Si verificano i seguenti problemi in Windows 10, versione 1809 e 1903:
In Esplora risorse, una X rossa appare sulle unità di rete mappate.
Le unità di rete mappate vengono visualizzate come Non disponibili quando si esegue il comando net use al prompt dei comandi.
Nell’area di notifica, una notifica visualizza il seguente messaggio: “non è stto possibile riconnettere tutte le unità di rete”
Microsoft sta lavorando a una risoluzione e stima che una soluzione sarà disponibile entro la fine di novembre 2018( al momento sto scrivendo a novembre 2019 e non ho trovato l’aggiornamento richiesto). Per monitorare l’argomento dell’unità mappata nella cronologia degli aggiornamenti di Windows 10 1809 KB 4464619. Attualmente, è possibile aggirare questo problema eseguendo gli script per ricollegare automaticamente la mappatura unità di rete quando si accede al dispositivo. Per fare ciò, creare due file di script e quindi utilizzare una delle soluzioni alternative, a seconda dei casi.
Tutte le soluzioni alternative devono essere eseguite nel contesto di sicurezza dell’utente standard. L’esecuzione di script in un contesto di sicurezza elevato impedirà la disponibilità dei driver mappati nel contesto utente standard.
Crea una voce di avvio automatico
Nota: Questa soluzione funziona solo per il dispositivo che ha accesso alla rete all’accesso. Se il dispositivo non ha stabilito una connessione di rete al momento dell’accesso, lo script di avvio non riconnetterà automaticamente le unità di rete.
Copia il file di script (MapDrives.cmd) nel seguente percorso tramite esplora risorse:
Copia il file di script (MapDrives.ps1) nel seguente percorso semrpe tramite esplora risorse:
%SystemDrive%\Scripts\
Un file di registro (StartupLog.txt) verrà creato nella cartella %TEMP%. Disconnettersi e quindi riconnettersi al dispositivo per aprire le unità mappate.
Sulla mia postazione di lavoro all’improvviso hanno smesso di connettersi le unità di rete. Nessuno dei trucchi conosciuti, compresa eliminazione del cache di regedit ha funzionato.
Sono quindi tornato alla vecchia soluzione che avevo utilizzato tampo tempo fa e che ora funziona da ormai un mese e la ho messa in esecuzioene automatica di windows ecco il link alla pagina originale
Potrebbe essere necessario disattivare Secure Boot per eseguire alcune schede grafiche PC, hardware o sistemi operativi come Linux o versione precedente di Windows.
Il Boot protetto aiuta a assicurarsi che il computer si avvii usando solo firmware affidabile dal produttore. È possibile disattivare Secure Boot tramite i menu del firmware del PC (BIOS), ma il modo in cui lo disabilite varia a seconda del produttore del PC. Se si hanno problemi a disabilitare Secure Boot dopo aver seguito i passaggi riportati di seguito, contattare il produttore per ottenere ulteriori informazioni.
Per i PC Windows RT 8.1 e Windows RT certificati con logo, è necessario configurare il Boot protetto in modo che non possa essere disattivato.
avvertimento
Dopo aver disattivato Secure Boot e installando altri software e hardware, potrebbe essere difficile riattivare Secure Boot senza ripristinare il PC allo stato di fabbrica.
Fare attenzione quando cambia le impostazioni del BIOS. Il menu BIOS è stato progettato per utenti avanzati e è possibile modificare un’impostazione che potrebbe impedire il corretto avvio del computer. Assicurarsi di seguire esattamente le istruzioni del produttore.
Disattiva il boot protetto
Prima di disattivare Secure Boot, consideri se è necessario. Di volta in volta, il produttore può aggiornare l’elenco di hardware, driver e sistemi operativi attendibili per il proprio PC. Per verificare gli aggiornamenti, andare a Windows Update o controllare il sito web del produttore.
Aprire il menu PC BIOS. È possibile accedere spesso a questo menu premendo un tasto durante la sequenza di avvio, ad esempio F1, F2, F12 o Esc.
Oppure, da Windows, tenere premuto il tasto Maiusc mentre seleziona Riavvia. Vai a Risoluzione dei problemi> Opzioni avanzate: Impostazioni firmware UEFI.
Individuare l’impostazione di protezione protetta e, se possibile, impostarla su Disabilitato. Questa opzione è di solito nella scheda Protezione, nella scheda di avvio o nella scheda Autenticazione.
Salva le modifiche ed esci. Il PC riavvia.
Installare la scheda grafica, l’hardware o il sistema operativo non compatibile con Secure Boot.
In alcuni casi, potrebbe essere necessario modificare altre impostazioni del firmware, ad esempio attivare un modulo di supporto compatibilità (CSM) per supportare i sistemi operativi BIOS legacy. Per utilizzare un CSM, potrebbe anche essere necessario riformattare il disco rigido utilizzando il formato Master Boot Record (MBR) e quindi reinstallare Windows. Per ulteriori informazioni, vedere Installazione di Windows: Installazione utilizzando lo stile di partizione MBR o GPT.
Se si utilizza Windows 8.1, è possibile visualizzare una filigrana sul desktop che avvisa che il Boot protetto non è configurato correttamente. Ottenere questo aggiornamento per rimuovere la filigrana desktop di Boot Secure.
Riattiva il Boot protetto
Disinstallare tutte le schede grafiche, hardware o sistemi operativi non compatibili con Secure Boot.
Aprire il menu PC BIOS. È possibile accedere spesso a questo menu premendo un tasto durante la sequenza di avvio, ad esempio F1, F2, F12 o Esc.
Oppure, da Windows: vai a Charms Settings> Modifica impostazioni PC> Aggiornamento e ripristino> Ripristino> Avvio avanzato: riavviare ora. Quando il PC riavvia, vai a Risoluzione dei problemi> Opzioni avanzate: Impostazioni firmware UEFI.
Individuare l’impostazione di protezione protetta e, se possibile, impostarla su Abilitato. Questa opzione è di solito nella scheda Protezione, nella scheda di avvio o nella scheda Autenticazione.
Su alcuni PC, selezionare Personalizzato e quindi caricare le chiavi di avvio sicuro che sono incorporate nel PC.
Se il PC non consente di abilitare Secure Boot, provare a ripristinare il BIOS alle impostazioni di fabbrica.
Salva le modifiche ed esci. Il PC riavvia.
Se il PC non è in grado di avviarsi dopo aver abilitato Secure Boot, tornare indietro nei menu del BIOS, disattivare Secure Boot e provare a riavviare il PC di nuovo.
In alcuni casi, potrebbe essere necessario aggiornare o reimpostare il PC allo stato originale prima di attivare il sistema di protezione sicura. Per ulteriori informazioni, vedere Come ripristinare, aggiornare o reimpostare il PC.
Se i passaggi di cui sopra non funzionano e si desidera ancora utilizzare la funzionalità Boot protetta, contattare il proprio produttore per ottenere ulteriori informazioni.
Per ulteriori procedure di risoluzione dei problemi per i produttori di PC: vedere Secure Boot non è configurato correttamente: Determinare se il PC è in modalità di produzione (informazioni per i produttori).
Windows 10 impone le firme digitali dei driver per impostazione predefinita. Questo può essere disabilitato per installare driver non firmati digitalmente. Utilizzare la procedura seguente per disabilitare l’imposizione della firma driver.
Fare clic sul menu Start e selezionare Impostazioni.
Cliccare su Aggiornamento e Security.
Cliccare su Ripristino.
Cliccare su Riavvia ora sotto Advanced Startup.
Cliccare su Risolvere i.
Cliccare su Opzioni avanzate.
Cliccare su Impostazioni di avvio.
Cliccare su Riavvia.
Sulla schermata in impostazioni di avvio premere 7 o F7 per disabilitare l’imposizione della firma digitale dei driver.
Il computer verrà riavviato e sarà in grado di installare i driver con firma non digitale. Se si riavvia il computer nuovamente l’imposizione firma driver verrà riabilitata.
Se anche voi vi siete trovati nella spiacevole situazione, pur essendo amministratori, di non poter eliminare una partizione da windows creata da windows oppure da altri sistemi quali Linux o macos coem in figura
allora questa è la soluzione semplice e veloce
-eseguite cmd.exe come amministratore;
-avviate il programma diskpart.exe
-digitate: list disk
e vi verranno mostrate tutti i dischi (comprese le pen drive)
-selezionate il disco da cancellare (nel mio caso sarà il secondo ovvero il ‘disco 1’, la numerazione parted a 0): select disk 1
-procedete all’azzeramento del disco con la seguente istruzione: clean
exit
Questo articolo permette di avere una installazione completamente funzioante, anche se ancora si tratta di un work in progress, stay tuned.
da fare:
server di stampa
backup domain controller (già fatto, ma non documentato)
quello che servirà
Samba è un ottimo fileserver su *nix e Linux che permette di condividere files in modo efficace tra il mondi Windows, Mac e *nix.
Da sempre è stato possibile emulare un Primary Domain Controller in stile NT4 (risale ormai al paleolitico informaticamente parlando), che ormai richiedeva una patch del registro di di Windows per poter funzionare.
La nuova release di Samba 4 ha infatti apportato moltissime modifiche:
Samba 4 veste alla grande il ruolo di un Domain Controller Active Directory. È quindi possibile utilizzare i tool di gestione presenti nei server Windows 2000/2003, gestire le group policies per i client Windows, aggiungere indifferentemente ulteriori server Windows e/o Linux all’infrastruttura di rete
non è più necessario utilizzare come backend un database LDAP, poiché Samba 4 integra un proprio database LDAP modificato per avere compatibilità verso i database LDAP di Microsoft Active Directory
è stato ingrato in Samba un servizio di Caching DNS che permette di non sapere niente di Bind
la condivisione delle risorse avviene direttamente modificando le proprietà di condivisione della risorsa
la gestione del sistema avviene con la logica dell’AD (Active Directory) ed è completamente integrata
Samba 4 supporta anche la configurazione cluster, ed il nuovo protocollo CIFS SMB2 introdotto con windows 7
E possibile la piena creazione di OU (Unità Amministrative) e l’impostazione di GPO (Group Policies Objects)
Lo stesso server Samba4 verrà poi utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.
E’ possibile connettersi ad un dominio solo con le vesioni Professional ed Ultimate di Windows 2000, XP, 7, 8, 8.1 e 10, non sono supportate in alcun modo le versioni Home di Windows 2000, XP, 7, 8, 8.1 e 10.
Attenzione agli errori di battitura, in questa configurazione anche solo un “.” messo nel posto sbagliato oppure omesso può rendere impossibile il raggiungimento del risultato sperato.
Ho deciso di scrivere questa guida perché ho trovato indicazioni su internet un poco frastagliate o che si riferivano a vecchie versioni di Samba e come altri progetti OpenSource l’eccesso di documentazione alla fine provoca confusione perchè ognuno di noi ha la sua esperienza personale.
Sebbene il Domain Controller sembri il la macchian più indicata per fungere anche da file server si suggerisce spesso di usare un file server distinto per permettere gli aggiornamenti di uno piuttosto che dell’altro senza per questo compromettere il funzionamento del domnio. Si suggerisce inoltre alle organizzazioni medie e grandi di usare più di un DC. la documentazione ufficiale si Samba consiglia di usare server diversi per ogni ruolo in modo tale da separare i compiti e mantenere alti livelli di affidabilità. In più usare a un file server distinto evita idiosincrasie nella configurazione di winbind per maggior informazioni vi consiglio di leggere questi articoli:
avere una distribuzione di linux correttamente funzionante con lo stack di networking precedente abilitato, io ho usato centos 7, ma ritengo che questi passaggi elencati possano essere facilmente trasportati su altre distribuzioni.
essere certi che il vostro futuro DC usi un indirizzo ip statico. Il cambio dell’indirizzo IP assegnato al vostro DC potrebbe provocare problemi qualora il server DHCP assegnasse un ip diverso. Su Centos 7 è stato introdotto uno strumento da linea di comando chiamato nmtui, poiche l’installazione di dafault presuppone appunt odhcp attivo e interfaccia di rete disabilitata.
Leggere attentamente Active Directory Naming FAQ per informazioni prima di procedere, errori più comuni circa la scelta dei DNS, dei nomi NetBIOS per la vostra foresta Active Directory. Al momento l’implementazione AD di Sambanon supporta il cambiamento del nome, quindi meglio prestare attenzioen prima!
Controllate il vostro file /etc/hosts affinche ci sia una corretta corrispondenza tra il nome ed il suo indirizzo IP:
Assicuratevi che il l’hostname sia risolto con l’indirizzo IP reale della LAN e non su 127.0.0.1!
Rimuovere ogni eventuale precdente installazione di Samba, se state aggiornado da un dominio NT4 meglio conservare il vostro file smb.conf ed eventualmente tutti i files presenti nella cartella /etc/samba come i database utenti.
Verificare di avere tutti i prerequisiti per una corretta installazione Samba, in particolare specifiche sul file System e librerie installate tutti i dettagli qui
personalmente ho eseguito questa linea di comando, per avere tutte le librerie necessarie per la compilazione e qualche utility di mio comodo
installare i pacchetti forniti dalla vostra distribuzione o comunque trovarli in giro. Questo purtroppo non era possbile con la distribuzione Centos che preferisco utilizzare per le mie installazioni ed ho scoperto anche con altre distribuzioni basate su Red Hat operating systems (RHEL, CentOS, Fedora, etc.), poiche si basano sulle librerie kerberos del MIT, mentre samba è basato sulle librerie Heimdal Kerberos.
Utilizzare i pacchetti forniti da SerNet(https://shop.samba.plus/samba) , un azienda che è in qualche modo legata agli sviluppatori di Samba,che da qualche tempo hanno giustamente deciso di farsi pagare per il loro prezioso lavoro di sviluppo e supporto. Le versioni precedenti alla 4.3 sono ancora disponibili e si chiamano “enterprise samba” tutti i i dettagli qui https://portal.enterprisesamba.com/
utilizzare i sorgenti e compilare Samba come ai vecchi tempi, era un sacco di tempo che non lo facevo.
Compilazione del pacchetto:
Parte dei pacchetti necessari per la corretta compilazione di Samba erano nella lista che ho scritto prima. con l’aggiunta di alcuni pacchetti che utilizzo abitualmente quali mc e vim, il primo è un file manager vecchio stampo che alcuni amministratori di sistema ricorderanno con il primo file manager utilizzato, integra anche un ottimo editor, ma purtroppo utilizzando putty per accedere al mio server non supporta il copia e incolla, per questo si rende necessario l’uso di vim, versione intelligente di vi, che supporta il copia ed incolla su putty
Passiamo quindi al download del pacchetto da qui https://www.samba.org/samba/download/
oppure più semplicemente:
(il numero dipende dall versione di samba, attualmente disponible 4.3.4)
wget https://download.samba.org/pub/samba/stable/samba-4.3.5.tar.gz
tar xvfz samba-4.3.5.tar.gz
cd samba-4.3.5
./configure --bindir=/sbin --sbindir=/sbin/ --sysconfdir=/etc/samba --mandir=/usr/share/man/ \ --with-acl-support --with-ads --enable-cups --enable-glusterfs --with-winbind --with-ldap --with-regedit \ --enable-selftest --localstatedir=/var --with-piddir=/var/run/ --with-pammodulesdir=/lib/security --without-systemd -j 2 make -j 4 make test (opzionale e dispendioso) make install
nuova versione (mantiene tutto in /usr/local/samba ad eccezione delle configurazione)
./configure --sysconfdir=/etc/samba --mandir=/usr/share/man/ \
--with-acl-support --with-ads --enable-cups --enable-glusterfs --with-winbind --with-ldap --with-regedit \
--enable-selftest -j 2make -j 4
make test (opzionale e dispendioso)
make install
abbiamo quindi terminato l’installazione di samba sul nostro server ed iniziamo ora la configurazione scegliando la prima riga per il comando configure tutti binari finirianno el path. scegliendo la seconda riga per il comando “configure” sara’ necessario modificare il path con questo semplice script>
e possiamo continuare la configurazione del nostro server con alcune modifiche al nostro /etc/samba/smb.conf nella sezione global
# esplicito in modo chiaro di cosa ho bisogno ed abilito i servizi
server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate, smb
server services = -s3fs +dns
dcerpc endpoint servers = +winreg +srvsvc
interfaces = nu.me.ro.ip
allow dns updates = secure
# dns recursive queries = yes
# faccio in modo che gli utanti del dominio non possano effettuare il login
template shell = /usr/sbin/nologin
# imposto il log leve ed il nome file desiderato
log file = /var/log/samba/EXAMPLE.log
syslog = 0
log level = 3 passdb:0 auth:0 winbind:0 vfs:0
vfs objects = full_audit
# imposto la dir dove verranno create le home delgli utanti per conformita scenglo home
template homedir = /home/%ACCOUNTNAME%
e da aggiungere anche
dns forwarder = x.x.x.x
qualora non presente
quindi
mkdir /var/log/samba
samba restart
verifichamo che il file
/etc/resolv.conf
sia circa così:
search example.local
nameserver nu.me.ro.ip
quindi facciamo qualche verifica con nslookup
ad alcune verifiche sul dns di samba nello specifico
# host -t SRV _ldap._tcp.example.local. (attenzione al punto finale ed alla risposta successiva)
_ldap._tcp.example.local has SRV record 0 100 389 addc1.example.local.
# host -t SRV _kerberos._tcp.example.local. (attenzione al punto finale ed alla risposta successiva)
_kerberos._tcp.example.local has SRV record 0 100 88 addc1.example.local.
# host -t A server01.dominio.local. (attenzione al punto finale ed alla risposta successiva)
server01.dominio.local has address nu.me.ro.ip
quindi utilizziamo la nuova configurazione di kerberos appena generata da samba-tool
Applichiamo ora alcuni policies di SELinux per permettere il passaggio di Samba come domain controller.
setsebool -P samba_domain_controller on setsebool -P samba_enable_home_dirs on
Cambiamo quindi il security contest delle cartelle che abbiamo condivi tramite Samba nel file smb.conf
chcon -t samba_share_t /samba/netlogon
chcon -t samba_share_t /samba/profiles
nuova versione
chcon -t samba_share_t /usr/local/samba/var/locks/sysvol/adcomlocal.local/scripts
chcon -t samba_share_t /home/samba/profiles
Meglio riavviare il server per vedere che le regole rimangano tutte applicate.
Scorciatoia:
Se non volete avere problemi di alcun tipo con Firewall e SELinux, basta semplicemente disattivarli tramite systemclt e riavviare il server.
Come farsi volere bene dai propri utenti sbadati:
Qui invece alcuni comandi necessari per rimuovere alcuno controlli di sicurezza sulle password che tanti utenti odiano, ognuno di questi disabilita alcuni controlli che sono normalmente ablitati e che sarebbe megmlio non disabilitare, ma si sa che gli utenti non piace.
samba-tool domain passwordsettings set --complexity=off
samba-tool domain passwordsettings set --history-length=0
samba-tool domain passwordsettings set --min-pwd-age=0
samba-tool domain passwordsettings set --max-pwd-age=0
# samba-tool dns add server zone name A|AAAA|PTR|CNAME|NS|MX|SRV|TXT data
Cancellare un record
# samba-tool dns delete server zone name A|AAAA|PTR|CNAME|NS|MX|SRV|TXT data
Interrogare un record
# samba-tool dns query server zone name A|AAAA|PTR|CNAME|NS|MX|SRV|TXT|ALL [options] data
Chiedere informazioni sul server
# samba-tool dns serverinfo server
Aggiornare un record
# samba-tool dns update server zone name A|AAAA|PTR|CNAME|NS|MX|SRV|TXT olddata newdata
Creare una zona
# samba-tool dns zonecreate server zone
Eliminare una zona
# samba-tool dns zonedelete server zone
Informazioni su una zona
# samba-tool dns zoneinfo server zone
Elencare le zone
# samba-tool dns zonelist server
Gestione utenti
Aggiungere un utente
# samba-tool user create USERNAME
Cancellare un utente
# samba-tool user delete username
Disabilitare un utente
# samba-tool user disable username
Abilitare un utente
# samba-tool user enable username
Elencare gli utenti
# samba-tool user list
Modificare la password di un utente
# samba-tool user setpassword username
Impostare la scadenza di un utente
# samba-tool user setexpiry username
Gestione Gruppi
Aggiungere un gruppo
# samba-tool group add groupname
Aggiungere utenti a un gruppo
# samba-tool group addmembers groupname members
Cancellare un gruppo
# samba-tool group delete groupname
Elencare i gruppi
# samba-tool group list
Elencare i membri di un gruppo
# samba-tool group listmembers groupname
Cancellare utenti da un gruppo
# samba-tool group removemembers groupname members
Gestione Password
Abbassare la complessità delle password
# samba-tool domain passwordsettings set –complexity=off
Modificare la lunghezza minima consentita per le password
# samba-tool domain passwordsettings set –min-pwd-length=1
Configurazione delle stampanti:
installiamo ancora qualche pacchetto
yum install cups foomatic-db hplip-common
poi ho editato /etc/cups/cupsd.conf aggiungendo all inizio:
DefaultEncryption Never
per semplificare le cose un po più avanti ho aggiunto una riga listen per permettere la configurazione tramite rete
Listen nu.me.ro.ip:631
ed infine un paio di righe aggiuntive nella sezione “/” e “admin” come da foto per permettere una accesso alla pagina web a tutta la rete interna e solo un host per la pagina di ammnistrazione.
quindi :
systemctl cups restart
e
systemctl cups enable
quindi accesso via web alla pagina si configurazione
https://nu.me.ro.ip:631/admin
e aggiungo le stampanti presenti in rete tramite interfaccia web.
dopodiche ritorno ad editare
il mio smb.conf ed aggiungo nella sezxione global:
smbcontrol all reload-config
per ricaricare la configurazione
Avvio Automatico
Simpaticamente Samba non prevede uno script System V compatibile, o almeno io no lo ho trovato, comuqneu ho trovato in rete questo script da screivere facendo:
che deve un fiel che qualcuno aveva nel cassetto perche fa riferiment al vecchio stack irda, ma viene citato questo script in diversi posti nella rete, quindi tutti fanno capo ad uno script a quanto sembra.
e quindi attivare questo script per avvio automatico:
Per impostazione predefinita gli utanti di actrive directory non possono fare il login locale sul server Lnux con al di fuori dell’ambiente Samba AD DC.
Se hai piacere di avere una lista sincronizzata deli utenti per fare il login anche sul server Linux con il tuo nome account utente Active Directory hai bisogno di fare le seguenti modifiche al tuo ambiente Linux per modificare il comportamento di Samba4 AD DC.
Apri il file principale di configurazione di Samba smb.conf
$ vim nano /usr/local/samba/etc/smb.conf
accertati che ci siano ed eventualmente aggiungi le due righe qui sotto:
winbind enum users = yes
winbind enum groups = yes
Gestisci Consenso Cookie
Usiamo cookie per ottimizzare il nostro sito web ed i nostri servizi.
Cookie funzionali
Sempre attivo
L'archiviazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente, o al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
L'archiviazione tecnica o l'accesso sono necessari per lo scopo legittimo di memorizzare le preferenze che non sono richieste dall'abbonato o dall'utente.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici.L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici anonimi. Senza un mandato di comparizione, una conformità volontaria da parte del vostro Fornitore di Servizi Internet, o ulteriori registrazioni da parte di terzi, le informazioni memorizzate o recuperate per questo scopo da sole non possono di solito essere utilizzate per l'identificazione.
Marketing
L'archiviazione tecnica o l'accesso sono necessari per creare profili di utenti per inviare pubblicità, o per tracciare l'utente su un sito web o su diversi siti web per scopi di marketing simili.