Appendice B: Configurazione dell'ambiente di testing

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Questo argomento illustra la procedura da eseguire per configurare un laboratorio pratico in cui testare la funzionalità Controllo dinamico degli accessi. Le istruzioni devono essere seguite in sequenza perché esistono numerose dipendenze tra componenti.

Prerequisiti

Requisiti hardware e software

Requisiti per la configurazione del laboratorio di test:

• Un server host che esegue Windows Server 2008 R2 con SP1 e Hyper-V

• Una copia dell'ISO di Windows Server 2012

• Una copia dell'ISO di Windows Server 8

• Microsoft Office 2010

• Un server che esegue Microsoft Exchange Server 2003 o versione successiva

Per testare gli scenari di Controllo dinamico degli accessi, è necessario configurare le macchine virtuali seguenti:

• DC1 (controller di dominio)

• DC2 (controller di dominio)

• FILE1 (file server e Active Directory Rights Management Services)

• SRV1 (server POP3 e SMTP)

• CLIENT1 (computer client con Microsoft Outlook)

Le password per le macchine virtuali devono essere le seguenti:

• BUILTIN\Administrator: pass@word1

• Contoso\Administrator: pass@word1

• Tutti gli altri account: pass@word1

Configurare le macchine virtuali del laboratorio di test

Installare il ruolo Hyper-V

È necessario installare il ruolo Hyper-V in un computer che esegue Windows Server 2008 R2 con SP1.

Per installare il ruolo Hyper-V

1. Fare clic sul pulsante Starte quindi scegliere Server Manager.

2. Nell'area Riepilogo ruoli della finestra principale di Server Manager fare clic su Aggiungi ruoli.

3. Nella pagina Selezione ruoli server fare clic su Hyper-V.

4. Nella pagina Crea reti virtuali fare clic su una o più schede di rete per rendere la connessione di rete corrispondente disponibile per le macchine virtuali.

5. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.

6. Per completare il processo di installazione è necessario riavviare il computer. Fare clic su Chiudi per terminare la procedura guidata e quindi su Sì per riavviare il computer.

7. Dopo avere ravviato il computer, accedere con lo stesso account usato per installare il ruolo. Dopo il completamento dell'installazione, fare clic su Chiudi per terminare la Ripresa guidata configurazione.

Creare una rete virtuale interna

A questo punto si creerà una rete virtuale interna denominata ID_AD_Network.

Per creare una rete virtuale

1. Aprire la console di gestione di Hyper-V.

2. Scegliere Gestione reti virtuali dal menu Azioni.

3. In Crea rete virtualeselezionare Interna.

4. Fare clic su Aggiungi. Verrà visualizzata la pagina Nuova rete virtuale .

5. Digitare ID_AD_Network come nome della nuova rete. Verificare le altre proprietà e modificarle se necessario.

6. Fare clic su OK per creare la rete virtuale e chiudere Gestione reti virtuali oppure fare clic su Applica per creare la rete virtuale e continuare a usare Gestione reti virtuali.

Creare il controller di dominio

Creare una macchina virtuale da usare come controller di dominio (DC1). Installare la macchina virtuale mediante l'ISO di Windows Server 2012 e assegnarle il nome DC1.

Per installare Servizi di dominio Active Directory

1. Connettere la macchina virtuale alla rete ID_AD_Network. Accedere a DC1 come Administrator con la password pass@word1.

2. In Server Manager fare clic su Gestione e quindi su Aggiungi ruoli e funzionalità.

3. Nella pagina Prima di iniziare fare clic su Avanti.

4. Nella pagina Selezione tipo di installazione selezionare Installazione basata su ruoli o basata su funzionalitàe quindi fare clic su Avanti.

5. Nella pagina Selezione server di destinazione fare clic su Avanti.

6. Nella pagina Selezione ruoli server fare clic su Servizi di dominio Active Directory. Nella finestra di dialogo Aggiunta guidata ruoli e funzionalità fare clic su Aggiungi funzionalitàe quindi su Avanti.

7. Nella pagina Selezione funzionalitàfare clic su Avanti.

8. Nella pagina Servizi di dominio Active Directory verificare le informazioni e fare clic su Avanti.

9. Nella pagina Conferma selezioni per l'installazione fare clic su Installa. La barra di stato di Installazione funzionalità nella pagina Risultati indica che il ruolo è in fase di installazione.

10. Nella pagina Risultati verificare che l'installazione sia riuscita e fare clic su Chiudi. In Server Manager fare clic sull'icona di avviso con un punto esclamativo nell'angolo superiore destro dello schermo, accanto a Gestisci. Nell'elenco Attività fare clic sul collegamento Alza di livello il server a controller di dominio .

11. Nella pagina Configurazione distribuzione fare clic su Aggiungi una nuova foresta, digitare il nome del dominio radice, contoso.com, e quindi fare clic su Avanti.

12. Nella pagina Opzioni controller di dominio selezionare i livelli di funzionalità del dominio e della foresta di Windows Server 2012, specificare la password DSRM pass@word1e quindi fare clic su Avanti.

13. Nella pagina Opzioni DNS fare clic su Avanti.

14. Nella pagina Opzioni aggiuntive fare clic su Avanti.

15. Nella pagina Percorsi digitare i percorsi del database di Active Directory, dei file di log e della cartella SYSVOL (o accettare i percorsi predefiniti), quindi fare clic su Avanti.

16. Nella pagina Verifica opzioni verificare le selezioni e fare clic su Avanti.

17. Nella pagina Controllo dei prerequisiti verificare che la convalida dei prerequisiti sia stata completata, quindi fare clic su Installa.

18. Nella pagina Risultati verificare che il server sia stato configurato correttamente come controller di dominio e quindi fare clic su Chiudi.

19. Riavviare il server per completare l'installazione di Servizi di dominio Active Directory. Per impostazione predefinita, il server viene riavviato automaticamente.

Creare gli utenti seguenti mediante Centro di amministrazione di Active Directory.

Creare utenti e gruppi in DC1

1. Accedere a contoso.com come Administrator. Avviare Centro di amministrazione di Active Directory.

2. Creare i gruppi di sicurezza seguenti:

   Nome gruppo	Indirizzo di posta elettronica
   FinanceAdmin	financeadmin@contoso.com
   FinanceException	financeexception@contoso.com

3. Creare l'unità organizzativa seguente:

   Nome unità organizzativa	Computer
   FileServerOU	FILE1

4. Creare gli utenti seguenti con gli attributi indicati:

   Utente	Username	Indirizzo di posta elettronica	Department	Raggruppa	Paese/area geografica
   Myriam Delesalle	MDelesalle	MDelesalle@contoso.com	Finanze		Stati Uniti
   Miles Reid	MReid	MReid@contoso.com	Finanze	FinanceAdmin	Stati Uniti
   Esther Valle	EValle	EValle@contoso.com	Gestione operativa	FinanceException	Stati Uniti
   Maira Wenzel	MWenzel	MWenzel@contoso.com	HR		Stati Uniti
   Jeff Low	JLow	JLow@contoso.com	HR		Stati Uniti
   RMS Server	rms	rms@contoso.com

   Per altre informazioni sulla creazione di gruppi di sicurezza, vedere Creare un nuovo gruppo sul sito Web di Windows Server.

Per creare un oggetto Criteri di gruppo

1. Passare il cursore sull'angolo superiore destro dello schermo e fare clic sull'icona di ricerca. Nella casella di ricerca digitare gestione criteri di gruppoe fare clic su Gestione criteri di gruppo.

2. Espandere Foresta: contoso.come quindi espandere Domini, passare a contoso.com, espandere (contoso.com)e quindi selezionare FileServerOU. Fare clic con il pulsante destro del mouse su Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento.

3. Digitare un nome descrittivo per l'oggetto Criteri di gruppo, ad esempio FlexibleAccessGPO, e quindi fare clic su OK.

Per abilitare il controllo dinamico degli accessi per contoso.com

1. Aprire la Console Gestione Criteri di gruppo, fare clic su contoso.come quindi fare doppio clic su Controller di dominio.

2. Fare clic con il pulsante destro del mouse su Criterio Controller di domini predefinitie scegliere Modifica.

3. Nella finestra Editor Gestione Criteri di gruppo fare doppio clic su Configurazione computer, quindi su Criteri, Modelli amministrativi, Sistemae infine su KDC.

4. Fare doppio clic su Supporto KDC di attestazioni, autenticazione composta e blindatura Kerberos e selezionare l'opzione accanto a Abilitato. Questa impostazione deve essere abilitata per poter usare i criteri di accesso centrale.

5. Aprire un prompt dei comandi con privilegi elevati ed eseguire il comando seguente:

   gpupdate /force
   

Creare il file server e il server AD RMS (FILE1)

1. Creare una macchina virtuale con nome FILE1 dall'ISO di Windows Server 2012.

2. Connettere la macchina virtuale alla rete ID_AD_Network.

3. Aggiungere la macchina virtuale al dominio contoso.com e quindi accedere a FILE1 con l'account contoso\administrator e la password pass@word1.

Installare Gestione risorse file server

Per installare il ruolo Servizi file e Gestione risorse file server

1. In Server Manager fare clic su Aggiungi ruoli e funzionalità.

2. Nella pagina Prima di iniziare fare clic su Avanti.

3. Nella pagina Selezione tipo di installazione fare clic su Avanti.

4. Nella pagina Selezione server di destinazione fare clic su Avanti.

5. Nella pagina Selezione ruoli server espandere Servizi file e archiviazione, selezionare la casella di controllo accanto a Servizi file e iSCSI, espandere e infine selezionare Gestione risorse file server.

   Nell'Aggiunta guidata ruoli e funzionalità fare clic su Aggiungi funzionalitàe quindi su Avanti.

6. Nella pagina Selezione funzionalitàfare clic su Avanti.

7. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.

8. Nella pagina Stato dell'installazione fare clic su Chiudi.

Installare i Microsoft Office Filter Pack nel file server

L'installazione dei Microsoft Office Filter Pack in Windows Server 2012 è necessaria per abilitare gli IFilter per un'ampia varietà di file di Office rispetto a quelli forniti per impostazione predefinita. Windows Server 2012 non dispone di IFilter per i file di Microsoft Office installati per impostazione predefinita, mentre l'infrastruttura di classificazione file li usa per eseguire l'analisi dei contenuti.

Per scaricare e installare gli IFilter, vedere Microsoft Office 2010 Filter Packs.

Configurare le notifiche tramite posta elettronica in FILE1

Quando si creano quote e screening dei file, è possibile inviare notifiche tramite posta elettronica agli utenti quando stanno per raggiungere il limite di quota o quando tentano di salvare un file bloccato. Se si vuole avvisare regolarmente alcuni amministratori in merito a eventi di quota e screening dei file, è possibile configurare uno o più destinatari predefiniti. Per inviare queste notifiche, è necessario specificare il server SMTP da usare per inoltrare i messaggi di posta elettronica.

Per configurare le opzioni di posta elettronica in Gestione risorse file server

1. Aprire Gestione risorse file server. Per aprire Gestione risorse file server, fare clic su Start, digitare gestione risorse file servere quindi fare clic su Gestione risorse file server.

2. Nell'interfaccia di Gestione risorse file server fare clic con il pulsante destro del mouse su Gestione risorse file servere quindi scegliere Configura opzioni. Verrà visualizzata la finestra di dialogo Gestione risorse file server .

3. Nella scheda Notifiche posta elettronica , in Nome server SMTP o indirizzo IP, digitare il nome host o l'indirizzo IP del server SMTP che inoltrerà le notifiche tramite posta elettronica.

4. Se si vuole avvisare regolarmente alcuni amministratori in merito a eventi di quota o screening dei file, in Destinatari amministratori predefiniti, digitare l'indirizzo di posta elettronica di ognuno, ad esempio fileadmin@contoso.com. Usare il formato account@dominio e separare più account con un punto e virgola.

Creare gruppi in FILE1

Per creare gruppi di sicurezza in FILE1

1. Accedere a FILE1 come contoso\administrator, con la password: pass@word1.

2. Aggiungere NT AUTHORITY\Authenticated Users al gruppo WinRMRemoteWMIUsers__ .

Creare file e cartelle in FILE1

1. Creare un nuovo volume NTFS in FILE1 e quindi creare la cartella seguente: D:\Finance Documents.

2. Creare i file seguenti con i dettagli specificati:

   • Finance Memo.docx: aggiungere del testo di argomento finanziario nel documento. Ad esempio: "Le regole aziendali sulle persone autorizzate ad accedere ai documenti finanziari sono cambiate. Da ora i documenti finanziari sono accessibili solo ai membri del gruppo FinanceExpert. Nessun altro reparto o gruppo è autorizzato ad accedervi". Prima di implementare questo cambiamento nell'ambiente operativo, è necessario valutarne l'impatto. Verificare che il piè di pagina di ogni pagina del documento riporti il testo CONTOSO CONFIDENTIAL.

   • Request for Approval to Hire.docx: creare nel documento un modulo che raccoglie le informazioni sui candidati. Il documento deve contenere i campi seguenti: Applicant Name, Social Security number, Job Title, Proposed Salary, Starting Date, Supervisor name, Department. Aggiungere al documento un'altra sezione con un modulo per Supervisor Signature, Approved Salary, Conformation of Offere Status of Offer. Abilitare Rights Management per il documento.

   • Word Document1.docx: aggiungere del contenuto di prova al documento.

   • Word Document2.docx: aggiungere del contenuto di prova al documento.

   • Workbook1.xlsx

   • Workbook2.xlsx

   • Sul desktop creare una cartella denominata Regular Expressions. Nella cartella creare un documento di testo denominato RegEx-SSN. Digitare il contenuto seguente nel file, quindi salvare e chiudere il file: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$

3. Condividere la cartella D:\Finance Documents come Finance Documents e concedere a tutti l'accesso in lettura e scrittura alla condivisione.

Nota

Per impostazione predefinita, i criteri di accesso centrale non sono abilitati nel volume di sistema o di avvio C:.

Installare Active Directory Rights Management Services

Aggiungere Active Directory Rights Management Services (AD RMS) e tutte le funzionalità necessarie mediante Server Manager. Scegliere tutte le impostazioni predefinite.

Per installare Active Directory Rights Management Services

1. Accedere a FILE1 come CONTOSO\Administrator o come membro del gruppo Domain Admins.

   Importante

   Per installare il ruolo del server AD RMS, l'account con cui si esegue l'installazione (in questo caso CONTOSO\Administrator) deve essere membro sia del gruppo Administrators locale nel computer server in cui deve essere installato AD RMS, sia del gruppo Enterprise Admins in Active Directory.

2. In Server Manager fare clic su Aggiungi ruoli e funzionalità. Verrà visualizzata l'Aggiunta guidata ruoli e funzionalità.

3. Nella schermata Prima di iniziare fare clic su Avanti.

4. Nella schermata Selezione tipo di installazione fare clic su Installazione basata su ruoli o basata su funzionalitàe quindi su Avanti.

5. Nella schermata Selezione server di destinazione fare clic su Avanti.

6. Nella schermata Selezione ruoli server selezionare la casella accanto a Active Directory Rights Management Servicese quindi fare clic su Avanti.

7. Nella finestra di dialogo Aggiungere le funzionalità necessarie per Active Directory Rights Management Services fare clic su Aggiungi funzionalità.

8. Nella schermata Selezione ruoli server fare clic su Avanti.

9. Nella schermata Selezionare le funzionalità da installare fare clic su Avanti.

10. Nella schermata Active Directory Rights Management Services fare clic su Avanti.

11. Nella schermata Selezione servizi ruolo fare clic su Avanti.

12. Nella schermata del ruolo Server Web (IIS) fare clic su Avanti.

13. Nella schermata Selezione servizi ruolo fare clic su Avanti.

14. Nella schermata Conferma selezioni per l'installazione fare clic su Installa.

15. Dopo il completamento dell'installazione, nella schermata Stato dell'installazione fare clic su Esegui attività di configurazione aggiuntive. Verrà visualizzata la Configurazione guidata AD RMS.

16. Nella schermata AD RMS fare clic su Avanti.

17. Nella schermata Cluster AD RMS selezionare Crea un nuovo cluster AD RMS e fare clic su Avanti.

18. Nella schermata Database di configurazione fare clic su Usa Database interno di Windows sul servere quindi su Avanti.

    Nota

    L'uso di Database interno di Windows è consigliato solo per gli ambienti di test perché supporta un solo server nel cluster AD RMS. Negli ambienti di produzione occorre usare un server di database server separato.

19. Nella schermata Account del servizio , in Account utente di dominio, fare clic su Specifica e quindi specificare il nome utente (contoso\rms) e la password (pass@word1), fare clic su OKe infine su Avanti.

20. Nella schermata Modalità crittografia fare clic su Modalità crittografia 2.

21. Nella schermata Archivio chiavi cluster fare clic su Avanti.

22. Nella schermata Password chiave cluster digitare pass@word1 nelle caselle Password e Conferma passworde quindi fare clic su Avanti.

23. Nella schermata Sito Web cluster verificare che l'opzione Sito Web predefinito sia selezionata e quindi fare clic su Avanti.

24. Nella schermata Indirizzo del cluster selezionare l'opzione Usa una connessione non crittografata , nella casella Nome di dominio completo digitare FILE1.contoso.come quindi fare clic su Avanti.

25. Nella schermata Nome certificato concessore di licenze accettare il nome predefinito (FILE1) nella casella di testo e fare clic su Avanti.

26. Nella schermata Registrazione SCP selezionare Registra SCPe quindi fare clic su Avanti.

27. Nella schermata Conferma fare clic su Installa.

28. Nella schermata Risultati fare clic su Chiudie quindi ancora su Chiudi nella schermata Stato dell'installazione . Al termine, disconnettersi e accedere di nuovo come contoso\rms specificando la password fornita (pass@word1).

29. Avviare la console AD RMS e passare a Modelli di criteri per i diritti di utilizzo.

    Per aprire la console AD RMS, in Server Manager fare clic su Server locale nell'albero della console, quindi fare clic su Strumentie infine su Active Directory Rights Management Services.

30. Fare clic su Crea modello di criteri per i diritti di utilizzo distribuito nel riquadro destro, fare clic su Aggiungie selezionare le informazioni seguenti:

    • Language: Inglese (Stati Uniti)

    • Nome: Contoso Finance Admin Only

    • Descrizione: Contoso Finance Admin Only

    Fare clic su Aggiungie quindi su Avanti.

31. Nella sezione Utenti e diritti, fare clic su Utenti e dirittie quindi su Aggiungi, digitare financeadmin@contoso.com e fare clic su OK.

32. Selezionare Controllo completoe lasciare l'opzione Concedi al proprietario (autore) il diritto di controllo completo senza scadenza selezionata.

33. Fare clic sulle schede rimanenti senza apportare modifiche e quindi fare clic su Fine. Eseguire l'accesso come CONTOSO\Administrator.

34. Passare alla cartella C:\inetpub\wwwroot\_wmcs\certification, selezionare il file ServerCertification.asmx e aggiungervi gli utenti autenticati che devono disporre delle autorizzazioni di lettura e scrittura.

35. Aprire Windows PowerShell ed eseguire Get-FsrmRmsTemplate. Verificare di riuscire a vedere il modello RMS creato nei passaggi precedenti di questa procedura con questo comando.

Importante

Se si vuole modificare i file server immediatamente in modo da poterli testare, eseguire le operazioni seguenti:

1. Nel file server, FILE1, aprire un prompt dei comandi con privilegi elevati ed eseguire i comandi seguenti:

   • gpupdate /force.
   • NLTEST /SC_RESET:contoso.com

2. Nel controller di dominio (DC1) replicare Active Directory.

   Per altre informazioni sui passaggi da eseguire per forzare la replica di Active Directory, vedere Replica di Active Directory

Se si preferisce, invece di usare l'Aggiunta guidata ruoli e funzionalità in Server Manager, è possibile usare Windows PowerShell per installare e configurare il ruolo del server AD RMS come illustrato nella procedura seguente.

Per installare e configurare un cluster AD RMS in Windows Server 2012 mediante Windows PowerShell

1. Accedere a CONTOSO\Administrator con la password: pass@word1.

   Importante

   Per installare il ruolo del server AD RMS, l'account con cui si esegue l'installazione (in questo caso CONTOSO\Administrator) deve essere membro sia del gruppo Administrators locale nel computer server in cui deve essere installato AD RMS, sia del gruppo Enterprise Admins in Active Directory.

2. Nel desktop del server fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell sulla barra delle applicazioni e scegliere Esegui come amministratore per aprire un prompt di Windows PowerShell con privilegi amministrativi.

3. Per usare i cmdlet di Server Manager per installare il ruolo del server AD RMS, digitare:

   Add-WindowsFeature ADRMS '"IncludeAllSubFeature '"IncludeManagementTools
   

4. Creare l'unità di Windows PowerShell che rappresenti il server AD RMS da installare.

   Ad esempio, per creare un'unità di Windows PowerShell denominata RC per installare e configurare il primo server in un cluster radice AD RMS, digitare:

   Import-Module ADRMS
   New-PSDrive -PSProvider ADRMSInstall -Name RC -Root RootCluster
   

5. Impostare le proprietà sugli oggetti nello spazio dei nomi dell'unità che rappresentano le impostazioni di configurazione necessarie.

   Ad esempio, per impostare l'account del servizio AD RMS, al prompt dei comandi di Windows PowerShell digitare:

   $svcacct = Get-Credential
   

   Quando viene visualizzata la finestra di dialogo Sicurezza di Windows, digitare il nome utente di dominio dell'account del servizio AD RMS, CONTOSO\RMS, e la password assegnata.

   Per assegnare l'account del servizio AD RMS alle impostazioni del cluster AD RMS, digitare:

   Set-ItemProperty -Path RC:\ -Name ServiceAccount -Value $svcacct
   

   Per impostare il server AD RMS in modo che usi Database interno di Windows, al prompt dei comandi di Windows PowerShell digitare:

   Set-ItemProperty -Path RC:\ClusterDatabase -Name UseWindowsInternalDatabase -Value $true
   

   Per archiviare in modo sicuro la password della chiave cluster in una variabile, al prompt dei comandi di Windows PowerShell digitare:

   $password = Read-Host -AsSecureString -Prompt "Password:"
   

   Digitare la password della chiave cluster e premere INVIO.

   Per assegnare la password all'installazione di AD RMS, al prompt dei comandi di Windows PowerShell digitare:

   Set-ItemProperty -Path RC:\ClusterKey -Name CentrallyManagedPassword -Value $password
   

   Per impostare l'indirizzo del cluster di AD RMS, al prompt dei comandi di Windows PowerShell digitare:

   Set-ItemProperty -Path RC:\ -Name ClusterURL -Value "http://file1.contoso.com:80"
   

   Per assegnare il nome SLC all'installazione di AD RMS, al prompt dei comandi di Windows PowerShell digitare:

   Set-ItemProperty -Path RC:\ -Name SLCName -Value "FILE1"
   

   Per impostare il punto di connessione del servizio (SCP) per il cluster AD RMS, al prompt dei comandi di Windows PowerShell digitare:

   Set-ItemProperty -Path RC:\ -Name RegisterSCP -Value $true
   

6. Eseguire il cmdlet di Install-ADRMS . Oltre a installare il ruolo del server AD RMS e a configurare il server, questo cmdlet installa anche altre funzionalità per AD RMS, se necessarie.

   Ad esempio, per passare all'unità di Windows PowerShell denominata RC e installare e configurare AD RMS, digitare:

   Set-Location RC:\
   Install-ADRMS -Path.
   

   Digitare "Y" quando il cmdlet chiede di confermare l'avvio dell'installazione.

7. Disconnettersi da CONTOSO\Administrator e accedere come CONTOSO\RMS specificando la password fornita ("pass@word1").

   Importante

   Per gestire il server AD RMS, l'account usato per effettuare l'accesso e per gestire il server (in questo caso CONTOSO\RMS) deve essere membro sia del gruppo Administrators locale nel computer server AD RMS, sia del gruppo Enterprise Admins in Active Directory.

8. Nel desktop del server fare clic con il pulsante destro del mouse sull'icona di Windows PowerShell sulla barra delle applicazioni e scegliere Esegui come amministratore per aprire un prompt di Windows PowerShell con privilegi amministrativi.

9. Creare l'unità di Windows PowerShell che rappresenti il server AD RMS da configurare.

   Ad esempio, per creare un'unità di Windows PowerShell denominata RC per configurare il cluster radice AD RMS, digitare:

   Import-Module ADRMSAdmin `
   New-PSDrive -PSProvider ADRMSAdmin -Name RC -Root http://localhost -Force -Scope Global
   

10. Per creare un nuovo modello dei diritti per l'amministratore di Contoso Finance e assegnargli diritti utente con controllo completo nell'installazione di AD RMS, al prompt dei comandi di Windows PowerShell digitare:

    New-Item -Path RC:\RightsPolicyTemplate '"LocaleName en-us -DisplayName "Contoso Finance Admin Only" -Description "Contoso Finance Admin Only" -UserGroup financeadmin@contoso.com  -Right ('FullControl')
    

11. Per verificare di riuscire a vedere il nuovo modello dei diritti per l'amministratore di Contoso Finance, al prompt dei comandi di Windows PowerShell digitare:

    Get-FsrmRmsTemplate
    

    Esaminare l'output del cmdlet per verificare che il modello RMS creato al passaggio precedente sia presente.

Creare il server della posta (SRV1)

SRV1 è il server della posta SMTP/POP3. È necessario installarlo per poter inviare notifiche tramite posta elettronica in caso sia necessaria assistenza in situazioni di accesso negato.

Configurare Microsoft Exchange Server in questo computer. Per altre informazioni, vedere Come installare Exchange Server.

Creare la macchina virtuale client (CLIENT1)

Per creare la macchina virtuale client

1. Connettere CLIENT1 alla rete ID_AD_Network.

2. Installare Microsoft Office 2010.

3. Accedere come Contoso\Administrator e usare le informazioni seguenti per configurare Microsoft Outlook.

   • Nome: File Administrator

   • Indirizzo di posta elettronica: fileadmin@contoso.com

   • Tipo di account: POP3

   • Server della posta in arrivo: indirizzo IP statico di of SRV1

   • Server della posta in uscita: indirizzo IP statico di of SRV1

   • Nome utente: fileadmin@contoso.com

   • Ricorda password: selezionare

4. Creare un collegamento ad Outlook sul desktop di contoso\administrator.

5. Aprire Outlook e intervenire su tutti i messaggi ricevuti con il "primo avvio del programma".

6. Eliminare gli eventuali messaggi di prova generati.

7. Sul desktop, creare un nuovo collegamento a \\FILE1\Finance Documents per tutti gli utenti della macchina virtuale client.

8. Riavviare se necessario.

Abilitare l'assistenza per accesso negato nella macchina virtuale client

1. Aprire l'editor del Registro di sistema e passare a HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer.

   • Impostare EnableShellExecuteFileStreamCheck su 1.

   • Valore: DWORD

Configurazione del laboratorio per uno scenario di distribuzione di attestazioni tra foreste

Creare una macchina virtuale per DC2

• Creare una macchina virtuale dall'ISO di Windows Server 2012.

• Assegnare alla macchina virtuale il nome DC2.

• Connettere la macchina virtuale alla rete ID_AD_Network.

Importante

Per aggiungere macchine virtuali a un dominio e distribuire tipi di attestazione tra foreste, è necessario che le macchine virtuali siano in grado di risolvere i nomi di dominio completi (FQDN) dei domini pertinenti. A questo scopo potrebbe essere necessario configurare manualmente le impostazioni del DNS nelle macchine virtuali. Per altre informazioni, vedere Configurazione di una rete virtuale.

Tutte le immagini macchina virtuale (server e client) devono essere riconfigurate in modo da usare un indirizzo IP statico versione 4 (IPv4) e le impostazioni client DNS (Domain Name System). Per altre informazioni, vedere Configurare un client DNS con indirizzo IP statico.

Configurare una nuova foresta denominata adatum.com

Per installare Servizi di dominio Active Directory

1. Connettere la macchina virtuale alla rete ID_AD_Network. Accedere a DC2 come Administrator con la password Pass@word1.

2. In Server Manager fare clic su Gestione e quindi su Aggiungi ruoli e funzionalità.

3. Nella pagina Prima di iniziare fare clic su Avanti.

4. Nella pagina Selezione tipo di installazione selezionare Installazione basata su ruoli o basata su funzionalitàe quindi fare clic su Avanti.

5. Nella pagina Selezione server di destinazione fare clic su Selezionare un server dal pool di server, fare clic sul nome del server in cui si vuole installare Servizi di dominio Active Directory e quindi fare clic su Avanti.

6. Nella pagina Selezione ruoli server fare clic su Servizi di dominio Active Directory. Nella finestra di dialogo Aggiunta guidata ruoli e funzionalità fare clic su Aggiungi funzionalitàe quindi su Avanti.

7. Nella pagina Selezione funzionalità fare clic su Avanti.

8. Nella pagina Servizi di dominio Active Directory esaminare le informazioni e quindi fare clic su Avanti.

9. Nella pagina Conferma fare clic su Installa. La barra di stato di Installazione funzionalità nella pagina Risultati indica che il ruolo è in fase di installazione.

10. Nella pagina Risultati verificare che l'installazione sia riuscita, quindi fare clic sull'icona di avviso con un punto esclamativo nell'angolo superiore destro dello schermo, accanto a Gestisci. Nell'elenco Attività fare clic sul collegamento Alza di livello il server a controller di dominio .

    Importante

    Se si chiude l'installazione guidata a questo punto invece di fare clic su Alza di livello il server a controller di dominio, sarà possibile continuare l'installazione di Servizi di dominio Active Directory facendo clic su Attività in Server Manager.

11. Nella pagina Configurazione distribuzione fare clic su Aggiungi una nuova foresta, digitare il nome del dominio radice, adatum.com, e quindi fare clic su Avanti.

12. Nella pagina Opzioni controller di dominio selezionare i livelli di funzionalità del dominio e della foresta di Windows Server 2012, specificare la password DSRM pass@word1e quindi fare clic su Avanti.

13. Nella pagina Opzioni DNS fare clic su Avanti.

14. Nella pagina Opzioni aggiuntive fare clic su Avanti.

15. Nella pagina Percorsi digitare i percorsi del database di Active Directory, dei file di log e della cartella SYSVOL (o accettare i percorsi predefiniti), quindi fare clic su Avanti.

16. Nella pagina Verifica opzioni verificare le selezioni e fare clic su Avanti.

17. Nella pagina Controllo dei prerequisiti verificare che la convalida dei prerequisiti sia stata completata, quindi fare clic su Installa.

18. Nella pagina Risultati verificare che il server sia stato configurato correttamente come controller di dominio e quindi fare clic su Chiudi.

19. Riavviare il server per completare l'installazione di Servizi di dominio Active Directory. Per impostazione predefinita, il server viene riavviato automaticamente.

Importante

Per verificare che la rete sia configurata correttamente, dopo aver configurato entrambe le foreste eseguire le operazioni seguenti:

• Accedere ad adatum.com come adatum\administrator. Aprire una finestra del prompt dei comandi, digitare nslookup contoso.come premere INVIO.
• Accedere a contoso.com come contoso\administrator. Aprire una finestra del prompt dei comandi, digitare nslookup adatum.come premere INVIO.

Se questi comandi vengono eseguiti senza errori, significa che le foreste possono comunicare tra loro. Per altre informazioni sugli errori nslookup, vedere la sezione relativa alla risoluzione dei problemi nell'argomento Uso di NSlookup.exe

Impostare contoso.com come foresta trusting per adatum.com

In questo passaggio si creerà una relazione di trust tra il sito Adatum Corporation e il sito Contoso, Ltd.

Per impostare contoso.com come foresta trusting per adatum.com

1. Accedere a DC2 come amministratore. Nella schermata Start digitare domain.msc.

2. Nell'albero della console fare clic con il pulsante destro del mouse su adatum.com e scegliere Proprietà.

3. Nella scheda Trust fare clic su Nuova relazione di truste quindi su Avanti.

4. Nella pagina Nome trust digitare contoso.comnel campo del nome DNS (Domain Name System) e quindi fare clic su Avanti.

5. Nella pagina Tipo di trust fare clic su Trust tra forestee quindi su Avanti.

6. Nella pagina Direzione del trust fare clic su Bidirezionale.

7. Nella pagina Parti del trust fare clic su Questo dominio e il dominio specificatoe quindi su Avanti.

8. Continuare a seguire le istruzioni della procedura guidata.

Creare altri utenti nella foresta Adatum

Creare l'utente Jeff Low con la password pass@word1e assegnargli l'attributo Company con il valore Adatum.

Per creare un utente con l'attributo Company

1. Aprire un prompt dei comandi con privilegi elevati in Windows PowerShell e incollare il codice seguente:

   New-ADUser `
   -SamAccountName jlow `
   -Name "Jeff Low" `
   -UserPrincipalName jlow@adatum.com `
   -AccountPassword (ConvertTo-SecureString `
   -AsPlainText "pass@word1" -Force) `
   -Enabled $true `
   -PasswordNeverExpires $true `
   -Path 'CN=Users,DC=adatum,DC=com' `
   -Company Adatum`
   
   

Creare il tipo di attestazione Company in adataum.com

Per creare un tipo di attestazione mediante Windows PowerShell

1. Accedere ad adatum.com come amministratore.

2. Aprire un prompt dei comandi con privilegi elevati in Windows PowerShell e digitare il codice seguente:

   New-ADClaimType `
   -AppliesToClasses:@('user') `
   -Description:"Company" `
   -DisplayName:"Company" `
   -ID:"ad://ext/Company:ContosoAdatum" `
   -IsSingleValued:$true `
   -Server:"adatum.com" `
   -SourceAttribute:Company `
   -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Contoso", "Contoso", "")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Adatum", "Adatum", ""))) `
   
   

Abilitare la proprietà della risorsa Company in contoso.com

Per abilitare la proprietà della risorsa Company in contoso.com

1. Accedere a contoso.com come amministratore.

2. In Server Manager fare clic su Strumentie quindi su Centro di amministrazione di Active Directory.

3. Nel riquadro sinistro del Centro di amministrazione di Active Directory fare clic su Visualizzazione albero. Nel riquadro sinistro fare clic su Controllo di accesso dinamicoe quindi fare doppio clic su Proprietà risorse.

4. Selezionare Company nell'elenco Proprietà risorse , fare clic con il pulsante destro del mouse e scegliere Proprietà. Nella sezione Valori suggeriti fare clic su Aggiungi per aggiungere i valori suggeriti: Contoso e Adatum, quindi fare clic su OK due volte.

5. Selezionare Company nell'elenco Proprietà risorse , fare clic con il pulsante destro del mouse e scegliere Abilita.

Abilitare il controllo dinamico degli accessi per adatum.com

Per abilitare il controllo dinamico degli accessi per adatum.com

1. Accedere ad adatum.com come amministratore.

2. Aprire la Console Gestione Criteri di gruppo, fare clic su adatum.come quindi fare doppio clic su Controller di dominio.

3. Fare clic con il pulsante destro del mouse su Criterio Controller di domini predefinitie scegliere Modifica.

4. Nella finestra Editor Gestione Criteri di gruppo fare doppio clic su Configurazione computer, quindi su Criteri, Modelli amministrativi, Sistemae infine su KDC.

5. Fare doppio clic su Supporto KDC di attestazioni, autenticazione composta e blindatura Kerberos e selezionare l'opzione accanto a Abilitato. Questa impostazione deve essere abilitata per poter usare i criteri di accesso centrale.

6. Aprire un prompt dei comandi con privilegi elevati ed eseguire il comando seguente:

   gpupdate /force
   

Creare il tipo di attestazione Company in contoso.com

Per creare un tipo di attestazione mediante Windows PowerShell

1. Accedere a contoso.com come amministratore.

2. Aprire un prompt dei comandi con privilegi elevati in Windows PowerShell e digitare il codice seguente:

   New-ADClaimType '"SourceTransformPolicy `
   '"DisplayName 'Company' `
   '"ID 'ad://ext/Company:ContosoAdatum' `
   '"IsSingleValued $true `
   '"ValueType 'string' `
   
   

Creare la regola di accesso centrale

Per creare una regola di accesso centrale

1. Nel riquadro sinistro del Centro di amministrazione di Active Directory fare clic su Visualizzazione albero. Nel riquadro sinistro fare clic su Controllo di accesso dinamicoe quindi su Regole di accesso centrale.

2. Fare clic con il pulsante destro del mouse su Regole di accesso centrale, scegliere Nuovae quindi Regola di accesso centrale.

3. Nel campo Nome digitare AdatumEmployeeAccessRule.

4. Nella sezione Autorizzazioni selezionare l'opzione Usa queste autorizzazioni come correnti , fare clic su Modificae quindi su Aggiungi. Fare clic sul collegamento Seleziona un'entità , digitare Authenticated Userse fare clic su OK.

5. Nella finestra di dialogo Voce autorizzazione per Autorizzazioni fare clic su Aggiungi condizione, quindi immettere le condizioni seguenti: [User] [Company] [Equals] [Value] [Adatum]. Le autorizzazioni devono essere Modifica, Lettura/esecuzione, Lettura, Scrittura.

6. Fare clic su OK.

7. Fare tre volte clic su OK per completare la procedura, quindi tornare al Centro di amministrazione di Active Directory.

   Comandi equivalenti di Windows PowerShell

   Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

   New-ADCentralAccessRule `
   -CurrentAcl:"O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;FA;;;SY)(XA;;0x1301bf;;;AU;(@USER.ad://ext/Company:ContosoAdatum == `"Adatum`"))" `
   -Name:"AdatumEmployeeAccessRule" `
   -ProposedAcl:$null `
   -ProtectedFromAccidentalDeletion:$true `
   -Server:"contoso.com" `
   

Creare i criteri di accesso centrale

Per creare i criteri di accesso centrale

1. Accedere a contoso.com come amministratore.

2. Aprire un prompt dei comandi con privilegi elevati in Windows PowerShell e incollare il codice seguente:

   New-ADCentralAccessPolicy "Adatum Only Access Policy"
   Add-ADCentralAccessPolicyMember "Adatum Only Access Policy" `
   -Member "AdatumEmployeeAccessRule" `
   

Pubblicare i nuovi criteri tramite Criteri di gruppo

Per applicare i criteri di accesso centrale nei file server mediante Criteri di gruppo

1. Nella schermata Start digitare Strumenti di amministrazionee nella barra Cerca fare clic su Impostazioni. Nei risultati di Impostazioni fare clic su Strumenti di amministrazione. Aprire la Console Gestione Criteri di gruppo dalla cartella Strumenti di amministrazione .

   Suggerimento

   Se l'impostazione Mostra strumenti di amministrazione è disabilitata, la cartella Strumenti di amministrazione e il relativo contenuto non verranno visualizzati nei risultati di Impostazioni .

2. Fare clic con il pulsante destro del mouse sul dominio contoso.com e quindi scegliere Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento.

3. Digitare un nome descrittivo per l'oggetto Criteri di gruppo, ad esempio AdatumAccessGPO, e quindi fare clic su OK.

Per applicare i criteri di accesso centrale al file server mediante Criteri di gruppo

1. Nella schermata Start digitare Gestione criteri di grupponella casella Cerca . Aprire Gestione criteri di gruppo dalla cartella Strumenti di amministrazione.

   Suggerimento

   Se l'impostazione Mostra strumenti di amministrazione è disabilitata, la cartella Strumenti di amministrazione e il relativo contenuto non verranno visualizzati nei risultati di Impostazioni.

2. Individuare e selezionare Contoso nel modo seguente: Gestione Criteri di gruppo\Foresta: contoso.com\Domains\contoso.com.

3. Fare clic con il pulsante destro del mouse sul criterio AdatumAccessGPO e scegliere Modifica.

4. Nell'Editor Gestione Criteri di gruppo fare clic su Configurazione computer, espandere Criteri, espandere Impostazioni di Windowse quindi fare clic su Impostazioni sicurezza.

5. Espandere File system, fare clic con il pulsante destro del mouse su Central Access Policye quindi scegliere Gestisci criteri di accesso centrale.

6. Nella finestra di dialogo Configurazione criteri di accesso centrale fare clic su Aggiungi, selezionare Adatum Only Access Policye quindi fare clic su OK.

7. Chiudere Editor Gestione Criteri di gruppo. I criteri di accesso centrale sono stati aggiunti in Criteri di gruppo.

Creare la cartella Earnings sul file server

Creare un nuovo volume NTFS in FILE1 e quindi creare la cartella seguente: D:\Earnings.

Nota

Per impostazione predefinita, i criteri di accesso centrale non sono abilitati nel volume di sistema o di avvio C:.

Impostare la classificazione e applicare i criteri di accesso centrale alla cartella Earnings

Per assegnare i criteri di accesso centrale nel file server

1. Nella Console di gestione di Hyper-V connettersi al server FILE1. Accedere al server usando contoso\administrator con la password pass@word1.

2. Aprire un prompt dei comandi con privilegi elevati e digitare: gpupdate /force. In questo modo le modifiche a Criteri di gruppo saranno applicate al server.

3. È anche necessario aggiornare le proprietà delle risorse globali da Active Directory. Aprire Windows PowerShell, digitare Update-FSRMClassificationpropertyDefinitione quindi premere INVIO. Chiudere Windows PowerShell.

4. Aprire Esplora risorse e passare a D:\EARNINGS. Fare clic con il pulsante destro del mouse sulla cartella Earnings e quindi scegliere Proprietà.

5. Fare clic sulla scheda Classificazione . Selezionare Companye quindi selezionare Adatum nel campo Valore .

6. Fare clic su Modifica, selezionare Adatum Only Access Policy nel menu a discesa e quindi fare clic su Applica.

7. Fare clic sulla scheda Sicurezza , quindi su Avanzatee infine fare clic sulla scheda Criteri centrali . La voce AdatumEmployeeAccessRule dovrebbe essere elencata. È possibile espanderla per visualizzate tutte le autorizzazioni impostate durante la creazione della regola in Active Directory.

8. Fare clic su OK per tornare a Esplora risorse.