks pane, click OK on the warning message box, and then click OK to the refresh ADAC message.

  4. Premere F5 per aggiornare Centro di amministrazione di Active Directory.Press F5 to refresh ADAC.

Logo di PowerShell, Mostra i comandi equivalenti di PowerShell per l'abilitazione del cestino. * Comandi equivalenti di Windows PowerShell PowerShell logo, Shows the PowerShell equivalent commands for enabling the recycle bin.**Windows PowerShell equivalent commands_* _

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target 'contoso.com'

Passaggio 3: Creare utenti, gruppo e unità organizzativa di provaStep 3: Create test users, group and organizational unit

Nelle procedure seguenti si creeranno due utenti di prova.In the following procedures, you will create two test users. Si creerà quindi un gruppo di prova al quale aggiungere gli utenti di prova.You will then create a test group and add the test users to the group. Si creerà infine un'unità organizzativa.In addition, you will create an OU.

Per creare gli utenti di provaTo create test users

  1. Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere _ Esegui come amministratore* e digitare dsac.exe per aprire il centro di amministrazioneRight click the Windows PowerShell icon, click _ Run as Administrator* and type dsac.exe to open ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Nel riquadro Attività fare clic su Nuovo e quindi su Utente.In the Tasks pane, click New and then click User.

    Screenshot che illustra come creare un nuovo utente test.

  4. Immettere le informazioni seguenti in Account e fare clic su OK:Enter the following information under Account and then click OK:

    • Nome completo: test1Full name: test1
    • Accesso utente SamAccountName: test1User SamAccountName logon: test1
    • Password: p@ssword1Password: p@ssword1
    • Conferma password: p@ssword1Confirm password: p@ssword1
  5. Ripetere i passaggi precedenti per creare un secondo utente test2.Repeat the previous steps to create a second user, test2.

Per creare un gruppo di prova al quale aggiungere utentiTo create a test group and add users to the group

  1. Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e digitare dsac.exe per aprire ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Nel riquadro Attività fare clic su Nuovo e quindi su Raggruppa..In the Tasks pane, click New and then click Group.

  4. Immettere le informazioni seguenti in Gruppo e fare clic su OK:Enter the following information under Group and then click OK:

    • Nome gruppo: group1Group name:group1
  5. Fare clic su group1 e quindi nel riquadro Attività fare clic su Proprietà.Click group1, and then under the Tasks pane, click Properties.

  6. Fare clic su Membri e su Aggiungi, digitare test1;test2 e quindi fare clic su OK.Click Members, click Add, type test1;test2, and then click OK.

Il logo di PowerShell Mostra i comandi equivalenti di PowerShell per l'aggiunta di utenti al gruppo. * Comandi equivalenti di Windows PowerShell PowerShell logo, Shows the PowerShell equivalent commands for adding users to the group.**Windows PowerShell equivalent commands_* _

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Add-ADGroupMember -Identity group1 -Member test1

Per creare un'unità organizzativaTo create an organizational unit

  1. Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere _ Esegui come amministratore* e digitare dsac.exe per aprire il centro di amministrazioneRight click the Windows PowerShell icon, click _ Run as Administrator* and type dsac.exe to open ADAC.

  2. Fare clic su Gestisci, fare clic su Aggiungi nodi di spostamento e selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su * * OK.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click **OK

  3. Nel riquadro Attività fare clic su Nuovo e quindi su Unità organizzativa.In the Tasks pane, click New and then click Organizational Unit.

  4. Immettere le informazioni seguenti in Unità organizzativa e fare clic su OK:Enter the following information under Organizational Unit and then click OK:

    • NameOU1NameOU1

Il logo di PowerShell Mostra i comandi equivalenti di PowerShell per la creazione di un'unità organizzativa. * Comandi equivalenti di Windows PowerShell PowerShell logo, Shows the PowerShell equivalent commands for creating an organizational unit.**Windows PowerShell equivalent commands_* _

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name "test$_" -Path "DC=fabrikam,DC=com" -AccountPassword (ConvertTo-SecureString -AsPlainText "p@ssword1" -Force) -Enabled $true}
New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -GroupScope Global -DisplayName "group1"
New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com"

Passaggio 4: Ripristinare gli oggetti eliminatiStep 4: Restore deleted objects

Nelle procedure riportate di seguito verranno ripristinati gli oggetti eliminati dal contenitore _ Deleted Objects* alla posizione originale e in un percorso diverso.In the following procedures, you will restore deleted objects from the _ Deleted Objects* container to their original location and to a different location.

Per ripristinare oggetti eliminati nel percorso originaleTo restore deleted objects to their original location

  1. Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e digitare dsac.exe per aprire ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Selezionare gli utenti test1 e test2, fare clic su Elimina nel riquadro Attività e quindi fare clic su per confermare l'eliminazione.Select users test1 and test2, click Delete in the Tasks pane and then click Yes to confirm the deletion.

    Il logo di PowerShell Mostra i comandi equivalenti di PowerShell per la rimozione degli utenti. * Comandi equivalenti di Windows PowerShell PowerShell logo, Shows the PowerShell equivalent commands for removing users.**Windows PowerShell equivalent commands_* _

    Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

    Get-ADUser -Filter 'Name -Like "_test*"'|Remove-ADUser -Confirm:$false
    
  4. Passare al contenitore Deleted Objects, selezionare test2 e test1 e quindi fare clic su Ripristina nel riquadro Attività.Navigate to the Deleted Objects container, select test2 and test1 and then click Restore in the Tasks pane.

  5. Per confermare che gli oggetti sono stati ripristinati nel percorso originale, passare al dominio di destinazione e verificare che gli account utente sono inclusi nell'elenco.To confirm the objects were restored to their original location, navigate to the target domain and verify the user accounts are listed.

    Nota

    Se si passa a Proprietà degli account utente test1 e test2 e quindi si fa clic su Membro di, si noterà che è stata ripristinata anche l'appartenenza ai gruppi.If you navigate to the Properties of the user accounts test1 and test2 and then click Member Of, you will see that their group membership was also restored.

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Il logo di PowerShell Mostra i comandi equivalenti di PowerShell per il ripristino degli oggetti nella posizione originale. * Comandi equivalenti di Windows PowerShell PowerShell logo, Shows the PowerShell equivalent commands for restoring objects to their original location.**Windows PowerShell equivalent commands_* _

Get-ADObject -Filter 'Name -Like "_test*"' -IncludeDeletedObjects | Restore-ADObject

Per ripristinare oggetti eliminati in un percorso diversoTo restore deleted objects to a different location

  1. Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e digitare dsac.exe per aprire ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Selezionare gli utenti test1 e test2, fare clic su Elimina nel riquadro Attività e quindi fare clic su per confermare l'eliminazione.Select users test1 and test2, click Delete in the Tasks pane and then click Yes to confirm the deletion.

  4. Passare al contenitore Deleted Objects, selezionare test2 e test1 e quindi fare clic su Ripristina in nel riquadro Attività.Navigate to the Deleted Objects container, select test2 and test1 and then click Restore To in the Tasks pane.

  5. Selezionare OU1 e quindi fare clic su OK.Select OU1 and then click OK.

  6. Per confermare che gli oggetti sono stati ripristinati in OU1, passare al dominio di destinazione, fare doppio clic su OU1 e verificare che gli account utente sono inclusi nell'elenco.To confirm the objects were restored to OU1, navigate to the target domain, double click OU1 and verify the user accounts are listed.

Il logo di PowerShell Mostra i comandi equivalenti di PowerShell per il ripristino di oggetti eliminati in un percorso diverso. * Comandi equivalenti di Windows PowerShell PowerShell logo, Shows the PowerShell equivalent commands for restoring deleted objects to a different location.**Windows PowerShell equivalent commands_* _

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Get-ADObject -Filter 'Name -Like "_test*"' -IncludeDeletedObjects | Restore-ADObject -TargetPath "OU=OU1,DC=contoso,DC=com"

Criteri granulari per le passwordFine-Grained Password Policy

Il sistema operativo Windows Server 2008 consente alle organizzazioni di definire criteri password e di blocco account diversi a seconda del gruppo di utenti di un dominio.The Windows Server 2008 operating system provides organizations with a way to define different password and account lockout policies for different sets of users in a domain. Nei domini di Active Directory di versioni precedenti a Windows Server 2008 è possibile applicare un solo criterio password e di blocco account a tutti gli utenti del dominio.In Active Directory domains prior to Windows Server 2008, only one password policy and account lockout policy could be applied to all users in the domain. Tali criteri vengono specificati nei criteri di dominio predefiniti del dominio.These policies were specified in the Default Domain Policy for the domain. Di conseguenza, per definire impostazioni diverse per le password e il blocco degli account a seconda dei gruppi di utenti, le organizzazioni devono creare un filtro password o distribuire più domini,As a result, organizations that wanted different password and account lockout settings for different sets of users had to either create a password filter or deploy multiple domains. opzioni entrambe onerose.Both are costly options.

È ora possibile utilizzare criteri granulari per le password per specificare più criteri password in un unico dominio e applicare restrizioni diverse per i criteri password e di blocco account a seconda dei gruppi di utenti di un dominio.You can use fine-grained password policies to specify multiple password policies within a single domain and apply different restrictions for password and account lockout policies to different sets of users in a domain. È ad esempio possibile applicare impostazioni più rigide ad account con privilegi e impostazioni meno rigide per gli account di altri utenti.For example, you can apply stricter settings to privileged accounts and less strict settings to the accounts of other users. In altri casi è opportuno applicare criteri password speciali per gli account le cui password vengono sincronizzate con altre origini dati.In other cases, you might want to apply a special password policy for accounts whose passwords are synchronized with other data sources. Per una descrizione dettagliata dei criteri granulari per le password, vedere Servizi di dominio Active Directory: Criteri granulari per le passwordFor a detailed description of Fine-Grained Password Policy, see AD DS: Fine-Grained Password Policies

NovitàWhat's new?

In Windows Server 2012 e versioni successive, la gestione dei criteri granulari per le password risulta più semplice e visiva grazie a un'interfaccia utente che consente agli amministratori di servizi di dominio Active Directory di gestirli in centro di amministrazione di Active Directory.In Windows Server 2012 and newer, fine-grained password policy management is made easier and more visual by providing a user interface for AD DS administrators to manage them in ADAC. Gli amministratori possono ora visualizzare i criteri risultanti di un determinato utente, visualizzare e ordinare tutti i criteri password in un dominio specifico e gestire visivamente singoli criteri password.Administrators can now view a given user's resultant policy, view and sort all password policies within a given domain, and manage individual password policies visually.

Se si prevede di usare i criteri granulari per le password in Windows Server 2012, tenere presente quanto segue:If you plan to use fine-grained password policies in Windows Server 2012, consider the following:

  • I criteri granulari per le password si applicano solo ai gruppi di sicurezza globali e agli oggetti utente (o a oggetti inetOrgPerson se vengono utilizzati al posto degli oggetti utente).Fine-grained password policies apply only to global security groups and user objects (or inetOrgPerson objects if they are used instead of user objects). Per impostazione predefinita, solo i membri del gruppo Domain Admins possono impostare criteri granulari per le password.By default, only members of the Domain Admins group can set fine-grained password policies. È tuttavia possibile delegare l'impostazione di questi criteri ad altri utenti.However, you can also delegate the ability to set these policies to other users. Il livello di funzionalità del dominio deve essere impostato su Windows Server 2008 o versione successiva.The domain functional level must be Windows Server 2008 or higher.

  • Per amministrare i criteri granulari per le password tramite un'interfaccia utente grafica, è necessario usare la versione di Centro di amministrazione di Active Directory di Windows Server 2012 o versione successiva.You must use the Windows Server 2012 or newer version of Active Directory Administrative Center to administer fine-grained password policies through a graphical user interface.

    Nota

    È possibile utilizzare Server Manager per installare strumenti di amministrazione remota del server (amministrazione remota del server) per utilizzare la versione corretta di centro di amministrazione di Active Directory per gestire il cestino tramite un'interfaccia utente.You can use Server Manager to install Remote Server Administration Tools (RSAT) to use the correct version of Active Directory Administrative Center to manage Recycle Bin through a user interface.

    Per informazioni sull'installazione di strumenti di amministrazione remota del server, vedere l'articolo strumenti di amministrazione remota del server.For information about installing RSAT, see the article Remote Server Administration Tools.

Criteri granulari per le password - Procedura dettagliataFine-Grained Password Policy step-by-step

Nei passaggi seguenti si utilizzerà Centro di amministrazione di Active Directory per eseguire le attività seguenti relative ai criteri granulari per le password:In the following steps, you will use ADAC to perform the following fine-grained password policy tasks:

Nota

Per eseguire i passaggi seguenti, è necessario essere membri del gruppo Domain Admins o disporre di autorizzazioni equivalenti.Membership in the Domain Admins group or equivalent permissions is required to perform the following steps.

Passaggio 1: Aumentare il livello di funzionalità del dominioStep 1: Raise the domain functional level

Nella procedura seguente si aumenterà il livello di funzionalità del dominio di destinazione a Windows Server 2008 o versione successiva.In the following procedure, you will raise the domain functional level of the target domain to Windows Server 2008 or higher. Per abilitare i criteri granulari per le password, è necessario un livello di funzionalità del dominio di Windows Server 2008 o versione successiva.A domain functional level of Windows Server 2008 or higher is required to enable fine-grained password policies.

Per aumentare il livello di funzionalità del dominioTo raise the domain functional level
  1. Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e digitare dsac.exe per aprire ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Fare clic sul dominio di destinazione nel riquadro di spostamento a sinistra, quindi nel riquadro Attività fare clic su Aumenta livello di funzionalità dominio.Click the target domain in the left navigation pane and in the Tasks pane, click Raise the domain functional level. Selezionare un livello di funzionalità della foresta almeno Windows Server 2008 o versione successiva, quindi fare clic su OK.Select a forest functional level that is at least Windows Server 2008 or higher and then click OK.

Il logo di PowerShell Mostra i comandi equivalenti di PowerShell per aumentare il livello di funzionalità del dominio. * Comandi equivalenti di Windows PowerShell PowerShell logo, Shows the PowerShell equivalent commands for raising the domain functional level.**Windows PowerShell equivalent commands_* _

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Set-ADDomainMode -Identity contoso.com -DomainMode 3

Passaggio 2: Creare utenti, gruppo e unità organizzativa di provaStep 2: Create test users, group, and organizational unit

Per creare gli utenti e il gruppo di test necessari per questo passaggio, seguire le procedure riportate di seguito: Step 3: Create Test Users, Group and Organizational Unit (non è necessario creare l'unità organizzativa per dimostrare i criteri granulari per le password).To create the test users and group needed for this step, follow the procedures located here: Step 3: Create test users, group and organizational unit (you do not need to create the OU to demonstrate fine-grained password policy).

Passaggio 3: Creare un nuovo criterio granulare per le passwordStep 3: Create a new fine-grained password policy

Nella procedura seguente si creerà un nuovo criterio granulare per le password utilizzando l'interfaccia utente di Centro di amministrazione di Active Directory.In the following procedure you will create a new fine-grained password policy using the UI in ADAC.

Per creare un nuovo criterio granulare per le passwordTo create a new fine grained password policy
  1. Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere _ Esegui come amministratore* e digitare dsac.exe per aprire il centro di amministrazioneRight click the Windows PowerShell icon, click _ Run as Administrator* and type dsac.exe to open ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Nel riquadro di spostamento di Centro di amministrazione di Active Directory aprire il contenitore System e fare clic sul contenitore Password Settings Container.In the ADAC navigation pane, open the System container and then click Password Settings Container.

  4. Nel riquadro Attività fare clic su Nuovo e quindi su Impostazioni di password.In the Tasks pane, click New, and then click Password Settings.

    Compilare o modificare i campi nella pagina delle proprietà per creare un nuovo oggetto Impostazioni di password.Fill in or edit fields inside the property page to create a new Password Settings object. I campi Nome e Precedenza sono obbligatori.The Name and Precedence fields are required.

    Screenshot che illustra come creare o modificare le impostazioni della password.

  5. In Si applica direttamente a e su Aggiungi, digitare group1 e quindi fare clic su OK.Under Directly Applies To, click Add, type group1, and then click OK.

    In tal modo l'oggetto Criteri password verrà associato ai membri del gruppo globale creato per l'ambiente di testing.This associates the Password Policy object with the members of the global group you created for the test environment.

  6. Fare clic su OK per completare la creazione.Click OK to submit the creation.

Il logo di PowerShell Mostra i comandi equivalenti di PowerShell per la creazione di nuovi criteri granulari per le password. * Comandi equivalenti di Windows PowerShell PowerShell logo, Shows the PowerShell equivalent commands for creating a new fine grained password policy.**Windows PowerShell equivalent commands_* _

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1

Passaggio 4: Visualizzare un insieme risultante di criteri per un utenteStep 4: View a resultant set of policies for a user

Nella procedura seguente si visualizzeranno le Impostazioni di password risultanti per un utente membro del gruppo a cui è stato assegnato un criterio granulare per le password in Passaggio 3: Creare nuovi criteri granulari per le password.In the following procedure, you will view the resultant password settings for a user that is a member of the group to which you assigned a fine grained password policy in Step 3: Create a new fine-grained password policy.

Per visualizzare un insieme risultante di criteri per un utenteTo view a resultant set of policies for a user
  1. Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere _ Esegui come amministratore* e digitare dsac.exe per aprire il centro di amministrazioneRight click the Windows PowerShell icon, click _ Run as Administrator* and type dsac.exe to open ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Selezionare un utente test1 appartenente al gruppo group1 a cui è stato associato un criterio granulare per le password in Passaggio 3: Creare nuovi criteri granulari per le password.Select a user, test1 that belongs to the group, group1 that you associated a fine-grained password policy with in Step 3: Create a new fine-grained password policy.

  4. Fare clic su Visualizza Impostazioni di password risultanti nel riquadro Attività.Click View Resultant Password Settings in the Tasks pane.

  5. Esaminare i criteri di impostazione password e quindi fare clic su Annulla.Examine the password setting policy and then click Cancel.

Il logo di PowerShell Mostra i comandi equivalenti di PowerShell per la visualizzazione di un set di criteri risultante per un utente. * Comandi equivalenti di Windows PowerShell PowerShell logo, Shows the PowerShell equivalent commands for viewing a resultant set of policies for a user.**Windows PowerShell equivalent commands_* _

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Get-ADUserResultantPasswordPolicy test1

Passaggio 5: Modificare un criterio granulare per le passwordStep 5: Edit a fine-grained password policy

Nella procedura seguente si modificherà il criterio granulare per le password creato in Passaggio 3: Creare nuovi criteri granulari per le password.In the following procedure, you will edit the fine grained password policy you created in Step 3: Create a new fine-grained password policy

Per modificare un criterio granulare per le passwordTo edit a fine-grained password policy
  1. Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere _ Esegui come amministratore* e digitare dsac.exe per aprire il centro di amministrazioneRight click the Windows PowerShell icon, click _ Run as Administrator* and type dsac.exe to open ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Nel riquadro di spostamento di Centro di amministrazione di Active Directory espandere Sistema e fare clic su Contenitore Impostazioni password.In the ADAC Navigation Pane, expand System and then click Password Settings Container.

  4. Selezionare i criteri granulari per le password creati in Passaggio 3: Creare nuovi criteri granulari per le password e fare clic su Proprietà nel riquadro Attività.Select the fine grained password policy you created in Step 3: Create a new fine-grained password policy and click Properties in the Tasks pane.

  5. In Imponi cronologia delle password modificare il valore di Numero di password memorizzate in 30.Under Enforce password history, change the value of Number of passwords remembered to 30.

  6. Fare clic su OK.Click OK.

Il logo di PowerShell Mostra i comandi equivalenti di PowerShell per la modifica di criteri granulari per le password. * Comandi equivalenti di Windows PowerShell PowerShell logo, Shows the PowerShell equivalent commands for editing a fine-grained password policy.**Windows PowerShell equivalent commands_* _

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"

Passaggio 6: Eliminare criteri granulari per le passwordStep 6: Delete a fine-grained password policy

Per eliminare criteri granulari per le passwordTo delete a fine-grained password policy
  1. Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere _ Esegui come amministratore* e digitare dsac.exe per aprire il centro di amministrazioneRight click the Windows PowerShell icon, click _ Run as Administrator* and type dsac.exe to open ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Nel riquadro di spostamento di Centro di amministrazione di Active Directory espandere System e fare clic sul contenitore Password Settings Container.In the ADAC Navigation Pane, expand System and then click Password Settings Container.

  4. Selezionare i criteri granulari per le password creati in Passaggio 3: Creare nuovi criteri granulari per le password e fare clic su Proprietà nel riquadro Attività.Select the fine grained password policy you created in Step 3: Create a new fine-grained password policy and in the Tasks pane click Properties.

  5. Deselezionare la casella di controllo Proteggi da eliminazioni accidentali e fare clic su OK.Clear the Protect from accidental deletion checkbox and click OK.

  6. Selezionare i criteri granulari per le password e fare clic su Elimina nel riquadro Attività.Select the fine grained password policy, and in the Tasks pane click Delete.

  7. Fare clic su OK nella finestra di dialogo di conferma.Click OK in the confirmation dialog.

Introduzione all'interfaccia di amministrazione di Active Directory * comandi equivalenti di Windows PowerShell Intro to AD Admin center**Windows PowerShell equivalent commands_* _

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Set-ADFineGrainedPasswordPolicy -Identity TestPswd -ProtectedFromAccidentalDeletion $False
Remove-ADFineGrainedPasswordPolicy TestPswd -Confirm

Visualizzatore della cronologia di Windows PowerShellWindows PowerShell History Viewer

Centro di amministrazione di Active Directory è uno strumento di interfaccia utente basato su Windows PowerShell.ADAC is a user interface tool built on top of Windows PowerShell. In Windows Server 2012 e versioni successive, gli amministratori IT possono sfruttare l'uso di ADAC per apprendere Windows PowerShell per Active Directory cmdlet tramite il Visualizzatore della cronologia di Windows PowerShell.In Windows Server 2012 and newer, IT administrators can leverage ADAC to learn Windows PowerShell for Active Directory cmdlets by using the Windows PowerShell History Viewer. Poiché le azioni vengono eseguite nell'interfaccia utente, il comando di Windows PowerShell equivalente viene visualizzato nel Visualizzatore della cronologia di Windows PowerShell.As actions are executed in the user interface, the equivalent Windows PowerShell command is shown to the user in Windows PowerShell History Viewer. In tal modo gli amministratori possono creare script automatizzati e ridurre le attività ripetitive, incrementando la produttività.This allows administrators to create automated scripts and reduce repetitive tasks, thus increasing IT productivity. Questa funzionalità consente inoltre di ridurre il tempo necessario per apprendere Windows PowerShell per Active Directory e accrescere la confidenza degli utenti nella correttezza degli script di automazione.Also, this feature reduces the time to learn Windows PowerShell for Active Directory and increases the users' confidence in the correctness of their automation scripts.

Quando si usa il Visualizzatore della cronologia di Windows PowerShell in Windows Server 2012 o versione successiva, tenere presente quanto segue:When using the Windows PowerShell History Viewer in Windows Server 2012 or newer consider the following:

  • Per usare il Visualizzatore di script di Windows PowerShell, è necessario usare Windows Server 2012 o una versione più recente di ADACTo use Windows PowerShell Script Viewer, you must use the Windows Server 2012 or newer version of ADAC

    Nota

    Per installare Strumenti di amministrazione remota del server (strumenti di amministrazione remota) per utilizzare la versione corretta di Centro di amministrazione di Active Directory per gestire il cestino tramite un'interfaccia utente, è possibile utilizzare _ *Server Manager**.You can use _ Server Manager* to install Remote Server Administration Tools (RSAT) to use the correct version of Active Directory Administrative Center to manage Recycle Bin through a user interface.

    Per informazioni sull'installazione di strumenti di amministrazione remota del server, vedere l'articolo strumenti di amministrazione remota del server.For information about installing RSAT, see the article Remote Server Administration Tools.

  • Conoscenza di base di Windows PowerShell.Have a basic understanding of Windows PowerShell. ad esempio il funzionamento del piping.For example, you need to know how piping in Windows PowerShell works. Per altre informazioni sul piping in Windows PowerShell, vedere Piping e pipeline in Windows PowerShell.For more information about piping in Windows PowerShell, see Piping and the Pipeline in Windows PowerShell.

Visualizzatore della cronologia di Windows PowerShell - Procedura dettagliataWindows PowerShell History Viewer step-by-step

Nella procedura seguente si utilizzerà il Visualizzatore della cronologia di Windows PowerShell di Centro di amministrazione di Active Directory per creare uno script di Windows PowerShell.In the following procedure, you will use the Windows PowerShell History Viewer in ADAC to construct a Windows PowerShell script. Prima di iniziare questa procedura, rimuovere l'utente test1 dal gruppo group1.Before you begin this procedure, remove user, test1 from the group, group1.

Per creare uno script con il Visualizzatore della cronologia di Windows PowerShellTo construct a script using PowerShell History Viewer

  1. Fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell, scegliere Esegui come amministratore e digitare dsac.exe per aprire ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Fare clic su Gestione e su Aggiungi nodi di spostamento. Selezionare il dominio di destinazione appropriato nella finestra di dialogo Aggiungi nodi di spostamento e quindi fare clic su OK.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Espandere il riquadro Cronologia di Windows PowerShell nella parte inferiore della schermata di Centro di amministrazione di Active Directory.Expand the Windows PowerShell History pane at the bottom of the ADAC screen.

  4. Selezionare l'utente test1.Select user, test1.

  5. Fare clic su Aggiungi al gruppo nel riquadro attività .Click Add to group... in the Tasks pane.

  6. Passare a group1 e fare clic su OK nella finestra di dialogo.Navigate to group1 and click OK in the dialog box.

  7. Passare al riquadro Cronologia di Windows PowerShell e individuare il comando appena generato.Navigate to the Windows PowerShell History pane and locate the command just generated.

  8. Copiare il comando e incollarlo nell'editor desiderato per creare lo script.Copy the command and paste it into your desired editor to construct your script.

    È ad esempio possibile modificare il comando per aggiungere un utente diverso a group1 oppure aggiungere test1 a un gruppo diverso.For example, you can modify the command to add a different user to group1, or add test1 to a different group.

Vedere ancheSee Also

Gestione avanzata di servizi di dominio Active Directory con Centro di amministrazione di Active Directory (livello 200)Advanced AD DS Management Using Active Directory Administrative Center (Level 200)