CAPITOLO 1 Panoramica di Active Directory · 6 CAPITOLO 1 Panoramica di Active Directory Interfacce...

3

C APITOLO 1

Panoramica di Active Directory■ Servizi di directory 3

■ Introduzione ad Active Directory 5

■ Oggetti Active Directory 11

■ Gestione di Active Directory 22

I l successo a lungo termine di un amministratore, indipendentemente dal livello di esperienza e di nozioni di cui dispone, dipende da quanto approfondita è la sua conoscenza di Active Directory. Active Directory è un servizio di directory estendibile che consente una gestione centralizzata delle risorse di rete. Consente inoltre di aggiungere, rimuovere o riallocare in modo semplice account per utenti, gruppi e computer, oltre ad altri tipi di risorse. Praticamente tutte le attività amministrative condizionano in qualche modo Active Directory, che si basa su protocolli Internet standard e presenta un design che consente di individuare facilmente i componenti fi sici e logici di una struttura di rete.

Servizi di directoryActive Directory fornisce l’infrastruttura necessaria per progettare una directory che soddisfi le esigenze di ogni organizzazione. Una directory consiste in una raccolta di informazioni memorizzate che riguardano diversi tipi di risorse. In un ambiente di lavoro distribuito, ad esempio una rete Windows, gli utenti devono essere in grado di individuare e utilizzare le risorse distribuite e gli amministratori devono poter gestire l’utilizzo di tali risorse. Risulta quindi evidente il motivo per cui è necessario un servizio di directory.

Tale servizio, infatti, memorizza tutte le informazioni necessarie per utilizzare e gestire le risorse distribuite in un percorso centralizzato. Esso consente inoltre il funzionamento in contemporanea di tali risorse, è responsabile dell’autorizzazione degli accessi, della gestione delle identità e del controllo delle relazioni tra le risorse. Poiché fornisce queste funzioni fondamentali, un servizio di directory deve essere profondamente integrato con le funzionalità di protezione e di gestione del sistema operativo di rete.

CAPITOLO 1 Panoramica di Active Directory4

Un servizio di directory fornisce i mezzi per defi nire e mantenere l’infrastruttura di rete, svolgere attività di amministrazione del sistema e controllare l’esperienza degli utenti. Anche se potrebbero non conoscere alla perfezione le risorse di cui hanno bisogno, utenti e amministratori dovrebbero comunque conoscerne le caratteristiche di base, in modo da poter utilizzare il servizio di directory per ottenere un elenco di risorse che corrispondono a tali caratteristiche. Come illustrato nella fi gura 1-1, il servizio di directory può essere utilizzato per interrogare la directory e individuare le risorse che presentano determinate caratteristiche. Ad esempio, gli utenti possono utilizzare la directory per trovare una stampante a colori in una determinata area dell’organizzazione o una stampante che supporti la funzione di stampa fronte/retro.

Server35

Utente

Printer36

Printer12

?

ServerDirectory

Server24

Server Directory Nome: Printer12 Tipo: HP Laser Colore: Sì Fronte/retro: Sì Posizione: 4° pianoNome: Printer36 Tipo: HP Laser Color: Sì Fronte/retro: No Posizione: 2° pianoNome: Server24 OS: Windows Server 2008 Tipo: File Server Condivisioni cartelle: Sì Posizione: 2° pianoNome: Server35 OS: Windows Server 2008 Type: File Server Condivisioni cartelle: Sì Posizione: 2° piano

FIGURA 1-1 Utilizzo dei servizi di directory

Poiché un servizio di directory è uno strumento utile non solo per gli utenti standard, anche gli amministratori possono utilizzarlo per individuare le risorse. Ad esempio, un amministratore può individuare i fi le server sui quali è in esecuzione Windows Server 2008. A mano a mano

Panoramica di Active Directory CAPITOLO 1 5

che un’organizzazione cresce, si amplia anche la rete, le risorse da gestire si moltiplicano e il servizio di directory assume sempre più importanza.

Introduzione ad Active DirectoryActive Directory è il servizio di directory compreso con Windows Server. Il servizio comprende sia la directory che memorizza le informazioni sulle risorse distribuite, sia i servizi che rendono tali informazioni utili e disponibili. Tutte le versioni di Windows Server a partire dalla versione Windows 2000 supportano Active Directory.

Domini di Active DirectoryI domini Windows che utilizzano Active Directory sono defi niti domini di Active Directory. In un dominio Active Directory, i dati si trovano in un unico repository di dati distribuito, che richiede un livello di gestione minimo e allo stesso tempo consente l’accesso da qualsiasi percorso nella rete. Utilizzando le strutture logiche e fi siche fornite da Active Directory, è possibile adattare la directory in modo da soddisfare i requisiti aziendali e di rete anche quando si dispone di centinaia, migliaia o milioni di risorse.

Active Directory è un servizio progettato per operare con altri servizi di directory e per accettare le richieste di molti client diversi utilizzando una varietà di interfacce, come mostrato nella fi gura 1-2. Il protocollo primario per Active Directory è LDAP (Lightweight Directory Access Protocol) versione 3, un protocollo standard per i servizi di directory. Quando si utilizzano altri server Windows, Active Directory supporta la replica tramite l’interfaccia REPL. Quando si utilizzano i client di messaggistica legacy, Active Directory supporta l’interfaccia MAPI (Messaging Application Programming Interface). e l’interfaccia SAM (Security Accounts Manager).

I servizi di autenticazione e di autorizzazione di Active Directory utilizzano Kerberos versione 5 e altri protocolli standard, in modo da fornire protezione dei dati per impostazione predefi nita e allo stesso tempo massimizzare la fl essibilità. Ad esempio, Active Directory contrassegna e crittografa per impostazione predefi nita tutte le comunicazioni che utilizzano LDAP. La fi rma di tali comunicazioni garantisce che i dati provengano da una fonte nota e che non siano stati modifi cati.

Active Directory è un servizio integrato con la protezione di Windows Server. Come per i fi le e le cartelle, è possibile controllare anche l’accesso alle risorse distribuite nella directory utilizzando un insieme granulare di autorizzazioni. Allo stesso, modo, è possibile controllare l’accesso alle proprietà delle risorse distribuite. In aggiunta, Active Directory fornisce gruppi di protezione per gli amministratori a vari livelli nell’organizzazione.

I criteri di gruppo sono utilizzati per defi nire le azioni e le impostazioni consentite per utenti e computer e la gestione basata sui criteri semplifi ca molte attività di amministrazione. I criteri di gruppo possono essere applicati in molti modi: un modo possibile consiste nell’utilizzare i modelli di protezione per confi gurare la protezione iniziale di un computer.


Interfacce

Directory system agent (DSA)

Livello del database

Extensible storage engine (ESE)

MAPI SAMREPLLDAP

DatabaseActive

Directory

Client legacy

OutlookClient legacy Windows NT4

Replica con altri server di

directory (RPC,SMTP IP)

Client LDAP, ADSI,

Outlook

FIGURA 1-2 Active Directory è in grado di operare con i client e altri servizi di directory

Domini DNSActive Directory utilizza DNS (Domain Name System). DNS è un servizio Internet standard che organizza i gruppi in una struttura gerarchica. Nonostante siano implementati per motivi diversi, Active Directory e DNS hanno la stessa struttura gerarchica. La gerarchia DNS è defi nita a livello di Internet per le reti pubbliche e a livello aziendale per le reti private. I vari livelli all’interno della gerarchia DNS identifi cano i vari computer e le relazioni tra loro. Tali relazioni sono espresse tramite l’utilizzo di domini. I computer che fanno parte dello stesso dominio DNS sono strettamente collegati. I domini utilizzati all’interno delle organizzazioni sono domini organizzativi. I domini che si trovano alla base della gerarchia DNS sono domini radice o di livello principale.

I client Active Directory utilizzano DNS per individuare le risorse. DNS converte facilmente i nomi host leggibili in indirizzi IP (Internet Protocol). Ogni computer in un dominio ha un nome di dominio completo (FQDN), come server34.microsoft.com. In questo esempio, server34 rappresenta il nome di un singolo computer, microsoft rappresenta il dominio dell’organizzazione e com è il dominio di livello principale.


I domini di livello principale (Top-Level Domain, TLD) sono alla base della gerarchia DNS. Tali domini sono organizzati: a livello geografi co, utilizzando un codice di due lettere che indica lo stato, ad esempio CA per Canada; a livello di organizzazione, utilizzando un codice come com per le organizzazioni commerciali; a livello di funzione, utilizzando un codice come mil per le organizzazioni militari.

Come i domini di livello principale, anche i domini DNS di un’organizzazione possono essere strutturati in molti modi. I domini standard, come microsoft.com, sono spesso defi niti domini padre, perché rappresentano il livello principale di una struttura organizzativa. I domini padre possono essere suddivisi in sottodomini, utilizzabili per diversi uffi ci, divisioni o aree geografi che. Ad esempio, il nome di dominio completo per un computer dell’uffi cio di Denver di City Power & Light potrebbe essere workstation11.denver.cpandl.com. In questo esempio, workstation11 è il nome del computer, denver è il sottodominio e cpandl.com è il dominio padre. Un’altra defi nizione dei sottodomini è domini fi glio.

Gli aggiornamenti a DNS sono gestiti tramite un unico server DNS autorevole. Questo server viene designato come server DNS primario per un particolare dominio all’interno di un dominio defi nito zona. Il server DNS primario memorizza una pagina master dei record DNS e dei fi le di confi gurazione del dominio. I server DNS secondari forniscono servizi aggiuntivi per un dominio, in modo da consentire il bilanciamento del carico di lavoro. I server secondari memorizzano copie dei record DNS ottenuti da un server primario tramite un processo defi nito trasferimento della zona. I server secondari ottengono le relative informazioni DNS da un server primario quando vengono avviati e mantengono queste informazioni fi nché esse non vengono aggiornate o non scadono.

Nella fi gura 1-3, il server DNS primario è responsabile dei domini DNS cpandl.com, data.cpandl.com e recs.cpandl.com. I server DNS secondari nei domini data.cpandl.com e recs.cpandl.com ottengono le relative informazioni DNS da questo server primario tramite trasferimenti di zona periodici.

Active Directory dipende talmente tanto da DNS che è opportuno confi gurarlo nella rete prima di installare Active Directory oppure installarlo tramite la procedura di installazione guidata di Active Directory. La confi gurazione di DNS richiede l’installazione e la confi gurazione dei relativi client e server. Tutti i sistemi operativi Windows comprendono i client DNS e possono essere confi gurati con nomi host completi. Qualsiasi computer su cui è in esecuzione il sistema operativo Windows Server può essere confi gurato come server DNS.

Quando si confi gura Active Directory nella rete, è possibile installare automaticamente DNS come parte dell’installazione di Active Directory. Inoltre, è possibile specifi care se DNS e Active Directory debbano essere integrati parzialmente o completamente. Poiché l’integrazione con Active Directory condiziona il funzionamento di DNS, è molto importante comprendere le opzioni di integrazione.


DNS

recs.cpandl.com

DNSDNS

cpandl.com

Zona

Zona

Zona

DNSTrasferimento

zona

data.cpandl.com

Trasferimentozona

FIGURA 1-3 Un ambiente DNS con le relative zone

Con l’integrazione parziale, il dominio utilizza l’archiviazione di fi le standard e gli aggiornamenti a DNS sono gestiti esattamente come descritto prima. Il dominio dispone di un unico server primario e di uno o più server DNS secondari. I server DNS secondari ottengono le relative informazioni DNS dal server primario.

Con l’integrazione completa, le informazioni DNS sono memorizzate direttamente in Active Directory. In questo modo si otterranno tutti i vantaggi di Active Directory e il dominio utilizzerà Active Directory per aggiornare e mantenere le informazioni DNS.

Controller di dominioQuando si installa Windows Server su un computer, questo può essere confi gurato come server indipendente, server membro o controller di dominio. Un controller di dominio (DC) è un computer che ospita una directory Active Directory. Se si sta utilizzando Windows Server 2008, l’installazione di Active Directory avviene in due passaggi. In primo luogo, si aggiunge il ruolo Servizi di dominio Active Directory al server utilizzando l’Aggiunta guidata ruoli. Quindi, si esegue l’Installazione guidata Active Directory. Se DNS non è ancora installato, viene richiesto di installarlo. Se non è presente un dominio, la procedura sarà di supporto nel crearlo e nella confi gurazione di Active Directory nel nuovo dominio, oltre a facilitare l’aggiunta di domini fi glio in strutture esistenti.


Come Windows 2000 e Windows Server 2003, Windows Server 2008 non designa nessun controller di dominio primario o di backup. Supporta invece un modello di replica multimaster. In questo modello, come mostrato nella fi gura 1-4, qualsiasi controller di dominio può elaborare modifi che di directory e replicarle in altri controller di dominio automaticamente. Questo modello si distingue dal modello di replica a master singolo, in cui il controller di dominio primario memorizza una copia master e i controller di backup memorizzano copie di backup del master. Inoltre, la versione Windows NT distribuisce solo il database SAM (Security Accounts Manager), mentre Windows 2000 e le altre versioni di Windows Server distribuiscono l’intera directory di informazioni relative alle risorse distribuite.

DC1

DC2

DC3 DC5

DC6

DC4

DC7 DC8Edificio 2Edificio 3Edificio1

FIGURA 1-4 Qualsiasi controller di dominio può replicare le modifiche

ESPERIENZA DIRETTA Poiché non è pratico effettuare determinate modifi che in modalità multimaster, Active Directory utilizza anche la replica a master singolo. In questo caso, uno o più controller di dominio, designati come master di operazioni, vengono scelti per effettuare operazioni che non possono essere effettuate contemporaneamente in altri punti della rete.

Active Directory utilizza un approccio multimaster per fornire diversi vantaggi a livello di prestazioni e disponibilità. La replica multimaster consente infatti di aggiornare la directory in qualsiasi controller di dominio. Il controller di dominio a sua volta replica le modifi che in altri controller di dominio. Dopo aver distribuito diversi controller di dominio, la replica continua anche se uno di essi dà esito negativo.

Nonostante i domini Active Directory siano in grado di funzionare con un unico controller di dominio, è possibile e consigliabile confi gurare più controller di dominio nei domini. In questo modo, se un controller non funziona, si può contare su un altro per gestire attività fondamentali come l’autenticazione.


I controller di dominio gestiscono tutti gli aspetti dell’interazione dell’utente con i domini Active Directory. Essi convalidano i tentativi di accesso degli utenti, individuano gli oggetti e molto altro ancora. All’interno di Active Directory, le informazioni di directory sono suddivise in maniera logica. Ogni controller di dominio memorizza una copia di tutte le partizioni pertinenti. Le partizioni pertinenti per un particolare controller di dominio sono determinate dalla posizione del controller e dalla frequenza con cui è utilizzato.

I controller di dominio gestiscono le modifi che per le informazioni che memorizzano e le replicano in altri controller, come necessario. A seconda del modo in cui viene svolta la replica, può verifi carsi un confl itto nel caso in cui un attributo viene modifi cato su un controller di dominio, perché viene propagata una modifi ca allo stesso attributo su un altro controller di dominio. Active Directory risolve simili confl itti confrontando il numero di versione della proprietà di ogni attributo (un valore inizializzato quando un attributo viene creato e aggiornato ogni volta che l’attributo subisce una modifi ca) e replicando l’attributo modifi cato con il numero di versione della proprietà più elevato.

Solitamente, è possibile effettuare operazioni di lettura e di scrittura nei controller di dominio. Comunque, Windows Server 2008 e le versioni successive supportano anche i controller di dominio di sola lettura. Un controller di dominio di sola lettura (RODC) è un controller di dominio che ospita una replica di sola lettura di una directory di dominio. Per impostazione predefi nita, i controller di dominio di sola lettura non memorizzano password o credenziali diverse da quelle utilizzate per il proprio account computer e account krbtgt (Kerberos Target). Ciò li rende ideali negli uffi ci secondari in cui non è possibile garantire la protezione a livello fi sico di un controller di dominio.

La fi gura 1-5 mostra un controller di dominio di sola lettura distribuito in un uffi cio secondario. In questo caso, l’uffi cio principale dispone di più controller di dominio scrivibili. L’uffi cio secondario dispone di un controller di dominio di sola lettura con dati di sola lettura, posizionato nell’uffi cio secondario perché non è possibile garantire la protezione a livello fi sico del server.

SUGGERIMENTO A eccezione delle password, i controller di dominio di sola lettura memorizzano gli stessi oggetti e attributi dei controller di dominio scrivibili. Tali oggetti e attributi sono replicati tramite la replica unidirezionale da un controller di dominio scrivibile che funge da partner di replica. Nonostante siano in grado di ottenere informazioni da controller di dominio che eseguono Windows Server 2003, i controller di dominio di sola lettura possono ottenere gli aggiornamenti della partizione di dominio solo da un controller scrivibile che esegue Windows Server 2008 nello stesso dominio.

I controller di dominio di sola lettura ottengono le credenziali di utenti e computer da un controller di dominio scrivibile che esegue Windows Server 2008. Quindi, se consentito dai criteri di replica della password imposti sul controller di dominio scrivibile, essi memorizzano nella cache le credenziali come necessario fi nché le credenziali non vengono modifi cate. Poiché nei controller di dominio di sola lettura sono memorizzati solo dei sottoinsiemi delle credenziali, i danni possibili sono limitati.


Controller di dominio di sola lettura

Dati di solalettura

Ufficio principale

DC3DC2DC1

Ufficio secondario

Datimodificabili

Datimodificabili

Datimodifi-cabili

FIGURA 1-5 Un controller di dominio distribuito in un ufficio secondario

Oggetti Active DirectoryLe risorse da rappresentare in Active Directory sono create e memorizzate come oggetti. Gli oggetti hanno attributi che defi niscono i tipi di informazioni che si intende memorizzare sulle risorse. Ad esempio, l’oggetto Users in Active Directory ha attributi che consentono di descrivere gli utenti, come nome, iniziali, cognome e nome visualizzato. L’oggetto Computers in Active Directory ha attributi che consentono di descrivere il computer, come il nome, la descrizione, il percorso e l’identifi catore di protezione.

Gli oggetti nella directory possono essere oggetti foglia o oggetti contenitore. Gli oggetti che non possono contenere altri oggetti sono gli oggetti foglia, o foglie. Gli oggetti che contengono altri oggetti sono defi niti oggetti contenitore, o contenitori. La directory stessa è un contenitore, in quanto comprende altri oggetti e altri contenitori. Nella fi gura 1-6, l’oggetto Users è un contenitore che comprende gli oggetti User, l’oggetto Computers è un contenitore che comprende gli oggetti Computer e l’oggetto Printers è un contenitore che comprende gli oggetti Printer.


Oggetti della classe User

Active DirectoryOggetti

Oggetti della classe Computer

Oggetti della classe Printer

Users

Printers

Computers

AttributiNomeIniziale secondo nomeCognomeNome visualizzato

AttributiNomeDescrizionePosizioneIdentificatore di protezione

AttributiNomeDescrizionePosizioneTipo

FIGURA 1-6 Oggetti e attributi in Active Directory

Schema di Active DirectoryOgni oggetto creato all’interno della directory appartiene a una particolare classe. Lo schema di Active Directory defi nisce le classi di oggetti disponibili e fornisce le regole che determinano il modo in cui è possibile creare e utilizzare gli oggetti. Le classi di oggetti disponibili comprendono User, Group, Computer e Printer.

Fondamentalmente, lo schema è un elenco di defi nizioni che determina le classi di oggetti e i tipi di informazioni su tali classi che possono essere memorizzate nella directory. Le defi nizioni stesse dello schema sono memorizzate come uno di due tipi di oggetti:

■ Oggetti delle classi dello schema, o semplicemente classi dello schema

■ Oggetti degli attributi dello schema, o semplicemente attributi dello schema

Come mostrato nella fi gura 1-7, gli oggetti delle classi e degli attributi dello schema sono defi niti separatamente nella directory. È possibile fare riferimento ai due insiemi di oggetti come oggetti dello schema.


Oggetti Oggetti Attributi dello Schema

. . .

Users

Printers

Computers

UserDefinizione oggetto classe

NomeIniziale secondo nomeCognomeNome visualizzato

firstNameDefinizione oggetto Attribute

accountExpires

…

displayName

…

firstName

…

lastName

…

middleInitialDescrizioneNome comuneIdentificatore di oggettoLimiti intervalli di sintassi

displayNameDefinizione oggetto Attribute

Descrizione

Identificatore di oggettoNome comune

Limiti intervalli di sintassi

FIGURA 1-7 Oggetti di uno schema

Gli oggetti delle classi dello schema descrivono gli oggetti che è possibile creare. Funzionano come modelli per la creazione di nuovi oggetti. All’interno di una particolare classe dello schema, gli attributi memorizzano le informazioni che descrivono i relativi oggetti. Ad esempio, le classi User, Group, Computer e Printer sono composte di molti attributi dello schema. La classe User contiene attributi che descrivono gli utenti. La classe Group contiene attributi che descrivono i gruppi di utenti. La classe Computer contiene attributi che descrivono i computer. La classe Printer contiene attributi che descrivono le stampanti.

SUGGERIMENTO Ogni attributo dello schema è defi nito solo una volta e può essere utilizzato in più classi. Ad esempio, l’attributo Description è defi nito solo una volta nello schema, ma è utilizzato nelle classi User, Group, Computer e Printer e in altre classi ancora.

In Active Directory è compreso un insieme delle classi e degli attributi di base. Poiché la directory è estendibile, altri prodotti di server e applicazioni possono estendere dinamicamente lo schema. Ad esempio, quando si installa Microsoft Exchange Server nell’organizzazione, gli attributi e le classi di estensione Exchange Server vengono aggiunti alla directory. Qualsiasi nuova estensione alla directory viene replicata automaticamente come appropriato.


NOTA Gli sviluppatori e gli amministratori più esperti possono estendere anche lo schema. Tuttavia, l’estensione dello schema è una procedura avanzata che dovrebbe essere pianifi cata e verifi cata con attenzione prima di essere implementata. Inoltre, tenere presente che, una volta defi niti, gli attributi e le classi dello schema possono essere disattivati, ma non eliminati. Non è invece possibile disattivare o eliminare oggetti dello schema che fanno parte dello schema predefi nito compreso in Active Directory.

Componenti di Active DirectoryÈ possibile utilizzare una varietà di componenti Active Directory per defi nire la struttura della directory. Questi componenti sono organizzati in livelli fi sici e logici. I componenti a livello fi sico controllano il modo in cui le informazioni di directory sono strutturate e memorizzate. I componenti a livello logico controllano il modo in cui gli utenti e gli amministratori visualizzano le informazioni nella directory e controllano l’accesso a tali informazioni. I livelli fi sici e logici sono completamente separati.

Componenti fi siciI componenti fi sici di Active Directory sono i siti e le subnet. Un sito è la combinazione di una o più subnet IP connesse da collegamenti estremamente affi dabili. Una subnet è un gruppo di indirizzi IP di rete. I siti e le subnet si utilizzano per creare una struttura di directory che rifl etta la struttura fi sica dell’organizzazione.

I siti si utilizzano per eseguire il mapping della struttura fi sica della rete. Come mostrato nella fi gura 1-8, un sito solitamente presenta gli stessi confi ni delle LAN (Local Area Network). Poiché i mapping dei siti sono separati e indipendenti dai componenti logici nella directory, non esiste nessuna relazione necessaria tra le strutture fi siche della rete e le strutture logiche della directory.

Mentre i siti possono essere associati a più intervalli di indirizzi IP, ogni subnet dispone di uno specifi co intervallo di indirizzi IP. I nomi della subnet sono visualizzati nella forma rete/bit-masked, come 10.1.11.0/24. Nell’esempio, l’indirizzo di rete 10.1.11.0 e la network mask 255.255.255.0 sono combinati per creare il nome della subnet 10.1.11.0/24. La fi gura 1-9 mostra le relative subnet per diverse LAN. Ogni LAN è associata a due subnet. Ad esempio, la rete St. Paul è associata alla subnet 10.1.11.0/24 e alla subnet 10.1.12.0/24.


ReteChicago

ReteDetroit

ReteSt. Paul

ReteSt. Louis

SitoChicago

SitoDetroit

SitoSt.Paul

SitoSt. Louis

FIGURA 1-8 Mapping dei siti con la struttura di rete

ReteChicago

10.1.11.0/2410.1.12.0/24

10.1.31.0/2410.1.32.0/24

10.1.1.0/2410.1.2.0/24

10.1.21.0/2410.1.22.0/24

ReteDetroit

ReteSt. Paul

ReteSt. Louis

FIGURA 1-9 LAN all’interno di una WAN e relative subnet

Idealmente, quando si raggruppano le subnet nei siti, è opportuno assicurarsi che tutte le subnet siano connesse in modo appropriato. Ciò signifi ca che le subnet devono essere connesse tramite connessioni affi dabili e veloci. Generalmente, si considerano veloci le


connessioni di almeno 512 KB al secondo (Kbps). Per essere anche affi dabili, le connessioni di rete devono essere sempre attive e deve essere disponibile suffi ciente larghezza di banda per le comunicazioni di directory oltre al carico di lavoro del normale traffi co di rete.

Nella fi gura 1-10, le reti Detroit e St. Louis sono connesse alla rete Chicago tramite una connessione di 512 Kbps, quindi sono connesse in modo appropriato. Per questo motivo le tre reti possono fare parte dello stesso sito. La rete St. Paul, invece, è connessa alla rete Chicago con una connessione di 256 Kbps e alla rete St. Louis con una connessione di 128 Kbps. Per questo motivo, la rete St. Paul non è da considerare come connessa in modo appropriato e non dovrebbe fare parte di un sito che comprende le altre reti.

ReteChicago

256 Kbps512 Kbps

512 Kbps

128 Kbps

ReteDetroit

ReteSt. Paul

ReteSt. Louis

FIGURA 1-10 LAN all’interno di una WAN e relative velocità di connessione

Quando si sfoglia Active Directory, vengono visualizzati i componenti logici, non i componenti fi sici. Il motivo di ciò è che i siti e le subnet non fanno parte del normale spazio dei nomi Active Directory. I siti contengono solo oggetti computer e oggetti di connessione. Tali oggetti sono utilizzati per confi gurare la replica tra i siti. I computer sono assegnati ai siti sulla base della relativa posizione in una subnet o in un insieme di subnet.

Gli amministratori devono creare siti e subnet in modo appropriato secondo le esigenze dell’organizzazione. I controller di dominio, ad esempio, vanno posizionati all’interno dei siti per ottimizzare l’autenticazione e la replica.

Componenti logiciI componenti logici di Active Directory sono domini, strutture di dominio, foreste e unità organizzative (OU). Questi componenti consentono di organizzare le risorse in una struttura logica, che è quella che viene infi ne presentata agli utenti.


DOMINI

I domini sono raggruppamenti logici di oggetti che condividono database di directory comuni. Nella directory, i domini sono rappresentati come oggetti contenitore. All’interno di un dominio, è possibile creare account per utenti, gruppi e computer, così come per risorse condivise, come stampanti e cartelle.

Nella fi gura 1-11, un oggetto di dominio è rappresentato da un ampio triangolo e gli oggetti in esso contenuti sono rappresentati all’interno del triangolo. Un dominio può memorizzare milioni di oggetti ed è l’oggetto padre di tutti gli oggetti in esso contenuti. Non va però dimenticato che un dominio memorizza solo le informazioni sugli oggetti che contiene e che l’accesso agli oggetti del dominio è controllato dalle autorizzazioni di protezione. Queste autorizzazioni, che vengono assegnate a un oggetto, determinano quali utenti possono accedervi e di quale tipo di accesso dispone ogni utente.

User

User User

Computer

Computer

Printer

Computer

Printer

FIGURA 1-11 Dominio di Active Directory

La directory può contenere uno o più domini. Ogni nome di dominio deve essere unico. Se il dominio fa parte di una rete privata, il nome assegnato a un nuovo dominio non deve entrare in confl itto con il nome di un dominio esistente sulla rete privata. Se il dominio fa parte della rete Internet pubblica, il nome assegnato a un nuovo dominio non deve entrare in confl itto con il nome di nessun dominio esistente sulla rete pubblica. Per questo motivo è necessario registrare i nomi di domini pubblici tramite un registro designato prima di utilizzarli. Un elenco aggiornato dei registri designati è disponibile al sito InterNIC (http://www.internic.net).


Poiché un dominio può estendersi a più di un’unica posizione fi sica, un dominio può estendersi a uno o più siti. Anche un unico sito può comprendere risorse provenienti da più domini. Ogni dominio presenta i propri criteri e le proprie impostazioni di protezione.

Le funzioni di dominio sono limitate e controllate dal livello funzionale del dominio. Sono disponibili diversi livelli funzionali, compresi i seguenti:

■ Windows 2000 Nativo Supporta i controller di dominio che eseguono Windows 2000 e versioni successive.

■ Windows Server 2003 Supporta i controller di dominio che eseguono Windows Server 2003 e Windows Server 2008.

■ Windows Server 2008 Supporta i controller di dominio che eseguono Windows Server 2008.

Il livello funzionale si imposta quando si installa il primo controller di dominio in un nuovo dominio. Questo livello può in seguito essere aumentato, ma non diminuito. Per ulteriori approfondimenti sui livelli funzionali del dominio, consultare la sezione intitolata “Defi nizione dei livelli funzionali” nel capitolo 2, “Installazione di nuove foreste, strutture di dominio e domini fi glio”.

STRUTTURE DI DOMINIO

I domini sono elementi fondamentali nell’implementazione delle strutture Active Directory, ma non sono gli unici. Un altro tipo di elementi fondamentali sono le strutture di dominio. Le strutture di dominio sono raggruppamenti logici di domini.

NOTA All’interno della directory, la struttura di dominio rappresenta una gerarchia di oggetti che mostra le relazioni padre-fi glio tra gli oggetti. Il dominio principale della struttura è il dominio radice. Il dominio radice è il primo a essere creato in una nuova struttura di directory ed è il dominio padre di tutti gli altri eventuali domini della struttura, che sono invece defi niti domini fi glio.

Gli amministratori creano le strutture di dominio in modo da rifl ettere la struttura di un’organizzazione. I domini di una struttura condividono uno spazio dei nomi contiguo. Il nome di dominio di un dominio fi glio è il nome accodato al nome del dominio padre. Ad esempio, nella fi gura 1-12, cpandl.com è il dominio padre di tech.cpandl.com e sales.cpandl.com. Il dominio tech.cpandl.com ha a sua volta dei sottodomini: eng.tech.cpandl.com e dev.tech.cpandl.com. Quindi, tech.cpandl.com è a sua volta il dominio padre dei domini fi glio eng.tech.cpandl.com e dev.tech.cpandl.com.


dev.tech.cpandl.comeng.tech.cpandl.com

tech.cpandl.com

cpandl.com

sales.cpandl.com

FIGURA 1-12 Struttura di dominio

FORESTE

Le foreste sono raggruppamenti logici di strutture di dominio. Le strutture di dominio che fanno parte di una foresta sono separate e indipendenti, quindi non condividono uno spazio dei nomi contiguo. Infatti, quando in Active Directory viene aggiunto un nuovo dominio che fa parte di uno spazio dei nomi diverso, il dominio viene aggiunto come parte di una nuova struttura della foresta. Ad esempio, se Active Directory presenta un’unica struttura, come mostrato nella fi gura 1-12, e alla directory viene aggiunto il dominio adatum.com, quest’ultimo viene aggiunto come parte di una nuova struttura nella foresta, come mostrato nella fi gura 1-13, e diventa il dominio radice della nuova struttura.


tech.cpandl.com

cpandl.com adatum.com

sales.cpandl.com

FIGURA 1-13 Foresta con due strutture di dominio


Gli amministratori creano le foreste in modo da rifl ettere la struttura di un’organizzazione. I domini di una foresta operano in modo indipendente, ma condividono uno schema comune. La foresta, infatti, consente la comunicazione tra i vari domini membri. Come le strutture di dominio, anche le foreste hanno domini radice. Il primo dominio creato in una nuova foresta diventa automaticamente il dominio radice di quella foresta. Allo stesso modo, il primo dominio creato in qualsiasi ulteriore struttura all’interno della stessa foresta diventa il dominio radice solo per la struttura in questione. Nella fi gura 1-14, cpandl.com e adatum.com sono i domini radice delle rispettive strutture di dominio, ma cpanld.com è anche il dominio radice della foresta, perché è stato creato per primo.


tech.cpandl.com

cpandl.com adatum.com

sales.cpandl.com

east.us.adatum.comwest.us.adatum.com

us.adatum.com

FIGURA 1-14 Ambiente di dominio esteso

SUGGERIMENTO I domini di una foresta sono connessi tramite trust transitivi bidirezionali impliciti. Un trust è un collegamento tra due domini, dove un dominio (defi nito dominio trusting) rispetta l’autenticazione di accesso di un altro dominio (defi nito dominio trusted). I trust collegano domini padre e fi glio della stessa struttura di dominio e collegano i domini radice di strutture diverse. Il protocollo predefi nito utilizzato per i trust è Kerberos versione 5. Per ulteriori informazioni, consultare il capitolo 8, “Gestione di trust e autenticazione”.

Le funzioni delle foreste sono limitate e controllate dal livello funzionale della foresta. Sono disponibili diversi livelli funzionali delle foreste, tra cui:

■ Windows 2000 Supporta i controller di dominio che eseguono Windows NT 4.0 e versioni successive di Windows Server. Tuttavia, non è possibile utilizzare i controller di dominio Windows NT 4.0 con Windows Server 2008, né i controller di dominio Windows Server 2008 con Windows NT 4.0.

■ Windows Server 2003 Supporta i controller di dominio che eseguono Windows Server 2003 e Windows Server 2008. Quando tutti i domini all’interno di una foresta operano in questo modo, si riscontrano miglioramenti sia a livello di replica di catalogo globale che a livello di effi cacia della replica per i dati Active Directory. Poiché vengono replicati i valori dei collegamenti, è possibile riscontrare anche miglioramenti a livello di replica


tra siti. È possibile disattivare gli oggetti e gli attributi delle classi dello schema, utilizzare classi ausiliarie dinamiche, rinominare domini e creare trust di foreste unidirezionali, bidirezionali e transitivi.

■ Windows Server 2008 R2 Supporta i controller di dominio che eseguono Windows Server 2008. Quando tutti i domini di una foresta operano in questo modo, si riscontrano miglioramenti a livello di replica tra siti e all’interno di un sito nell’organizzazione. I controller di dominio possono utilizzare anche DFS (Distributed File System) per la replica, al posto di FRS (File Replication Service). Inoltre, le entità di protezione Windows Server 2008 non vengono create fi nché Windows Server 2008 non viene eseguito dal master operazioni per l’emulatore PDC (Primary Domain Controller) nel dominio padre della foresta. Questo requisito è simile al requisito di Windows Server 2003.

NOTA Attualmente, quando si distribuisce Windows Server 2008 Release 2 (R2), è disponibile il livello funzionale della foresta di Windows Server 2008 R2. Questo livello funzionale supporta i controller di dominio che eseguono Windows Server 2008 Release 2 (R2). Quando una foresta opera a questo livello e utilizza i controller di dominio che eseguono Windows Server 2008 R2, i controller di dominio supportano diverse implementazioni a livello di prestazioni e funzionalità rispetto alla versione R2, tra cui Cestino per Active Directory, Funzionalità di verifi ca dell’autenticazione e Aggiunta al dominio offl ine.

UNITÀ ORGANIZZATIVE

Le unità organizzative (OU) sono contenitori logici utilizzati per organizzare gli oggetti all’interno di un dominio. Essendo l’ambito più piccolo al quale è possibile delegare autorità, le OU possono essere utilizzate per facilitare l’amministrazione di account per utenti, gruppi e computer e di altre risorse come stampanti e cartelle condivise.

Aggiungendo OU ad altre OU, è possibile creare una gerarchia all’interno di un dominio. Ogni dominio di una foresta ha la propria gerarchia di OU, che è quindi indipendente dalle gerarchie degli altri domini.

In teoria, le OU vengono create per semplifi care le attività amministrative. Possono infatti essere utilizzate per:

■ Rifl ettere il modo in cui vengono gestiti account e risorse.

■ Rifl ettere la struttura di un determinato dipartimento dell’organizzazione.

■ Rifl ettere le posizioni geografi che delle business unit.

■ Rifl ettere i centri di costo all’interno dell’organizzazione.

Su questa base, è possibile creare le OU per ogni divisione o business unit di un’organizzazione. Ciò consente di delegare autorità agli amministratori a livello di unità, concedendo loro le autorizzazioni per gestire gli account e le risorse solo all’interno di una determinata business unit. Se un amministratore a livello di unità necessita di autorizzazioni in un’altra business unit, è possibile garantirgli le autorizzazioni appropriate per la OU aggiuntiva.


Per impostazione predefi nita, tutte le OU secondarie ereditano le autorizzazioni dalle OU principali. Quindi, un amministratore che dispone di autorizzazioni per una OU padre può gestire anche gli account e le risorse delle OU fi glio in essa contenute. Ad esempio, se il Nord America è la OU padre e Stati Uniti e Canada sono le OU fi glio, un amministratore che dispone di autorizzazioni per il Nord America dispone anche automaticamente delle autorizzazioni per Stati Uniti e Canada.

Nella fi gura 1-15, il dominio cpandl.com utilizza l’organizzazione di un’azienda di vendite e servizi con operazioni globali in Nord America, Europa e Sud America. Vendite e Servizi sono OU di livello principale. La OU Vendite contiene tre OU nidifi cate: NA, Europa e SA. La OU Servizi contiene tre OU nidifi cate: NA, Europa e SA. In questo ambiente, gli amministratori possono avere diversi livelli di responsabilità. Gli amministratori di dominio dispongono delle autorizzazioni per il dominio e per tutte le OU. Gli amministratori della OU Vendite dispongono di autorizzazioni per la OU Vendite e per le relative OU nidifi cate, ma non per il dominio, la OU Servizi e le relative OU nidifi cate. All’interno della OU Vendite, gli amministratori secondari delle singole OU nidifi cate dispongono solo delle autorizzazioni per ogni singola OU.

NA EUROPA

VENDITE

CPANDL.COM

SERVIZI

SA NA EUROPA SA

FIGURA 1-15 Unità organizzative all’interno di un dominio

Gestione di Active DirectoryLa gestione di Active Directory è un’attività molto dispendiosa in termini di tempo per gli amministratori. In questa sezione, vengono descritti gli strumenti e le tecniche di base per questo tipo di amministrazione. La parte II, “Gestione dell’infrastruttura di Active Directory”, fornisce un’analisi approfondita di Active Directory.


Utilizzo di Active DirectoryQuando si stabiliscono domini e foreste installando i controller di dominio, Active Directory crea account utente e gruppi predefi niti per facilitare la gestione della directory e confi gurare i controlli dell’accesso. I gruppi e gli utenti predefi niti più importanti comprendono:

■ Administrator Un account utente predefi nito con accesso e privilegi a livello dell’intero dominio. Per impostazione predefi nita, questo account di un dominio è membro dei gruppi seguenti: Administrators, Domain Admins, Domain Users, Enterprise Admins, Group Policy Creator Owners e Schema Admins.

■ Administrators Un gruppo locale che fornisce accesso completo a un singolo computer o dominio, a seconda della relativa posizione. Poiché questo gruppo gode di un accesso completo, è opportuno scegliere accuratamente gli utenti da aggiungere ad esso. Per rendere un utente amministratore per un computer o dominio locale, è suffi ciente rendere l’utente membro di questo gruppo. Solo i membri del gruppo Administrators possono modifi care questo account. I membri predefi niti del gruppo comprendono Administrator, Domain Admins ed Enterprise Admins.

■ Domain Admins Un gruppo globale designato per facilitare l’amministrazione di tutti i computer in un dominio. I membri di questo gruppo dispongono del controllo a livello amministrativo su tutti i computer di un dominio, perché sono membri del gruppo Administrators per impostazione predefi nita. Per rendere un utente amministratore di un dominio, è necessario farlo diventare membro di questo gruppo.

■ Enterprise Admins Un gruppo globale o universale designato per facilitare l’amministrazione di tutti i computer in una struttura di dominio o in una foresta. I membri di questo gruppo dispongono del controllo a livello amministrativo su tutti i computer di un’organizzazione, perché sono membri del gruppo Administrators per impostazione predefi nita. Per rendere un utente amministratore di un dominio, è necessario farlo diventare membro di questo gruppo.

■ Group Policy Creator Owners Un gruppo globale progettato per facilitare l’amministrazione dei criteri di gruppo. I membri di questo gruppo dispongono del controllo a livello amministrativo sui Criteri di gruppo.

■ Schema Admins Un gruppo globale progettato per facilitare l’amministrazione dello schema di Active Directory. I membri di questo gruppo dispongono del controllo a livello amministrativo sullo schema.

Ogni volta che si utilizza Active Directory, assicurarsi di utilizzare un account utente che sia membro del gruppo o dei gruppi appropriati.

Strumenti di amministrazione di Active DirectoryPer gestire Active Directory, è possibile utilizzare sia gli strumenti di amministrazione grafi ci che gli strumenti da riga di comando. Gli strumenti grafi ci sono i più semplici da utilizzare; tuttavia, se si impara a utilizzare gli strumenti da riga di comando, sarà possibile svolgere più rapidamente le varie attività. Quando si utilizzano gli strumenti da riga di comando con l’Utilità di pianifi cazione, è addirittura possibile automatizzare le attività di routine.


Strumenti di amministrazione grafi ciGli strumenti di amministrazione grafi ci per utilizzare Active Directory sono forniti come snap-in per la MMC (Microsoft Management Console). È possibile accedere a questi strumenti direttamente dal menu Strumenti di amministrazione o aggiungerli a qualsiasi MMC che può essere aggiornata. Se si sta utilizzando un altro computer con l’accesso a uno dominio, gli strumenti non saranno disponibili fi nché non verranno installati. Una tecnica per installarli consiste nell’utilizzare l’Aggiunta guidata funzionalità.

Gli strumenti grafi ci che possono essere utilizzati per gestire Active Directory comprendono:

■ Domini e trust di Active Directory Utilizzato per gestire e mantenere i domini, le strutture di dominio e le foreste. Vedere la fi gura 1-16.

FIGURA 1-16 Domini e trust di Active Directory

■ Siti e servizi di Active Directory Utilizzato per gestire e mantenere siti e subnet. Vedere la fi gura 1-17.

FIGURA 1-17 Siti e servizi di Active Directory

■ Utenti e computer di Active Directory Utilizzato per gestire e mantenere account per utenti, gruppi e computer, oltre che per gestire e mantenere le OU. Vedere la fi gura 1-18.


FIGURA 1-18 Utenti e computer di Active Directory

■ Schema di Active Directory Utilizzato per visualizzare e gestire lo schema in Active Directory. Le classi e gli attributi di oggetti si utilizzano separatamente. Vedere la fi gura 1-19.

FIGURA 1-19 Schema di Active Directory

■ Modifi ca ADSI Utilizzato per modifi care ADSI (Active Directory Service Interfaces). Questo editor di basso livello consente di modifi care direttamente gli oggetti e i relativi attributi. Vedere la fi gura 1-20.


FIGURA 1-20 Modifica ADSI

Attualmente, Windows Server 2008 R2 comprende il Centro di amministrazione di Active Directory. Questo centro consente di svolgere attività amministrative comuni di Active Directory utilizzando una console integrata. In pratica, la console utilizza i cmdlet PowerShell 2.0 per gestire tali attività. Gli stessi cmdlet che la console utilizza sono disponibili per essere utilizzati in un prompt dei comandi PowerShell 2.0.

Anche se ogni strumento ha il proprio scopo specifi co, alcune attività di modifi ca comuni possono essere svolte utilizzando delle tecniche simili. È ad esempio possibile:

■ Trascinare le risorse in nuovi percorsi selezionando gli oggetti che si intende spostare, quindi tenendo premuto il pulsante sinistro del mouse e muovendo contemporaneamente il mouse stesso.

■ Modifi care e impostare le proprietà di più risorse selezionando gli oggetti che si intende utilizzare, facendo clic con il pulsante destro del mouse e quindi selezionando l’operazione, come Aggiungi a gruppo, Disabilita account o Proprietà.

■ Selezionare una serie di risorse contemporaneamente tenendo premuto il tasto MAIUSC, selezionando il primo oggetto e quindi l’ultimo.

■ Selezionare più risorse singolarmente tenendo premuto il pulsante CTRL, quindi selezionando con il pulsante sinistro del mouse ogni oggetto che si intende selezionare.

SUGGERIMENTO Windows Firewall può condizionare l’amministrazione remota con alcuni strumenti della MMC. Se Windows Firewall è attivato in un computer remoto e si riceve un messaggio di errore che indica che non si dispone dei privilegi appropriati, che il percorso di rete non viene trovato o che l’accesso viene negato, potrebbe essere necessario confi gurare un’eccezione sul computer remoto per aprire la porta TCP (Transmission Control Protocol) 455. Per risolvere il problema, attivare l’impostazione dei Criteri di gruppo Windows Firewall: consenti eccezione per amministrazione remota all’interno di Confi gurazione computer\Modelli amministrativi\Rete\Connessioni di rete\Windows Firewall\Profi lo di dominio. Per maggiori informazioni, consultare l’articolo 840634 della Knowledge Base Microsoft (http://support.microsoft.com/default.aspx?scid=kb;en-us;840634, informazioni in lingua inglese).


Strumenti da riga di comandoÈ inoltre possibile gestire Active Directory dalla riga di comando. Gli strumenti da riga di comando che è possibile utilizzare comprendono:

■ ADPREP Utilizzato per preparare una foresta o un dominio per l’installazione di controller di dominio. Utilizzare rispettivamente adprep /forestprep e adprep /domainprep per preparare una foresta o un dominio. Utilizzare adprep /domainprep /gpprep per preparare i Criteri di gruppo per il dominio.

■ DSADD Utilizzato per aggiungere computer, contatti, gruppi, unità organizzative e utenti in Active Directory. Digitare dsadd objectname /? nella riga di comando per visualizzare le informazioni della Guida sull’utilizzo del comando, come dsadd -computer /?.

■ DSGET Utilizzato per visualizzare le proprietà di computer, contatti, gruppi, unità organizzative, utenti, siti, subnet e server registrati in Active Directory. Digitare dsget objectname /? nella riga di comando per visualizzare le informazioni della Guida sull’utilizzo del comando, come dsget subnet /?.

■ DSMOD Utilizzato per modifi care le proprietà di computer, contatti, gruppi, unità organizzative, utenti e server già esistenti in Active Directory. Digitare dsmod objectname /? nella riga di comando per visualizzare le informazioni della Guida sull’utilizzo del comando, come dsmod server /?.

■ DSMOVE Utilizzato per spostare un unico oggetto in un nuovo percorso all’interno di un singolo dominio o per rinominare l’oggetto senza spostarlo. Digitare dsmove /? alla riga di comando per visualizzare informazioni della Guida sull’utilizzo del comando.

■ DSQUERY Utilizzato per trovare computer, contatti, gruppi, unità organizzative, utenti, siti, subnet e server registrati in Active Directory tramite criteri di ricerca. Digitare dsquery /? alla riga di comando per visualizzare informazioni della Guida sull’utilizzo del comando.

■ DSRM Utilizzato per rimuovere oggetti da Active Directory. Digitare dsrm /? alla riga di comando per visualizzare informazioni della Guida sull’utilizzo del comando.

■ NETDOM Utilizzato per gestire relazioni trust e domini dalla riga di comando.

■ NTDSUTIL Utilizzato per visualizzare informazioni su siti, domini e server, gestire master operazioni e svolgere attività di manutenzione di Active Directory. Digitare ntdsutil /? alla riga di comando per visualizzare informazioni della Guida sull’utilizzo del comando.

■ REPADMIN Utilizzato per gestire e monitorare la replica utilizzando la riga di comando.

CAPITOLO 1 Panoramica di Active Directory · 6 CAPITOLO 1 Panoramica di Active Directory Interfacce...

Documents

Transcript of CAPITOLO 1 Panoramica di Active Directory · 6 CAPITOLO 1 Panoramica di Active Directory Interfacce...