Set10201410 Settembre 201410 Settembre 20141Commentidi Ermanno Goletto

Windows 8.1 utilizzo di account locali

Pubblicato in IT, Security, Tips

Windows 8.1 (come già il suo predecessore Windows 8) propone per default l’autenticazione mediante Microsoft Account in modo che i servizi a cui è iscritto l’utente (Windows Sore, mail Outlook.com, OneDrive etc…) siano accessibili in modalità Single sign-on.

Questa è sicuramente la modalità più indicata per l’utente finale, ma aziendalmente dove vi è un’Active Directory normalmente non vengono utilizzati i Microsoft Account, ma gli utenti di dominio e durante l’installazione normalmente si desidera creare un account amministrativo locale che verrà utilizzato esclusivamente per manutenzione e configurazione.

Il processo si installazione di Windows 8.1 si differenza a seconda che il computer risulti connesso a Internet o meno.

Caso 1: computer non connesso a Internet

In questo scenario il wizard d’installazione segnala la mancata connessione a Internet e dal momento che non è possibile autenticarsi mediante un Microsoft Account propone la creazione di una account locale.

image

Caso 2: computer connesso a Internet

In questo scenario il wizard dopo aver controllato l’esistenza di una connessione a Internet (tentando la connessione su login.live.com e auth.gfx.ms tramite porta TCP 443) propone l’autenticazione mediate Microsoft Account.

image

Per creare un account locale occorre selezionare l’opzione Crea un nuovo account, che visualizzerà il form per la creazione di un nuovo Account Microsoft.

image

Il form fornisce però anche l’opzione Accedi senza un account Microsoft che consente la creazione di account locale.

image

L’account locale che viene creato in questa fase ha giustamente privilegi amministrativi, e quindi come best pratices di sicurezza conviene creare un account che non verrà utilizzato per connettersi normalmente al computer ma solo, come detto precedentemente per configurare e manutenere il computer.

L’account con cui si opererà sul computer sarà poi un account di dominio senza privilegi di amministrazione locale (o se si è in piccolissime infrastrutture aziendali una secondo account locale con privilegi di solo utente).

Nel caso in cui ci si connetta mediante un account di dominio, ma si desideri connettere a questo un Microsoft Account è possibile farlo successivamente, a rigurado si veda Connect your Microsoft account to your domain account.

Per gestire l’utilizzo dei Microsoft Account in un’ambiente Active Directory a partire da Windows Server 2012 e Windows 8 sono state rese disponibili una serie di Group Policies:

  • Accounts: Block Microsoft accounts (per impedire creazione o autenticazione di Microsoft Account)
  • Allow Microsoft accounts to be optional (consente alle Windows Store apps che supportano tale impostazione, come ad esempio Mail, di autenticarsi tramite un account enterprise anzichè un account Microsoft)
  • Show first sign-in animation (consente la gestione dell’abilitazione/disabilitazione del wizard di sign-in alla prima autenticazione per utilizzare un Microsoft Account)
  • Set what information is shared in Search (consente quali informazioni relative al Microsoft Account condividere con Bing durante la ricerca)

Per informazioni sulle Gropup Policies rese disponibili nelle varie versioni del sistema operativo si veda Group Policy Settings Reference for Windows and Windows Server.