Come installare e utilizzare Active Directory Users and Computers (ADUC)?

ADUC è un componente aggiuntivo di Microsoft Management Console (MMC) che consente agli amministratori di gestire oggetti e attributi di Active Directory. Ad esempio, possono:

• Cambia le password.
• Reimposta gli account utente.
• Aggiungi utenti ai gruppi di sicurezza.
• Creare ed eliminare unità organizzative (OUs)
• Assegna ruoli FSMO come RID Master, PDC Emulator e Infrastructure Master ai controller di dominio.
• Crea e gestisci computer, gruppi e utenti e i loro attributi
• Delegare il controllo degli oggetti.
• Definire la sicurezza avanzata e l'auditing in AD.

Puoi trovare maggiori informazioni su Active Directory nel nostro AD tutorial per principianti. Principalmente, i controller di dominio di Active Directory avranno ADUC installato per impostazione predefinita in Windows. Tuttavia, in alcuni casi potrebbe non essere presente, il che richiederebbe di optare per diversi modi in cui potresti aggiungerli nella tua versione attuale di windows.

Ecco i metodi che ti permettono di aggiungere Utenti e Computer di Active Directory nella versione attuale di windows.

Aggiungendo ADUC tramite Remote Server Administration Tools (RSAT)

Nella versione attuale di Windows, gli Strumenti di amministrazione remota del server includono ADUC. Pertanto, per abilitare ADUC nella versione attuale di Windows installare gli Strumenti di amministrazione remota del server (RSAT).

Nota: RSAT può essere installato solo su computer che eseguono le versioni Professional o Enterprise di Windows.

RSAT consente agli amministratori di eseguire snap-in e strumenti per controllare funzionalità, ruoli e servizi di ruolo su un server remoto o altro computer. RSAT è incluso nel sistema operativo a partire da Windows Server 2008 R2. Per le versioni precedenti di Windows Server, così come per Windows 7 e Windows 8, RSAT è disponibile come pacchetto per il download con istruzioni per l'installazione.

Gli strumenti di amministrazione remota inclusi nel pacchetto RSAT comprendono i seguenti:

• Active Directory Users and Computers (ADUC) — Ampiamente utilizzato dagli amministratori di sistema per creare e gestire oggetti di Active Directory
• Centro amministrativo di Active Directory — Utilizzato per gestire il cestino di AD e le password policies e per visualizzare la cronologia di PowerShell
• Modulo Active Directory per Windows PowerShell — Fornisce cmdlet di PowerShell per l'amministrazione di AD
• Domini e trust di Active Directory — Consente di gestire il livello funzionale del dominio, il livello funzionale della foresta e i nomi utente principali (UPN), oltre ai trust tra foreste e domini
• Active Directory Sites and Services — Ti consente di visualizzare e gestire i tuoi siti e servizi
• ADSI Edit — Offre alcune funzionalità per la gestione degli oggetti AD, anche se la maggior parte degli esperti consiglia di utilizzare ADUC

Come risolvere gli errori RSAT in Windows 10

RSAT può andare in crash per vari motivi, tra cui un aggiornamento fallito, un file di installazione corrotto o incompatibilità con il sistema operativo. Inoltre, possono verificarsi problemi se un amministratore di server tenta di modificare uno qualsiasi dei suoi strumenti di amministrazione, in particolare il componente Active Directory Administrative Center (ADAC) di RSAT. Ecco alcuni consigli per la risoluzione dei problemi:

Prima di tutto, assicurati di avere la versione giusta di RSAT per il tuo sistema operativo. Se non è così, disinstalla RSAT e installa la versione corretta.

Se ricevi l'installazione di RSAT errore 0x800f0954:

1. Fai clic con il tasto destro sul pulsante Start > Scegli Run > Digita msc > Clicca su OK.
2. Nell'editor di group policy locale, naviga fino a Computer Configuration > Administrative Templates > System.
3. Fai clic con il tasto destro del mouse su Specifica le impostazioni per l'installazione di componenti opzionali e la riparazione dei componenti policy > Impostala su Abilitato e seleziona la casella Scarica il contenuto di riparazione e le funzionalità opzionali direttamente da Windows Updates invece che da Windows Server Updates Services (WSUS).
4. Clicca Applica > Clicca OK.
5. Fare clic con il tasto destro sul pulsante Start > Scegliere Run > Digitare gpupdate > Cliccare su OK.

L'installazione di RSAT errore 0x80070003 è generalmente legata all'installazione da una posizione non comune. Copia i file di installazione sull'unità locale della macchina di destinazione e procedi.

Come installare ADUC su un server membro Windows

Per installare ADUC, utilizzare la procedura guidata in Server Manager, uno strumento di gestione incluso con Windows Server, come segue:

1. Avvia Server Manager in uno dei seguenti modi:

• Fare clic sull'icona di Server Manager sulla barra delle applicazioni, come mostrato di seguito:

• Fai clic sul pulsante di Windows Start e digita Server Manager nella casella di ricerca. Quindi fai clic sull'icona di Server Manager.

2. Per aprire la procedura guidata, fai clic su Add roles and features.

3. La prima pagina descrive cosa puoi fare con la procedura guidata e i prerequisiti per utilizzarla. Fai clic su Next per procedere.

4. Nella pagina successiva, selezionare l'opzione Role-based or feature-based installation e cliccare su Avanti.

5. Seleziona un server dal pool di server o un disco rigido virtuale. Fai clic su Next.

6. La pagina successiva elenca i ruoli che potresti installare. Salteremo questo e cliccheremo semplicemente su Next.

7. Nella pagina successiva, seleziona Remote Server Administration Tools e AD DS and AD LDS Tools, che selezionerà automaticamente gli altri Active Directory management tools. Clicca su Avanti.

8. La pagina successiva mostra un riepilogo degli strumenti che verranno installati. Seleziona la casella di controllo Restart the destination server automatically if required perché alcune delle funzioni e dei ruoli richiedono il riavvio del server. Clicca su Install per iniziare l'installazione.

9. Nella pagina successiva, è possibile visualizzare il progresso dell'installazione. Fare clic su Close in qualsiasi momento per chiudere la procedura guidata; l'installazione continuerà come un'attività in esecuzione.

10. Dopo il successo dell'installazione, apri Server Manager e clicca sul menu Strumenti per vedere gli strumenti installati. Lo screenshot seguente mostra Active Directory Users and Computers insieme ad altri strumenti di gestione:

Come trovare la versione di Windows prima di installare ADUC

Puoi determinare la versione di Windows seguendo uno dei passaggi sottostanti.

• Nel riquadro di navigazione a sinistra, fai clic su Start > Settings > System > About. Vedrai le informazioni sull'edizione, la versione e la build del sistema operativo, come nel seguente:

Fai clic con il tasto destro del mouse sul menu Start e poi clicca su System. Vedrai informazioni come edizione, versione e build del sistema operativo come segue:

Installa ADUC su Windows 10 versione 1809 e successive

Ecco i passaggi per installare ADUC su Windows 10 versione 1809 e successive:

1.Fai clic sul menu Start e poi clicca su Settings > Apps.

2. Fare clic su Optional Features, e poi su Aggiungi una funzionalità.

3. Fare clic su RSAT: Active Directory Domain Services and Lightweight Directory Services Tools.

4. Fai clic su Install.

Quando l'installazione è completata, vedrai una nuova voce nel menu Start degli Strumenti di amministrazione di Windows.

Installa ADUC utilizzando la riga di comando

In alternativa, se stai utilizzando la versione 1809 di Windows 10 o successive, puoi installare ADUC dalla riga di comando come segue:

1. Clicca Avvia (o premi Win+R). Digita cmd e premi Invio.
2. Esegui i seguenti comandi:

dism /online /enable-feature /featurename:RSATClient-Roles-AD

dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS

dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIn

Installa ADUC su Windows 8 o Windows 10 versione 1803 e precedenti

1. Scaricate Remote Server Administrator Tools per Windows 10 versione 1803 e precedenti dal Microsoft Download Center e installatelo.

2. Fare clic sul pulsante di Windows Start e poi su Pannello di controllo > Programmi. In Programmi e funzionalità, fare clic su Attiva o disattiva funzionalità Windows.

3. Scorri verso il basso nell'elenco delle funzionalità ed espandi Role Administration Tools -> AD DS and AD LDS Tools. Seleziona AD DS Tools. Quindi fai clic su OK.

4. Una volta che il sistema ha installato gli strumenti, clicca su Restart ora.

Quando l'installazione è completata, la cartella Windows Administrative Tools apparirà nel menu Start, e ADUC sarà presente in questa cartella.

Installa ADUC su versioni precedenti di Windows

Se hai una versione più vecchia di Windows, puoi scaricare il pacchetto RSAT appropriato e poi usare Aggiungi funzionalità Windows nel Pannello di controllo per aggiungere gli snap-in MMC necessari.

Si noti che se si installa RSAT su un computer con Windows 7, è necessario abilitare manualmente gli strumenti dopo l'installazione di RSAT.

Vai su Start > Pannello di controllo > Programmi e funzionalità e usa Attivazione o disattivazione delle funzionalità Windows.

Componenti della console ADUC

La console di Active Directory Users and Computers ha alcuni componenti chiave che facilitano agli amministratori di sistema la gestione degli oggetti:

• Barra del menu: Contiene i menu File, Azioni, Visualizza e Aiuto
• Barra degli strumenti: Contiene pulsanti per eseguire azioni rapide, come creare un nuovo utente o gruppo e mostrare/nascondere i riquadri Directory e Azione
• Riquadro dell'albero di Directory (Console Tree): Mostra la gerarchia del dominio a cui sei connesso, così come un elenco dei contenitori e delle OU disponibili
• Riquadro Oggetti: Mostra gli oggetti e i loro attributi; puoi modificare le colonne utilizzando il menu Visualizza
• Pannello Azioni: Mostra i dettagli dell'oggetto selezionato e offre un'opzione More Actions 

Impostazioni avanzate di ADUC

Per impostazione predefinita, ADUC mostra alcune OU e altri contenitori. Per lavorare su altri contenitori, clicca sul menu View e seleziona Advanced Features.

Quindi vedrai delle proprietà aggiuntive. Qui sotto, puoi confrontare le schede disponibili nella vista normale (a sinistra) con quelle nella vista avanzata (a destra):

Come utilizzare Active Directory Users and Computers (ADUC)

Crea un'unità organizzativa (OU)

Segui questi passaggi per creare un'unità organizzativa:

1. Fare clic con il pulsante destro del mouse sul dominio o sull'OU sotto il quale si desidera creare l'OU desiderata; quindi fare clic su Nuovo > Unità Organizzativa.

2. Digitare un nome per la nuova OU nel campo Nome e specificare se proteggere l'OU dalla cancellazione accidentale. Fare clic su OK per creare l'unità organizzativa.

Aggiungi un account utente

1. Seleziona il dominio dove vuoi aggiungere l'utente e poi espandi il suo contenuto.
2. Fare clic con il pulsante destro del mouse sul contenitore in cui si desidera aggiungere un utente (di solito Utenti), selezionare Nuovo e poi fare clic su Utente.

3. Digitare il nome, il cognome e il nome utente del nuovo utente. Quindi fare clic su Next.

4. Digitare e confermare una nuova password per l'utente. Assicurarsi di abilitare una delle seguenti opzioni per controllare come l'utente deve gestire la propria password:

• L'utente deve cambiare la password al prossimo accesso
• L'utente non può cambiare la password
• La password non scade mai
• L'account è disabilitato
  Clicca Avanti.

5. Assicurati che tutto ciò che hai inserito sia corretto e poi clicca su Finish.

Abilita e disabilita account utente

Puoi facilmente disabilitare o abilitare un account utente utilizzando il menu contestuale in ADUC.

Per abilitare un account utente:

• Fai clic con il tasto destro su un utente disabilitato e clicca su Abilita Account.

Per disabilitare un account utente:

• Fare clic con il pulsante destro del mouse sull'oggetto utente che si desidera disabilitare e fare clic su Disabilita Account.

Crea un oggetto gruppo

Segui questi passaggi per creare un gruppo utilizzando ADUC:

1. Fare clic con il pulsante destro del mouse sul dominio o sull'OU sotto il quale si desidera creare il nuovo gruppo.
2. Specificare quanto segue:

• Un nome e un nome pre-Windows 2000 per il gruppo
• Il tipo di gruppo: distribuzione o sicurezza
• L'ambito del gruppo: locale al dominio, globale o universale

3. Fare clic su OK per creare il gruppo.

Aggiungi un utente a un gruppo

1. Fare clic con il pulsante destro del mouse sul dominio in cui si desidera aggiungere un utente a un gruppo e quindi selezionare Find.
2. Seleziona Users, Contacts, and Groups nella lista a discesa Find.
3. Inserisci il nome del gruppo a cui vuoi aggiungere l'utente, fai clic su Find Now, seleziona il gruppo desiderato nei risultati della ricerca e fai clic su OK.

4. Vai su Action > Properties e clicca sulla scheda Members. Clicca su Add.

5. Digita il nome dell'utente che vuoi aggiungere e clicca su Verifica Nomi. (In alternativa, puoi usare il pulsante Avanzate per cercare gli utenti uno per uno. Se specifichi più utenti, separa i loro nomi usando i punti e virgola.) Quindi clicca su OK per confermare l'aggiunta.

Rimuovi un utente da un gruppo

1. Fare clic con il pulsante destro del mouse sul dominio dal quale si desidera rimuovere l'utente e selezionare Find.
2. Seleziona Users, Contacts, and Groups nella lista a discesa Find.
3. Inserisci il nome del gruppo dal quale vuoi rimuovere l'utente e clicca su Find Now.
4. Fare clic con il pulsante destro del mouse sul gruppo desiderato e selezionare Properties.
5. Vai alla scheda Members evidenzia l'utente e clicca su Remove.

Reimposta la password di un utente

1. Naviga alla cartella Users del dominio dell'utente.
2. Fare clic con il pulsante destro del mouse sul nome dell'utente, scegliere Tutte le operazioni e selezionare Reset Password.

3. Digita una nuova password, digitare nuovamente nella casella Confirm password e poi clicca su OK.

Sposta un utente in un'altra OU

1. Fare clic con il pulsante destro del mouse su Active Directory Users and Computers e selezionare Connect to Domain.
2. Inserisci il nome del dominio dell'utente e fai clic su OK.
3. Fare clic con il pulsante destro del mouse sull'utente e selezionare Move.
4. Scegli il contenitore in cui desideri spostare l'utente e poi clicca su OK.

Modifica i dati di un utente

1. Fare clic con il pulsante destro del mouse su Active Directory Users and Computers e selezionare Connect to Domain.
2. Inserisci il nome del dominio dell'utente e fai clic su OK.
3. Fare clic con il pulsante destro del mouse sull'utente e selezionare Properties.
4. Vai alla scheda che contiene i dati che vuoi modificare, apporta le tue modifiche e fai clic su OK.

Modifica il tipo e l'ambito di un gruppo

Per modificare il tipo o l'ambito di un gruppo, segui questi passaggi:

1. Fare clic con il pulsante destro del mouse sul gruppo desiderato e selezionare Proprietà.

Nella scheda Generale, specificare il nuovo tipo di gruppo e/o ambito. Quindi fare clic su OK.

Trova oggetti nella directory

ADUC offre una potente ricerca per trovare oggetti nell'intera directory. Puoi trovare utenti, contatti, gruppi e OU utilizzando la casella di dialogo Trova:

1. Fare clic con il pulsante destro del mouse sul dominio o su un'OU e fare clic su Find.

2. Nella finestra di dialogo Trova, specificare quanto segue:

• Nel menu a tendina Find, seleziona Utenti, Contatti e Gruppi.
• Utilizzando il menu a tendina In seleziona dove effettuare la ricerca: un dominio o l'intera directory.
• Per restringere la ricerca, utilizza il pulsante Browse per selezionare un'OU specifica.
• Nel campo Name digitare il nome o il cognome dell'utente o il nome del gruppo che si desidera trovare.
  Cliccare su Find Now.

3. Esaminare i risultati della ricerca. È possibile fare doppio clic su un oggetto per visualizzarne le proprietà.

Delegare il controllo agli utenti

Utilizzando la procedura guidata di delega di Active Directory, è possibile abilitare un utente o un gruppo a eseguire compiti specifici, come la creazione di oggetti utente o la gestione di controller di dominio specifici.

Segui i seguenti passaggi per delegare i permessi a un utente specifico:

1. Fare clic con il pulsante destro del mouse sul dominio o sull'OU dove si desidera assegnare i permessi a un oggetto. Cliccare su Delegate Control per avviare la procedura guidata Delega del Controllo.

2. La pagina di benvenuto descrive cosa puoi fare con questa procedura guidata. Fai clic su Next.

3. Nella pagina successiva, fai clic su Add per cercare l'oggetto utente o gruppo a cui vuoi applicare i permessi.

4. Digitare il nome dell'utente o del gruppo a cui si desidera delegare e fare clic su Check Names. Dall'elenco degli oggetti corrispondenti, selezionare l'utente desiderato e fare clic su OK.

5. Ora vedrai l'oggetto nel campo Selected users and groups. Clicca su Next.

7. Seleziona l'ambito della delega:

• Scegliendo Questa cartella, gli oggetti esistenti in questa cartella e la creazione di nuovi oggetti in questa cartella conferirà tutti i permessi all'oggetto nella cartella o OU selezionata.
• Selezionando Solo gli oggetti seguenti nella cartella ti permette di delegare i permessi solo agli oggetti nella cartella che specifichi.
  Clicca Avanti.

8. Seleziona i permessi che desideri delegare e fai clic su Avanti.

9. Rivedi le tue modifiche e fai clic su Finish.

Crea e salva le query

È possibile costruire query LDAP complesse utilizzando la funzionalità Saved Queries nella console ADUC. È possibile salvare queste query e utilizzarle per:

• Trova rapidamente oggetti AD.
• Completate rapidamente le attività di gestione degli oggetti AD di routine, come selezionare tutti i dipendenti di un'azienda con caselle di posta su un specifico server Exchange o visualizzare un elenco di tutti gli account disabilitati in un dominio.
• Esegui attività con oggetti di diverse OU di Active Directory.
• Eseguire attività di blocco/sblocco, attivazione/disattivazione, spostamento, rimozione e rinominazione in massa.
• Ignora la gerarchia OU di Active Directory e raccogli tutti gli oggetti richiesti in una vista tabellare piatta.

Segui i seguenti passaggi per creare una query per un'operazione:

1. Fare clic con il pulsante destro del mouse sul dominio o sull'OU in cui si desidera eseguire l'operazione di ricerca e selezionare Nuovo -> Query.

2. Fornisci un nome e una descrizione per la query. (Se vuoi selezionare un'altra OU, clicca su Browse.) Quindi apri un'altra finestra di dialogo per definire la query cliccando su Define Query.

3. Utilizza il menu a tendina Find per selezionare una query comune, come:

• Utenti, Contatti e Gruppi
• Computer
• Stampanti
• Cartelle condivise
• Unità Organizzative
• Ricerca personalizzata
• Domande comuni

4. Utilizza la scheda Users, Computers o Groups per definire la tua query. Ad esempio, sotto la scheda Users, hai opzioni per limitare la tua query in base a:

• Account disabilitati
• Password che non scadono
• Giorni dall'ultimo accesso dell'utente al dominio
  Clicca su OK per creare la tua query.

Esegui altre azioni utilizzando il menu contestuale

Il menu contestuale in ADUC appare quando fai clic su un oggetto o clicchi in uno spazio vuoto nel riquadro centrale. Questo menu mostra i comandi comuni e le opzioni per il tipo di oggetto che hai selezionato. Ecco alcuni esempi del menu contestuale per diversi tipi di oggetti:

Dominio

OU

Utente

Gruppo

Computer

Contatto

Come Netwrix può aiutare

Anche se ADUC può essere uno strumento prezioso per gli amministratori, può essere difficile per i tecnici dell'helpdesk e gli utenti aziendali accedervi, figuriamoci utilizzarlo. Netwrix Directory Manager ti permette di creare facilmente portali web-based che rendono semplice eseguire compiti come la creazione e la modifica di gruppi e utenti, senza alcun aiuto da parte di un amministratore.

È possibile controllare ciò che ogni utente può visualizzare e modificare in base al proprio ruolo. Per garantire l'integrità dei dati, è possibile definire dei flussi di lavoro per verificare le informazioni fornite prima che le modifiche vengano applicate.