{"id":384442,"date":"2024-11-19T11:48:15","date_gmt":"2024-11-19T11:48:15","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=384442"},"modified":"2025-06-20T14:09:12","modified_gmt":"2025-06-20T14:09:12","slug":"come-ripulire-active-directory","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/it\/blog\/come-ripulire-active-directory\/","title":{"rendered":"Come ripulire Active Directory: Best practice e suggerimenti"},"content":{"rendered":"<p><a href=\"https:\/\/www.ninjaone.com\/it-hub\/gestione-degli-endpoint\/what-is-active-directory\/\">Active Directory<\/a> (AD) rappresenta uno dei prodotti che tendono a diventare troppo ingombranti. Pi\u00f9 dati avrai a disposizione, pi\u00f9 difficile sar\u00e0 fare qualsiasi cosa, dalla gestione degli utenti AD all&#8217;<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/il-backup-di-active-directory\/\">impostazione dei backup AD<\/a>. \u00c8 un prodotto in cui molte persone apportano modifiche ogni giorno e che alla fine si trasforma in un enorme ammasso di materiale che in qualche modo funziona ancora. Anche il reparto IT con le migliori intenzioni si ritrova spesso un ambiente Active Directory con molti account utente non pi\u00f9 necessari, GPO collegati a UO di cui non si conosceva nemmeno l&#8217;esistenza e account di computer che rappresentano computer scomparsi da tempo. Questa situazione sembra insinuarsi nelle persone. Un giorno, qualcuno si siede davanti ad <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/come-installare-active-directory-users-and-computers\/\">Active Directory Users and Computers (ADUC)<\/a> e ha un momento in cui pensa: &#8220;Wow! Questo deve essere ripulito&#8221;.<\/p>\n<p>Se s\u00ec, sei nel posto giusto. Questo articolo illustra <b>come ripulire Active Directory<\/b> utilizzando le best practice e altri suggerimenti.<\/p>\n<div class=\"in-context-cta\"><p>Smetti di reagire alle situazioni e prendi il controllo. Scopri come passare a una strategia di gestione IT proattiva con la nostra guida passo per passo. <a href=\"https:\/\/www.ninjaone.com\/proactive-it-management\/\">Inizia subito<\/a>.<\/p>\n<\/div>\n<h2>Segni che \u00e8 necessario ripulire Active Directory<\/h2>\n<p>Quando ti rende conto che l&#8217;AD ha bisogno di essere ripulito, \u00e8 probabile che si tratti di un compito scoraggiante e travolgente. Potresti iniziare un progetto per &#8220;ripulire le cose&#8221;, ma presto scoprirai che cliccare con il pulsante destro del mouse e cancellare non \u00e8 sufficiente.<\/p>\n<p>Ci sono molti modi per rendere questo progetto un successo, con il primo compito di definire cosa significa esattamente &#8220;ripulire&#8221;. Per questo articolo, considereremo &#8220;ripulire&#8221; AD come un miglioramento di questi 5 aspetti essenziali.<\/p>\n<ul>\n<li aria-level=\"1\"><b>Prestazioni. <\/b>Una AD ingombrante pu\u00f2 portare a un traffico di repliche non necessario. Uno dei segni pi\u00f9 evidenti di una AD mal funzionante \u00e8 il <i>tempo<\/i>: AD impiega pi\u00f9 tempo del solito per autenticare gli utenti, cercare oggetti AD o scaricare oggetti Criteri di gruppo?<\/li>\n<li aria-level=\"1\"><b>Sicurezza. <\/b>\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-un-threat-actor\/\">Gli attori delle minacce<\/a> cercano sempre di sfruttare le organizzazioni. Un modo per farlo \u00e8 tentare di accedere alle reti impossessandosi degli account utente di Active Directory.<\/li>\n<li aria-level=\"1\"><b>Conformit\u00e0.<\/b> Una regolare pulizia di Active Directory aiuta a rispettare i mandati normativi, dal <a href=\"https:\/\/www.ninjaone.com\/blog\/what-is-gdpr-compliance\/\">GDPR<\/a> al <a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-il-pa-dss\/\">PCI-DSS<\/a>.<\/li>\n<li aria-level=\"1\"><b>Operazioni IT. <\/b>Una Active Directory ingombrante render\u00e0 molto pi\u00f9 difficile la gestione da parte degli amministratori IT. Questo pu\u00f2 portare a un&#8217;inefficienza generale, in quanto il team IT deve dedicare pi\u00f9 tempo all&#8217;utilizzo di AD piuttosto che ad altri progetti strategici.<\/li>\n<li aria-level=\"1\"><b>Agilit\u00e0 aziendale. <\/b>Active Directory \u00e8 fondamentale per molte attivit\u00e0 e ripulire AD pu\u00f2 aiutarti a rimanere agili e a mantenere il tuo vantaggio competitivo.<\/li>\n<\/ul>\n<h3>Una Active Directory mal gestita<\/h3>\n<ul>\n<li aria-level=\"1\">Ha molti <a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cosa-sono-i-dirty-data\/\">dirty data<\/a> (dagli account utente obsoleti a quelli duplicati).<\/li>\n<li aria-level=\"1\">Ha gruppi di distribuzione vuoti o duplicati.<\/li>\n<li aria-level=\"1\">Fornisce scarse informazioni sulle autorizzazioni di accesso ai gruppi di sicurezza.<\/li>\n<li aria-level=\"1\">Mostra la mancanza di processi consolidati per il provisioning e il de-provisioning.<\/li>\n<li aria-level=\"1\">Impossibile determinare la propriet\u00e0 di oggetti e gruppi.<\/li>\n<li aria-level=\"1\">Mostra gli attributi degli oggetti imprecisi o incompleti.<\/li>\n<\/ul>\n<h2>3 attributi degli account utente non utilizzati<\/h2>\n<p>Concentriamoci ora sugli <a href=\"https:\/\/www.ninjaone.com\/it\/script-hub\/account-locali-inutilizzati-su-windows-powershell\/\">account utente non utilizzati<\/a>. In particolare, discutiamo i tre attributi che possono rendere un account utente &#8220;eliminabile&#8221;. Tali attributi sono: a) account disabilitati, b) account non utilizzati da X giorni e c) account con password scadute.<\/p>\n<p>Uno dei modi pi\u00f9 semplici per trovare questi account potenzialmente inutilizzati \u00e8 usare PowerShell. <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/modulo-powershell-active-directory\/\">ActiveDirectory PowerShell \u00e8 un modulo<\/a> che include un cmdlet estremamente utile, chiamato Search-AdAccount, che consente di creare query e di restituire facilmente ci\u00f2 di cui abbiamo bisogno. Prima di poter utilizzare questo cmdlet, tuttavia, \u00e8 necessario scaricare il pacchetto Remote Server Administration Tools (RSAT) da Microsoft. Una volta <a href=\"https:\/\/www.ninjaone.com\/blog\/how-to-install-rsat\/\">installato RSAT<\/a>, dovresti avere il modulo ActiveDirectory e sarai pronto a iniziare! Inoltre, affinch\u00e9 il codice riportato di seguito funzioni, si presuppone che il PC Windows sia collegato allo stesso dominio degli utenti che desideri trovare.<\/p>\n<p>Detto questo, iniziamo!<\/p>\n<h2>Trova gli account disabilitati in Active Directory<\/h2>\n<p>Il primo compito \u00e8 trovare gli account disabilitati. Per trovare gli account disabilitati, utilizzeremo il cmdlet Search-ADAccount. Questo cmdlet ha un unico parametro chiamato Disabled che rende l&#8217;operazione un gioco da ragazzi. \u00c8 sufficiente eseguire Search-AdAccount -AccountDisabled e voil\u00e0, tutti i tuoi account disabilitati verranno visualizzati. Tieni in considerazione che ho usato il parametro UsersOnly perch\u00e9 questo cmdlet pu\u00f2 trovare anche account di computer disabilitati.<\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"powershell\">C:&gt; Search-ADAccount -UsersOnly -AccountDisabled -Server dc\r\n\r\nAccountExpirationDate :\r\nDistinguishedName : CN=Guest, CN=Users, DC=mylab, DC=local\r\nEnabled : False\r\nLastLogonDate :\r\nLockedOut : False\r\nName : Guest\r\nObjectClass : user\r\nObjectGUID : 89cfaf2b-c6d8-4ae0-a720-e2da7d201717\r\nPasswordExpired : False\r\nPasswordNeverExpires : True\r\nSamAccountName : Guest\r\nSID : S-1-5-21-4117810001-3432493942-696130396-501\r\nUserPrincipalName :\r\n............<\/pre>\n<h2>Trova gli account utente inattivi nella directory attiva<\/h2>\n<p>Un altro sospetto abituale da ripulire sono gli account utente inattivi, un po&#8217; pi\u00f9 difficili da rintracciare. &#8220;Inattivo&#8221; \u00e8 un termine soggettivo, quindi per i nostri scopi definiremo &#8220;inattivo&#8221; qualsiasi utente che abbia un valore di LastLogonTimeStamp superiore a 30 giorni. Su Internet si trovano molti articoli sulla ricerca di utenti inattivi, ma alcuni non si rendono conto che \u00e8 molto pi\u00f9 facile che costruire complicati filtri AD LDAP. Il supporto \u00e8 nativo in Search-AdAccount.<\/p>\n<p>\u00c8 possibile utilizzare \u00a0<code class=\"EnlighterJSRAW\" data-enlighter-language=\"powershell\">Search-AdAccount -AccountInactive -UsersOnly -Timespan 30.00:00:00<\/code>\u00a0per trovare immediatamente tutti gli account utente AD che non sono stati utilizzati negli ultimi 30 giorni.<\/p>\n<p>Tuttavia, c&#8217;\u00e8 un&#8217;avvertenza. Microsoft aggiorna l&#8217;attributo LastLogonTimestamp, che \u00e8 lo stesso di LastLogonDate, solo una volta ogni 14 giorni per evitare tempeste di repliche. A causa di questa caratteristica di AD, l&#8217;uso di questo metodo (o anche di Get-AdUser o Get-AdComputer con il filtro avanzato) non sar\u00e0 preciso al 100% se si cerca di ottenere account con inattivit\u00e0 superiore a 14 giorni. Perci\u00f2, fai attenzione.<\/p>\n<p>Infine, dobbiamo trovare tutti gli utenti AD che hanno una password scaduta e non pi\u00f9 necessaria. Questo \u00e8 complicato perch\u00e9 gli account utente &#8220;attivi&#8221; potrebbero avere una password scaduta se \u00e8 scaduta da poco. Non ho solo bisogno di trovare le password scadute, ma anche di sapere da quanto tempo sono scadute. Se sono scadute da almeno 30 giorni, posso presumere che questi account utente siano effettivamente inattivi.<\/p>\n<p>Per scoprire da quanto tempo \u00e8 scaduta una password, devo prima trovare l&#8217;et\u00e0 massima della password per il criterio di password del dominio. Posso farlo con il cmdlet Get-AdDefaultDomainPasswordPolicy.<\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"generic\">$MaxPasswordAge = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days<\/pre>\n<p>Successivamente, posso trovare tutti gli account utente che hanno una password scaduta, per poi filtrare gli account di questi utenti vedendo l&#8217;ultima volta che la loro password \u00e8 stata impostata e assicurandomi che fosse prima del tempo massimo che la password pu\u00f2 avere, pi\u00f9 di 30 (l&#8217;et\u00e0 che definisco per account).<\/p>\n<p>Il codice sar\u00e0 simile a questo:<\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"generic\">Search-AdAccount -PasswordExpired -UsersOnly | Where-Object {((Get-Date) - (Get-AdUser -Filter \"samAccountName -eq $_.SamAccountName\").PasswordLastSet) -lt ($MaxPasswordAge + 30)}<\/pre>\n<p>La prossima volta che cerchi in AD i record inattivi, assicurati di dare un&#8217;occhiata a Search-AdAccount per vedere se esegue gi\u00e0 quello che stai cercando di fare. Potrebbe farti risparmiare un sacco di tempo!<\/p>\n<h2>Vantaggi del ripulire AD<\/h2>\n<p>Secondo <a href=\"https:\/\/www.techradar.com\/pro\/why-now-is-the-time-to-prioritize-active-directory-modernization\" target=\"_blank\" rel=\"noopener\">TechRadar<\/a>, Active Directory \u00e8 il servizio di directory proprietario di Windows, utilizzato dal 90% delle organizzazioni in tutto il mondo.<\/p>\n<p>La sua popolarit\u00e0 \u00e8 meritata: L&#8217;AD \u00e8 fondamentale per la nostra vita lavorativa quotidiana, in quanto consente alle aziende di definire chi pu\u00f2 fare cosa nella propria rete, gestendo al contempo varie risorse, <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/cose-un-dispositivo-endpoint-panoramica-per-professionisti\/\">dispositivi endpoint<\/a> e sistemi.<\/p>\n<p>Ripulendo l&#8217;AD, garantisci che la tua azienda mantenga l&#8217;<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-l-efficienza-operativa\/\">efficienza operativa<\/a>, incrementi l&#8217;integrit\u00e0 dei dati e pratichi una migliore <a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-la-governance-dei-dati\/\">governance dei dati<\/a>. Si tratta di un processo essenziale che tutti gli <a href=\"https:\/\/www.ninjaone.com\/it\/cos-e-un-msp\/\">MSP<\/a>, gli MSSP e le aziende IT devono includere nelle loro strategie di manutenzione per continuare a fornire servizi di alta qualit\u00e0 ai loro utenti finali.<\/p>\n\n<h2>Best practice per ripulire Active Directory<\/h2>\n<p>Oltre a ci\u00f2 che ho menzionato in precedenza<i>(come la ricerca di account disabilitati e inattivi in Active Directory e tutto il resto<\/i>), sarebbe prudente discutere altre best practice per ripulire Active Directory in modo che la tua rete IT rimanga efficiente, sicura e conforme.<\/p>\n<h3>Ripulire i criteri di gruppo obsoleti<\/h3>\n<p><a href=\"https:\/\/www.ninjaone.com\/blog\/what-is-group-policy-in-active-directory\/\">Gli oggetti dei criteri di gruppo<\/a> (GPO) non necessari possono rallentare l&#8217;AD. \u00c8 consigliabile rivedere e scollegare regolarmente questi GPO tramite <a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/gestione-degli-endpoint\/cos-e-powershell\/\">PowerShell<\/a> o la <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/console-di-gestione-dei-criteri-di-gruppo\/\">Console di gestione dei Criteri di gruppo<\/a>.<\/p>\n<h3>Ottimizzare gli script di accesso degli utenti<\/h3>\n<p>I script di accesso difettosi possono avere un impatto significativo sulle prestazioni. Per vedere l&#8217;impatto completo di questi script, prova a usare PowerShell, in particolare <i>Get-GPResultantSetOfPolicy<\/i>. Se lo consideri necessario, puoi anche <a href=\"https:\/\/www.ninjaone.com\/blog\/gpupdate-how-to-force-a-group-policy-update\/\">forzare un aggiornamento dei criteri di gruppo da remoto<\/a>.<\/p>\n<h3>Gruppi di sicurezza per l&#8217;audit<\/h3>\n<p>Come per qualsiasi cosa gestita, \u00e8 opportuno controllare regolarmente i gruppi di sicurezza utilizzando comandi PowerShell come <i>Get-ADGroupMember.<\/i> Per uno script completo sulla modifica del membership degli utenti, consulta questo <a href=\"https:\/\/www.ninjaone.com\/it\/script-hub\/aggiungere-o-rimuovere-utenti-da-active-directory-2\/\">script di NinjaOne<\/a>. Ricorda: i gruppi vuoti, inattivi o con un solo utente molto probabilmente non hanno alcuna utilit\u00e0 per l&#8217;organizzazione.<\/p>\n<h3>Gestire la replica di Active Directory<\/h3>\n<p>Assicurati di regolare con precisione gli intervalli di replica e di ottimizzare le topologie per aumentare le prestazioni di AD. Sottolineo ancora una volta che la &#8220;ripulire Active Directory&#8221; implica pi\u00f9 di eliminare gli account e sperare per il meglio. Si tratta piuttosto di un processo in pi\u00f9 fasi che richiede anche agli amministratori IT di riorganizzare gli account utente e i gruppi di Active Directory. Consiglio di utilizzare questo <a href=\"https:\/\/www.ninjaone.com\/it\/script-hub\/guida-al-report-sull-integrita-della-replica-di-ad\/\">script di NinjaOne<\/a> per visualizzare il report sull\u2019integrit\u00e0 della replica di Active Directory.<\/p>\n<h2>Gestisci gli utenti di Active Directory con NinjaOne<\/h2>\n<p>NinjaOne offre uno <a href=\"https:\/\/www.ninjaone.com\/it\/rmm\/gestione-di-active-directory\/\">strumento di gestione di Active Directory<\/a> integrato direttamente nella sua piattaforma di gestione degli endpoint. Con NinjaOne puoi disabilitare facilmente gli account, sbloccare gli utenti, reimpostare le password e molto altro ancora, tutto da un <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/software-single-pane-of-glass-guida\/\">unico pannello centralizzato<\/a>!<\/p>\n<p>Se sei pronto, richiedi un <a href=\"https:\/\/www.ninjaone.com\/it\/prezzi-per-dispositivo\/\">preventivo gratuito<\/a> o <a href=\"https:\/\/www.ninjaone.com\/it\/demo-gratuita\/\">guarda una demo<\/a>.<\/p>\n<p><em>Adam Bertram \u00e8 un MVP di Microsoft Windows Cloud e Datacenter Management ed \u00e8 autore di vari corsi di formazione, collabora regolarmente a numerose pubblicazioni cartacee e online e presenta a vari gruppi di utenti e conferenze. Puoi trovare Adam all&#8217;indirizzo <a href=\"https:\/\/adamtheautomator.com\/\" target=\"_blank\" rel=\"noopener\">adamtheautomator.com<\/a>.<\/em><\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"alignnone wp-image-13004 size-medium\" title=\"Adam Bertram \u00e8 un MVP di Microsoft Windows Cloud and Datacenter Management\" src=\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2024\/10\/jd.jpg\" alt=\"Adam Bertram foto\" width=\"300\" height=\"228\" \/><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Active Directory (AD) rappresenta uno dei prodotti che tendono a diventare troppo ingombranti. Pi\u00f9 dati avrai a disposizione, pi\u00f9 difficile sar\u00e0 fare qualsiasi cosa, dalla gestione degli utenti AD all&#8217;impostazione dei backup AD. \u00c8 un prodotto in cui molte persone apportano modifiche ogni giorno e che alla fine si trasforma in un enorme ammasso di [&hellip;]<\/p>\n","protected":false},"author":9,"featured_media":362314,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4354],"tags":[],"class_list":["post-384442","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-operazioni-it"],"acf":[],"modified_by":"AnaMaria Diaconescu","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/384442","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/comments?post=384442"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/384442\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media\/362314"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media?parent=384442"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/categories?post=384442"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/tags?post=384442"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}