Amministrazione di una rete con Active Directory Carolina Schiattarella.

Amministrazione di Amministrazione di una rete con Active una rete con Active

DirectoryDirectory

Carolina Schiattarella

SommarioSommario Gli oggetti di Active DirectoryGli oggetti di Active Directory Utenti e User AccountUtenti e User Account Diritti utente e permessiDiritti utente e permessi Tipi di User Account in un dominioTipi di User Account in un dominio Organizzazione degli utenti: gruppiOrganizzazione degli utenti: gruppi Gruppi locali, globali e universaliGruppi locali, globali e universali Unità OrganizzativeUnità Organizzative Delega dell’amministrazione alle OUDelega dell’amministrazione alle OU

Gli oggetti di Gli oggetti di Active DirectoryActive Directory

Active Directory organizza la rete con Active Directory organizza la rete con uno schema logico ad oggettiuno schema logico ad oggetti

Gli amministratori di una rete possono gestire le risorse Gli amministratori di una rete possono gestire le risorse hardware/software mediante hardware/software mediante oggettioggetti..

Dobbiamo però distinguere gli oggetti:Dobbiamo però distinguere gli oggetti:di basedi base: i gruppi, gli utenti e i computer;: i gruppi, gli utenti e i computer;contenitoricontenitori: Domini e Organizational Unit (OU), : Domini e Organizational Unit (OU), che contengono al loro interno gli oggetti di base.che contengono al loro interno gli oggetti di base.

Active Active DirectoryDirectory

Gli oggetti di Gli oggetti di Active DirectoryActive Directory

Gli oggetti principali di Active Directory Gli oggetti principali di Active Directory sono…sono…

Active DirectoryActive Directory

I gruppiI gruppi

amministrati all’interno di oggetti contenitori:amministrati all’interno di oggetti contenitori:

Gli utentiGli utentiI computerI computer

OUOU

OUOU

OUOU

DominiDomini

Gli utentiGli utenti

Un Un User AccountUser Account definisce le credenziali di un utente che definisce le credenziali di un utente che lo autorizzano ad entrare (log on) nella rete.lo autorizzano ad entrare (log on) nella rete.

Le credenziali principali di uno user sono: Le credenziali principali di uno user sono:

Nome utenteNome utente

PasswordPassword (parola riservata di accesso)(parola riservata di accesso)

Nome del dominioNome del dominio (in cui l’utente dispone di uno user account).(in cui l’utente dispone di uno user account).

Ogni utente (User) di un dominio è Ogni utente (User) di un dominio è individuato in modo univoco mediante unindividuato in modo univoco mediante un

user accountuser account


Gli utentiGli utenti

Il Il log onlog on è il processo di ingresso in un dominio. è il processo di ingresso in un dominio.

Durante il log on:Durante il log on: 1.1. Un utente introduce le proprie credenziali (nome Un utente introduce le proprie credenziali (nome utente, password e scelta del dominio).utente, password e scelta del dominio).

Processo di log onProcesso di log on

2.2. Un domain controller del dominio richiesto verifica la Un domain controller del dominio richiesto verifica la correttezza delle credenziali in Active Directory, correttezza delle credenziali in Active Directory, autorizzando l’ingresso nel dominio soltanto se autorizzando l’ingresso nel dominio soltanto se Nome Nome UtenteUtente e e PasswordPassword sono corrette. sono corrette.

Il processo di uscita di un utente da Il processo di uscita di un utente da un dominio è quindi denominato un dominio è quindi denominato

Log offLog off..

AmministratoriAmministratori

Il processo di Il processo di log onlog on

Durante il Durante il log onlog on in un dominio in un dominio Windows …Windows …

User name:User name: cagiro cagiro

Password:Password: **********************

Domain:Domain: MAXWELLMAXWELL

Credenziali Credenziali corrette?corrette?

Domain Domain ControllerController

Active DirectoryActive Directory

SìSì Log on Log on autorizzatoautorizzato

UtenteUtente DominioDominio

NoNo

User Rights User Rights e Permissione Permission

Le Le user rightsuser rights (diritti utente) definiscono un insieme di (diritti utente) definiscono un insieme di autorizzazioni, predefinite in Active Directory, che autorizzazioni, predefinite in Active Directory, che possono essere assegnate ad un account utente in un possono essere assegnate ad un account utente in un dominio.dominio.

Ogni user account è individuato da un Ogni user account è individuato da un insieme diinsieme di User rightsUser rights ee PermissionPermission

Esempi di user rights sono:Esempi di user rights sono:Log on locallyLog on locally uno user può effettuare il log on in un uno user può effettuare il log on in un server;server;Shut down the systemShut down the system un utente può spegnere il server un utente può spegnere il server (shut down);(shut down);Change the system timeChange the system time un utente dispone un utente dispone dell’autorizzazione per la modifica dell’ora in un server.dell’autorizzazione per la modifica dell’ora in un server.


User Rights User Rights e Permissione Permission

Le Le permission permission (permessi) definiscono i tipi di accesso alle (permessi) definiscono i tipi di accesso alle risorse HW/SW che è possibile assegnare ad un utente. Le risorse HW/SW che è possibile assegnare ad un utente. Le permission sono diverse e dipendono dal tipo di risorsa.permission sono diverse e dipendono dal tipo di risorsa.

Ogni user account è individuato da un Ogni user account è individuato da un insieme diinsieme di User rightsUser rights e e PermissionPermission

Le Le permissionpermission (permessi) definiscono le azioni che un (permessi) definiscono le azioni che un utente può svolgere sulle risorse della rete.utente può svolgere sulle risorse della rete.

Esempi di permessi sono:Esempi di permessi sono:ReadRead permesso di lettura per le risorse file e cartelle; permesso di lettura per le risorse file e cartelle;ExecuteExecute permesso di eseguire un programma in una permesso di eseguire un programma in una cartella;cartella;PrintPrint permesso per stampare su una periferica fisica di permesso per stampare su una periferica fisica di stampa.stampa.

Tipi di User Tipi di User AccountAccount

Gli User Account di un dominio possono Gli User Account di un dominio possono essere di due tipi:essere di due tipi: Built-inBuilt-in oppureoppure User-User-

defineddefined

Gli Gli account utente predefinitiaccount utente predefiniti (built-in) principali sono: (built-in) principali sono:AdministratorAdministrator l’amministratore dispone di tutte le user l’amministratore dispone di tutte le user rights e tutte le permission sugli oggetti di Active rights e tutte le permission sugli oggetti di Active Directory;Directory;GuestGuest l’ospite dispone di user rights molto limitate e di l’ospite dispone di user rights molto limitate e di nessun permesso predefinito. nessun permesso predefinito.

Gli Gli user-defined domain accountuser-defined domain account sono creati sono creati appositamente dagli amministratori del dominio. appositamente dagli amministratori del dominio.

Per ogni account utente creato, gli amministratori si Per ogni account utente creato, gli amministratori si devono preoccupare di assegnare i diritti utente e i devono preoccupare di assegnare i diritti utente e i permessi necessari per una corretta attività permessi necessari per una corretta attività dell’utente nel dominio.dell’utente nel dominio.


Creiamo un Creiamo un accountaccount

Creiamo un nuovo User Account in Creiamo un nuovo User Account in Active DirectoryActive Directory

continua…continua…


Creiamo un nuovo User Account in Creiamo un nuovo User Account in Active DirectoryActive Directory


Dopo aver creato un nuovo user account, è Dopo aver creato un nuovo user account, è possibile modificarne le suepossibile modificarne le sue proprietàproprietà in in

qualsiasi istante…qualsiasi istante…


Un account in Active Directory dispone di Un account in Active Directory dispone di numerosenumerose proprietàproprietà, tra cui ricordiamo…, tra cui ricordiamo…

Limitazione ore di Limitazione ore di accessoaccesso

Limitazione di Limitazione di accesso alla rete solo accesso alla rete solo da alcuni PC clientda alcuni PC client


Un account in Active Directory dispone di Un account in Active Directory dispone di numerosenumerose proprietàproprietà, tra cui ricordiamo…, tra cui ricordiamo…

Definizione di un Definizione di un profilo utente profilo utente

bloccatobloccato

Definizione di un percorso Definizione di un percorso per la home folder per la home folder

dell’utentedell’utente

I gruppiI gruppi

Un Un gruppogruppo è un insieme di user account e quindi di è un insieme di user account e quindi di singoli utenti (che ogni account rappresenta).singoli utenti (che ogni account rappresenta).

Le autorizzazioni e i permessi assegnati ad un gruppo, Le autorizzazioni e i permessi assegnati ad un gruppo, sono automaticamente propagati in tutti gli user account sono automaticamente propagati in tutti gli user account inclusi nel gruppo stesso. inclusi nel gruppo stesso.

Un gruppo (Group) di un dominio Un gruppo (Group) di un dominio contiene un insieme di utenticontiene un insieme di utenti

Per gli amministratori, l’utilizzo dei gruppi è Per gli amministratori, l’utilizzo dei gruppi è essenziale, perché consente di gestire un numero essenziale, perché consente di gestire un numero

elevato di utenti con un’unica azione elevato di utenti con un’unica azione amministrativa. amministrativa.


I gruppiI gruppi

Ogni tipo di gruppo si differenzia per:Ogni tipo di gruppo si differenzia per:

la provenienza degli utenti, che può contenere;la provenienza degli utenti, che può contenere;

l’utilizzo, nell’assegnazione di autorizzazioni e l’utilizzo, nell’assegnazione di autorizzazioni e

permessi di accesso alle risorse.permessi di accesso alle risorse.

I gruppi possono essere di tipo diverso:I gruppi possono essere di tipo diverso:

Gruppo locale al dominioGruppo locale al dominio ( (DLGDLG: Domain Local Group);: Domain Local Group);

Gruppo globaleGruppo globale ( (GGGG: Global Group);: Global Group);

Gruppo universaleGruppo universale ( (UGUG: Universal Group).: Universal Group).

I gruppiI gruppi

I I Gruppi predefinitiGruppi predefiniti nello schema logico di Active Directory nello schema logico di Active Directory dispongono di…dispongono di…

I gruppi possono essere predefiniti nel I gruppi possono essere predefiniti nel dominio oppure creati dagli amministratoridominio oppure creati dagli amministratori

Gruppi Gruppi User rights e permissionUser rights e permission

Tutte: amministrano le reteTutte: amministrano le rete

Limitate: assegnate agli utenti ospitiLimitate: assegnate agli utenti ospiti

Limitate alla gestione dei domain controller, in Limitate alla gestione dei domain controller, in particolare, per la creazione di nuovi accountparticolare, per la creazione di nuovi account

Limitate alla gestione del processo di backup Limitate alla gestione del processo di backup e ripristino dei dati sul servere ripristino dei dati sul server

Limitate alla gestione dei server di stampa Limitate alla gestione dei server di stampa nella retenella rete

Tipi di Tipi di gruppigruppi

I tipi di gruppi si differenziano per laI tipi di gruppi si differenziano per la provenienza provenienza degli utentidegli utenti definiti nei diversi domini della forestadefiniti nei diversi domini della foresta

maxwell.localmaxwell.local

fisicafisicamultimedialemultimediale

uffici.localuffici.local

DLG: Gruppo DLG: Gruppo Locale al Locale al DominioDominio

Possono contenere membri Possono contenere membri provenienti da tutti i domini provenienti da tutti i domini

della forestadella foresta

UG: Gruppo UG: Gruppo UniversaleUniversale

Può contenere solo Può contenere solo membri del dominio a cui membri del dominio a cui

appartieneappartiene

GG: Gruppo GG: Gruppo GlobaleGlobale

Tipi di Tipi di gruppigruppi

I tipi di gruppi si differenziano per l’utilizzoI tipi di gruppi si differenziano per l’utilizzo nell’assegnazione di autorizzazioninell’assegnazione di autorizzazioni di accesso alle di accesso alle

risorse…risorse…

maxwell.localmaxwell.local

fisicafisicamultimedialemultimediale

uffici.localuffici.local

DLG: Gruppo DLG: Gruppo Locale al Locale al DominioDominio

Si possono assegnare autorizzazioni Si possono assegnare autorizzazioni all’uso di tutte le risorse dei domini all’uso di tutte le risorse dei domini

nella forestanella forestaUG: Gruppo UG: Gruppo UniversaleUniversale

Si possono assegnare autorizzazioni esclusivamente all’uso Si possono assegnare autorizzazioni esclusivamente all’uso delle risorse del dominio dello stesso DLGdelle risorse del dominio dello stesso DLG

GG: GG: Gruppo Gruppo GlobaleGlobale

OrganizziamoOrganizziamoi gruppii gruppi

Organizziamo in gruppi gli utenti della Organizziamo in gruppi gli utenti della nostra scuola…nostra scuola…

Dopo aver definito gli account per tutti gli utenti, Dopo aver definito gli account per tutti gli utenti, possiamo creare i GG (gruppi globali):possiamo creare i GG (gruppi globali):

GGstudentiGGstudenti,, con gli account:con gli account: di tutti i singoli studenti di tutti i singoli studenti delle singole classi (1A, 2A, 3A, 4A, 5A, ecc.)delle singole classi (1A, 2A, 3A, 4A, 5A, ecc.)

GGdocentiGGdocenti, con gli account dei docenti, con gli account dei docentiGGufficiGGuffici, con gli user account del personale della , con gli user account del personale della segreteriasegreteria

I DLG (gruppi locali del dominio) I DLG (gruppi locali del dominio) sono invece utilizzati per definire i sono invece utilizzati per definire i

permessi di accesso alle risorse.permessi di accesso alle risorse.


DefiniamoDefiniamo un nuovo un nuovo

gruppogruppo

Creiamo un gruppo in un dominio con Creiamo un gruppo in un dominio con Active Directory Active Directory

Dopo aver creato un nuovo gruppo, si Dopo aver creato un nuovo gruppo, si devono inserire i suoi membri…devono inserire i suoi membri…

DefiniamoDefiniamo un nuovo un nuovo

gruppogruppo

I computerI computer

Un Un Account ComputerAccount Computer rappresenta le credenziali di un rappresenta le credenziali di un

computer in un dominio. computer in un dominio.

Le credenziali sono inserite una sola volta, quando si Le credenziali sono inserite una sola volta, quando si

aggiunge il computer ad un dominio già esistente. aggiunge il computer ad un dominio già esistente.

Ogni computer del dominio dispone di un Ogni computer del dominio dispone di un Account ComputerAccount Computer


I computerI computer Un account computer può essere aggiunto:Un account computer può essere aggiunto:

Direttamente in Active Direttamente in Active Directory nel domain Directory nel domain

controller:controller:

Nel computer client:Nel computer client:

Unità Unità OrganizzativeOrganizzative

Le Le Unità OrganizzativeUnità Organizzative permettono di realizzare uno permettono di realizzare uno schema logico gerarchico della nostra rete. A tal fine, schema logico gerarchico della nostra rete. A tal fine, una OU può includere altre OU interne.una OU può includere altre OU interne.

Le unità organizzative:Le unità organizzative: Sono completamente indipendenti dallo schema fisico Sono completamente indipendenti dallo schema fisico di Active Directory, in Siti e Linkdi Active Directory, in Siti e Link Permettono di Permettono di delegare l’amministrazionedelegare l’amministrazione ai gruppi ai gruppi responsabili degli oggetti contenuti nella stessa OUresponsabili degli oggetti contenuti nella stessa OU

Le Unità Organizzative sono i contenitori Le Unità Organizzative sono i contenitori logici privilegiati degli oggetti del dominiologici privilegiati degli oggetti del dominio



Creiamo una nuova Unità OrganizzativaCreiamo una nuova Unità Organizzativa

In Active DirectoryIn Active DirectoryCreiamo la OU del Creiamo la OU del

laboratorio Multimedialelaboratorio Multimediale


Dopo avere creato una nuova Unità Dopo avere creato una nuova Unità Organizzativa, si deve Organizzativa, si deve popolarla popolarla inserendo inserendo

i suoi oggetti, quali…i suoi oggetti, quali…

gli account computer:gli account computer:



Dopo avere creato una nuova Unità Dopo avere creato una nuova Unità Organizzativa, si deve Organizzativa, si deve popolarla popolarla inserendo i inserendo i

suoi oggetti, quali…suoi oggetti, quali…


gruppi e utenti:gruppi e utenti:


Dopo avere creato una nuova Unità Dopo avere creato una nuova Unità Organizzativa, si deve Organizzativa, si deve popolarla popolarla inserendo inserendo

i suoi oggetti…i suoi oggetti…

GG dei docenti amministratori GG dei docenti amministratori del laboratoriodel laboratorio


Delega dell’amministrazione di una OUDelega dell’amministrazione di una OU

Deleghiamo l’amministrazione del Deleghiamo l’amministrazione del laboratorio Multimediale al gruppo laboratorio Multimediale al gruppo

del docentidel docenti

Amministrazione di una rete con Active Directory Carolina Schiattarella.

Documents

Transcript of Amministrazione di una rete con Active Directory Carolina Schiattarella.