Amministrazione di una rete con Active Directory Carolina Schiattarella.
-
Upload
carlota-marchi -
Category
Documents
-
view
219 -
download
1
Transcript of Amministrazione di una rete con Active Directory Carolina Schiattarella.
Amministrazione di Amministrazione di una rete con Active una rete con Active
DirectoryDirectory
Carolina Schiattarella
SommarioSommario Gli oggetti di Active DirectoryGli oggetti di Active Directory Utenti e User AccountUtenti e User Account Diritti utente e permessiDiritti utente e permessi Tipi di User Account in un dominioTipi di User Account in un dominio Organizzazione degli utenti: gruppiOrganizzazione degli utenti: gruppi Gruppi locali, globali e universaliGruppi locali, globali e universali Unità OrganizzativeUnità Organizzative Delega dell’amministrazione alle OUDelega dell’amministrazione alle OU
Gli oggetti di Gli oggetti di Active DirectoryActive Directory
Active Directory organizza la rete con Active Directory organizza la rete con uno schema logico ad oggettiuno schema logico ad oggetti
Gli amministratori di una rete possono gestire le risorse Gli amministratori di una rete possono gestire le risorse hardware/software mediante hardware/software mediante oggettioggetti..
Dobbiamo però distinguere gli oggetti:Dobbiamo però distinguere gli oggetti:di basedi base: i gruppi, gli utenti e i computer;: i gruppi, gli utenti e i computer;contenitoricontenitori: Domini e Organizational Unit (OU), : Domini e Organizational Unit (OU), che contengono al loro interno gli oggetti di base.che contengono al loro interno gli oggetti di base.
Active Active DirectoryDirectory
Gli oggetti di Gli oggetti di Active DirectoryActive Directory
Gli oggetti principali di Active Directory Gli oggetti principali di Active Directory sono…sono…
Active DirectoryActive Directory
I gruppiI gruppi
amministrati all’interno di oggetti contenitori:amministrati all’interno di oggetti contenitori:
Gli utentiGli utentiI computerI computer
OUOU
OUOU
OUOU
DominiDomini
Gli utentiGli utenti
Un Un User AccountUser Account definisce le credenziali di un utente che definisce le credenziali di un utente che lo autorizzano ad entrare (log on) nella rete.lo autorizzano ad entrare (log on) nella rete.
Le credenziali principali di uno user sono: Le credenziali principali di uno user sono:
Nome utenteNome utente
PasswordPassword (parola riservata di accesso)(parola riservata di accesso)
Nome del dominioNome del dominio (in cui l’utente dispone di uno user account).(in cui l’utente dispone di uno user account).
Ogni utente (User) di un dominio è Ogni utente (User) di un dominio è individuato in modo univoco mediante unindividuato in modo univoco mediante un
user accountuser account
Active Active DirectoryDirectory
Gli utentiGli utenti
Il Il log onlog on è il processo di ingresso in un dominio. è il processo di ingresso in un dominio.
Durante il log on:Durante il log on: 1.1. Un utente introduce le proprie credenziali (nome Un utente introduce le proprie credenziali (nome utente, password e scelta del dominio).utente, password e scelta del dominio).
Processo di log onProcesso di log on
2.2. Un domain controller del dominio richiesto verifica la Un domain controller del dominio richiesto verifica la correttezza delle credenziali in Active Directory, correttezza delle credenziali in Active Directory, autorizzando l’ingresso nel dominio soltanto se autorizzando l’ingresso nel dominio soltanto se Nome Nome UtenteUtente e e PasswordPassword sono corrette. sono corrette.
Il processo di uscita di un utente da Il processo di uscita di un utente da un dominio è quindi denominato un dominio è quindi denominato
Log offLog off..
AmministratoriAmministratori
Il processo di Il processo di log onlog on
Durante il Durante il log onlog on in un dominio in un dominio Windows …Windows …
User name:User name: cagiro cagiro
Password:Password: **********************
Domain:Domain: MAXWELLMAXWELL
Credenziali Credenziali corrette?corrette?
Domain Domain ControllerController
Active DirectoryActive Directory
SìSì Log on Log on autorizzatoautorizzato
UtenteUtente DominioDominio
NoNo
User Rights User Rights e Permissione Permission
Le Le user rightsuser rights (diritti utente) definiscono un insieme di (diritti utente) definiscono un insieme di autorizzazioni, predefinite in Active Directory, che autorizzazioni, predefinite in Active Directory, che possono essere assegnate ad un account utente in un possono essere assegnate ad un account utente in un dominio.dominio.
Ogni user account è individuato da un Ogni user account è individuato da un insieme diinsieme di User rightsUser rights ee PermissionPermission
Esempi di user rights sono:Esempi di user rights sono:Log on locallyLog on locally uno user può effettuare il log on in un uno user può effettuare il log on in un server;server;Shut down the systemShut down the system un utente può spegnere il server un utente può spegnere il server (shut down);(shut down);Change the system timeChange the system time un utente dispone un utente dispone dell’autorizzazione per la modifica dell’ora in un server.dell’autorizzazione per la modifica dell’ora in un server.
Active Active DirectoryDirectory
User Rights User Rights e Permissione Permission
Le Le permission permission (permessi) definiscono i tipi di accesso alle (permessi) definiscono i tipi di accesso alle risorse HW/SW che è possibile assegnare ad un utente. Le risorse HW/SW che è possibile assegnare ad un utente. Le permission sono diverse e dipendono dal tipo di risorsa.permission sono diverse e dipendono dal tipo di risorsa.
Ogni user account è individuato da un Ogni user account è individuato da un insieme diinsieme di User rightsUser rights e e PermissionPermission
Le Le permissionpermission (permessi) definiscono le azioni che un (permessi) definiscono le azioni che un utente può svolgere sulle risorse della rete.utente può svolgere sulle risorse della rete.
Esempi di permessi sono:Esempi di permessi sono:ReadRead permesso di lettura per le risorse file e cartelle; permesso di lettura per le risorse file e cartelle;ExecuteExecute permesso di eseguire un programma in una permesso di eseguire un programma in una cartella;cartella;PrintPrint permesso per stampare su una periferica fisica di permesso per stampare su una periferica fisica di stampa.stampa.
Tipi di User Tipi di User AccountAccount
Gli User Account di un dominio possono Gli User Account di un dominio possono essere di due tipi:essere di due tipi: Built-inBuilt-in oppureoppure User-User-
defineddefined
Gli Gli account utente predefinitiaccount utente predefiniti (built-in) principali sono: (built-in) principali sono:AdministratorAdministrator l’amministratore dispone di tutte le user l’amministratore dispone di tutte le user rights e tutte le permission sugli oggetti di Active rights e tutte le permission sugli oggetti di Active Directory;Directory;GuestGuest l’ospite dispone di user rights molto limitate e di l’ospite dispone di user rights molto limitate e di nessun permesso predefinito. nessun permesso predefinito.
Gli Gli user-defined domain accountuser-defined domain account sono creati sono creati appositamente dagli amministratori del dominio. appositamente dagli amministratori del dominio.
Per ogni account utente creato, gli amministratori si Per ogni account utente creato, gli amministratori si devono preoccupare di assegnare i diritti utente e i devono preoccupare di assegnare i diritti utente e i permessi necessari per una corretta attività permessi necessari per una corretta attività dell’utente nel dominio.dell’utente nel dominio.
AmministratoriAmministratori
Creiamo un Creiamo un accountaccount
Creiamo un nuovo User Account in Creiamo un nuovo User Account in Active DirectoryActive Directory
continua…continua…
Creiamo un Creiamo un accountaccount
Creiamo un nuovo User Account in Creiamo un nuovo User Account in Active DirectoryActive Directory
Creiamo un Creiamo un accountaccount
Dopo aver creato un nuovo user account, è Dopo aver creato un nuovo user account, è possibile modificarne le suepossibile modificarne le sue proprietàproprietà in in
qualsiasi istante…qualsiasi istante…
Creiamo un Creiamo un accountaccount
Un account in Active Directory dispone di Un account in Active Directory dispone di numerosenumerose proprietàproprietà, tra cui ricordiamo…, tra cui ricordiamo…
Limitazione ore di Limitazione ore di accessoaccesso
Limitazione di Limitazione di accesso alla rete solo accesso alla rete solo da alcuni PC clientda alcuni PC client
Creiamo un Creiamo un accountaccount
Un account in Active Directory dispone di Un account in Active Directory dispone di numerosenumerose proprietàproprietà, tra cui ricordiamo…, tra cui ricordiamo…
Definizione di un Definizione di un profilo utente profilo utente
bloccatobloccato
Definizione di un percorso Definizione di un percorso per la home folder per la home folder
dell’utentedell’utente
I gruppiI gruppi
Un Un gruppogruppo è un insieme di user account e quindi di è un insieme di user account e quindi di singoli utenti (che ogni account rappresenta).singoli utenti (che ogni account rappresenta).
Le autorizzazioni e i permessi assegnati ad un gruppo, Le autorizzazioni e i permessi assegnati ad un gruppo, sono automaticamente propagati in tutti gli user account sono automaticamente propagati in tutti gli user account inclusi nel gruppo stesso. inclusi nel gruppo stesso.
Un gruppo (Group) di un dominio Un gruppo (Group) di un dominio contiene un insieme di utenticontiene un insieme di utenti
Per gli amministratori, l’utilizzo dei gruppi è Per gli amministratori, l’utilizzo dei gruppi è essenziale, perché consente di gestire un numero essenziale, perché consente di gestire un numero
elevato di utenti con un’unica azione elevato di utenti con un’unica azione amministrativa. amministrativa.
AmministratoriAmministratori
I gruppiI gruppi
Ogni tipo di gruppo si differenzia per:Ogni tipo di gruppo si differenzia per:
la provenienza degli utenti, che può contenere;la provenienza degli utenti, che può contenere;
l’utilizzo, nell’assegnazione di autorizzazioni e l’utilizzo, nell’assegnazione di autorizzazioni e
permessi di accesso alle risorse.permessi di accesso alle risorse.
I gruppi possono essere di tipo diverso:I gruppi possono essere di tipo diverso:
Gruppo locale al dominioGruppo locale al dominio ( (DLGDLG: Domain Local Group);: Domain Local Group);
Gruppo globaleGruppo globale ( (GGGG: Global Group);: Global Group);
Gruppo universaleGruppo universale ( (UGUG: Universal Group).: Universal Group).
I gruppiI gruppi
I I Gruppi predefinitiGruppi predefiniti nello schema logico di Active Directory nello schema logico di Active Directory dispongono di…dispongono di…
I gruppi possono essere predefiniti nel I gruppi possono essere predefiniti nel dominio oppure creati dagli amministratoridominio oppure creati dagli amministratori
Gruppi Gruppi User rights e permissionUser rights e permission
Tutte: amministrano le reteTutte: amministrano le rete
Limitate: assegnate agli utenti ospitiLimitate: assegnate agli utenti ospiti
Limitate alla gestione dei domain controller, in Limitate alla gestione dei domain controller, in particolare, per la creazione di nuovi accountparticolare, per la creazione di nuovi account
Limitate alla gestione del processo di backup Limitate alla gestione del processo di backup e ripristino dei dati sul servere ripristino dei dati sul server
Limitate alla gestione dei server di stampa Limitate alla gestione dei server di stampa nella retenella rete
Tipi di Tipi di gruppigruppi
I tipi di gruppi si differenziano per laI tipi di gruppi si differenziano per la provenienza provenienza degli utentidegli utenti definiti nei diversi domini della forestadefiniti nei diversi domini della foresta
maxwell.localmaxwell.local
fisicafisicamultimedialemultimediale
uffici.localuffici.local
DLG: Gruppo DLG: Gruppo Locale al Locale al DominioDominio
Possono contenere membri Possono contenere membri provenienti da tutti i domini provenienti da tutti i domini
della forestadella foresta
UG: Gruppo UG: Gruppo UniversaleUniversale
Può contenere solo Può contenere solo membri del dominio a cui membri del dominio a cui
appartieneappartiene
GG: Gruppo GG: Gruppo GlobaleGlobale
Tipi di Tipi di gruppigruppi
I tipi di gruppi si differenziano per l’utilizzoI tipi di gruppi si differenziano per l’utilizzo nell’assegnazione di autorizzazioninell’assegnazione di autorizzazioni di accesso alle di accesso alle
risorse…risorse…
maxwell.localmaxwell.local
fisicafisicamultimedialemultimediale
uffici.localuffici.local
DLG: Gruppo DLG: Gruppo Locale al Locale al DominioDominio
Si possono assegnare autorizzazioni Si possono assegnare autorizzazioni all’uso di tutte le risorse dei domini all’uso di tutte le risorse dei domini
nella forestanella forestaUG: Gruppo UG: Gruppo UniversaleUniversale
Si possono assegnare autorizzazioni esclusivamente all’uso Si possono assegnare autorizzazioni esclusivamente all’uso delle risorse del dominio dello stesso DLGdelle risorse del dominio dello stesso DLG
GG: GG: Gruppo Gruppo GlobaleGlobale
OrganizziamoOrganizziamoi gruppii gruppi
Organizziamo in gruppi gli utenti della Organizziamo in gruppi gli utenti della nostra scuola…nostra scuola…
Dopo aver definito gli account per tutti gli utenti, Dopo aver definito gli account per tutti gli utenti, possiamo creare i GG (gruppi globali):possiamo creare i GG (gruppi globali):
GGstudentiGGstudenti,, con gli account:con gli account: di tutti i singoli studenti di tutti i singoli studenti delle singole classi (1A, 2A, 3A, 4A, 5A, ecc.)delle singole classi (1A, 2A, 3A, 4A, 5A, ecc.)
GGdocentiGGdocenti, con gli account dei docenti, con gli account dei docentiGGufficiGGuffici, con gli user account del personale della , con gli user account del personale della segreteriasegreteria
I DLG (gruppi locali del dominio) I DLG (gruppi locali del dominio) sono invece utilizzati per definire i sono invece utilizzati per definire i
permessi di accesso alle risorse.permessi di accesso alle risorse.
AmministratoriAmministratori
DefiniamoDefiniamo un nuovo un nuovo
gruppogruppo
Creiamo un gruppo in un dominio con Creiamo un gruppo in un dominio con Active Directory Active Directory
Dopo aver creato un nuovo gruppo, si Dopo aver creato un nuovo gruppo, si devono inserire i suoi membri…devono inserire i suoi membri…
DefiniamoDefiniamo un nuovo un nuovo
gruppogruppo
I computerI computer
Un Un Account ComputerAccount Computer rappresenta le credenziali di un rappresenta le credenziali di un
computer in un dominio. computer in un dominio.
Le credenziali sono inserite una sola volta, quando si Le credenziali sono inserite una sola volta, quando si
aggiunge il computer ad un dominio già esistente. aggiunge il computer ad un dominio già esistente.
Ogni computer del dominio dispone di un Ogni computer del dominio dispone di un Account ComputerAccount Computer
Active Active DirectoryDirectory
I computerI computer Un account computer può essere aggiunto:Un account computer può essere aggiunto:
Direttamente in Active Direttamente in Active Directory nel domain Directory nel domain
controller:controller:
Nel computer client:Nel computer client:
Unità Unità OrganizzativeOrganizzative
Le Le Unità OrganizzativeUnità Organizzative permettono di realizzare uno permettono di realizzare uno schema logico gerarchico della nostra rete. A tal fine, schema logico gerarchico della nostra rete. A tal fine, una OU può includere altre OU interne.una OU può includere altre OU interne.
Le unità organizzative:Le unità organizzative: Sono completamente indipendenti dallo schema fisico Sono completamente indipendenti dallo schema fisico di Active Directory, in Siti e Linkdi Active Directory, in Siti e Link Permettono di Permettono di delegare l’amministrazionedelegare l’amministrazione ai gruppi ai gruppi responsabili degli oggetti contenuti nella stessa OUresponsabili degli oggetti contenuti nella stessa OU
Le Unità Organizzative sono i contenitori Le Unità Organizzative sono i contenitori logici privilegiati degli oggetti del dominiologici privilegiati degli oggetti del dominio
Active Active DirectoryDirectory
Unità Unità OrganizzativeOrganizzative
Creiamo una nuova Unità OrganizzativaCreiamo una nuova Unità Organizzativa
In Active DirectoryIn Active DirectoryCreiamo la OU del Creiamo la OU del
laboratorio Multimedialelaboratorio Multimediale
Unità Unità OrganizzativeOrganizzative
Dopo avere creato una nuova Unità Dopo avere creato una nuova Unità Organizzativa, si deve Organizzativa, si deve popolarla popolarla inserendo inserendo
i suoi oggetti, quali…i suoi oggetti, quali…
gli account computer:gli account computer:
continua…continua…
Unità Unità OrganizzativeOrganizzative
Dopo avere creato una nuova Unità Dopo avere creato una nuova Unità Organizzativa, si deve Organizzativa, si deve popolarla popolarla inserendo i inserendo i
suoi oggetti, quali…suoi oggetti, quali…
continua…continua…
gruppi e utenti:gruppi e utenti:
Unità Unità OrganizzativeOrganizzative
Dopo avere creato una nuova Unità Dopo avere creato una nuova Unità Organizzativa, si deve Organizzativa, si deve popolarla popolarla inserendo inserendo
i suoi oggetti…i suoi oggetti…
GG dei docenti amministratori GG dei docenti amministratori del laboratoriodel laboratorio
Unità Unità OrganizzativeOrganizzative
Delega dell’amministrazione di una OUDelega dell’amministrazione di una OU
Deleghiamo l’amministrazione del Deleghiamo l’amministrazione del laboratorio Multimediale al gruppo laboratorio Multimediale al gruppo
del docentidel docenti