Mappare un’unità di rete utilizzando un GPO o uno script in Active Directory

Quando si configura un ambiente Active Directory, una delle esigenze più comuni è quella di facilitare l’accesso degli utenti alle risorse condivise. Anziché configurare manualmente ogni workstation, è possibile automatizzare la mappatura delle unità di rete al momento dell’accesso.

Questa automazione consente di standardizzare le postazioni di lavoro, ridurre gli errori di configurazione e semplificare la gestione dell’accesso ai file.

In questo tutorial esamineremo due metodi per mappare un’unità di rete:

• utilizzando la strategia di gruppo (GPO), che è il metodo raccomandato
• utilizzando uno script eseguito al momento dell’accesso.

Vedremo inoltre come limitare l’accesso a un’unità di rete in base ai gruppi di utenti, al fine di adattare dinamicamente le risorse disponibili.

Prerequisiti:

• Trovarsi in un ambiente Active Directory.
• Avere un cartella condivisa accessibile agli utenti a cui verrà mappato.

Perché automatizzare la mappatura delle unità di rete?

In un ambiente professionale, l’automazione della mappatura delle unità di rete garantisce uniformità tra le postazioni di lavoro degli utenti e semplifica notevolmente l’amministrazione. Gli utenti trovano automaticamente le proprie unità senza necessità di configurazione manuale, riducendo le richieste di assistenza.

Questo approccio consente inoltre di adattare le unità di rete in base ai servizi o ai gruppi di sicurezza, il che risulta particolarmente utile in ambienti strutturati (risorse umane, contabilità, IT, ecc.).

Mappatura delle unità di rete tramite GPO – Criteri di gruppo

L’utilizzo degli oggetti Criteri di gruppo (GPO) è attualmente il metodo più consigliato per mappare le unità di rete in un ambiente Active Directory. Consente una gestione centralizzata, l’applicazione automatica delle impostazioni e una grande flessibilità grazie alle opzioni di destinazione.

A differenza degli script, questo metodo non dipende dall’esecuzione di codice e si integra direttamente nei meccanismi nativi di Windows.

1. Aprire l’Editor Criteri di gruppo su un controller di dominio.

2. Per creare una nuova strategia, fai clic con il pulsante destro del mouse sul nome del dominio 1 o su un’unità organizzativa e seleziona Crea un oggetto GPO in questo dominio, quindi collegalo qui 2.

3. Assegnare un nome con la strategia e fare clic su OK 1.

4. Fare clic con il pulsante destro del mouse sulla strategia 1 e quindi su Modifica 2 per aprire l’editor.

5. Vai a Configurazione utente / Preferenze / Impostazioni di Windows e fai doppio clic su Mappature unità 1.

6. Fare clic con il pulsante destro del mouse su Nuovo 1 / Unità mappata 2.

7. Compila il modulo:

• 1 Inserire il percorso UNC della condivisione di rete (ad esempio: \\server\share). Questo percorso deve essere accessibile dagli utenti e le autorizzazioni devono essere configurate correttamente sul lato server.
• 2 Indica la lettera utilizzata
• 3 Applicare
• 4 OK
• A e B per etichettare l’unità di rete

8. L’unità 1 deve essere visibile in Mappature unità.

9. Riepilogo GPO: per impostazione predefinita, l’unità è mappata per tutti gli utenti.

Limita la mappatura delle unità di rete a un gruppo utilizzando il targeting a livello di elemento.

La definizione del target a livello di elemento consente di controllare quali utenti visualizzeranno l’unità di rete, ma non sostituisce la gestione delle autorizzazioni.

È fondamentale configurare correttamente le autorizzazioni NTFS e le autorizzazioni di condivisione sulla cartella in questione. L’applicazione dei Criteri di gruppo influisce solo sulla visualizzazione e sulla mappatura dell’unità, non sulla sicurezza effettiva dei dati.

Per una gestione chiara e scalabile, si consiglia di utilizzare i gruppi di sicurezza anziché assegnare direttamente i privilegi agli utenti.

1. Modifica il tuo lettore facendo clic con il pulsante destro del mouse su di esso 1 e selezionando Proprietà.

2. Vai alla scheda Generale 1, seleziona “Targeting a livello di elemento” 2 e fai clic su Targeting 3.

3. Fare clic su Nuovo elemento 1 e selezionare Gruppo di sicurezza 2.

4. Aggiungi il tuo gruppo 1 e fai clic su OK 2.

5. Ecco fatto, l’unità P verrà ora mappata solo agli utenti del gruppo Grp_Partage_RW. Se torni alla panoramica delle impostazioni dei criteri, puoi vedere gli elementi di destinazione 1.

Script PowerShell per mappare un’unità di rete

Lo script presentato in questo tutorial è scritto in VBS.

Nelle future versioni di Windows 11, il linguaggio VBS diventerà una funzionalità opzionale, poiché è ormai obsoleto.

Nel seguente articolo troverete le seguenti informazioni:Script di accesso in PowerShell, un esempio di script scritto in PowerShell.

Fonte :Risorse per funzionalità obsolete

1. Crea un nuovo file PowerShell .ps1

2. Modifica il file e aggiungi i codici seguenti:

$Drive = "P:"
$Path  = "\\LAB-AD1\partage"

# Vérifie si le lecteur P: est déjà utilisé
if (!(Get-PSDrive -Name $Drive.Replace(":", "") -ErrorAction SilentlyContinue)) {
    New-PSDrive -Name $Drive.Replace(":", "") -PSProvider FileSystem -Root $Path -Persist
} else {
    Write-Host "Le lecteur $Drive est déjà connecté."
}

3. Aggiungi lo script alaccedere tramite criteri di gruppo per eseguire la mappatura delle unità di rete.

Limitare la mappatura del lettore a un solo gruppo per script.

Come per le GPO, ora modificheremo lo script per limitare la mappatura delle unità di rete al gruppo Grp_partage_RW.

1. Modifica il file:

# 1. Gestion des erreurs (On Error Resume Next)
$ErrorActionPreference = "SilentlyContinue"

# 2. Définition des variables
$Drive     = "P"
$Path      = "\\LAB-AD1\partage"
$GroupName = "Grp_Partage_RW"

# 3. Récupération des jetons de groupe de l'utilisateur (Méthode rapide sans module AD)
$Identity  = [Security.Principal.WindowsIdentity]::GetCurrent()
$Principal = New-Object Security.Principal.WindowsPrincipal($Identity)

# 4. Vérification du groupe et mappage
if ($Principal.IsInRole($GroupName)) {
    
    # On vérifie si le lecteur P: existe déjà pour éviter l'erreur de collision
    if (!(Get-PSDrive -Name $Drive)) {
        
        # New-PSDrive avec -Persist pour l'affichage dans l'Explorateur Windows
        New-PSDrive -Name $Drive -PSProvider FileSystem -Root $Path -Persist
        
    }
}

Come puoi vedere, abbiamo aggiunto due funzioni alla fine del codice che ci permettono di verificare l’appartenenza al gruppo dell’utente connesso. La mappatura del lettore ora è condizionale (if).

Risoluzione dei problemi: problemi comuni di mappatura delle unità di rete

Sebbene la mappatura delle unità di rete sia relativamente semplice da configurare, spesso non funziona come previsto. Ecco i punti principali da verificare in caso di problemi.

Se l’unità di rete non viene visualizzata, la prima cosa da verificare è l’applicazione dei Criteri di gruppo. È possibile che i Criteri di gruppo non siano collegati correttamente all’unità organizzativa o che l’utente non ne sia interessato. Per verificarlo, è possibile utilizzare il comando gpresult /r o rsop.msc per vedere quali criteri sono effettivamente applicati al computer.

Un altro punto cruciale riguarda i diritti di accesso. Anche se l’unità è mappata correttamente, potrebbe risultare inaccessibile se le autorizzazioni NTFS o di condivisione non sono configurate correttamente. È quindi importante verificare che l’utente o il suo gruppo dispongano delle autorizzazioni necessarie sulla cartella condivisa.

Anche il percorso di rete è una frequente fonte di errore. Un errore nel percorso UNC (ad esempio, \\server\share) impedirà la mappatura dell’unità. Si consiglia di testare questo percorso direttamente da Esplora risorse di Windows per verificarne l’accessibilità.

Nel caso di targeting di gruppo, è essenziale assicurarsi che l’utente sia membro del gruppo di sicurezza utilizzato nella GPO. Occorre inoltre considerare i ritardi di replica in Active Directory, poiché questi possono ritardare l’implementazione delle modifiche.

Il Visualizzatore eventi di Windows è uno strumento molto utile per diagnosticare i problemi di mappatura. Controllando i registri in Registri applicazioni e servizi > Microsoft > Windows > Criteri di gruppo > OperativoÈ possibile identificare con precisione gli errori relativi all’applicazione dei Criteri di gruppo (GPO). Questi eventi aiutano a capire perché un’unità di rete non è stata mappata, in particolare in caso di problemi di destinazione, autorizzazioni o configurazione.

Se si utilizza uno script di accesso, tenere presente che verrà eseguito solo al momento del login dell’utente. A differenza degli oggetti Criteri di gruppo (GPO), il comando gpupdate non può rieseguire uno script già eseguito. Pertanto, l’utente deve disconnettersi e quindi accedere nuovamente per applicare le modifiche.

Infine, nelle versioni più recenti di Windows, alcuni problemi potrebbero essere correlati a restrizioni di sicurezza o all’evoluzione delle tecnologie utilizzate. Poiché il linguaggio VBS è in fase di dismissione, si consiglia di privilegiare soluzioni basate su Criteri di gruppo (GPO) o PowerShell per garantire una migliore compatibilità a lungo termine.

Per un’analisi più approfondita, è possibile abilitare la registrazione avanzata tramite Criteri di gruppo o utilizzare strumenti come gpresult /h per generare un report HTML dettagliato. Ciò fornisce una visione completa delle impostazioni applicate e facilita la diagnosi in ambienti complessi.

Conclusione

La mappatura delle unità di rete è una configurazione essenziale in un ambiente Active Directory. Sebbene esistano diversi metodi, l’utilizzo dei Criteri di gruppo rimane oggi la soluzione più semplice, affidabile e facile da gestire.

Gli script di accesso possono ancora essere utilizzati in determinati contesti specifici, ma tendono a essere sostituiti da soluzioni più moderne, in particolare quelle basate su PowerShell o sulle preferenze di Criteri di gruppo.

Per un’infrastruttura pulita e scalabile, si consiglia di privilegiare le GPO con targeting basato sui gruppi di sicurezza.

Domande frequenti