Gennaio 2006 V1 - Libero...

Gennaio 2006

V1.0

- 2 -

INDICE WINDOWS 2003 server ......................................................................................................................9 Architettura di WINDOWS 2003 SERVER ........................................................................................9

User Mode......................................................................................................................................10 Environment subsystems ...........................................................................................................10 Integral subsystems ....................................................................................................................11

Kernel Mode ..................................................................................................................................11 Windows 2000 Executive ..........................................................................................................11 Hardware Abstraction Layer (HAL) ..........................................................................................12 Kernel Mode Drivers .................................................................................................................12

Windows 2003 Directory Services ....................................................................................................14 Introduzione ai servizi di directory ................................................................................................14 Workgroup e domini ......................................................................................................................14

Workgroup e Windows 2003 .....................................................................................................14 Domini e Windows 2003 ...........................................................................................................15

Installazione di Windows 2003 e Active Directory ...........................................................................16 Requisiti .........................................................................................................................................16 Installazione di Active Directory ...................................................................................................17 Verifica della corretta installazione dell’Active Directory ............................................................17

Funzionalità, compatibilità e supporto di Windows 2003 .................................................................17 Configurazione base di Windows 2003 .............................................................................................24

Impostazione del TCP/IP ...............................................................................................................24 Impostazione del nome della macchina .........................................................................................25

Cenni preliminari su Gestione computer ...........................................................................................25 Le proprietà del sistema .....................................................................................................................26 Cenni preliminari sul Registro di sistema ..........................................................................................26

Struttura del Registro di sistema ....................................................................................................26 Sottostrutture del Registro di sistema ............................................................................................27 Hive e file del Registro di sistema .................................................................................................27 Voci nelle chiavi del Registro di sistema.......................................................................................28

Servizi Active Directory di Windows 2003.......................................................................................29 Caratteristiche del servizio Active Directory.................................................................................29 Scalabilità.......................................................................................................................................30 Supporto con gli open standard......................................................................................................30 Supporto del formato standard dei nomi........................................................................................30 La struttura di Active Directory .....................................................................................................30 Oggetti............................................................................................................................................30 Il single sign-on..............................................................................................................................30 Archiviazione dei dati di Active Directory ....................................................................................31 Schema...........................................................................................................................................31 Archiviazione dello schema ...........................................................................................................32 Cache dello schema........................................................................................................................32 Protezione dello schema.................................................................................................................32 Nomi degli oggetti .........................................................................................................................32 Organizational Units ......................................................................................................................34 Domini, domain controller ed operations masters .........................................................................34 Server membri................................................................................................................................35 Controller di dominio.....................................................................................................................35 Alberi (Trees) o strutture di dominio .............................................................................................36

- 3 -

Foreste o insieme di strutture .........................................................................................................36 Il global catalog..............................................................................................................................36 Operations masters o master operazioni ........................................................................................37

Ruoli di master operazioni .................................................................................................................37 Ruoli di master operazioni all'interno dell'insieme di strutture .....................................................38

Master schema............................................................................................................................38 Master dei nomi di dominio .......................................................................................................38

Ruoli di master operazioni all'interno del dominio........................................................................38 Master RID.................................................................................................................................38 Master emulatore PDC...............................................................................................................38 Master infrastrutture...................................................................................................................39

Identificare il master RID, l’emulatore PDC, il master infrastrutture ...........................................40 Identificare il master dei nomi di dominio.....................................................................................40 Identificare il master schema .........................................................................................................40 Amministrazione di Active Directory............................................................................................41

Gestione di Active Directory da MMC..............................................................................................41 Personalizzazione della modalità di visualizzazione dei dati negli strumenti di amministrazione e negli snap-in di Active Directory...................................................................................................42 Utilizzo di Utenti e computer di Active Directory.........................................................................42

Avvio delle console MMC di Active Directory dalla riga di comando .....................................43 Gestione di Active Directory dalla riga di comando..........................................................................44

Pianificazione, disegno ed implementazione di active directory...................................................44 Ridenominazione dei controller di dominio.......................................................................................45

Rinominare un controller di dominio.............................................................................................45 Ridenominazione dei domini .............................................................................................................46

Riorganizzazione dell'insieme di strutture .....................................................................................47 Funzionalità del dominio e dell'insieme di strutture ..........................................................................47

Funzionalità del dominio ...............................................................................................................47 Funzionalità dell'insieme di strutture .............................................................................................49 Aumentare il livello di funzionalità del dominio ...........................................................................50

Implementazione di foreste e domini Active Directory.....................................................................50 Definizione di strutture (o foreste).................................................................................................50 Quando creare un nuovo insieme di strutture ................................................................................51 Creare un nuovo insieme di strutture .............................................................................................51 Creare una nuova struttura di dominio...........................................................................................52 Creare un nuovo dominio figlio .....................................................................................................54

Funzionalità del dominio e dell'insieme di strutture ..........................................................................55 Funzionalità del dominio ...............................................................................................................55 Funzionalità dell'insieme di strutture .............................................................................................56 Aumentare il livello di funzionalità del dominio ...........................................................................58 Tipi di trust.....................................................................................................................................58 Trust predefiniti..............................................................................................................................58

Altri trust ............................................................................................................................................59 Implementazione di utenti, gruppi e computer account.....................................................................59

Utenti o user account......................................................................................................................60 Gruppi o group account..................................................................................................................60 Computer account ..........................................................................................................................60

Utenti e gruppi locali..........................................................................................................................60 Creazione di utenti locali ...............................................................................................................61 Creazione di gruppi locali ..............................................................................................................61

Gruppi locali predefiniti.....................................................................................................................62

- 4 -

Utenti, gruppi e computer account di dominio ..................................................................................64 Tipi di gruppi .................................................................................................................................64

Gruppi di distribuzione ..............................................................................................................65 Gruppi di protezione ..................................................................................................................65 Nidificazione dei gruppi di protezioni .......................................................................................65 Conversione tra i gruppi di protezione e i gruppi di distribuzione ............................................66

Ambiti dei gruppi ...........................................................................................................................66 Quando utilizzare i gruppi con ambito locale di dominio..........................................................66 Quando utilizzare i gruppi con ambito globale..........................................................................67 Quando utilizzare i gruppi con ambito universale .....................................................................67 Modifica dell'ambito dei gruppi.................................................................................................67 Gruppi su computer client e server autonomi ............................................................................68

Creare un nuovo account utente.....................................................................................................68 Creare un nuovo gruppo.................................................................................................................69

La protezione di Windows 2003 ........................................................................................................70 Cenni preliminari sulla protezione.................................................................................................70 Autenticazione ...............................................................................................................................70 Controllo degli accessi basato sugli oggetti ...................................................................................70 Criteri di protezione .......................................................................................................................70 Controllo ........................................................................................................................................71 Active Directory e la protezione ....................................................................................................71 Protezione dei dati..........................................................................................................................71 Protezione dei dati di rete...............................................................................................................71 Infrastruttura con chiave pubblica..................................................................................................71 Trust ...............................................................................................................................................71

Cenni preliminari sui protocolli di autenticazione.............................................................................72 Tipi di autenticazione.....................................................................................................................72

Introduzione all'autenticazione ..........................................................................................................72 Accesso interattivo.........................................................................................................................72 Autenticazione di rete ....................................................................................................................73 Autenticazione Kerberos V5..........................................................................................................73

Cenni preliminari sul funzionamento di Kerberos V5 ...............................................................73 Delega dell'autenticazione .................................................................................................................74

Differenze di delega nei prodotti Windows Server 2003...............................................................74 Delega limitata ...............................................................................................................................74

Controllo di accesso...........................................................................................................................75 Cenni preliminari sul controllo di accesso.....................................................................................75 Controllo degli oggetti ...................................................................................................................75 Autorizzazioni................................................................................................................................75

Tipi di autorizzazioni .........................................................................................................................77 Proprietà .............................................................................................................................................77 Effetti dell'ereditarietà sulle autorizzazioni di accesso ai file e alle cartelle......................................78

Per impostare, visualizzare, modificare o rimuovere le autorizzazioni speciali ............................78 Per impostare le autorizzazioni per una risorsa condivisa .............................................................79 Per impostare o rimuovere le autorizzazioni per una stampante ...................................................81 Diritti utente ...................................................................................................................................81

Introduzione ai diritti utente...............................................................................................................81 Privilegi..............................................................................................................................................82 Diritti di accesso.................................................................................................................................87 Diritti di accesso.................................................................................................................................89 Il server DNS .....................................................................................................................................91

- 5 -

Strumenti DNS...................................................................................................................................91 Console DNS..................................................................................................................................91 Utilità della riga di comando..........................................................................................................92 Utilità di monitoraggio degli eventi ...............................................................................................92 Utilità di monitoraggio delle prestazioni .......................................................................................93 Strumentazione gestione Windows (WMI)....................................................................................93 Platform Software Developer Kit (SDK).......................................................................................93

Funzionalità del server .......................................................................................................................93 Risposte alternative alle query .......................................................................................................96 Funzionamento dell'iterazione .......................................................................................................97 Trasferimenti incrementali di zona ................................................................................................98 Esempio: trasferimento di zona......................................................................................................98 Notifica DNS................................................................................................................................100

- 6 -

Esempio 2: ambito esteso per server DHCP privo di routing che supporta reti multiple locali..................................................................................................................................................123 Esempio 3: ambito esteso per server DHCP di routing con agente di inoltro che supporta reti multiple remote ........................................................................................................................124

Per abilitare il DNS per i client DHCP ........................................................................................124 Il servizio WINS ..............................................................................................................................125

Vantaggi derivanti dall'utilizzo di WINS.....................................................................................126 Alcune definizioni........................................................................................................................126

Risoluzione dei nomi NetBIOS................................................................................................126 File di database per TCP/IP .....................................................................................................127

Funzionamento di WINS .............................................................................................................128 Console WINS .............................................................................................................................128 Nuove caratteristiche di WINS ....................................................................................................129

Server WINS....................................................................................................................................131 Server WINS primario e secondario ............................................................................................132

Database WINS................................................................................................................................132 Compressione del database ..........................................................................................................132 Backup del database WINS..........................................................................................................133 File del database WINS................................................................................................................133

Cenni preliminari sulla replica.........................................................................................................134 Cenni preliminari sulla risoluzione ..................................................................................................135 Il web server IIS (Internet Information Server) ...............................................................................136

Servizi di IIS ................................................................................................................................136 Servizio Pubblicazione sul Web ..............................................................................................136 Servizio FTP (File Transfer Protocol) .....................................................................................136 Servizio SMTP (Simple Mail Transfer Protocol) ....................................................................137 Servizio NNTP (Network News Transfer Protocol) ................................................................137 Servizio Amministrazione di IIS..............................................................................................137

Installazione di IIS .......................................................................................................................137 Gestione di IIS .............................................................................................................................138 Creazione di siti web e FTP .........................................................................................................138

Creazione di un sito web..........................................................................................................138 Creazione di un sito FTP..........................................................................................................138

Configurazione di un sito web .....................................................................................................139 Modifica delle impostazioni predefinite dei siti Web..............................................................139 Impostazione delle home directory ..........................................................................................139 Impostazione dei documenti predefiniti...................................................................................139 Utilizzo di directory virtuali.....................................................................................................140

Protezione di un sito web.............................................................................................................141 Autenticazione .........................................................................................................................141 Controllo degli accessi .............................................................................................................141 Certificati .................................................................................................................................141 Crittografia ...............................................................................................................................142

Impostazione delle autenticazioni................................................................................................142 Metodi Web..............................................................................................................................142 Metodi FTP ..............................................................................................................................143 Autenticazione anonima web ...................................................................................................143 Account IUSR_nomecomputer ................................................................................................143 Implementazione dell’autenticazione anonima........................................................................143 Autenticazione di base web......................................................................................................144 Processo dell'autenticazione client...........................................................................................144

- 7 -

Implementazione dell’autenticazione di base ..........................................................................144 Autenticazione anonima FTP...................................................................................................145 Implementazione dell’autenticazione anonima........................................................................145 Autenticazione di base FTP .....................................................................................................145 Implementazione dell’autenticazione di base ..........................................................................146 Osservazioni generali sull’implementazione di un server FTP ...............................................146 Isolamento di utenti FTP..........................................................................................................146 Modalità Isolamento utente FTP..............................................................................................146 Configurazione Isolamento utente FTP con Gestione IIS .......................................................147

Controllo degli accessi .................................................................................................................147 Autorizzazioni NTFS ...............................................................................................................148 Impostazione delle autorizzazioni NTFS per directory o file ..................................................148

Il servizio telnet................................................................................................................................149 Implementazione di un server telnet ............................................................................................149 Amministrazione del server .........................................................................................................150 Impostazione del numero massimo di connessioni......................................................................150 Impostazione della porta telnet ....................................................................................................151 Impostazione dei metodi di autenticazione..................................................................................151

Il cliente telnet..................................................................................................................................151 La modalità telnet.........................................................................................................................151

Criteri di gruppo (GPO) ...................................................................................................................152 Oggetti Criteri di gruppo predefiniti ............................................................................................153 Criteri utente e del computer........................................................................................................154 Ordine di applicazione .................................................................................................................154 Blocco dell'ereditarietà dei criteri ................................................................................................154 Imposizione di criteri di livello superiore ....................................................................................154 Cenni preliminari sulle impostazioni di Criteri di gruppo ...........................................................154 Cartella Modelli amministrativi ...................................................................................................155 Cartella Impostazioni del software ..............................................................................................155 Cartella Impostazioni di Windows...............................................................................................155 Cartella Impostazioni di protezione .............................................................................................156 Oggetti Criteri di gruppo..............................................................................................................156 Cenni preliminari su Installazione software basata su Criteri di gruppo .....................................156 Assegnazione agli utenti ..............................................................................................................157 Assegnazione ai computer ...........................................................................................................157 Pubblicazione per gli utenti..........................................................................................................157 Script di assegnazione delle applicazioni.....................................................................................157 Visualizzazione dell'utente dell'installazione del software ..........................................................158 Gestione di Installazione software basata su Criteri di gruppo....................................................158 Preparazione.................................................................................................................................158 Gestione .......................................................................................................................................158 Rimozione ....................................................................................................................................159 Eliminazione dal server................................................................................................................159

Il sistema di backup .........................................................................................................................159 Cenni preliminari sul backup .......................................................................................................159 Tipi di backup ..............................................................................................................................160 Cenni preliminari sulla copia replicata del volume .....................................................................161 Per eseguire il backup di file su file o su nastro...........................................................................161 Autorizzazioni e diritti utente richiesti per il backup e il ripristino .............................................163 Ripristino autorevole, primario e normale ...................................................................................163

Stampa e server di stampa................................................................................................................163

9

WINDOWS 2003 server Windows 2003 server non è l’unico prodotto della famiglia Windows 2003. Esistono altre versioni di Windows 2003, ovvero Windows 2003 Standard Edition, Windows 2003 Enterprise Edition, Advanced Server e Windows 2003 Datacenter Edition. Vediamo brevemente le caratteristiche delle varie versioni:

1. Windows 2003 Standard Edition: Adatto per fornire servizi di rete quali file server, printer server, web server, ftp server, applications server. Integrazione con il servizio di Active Directory e relativi servizi. Il servizio Active Directory permette la gestione centralizzata di utenti, gruppi, sicurezza, risorse di rete.. L’interfaccia deriva dalla versione Windows 98 mentre l’architettura interna ed i servizi sono una estensione dell’architettura di Windows NT. Presen

10

Figura 1

User Mode Lo strato user mode di Windows è costituito da un insieme di componenti dette sottosistemi. Un sottosistema

passa le richieste di I/O all’appropriato driver del kernel mode, attraverso i servizi di I/O. Il sottosistema isola dunque i suoi user e le applicazioni dall’interfacciamento diretto con le componendi dello strato kernel mode. Lo strato user mode è costituito da due tipi di sottosistema: environment subsystems e integral subsystems.

Environment subsystems Questo tipo di sottosistemi, permettono a Windows 2003 di utilizzare applicazioni scritte per altri sistemi operativi. Questi sottosistemi emulano altri sistemi operativi, fornendo delle API (application program interfaces) che le applicazioni si aspettano di trovare. Due sono gli environment subsystem:

1. Win32: Fornisce un ambiente per le applicazioni Win32, fornisce supporto per le applicazioni Win16 e per i vecchi programmi MS-DOS.

2. POSIX: Fornisce delle API per programmi che supportano lo standard POSIX, standard proposto da IEEE.

11

Integral subsystems Gli integral subsystems effettuano delle funzioni essenziali. Possiamo distinguere le seguenti funzioni:

1. Security: Definisce e controlla i permessi di sicurezza delle account utente. Questo sottosistema accetta il login degli utenti e ne effettua tutto il processo necessario. Tutti gli eventi relativi alla sicurezza possono essere tracciati e conseguente salvati in appositi file.

2. Workstation Services: Un sottosistema costituito da API che definiscono le modalità di accesso alla rete. 3. Server Services: un sottosistema costituito da API che definiscono un network server. Questo sottosistema

permette a Windows 2003 di fornire svariati servizi di rete.

Kernel Mode

Lo strato kernel mode di Windows 2003 ha accesso ai dati di sistema ed alle risorse hardware. Il kernel mode fornsce diretto accesso alla memoria ed è eseguito in un’area protetta di memoria. Nessun processo dell’area user mode ha accesso alla suddetta area. Normalmente in tale area, i processi del kernel hanno una priorità superiore ai processi che vengono effettuato in user mode. Il kernel mode definisce anche priorità maggiori per l’accesso all’hardware ed agli interrupt software. Il kernel mode è costituito da diverse componenti: l’Executive, l’Hardware Abstraction Level (HAL), ed un insieme di driver per il kernel mode.

Windows 2000 Executive

L’Executive effettua la maggior parte delle operazioni di I/O e di object management, inclusa la security. Svariate sono le componenti che costituiscono l’executive. Queste componenti forniscono servizi di sistema e routine interne. I servizi di sistema possono essere utilizzati sia dalla modalità user mode che da altre componenti dell’Executive. Le routine interne invece sono disponibile alle sole componenti dell’Executive.

Riassumiamo nella seguente tabella le componenti dell’Executive:

Component Function

I/O Manager Provides core services for device drivers and translates user-mode read and write commands into read or write IRPs. It manages all the other main operating system IRPs. The I/O Manager manages input from and the delivery of output to different devices. The I/O Manager includes the following components:

File systems Accept the oriented I/O requests and translate them into device-specific calls. The network redirector and the network server are both implemented as file system drivers.

Device drivers Low-level drivers that directly manipulate hardware to accept input or to write output.

Cache Manager Improves disk I/O by storing disk reads in system memory. Cache Manager also improves write performance by caching writes to disk in the background.

Security reference monitor

Enforces security policies on the local computer.

Interprocess Communication (IPC) Manager

Manages communication between clients and servers. The IPC Manager manages communication between environmental subsystems and the Executive. The subsystem acts like a client requesting information, and the Executive acts like a server to satisfy the request for information. The IPC Manager includes the following two components:

Local Procedure Call (LPC) facility Manages communication when clients and servers exist on the same computer.

Remote Procedure Call (RPC) facility Manages communication when clients and

13

Figura 2

Ogni tipologia di driver ha una struttura diversa dagli altri e possiamo individuare i vari tipi di driver in base alla seguente tabella:

Driver type Description

Highest-level drivers

Includes such files system drivers (FSDs) as the system-supplied file allocation table (FAT), NT file system (NTFS), and Compact Disk File System (CDFS) drivers. Highest-level drivers always depend on support from underlying lower-level drivers. Although an FSD may or may not get support from one or more intermediate drivers, every FSD depends on support from one or more underlying peripheral device drivers.

Intermediate drivers

Includes such drivers as a virtual disk, mirror, or device-type-specific class driver. Intermediate drivers depend on support from underlying lower-level drivers. Intermediate drivers also include the following drivers:

PnP function drivers that control specific peripheral devices on an I/O controlled by a PnP hardware bus driver;

14

PnP filter drivers that insert themselves above or below PnP function drivers in the driver stack for a peripheral device;

Any system-supplied class driver that exports a system-defined WDM class/miniport interface;

PnP software bus drivers that present a set of child devices to which higher-level class, function, or filter drivers can attach themselves;

WDM software bus drivers.

Lowest-level drivers

Includes such drivers as PnP hardware bus drivers that control an I/O bus on which some number of peripheral devices are connected. Lowest-level drivers do not depend on lower-level drivers but control physical peripheral devices such as buses. Lowest-level drivers also include legacy Windows NT device drivers that control a physical peripheral device directly, such as the small computer system interface (SCSI) host bus adapter driver.

Tabella 2

Windows 2003 Directory Services Una directory è un insieme o collezione di informazioni relative ad oggetti che sono relazionati tra loro in qualche modo. Un esempio di directory è la rubrica telefonica che contiene nomi, numeri ed altre informazioni di persone. Un servizio di directory è una directory presente in una rete di computer e consultabile da quest’ultimi.

Introduzione ai servizi di directory In un ambiente di rete distribuito è probabile che si presenti la necessità di gestire ed individuare risorse di rete quali computer, server, persone,stampanti, file, fax, database, applicazioni ecc. è necessario che tali risorse siano facilmente individuabili per gli utenti come per gli amministratori. Un servizio di directory si presta ottimamente per tale scopo. Sostanzialmente dunque, un directory è un database che contiene tutte le informazioni delle risorse di rete ed è referenziabile o consultabile attraverso svariate metodologie, direttamente dagli utenti o dagli applicativi. L’operazione di recupero delle informazioni è detta query. Oltre alla funzione di base appena descritta, un servizio di directory può svolgere le seguenti funzioni:

• Gestire la sicurezza sull’accesso degli oggetti all’interno della directory. È possibile definire delle ACL (Access Contro List) che permettono agli utenti di accedere alle informazioni secondo criteri di sicurezza e permessi appositamente definiti.

• Effettuare la replica delle informazioni all’interno delle directory su altre macchine facilitando l’accesso ad altri utenti ed evitando failure.

• Distribuire il database del servizio di directory su macchine diverse garantendo così anche una base date di grandi dimensioni.

Un servizio di directory è utile non solo agli utenti finali ma anche agli amministratori.

Workgroup e domini Windows 2003 supporta due tipi di reti: workgroup e domini

Workgroup e Windows 2003 Un workgroup è un raggruppamento logico di computer in rete che condividono risorse quali file e stampanti. Tale struttura è di tipo peer-to-peer in quanto non esiste alcun computer privilegiato che fornisce risorse condivise ma tutti i computer mettono a disposizione alcune o tutte le proprie risorse.

15

Figura 3

Ogni computer ha il proprio sistema di sicurezza, i propri utenti, i propri gruppi di utenti. È possibile vedere in figura un workgroup: Poiché ogni computer ha i propri utenti ed i propri criteri di sicurezza, la gestione di questi è decentralizzata. Ad esempio la creazione di un utente nuovo deve essere effettuato su ogni computer se costui ha la necessità di lavorare su tutte le macchine. Un workgroup fornisce i seguenti vantaggi:

• Un workgroup non richiede un computer con Windows 2003 per una gestione centralizzata della sicurezza • Un workgroup è facile da progettare e da implementare. L’amministrazione è più banale che nel caso di un

dominio. • Un workgroup è utile per gruppi di lavoro piccoli che non richiedono una gestione centralizzata.

In un workgroup, un computer Windows 2003 è detto stand-alone.

Domini e Windows 2003 Un dominio è un raggruppamento logico di computer che condividono un database directory centralizzato. Il database directory contiene le account utenti e le informazioni relative alla sicurezza dell’intero dominio. In ambiente Windows 2003 il database directory è semplicemente detto directory e fa parte del servizio di Active Directory. In un dominio la directory risiede nei computer Windows 2003 configurati come domain controller. Un domain controller è un computer server che gestisce tutte le interazioni e relazioni utenti/dominio e ne centralizza l’amministrazione.

16

Figura 4 N.B. Mentre in passato nei domini Windows NT si distinguevano i domain controller come PDC (Primari Domain Controller) e BDC (Backup Domain Controller), in ambiente Windows 2003 non esiste più questa distinzione e di parla solo più di domain controller. Un dominio non si riferisce ad una singola locazione o ad una particolare configurazione di rete. Computer all’interno di un dominio non necessariamente devono essere all’interno della stessa LAN, ma possono anche essere separati geograficamente anche su scala intercontinentale, connessi tra loro tramite linee dedicate, ISDN, xDSL od altre tecnologie. I vantaggi di un dominio Windows 2003 sono:

• Amministrazione centralizzata degli utenti perché tutte le informazioni sono memorizzate centralmente. • Un dominio fornisce single logon, ovvero ogni utente può accedere a qualsiasi computer all’interno di un

domini con la propria username e password. Può dunque accedere alle varie risorse di rete disponibili, come stampanti di rete, file server ed altri servizi, ovviamente se le autorizzazione gli consentono tali opportunità.

• Un dominio è completamente scalabile, dunque è possibile configurare reti di grandi dimensione che evolvono nel tempo.

Installazione di Windows 2003 e Active Directory

Requisiti • È necessario di disporre di una versione Windows 2003 esclusa la versione Web Edition che non supporta AD. • Un PC con almeno 250 MB di spazio disco. • Un partizione NTFS. La partizione NTFS è richiesta per il folder SYSVOL. • I privilegi necessari alla creazione di un dominio, se questo viene creato in un ambiente Windows 2003 già

esistente. • TCP/IP configurato e funzionante. • (Facoltativo)Un server DNS autoritativo del dominio e che supporti le seguenti caratteristiche:

o SRV record, che specifica un particolare servizio presente su un server. o Supporto dell’update dinamico. Tale caratteristiche permette a server ed a client di modificare i record

all’interno del DNA facilitandone l’amminstrazione. Può risultare utile per la gestione dei record SRV che altrimenti vanno gestiti manualmente.

o Zone transfer incrementale. Esso permette da master e slave DNS, di effettuare trasferimenti dei soli cambiamenti avvenuti e non dell’intera zona.

17

Installazione di Active Directory La via più facile per creare un nuovo AD è quello di utilizzare il wizard proposto da Windows 2003 nel menu “Amministrazione del server”, oppure da linea di domando utilizzando il comando dcpromo. Seguendo le istruzioni risulta di facile installazione. Durante il processo di installazione avvengono le seguenti attività:

• Partenza del protocollo kerberos 5 • Definizione dell’LSA (Local Security Authority). Questo parametro definisce che il nostro server è un domain

controller. • Creazione di una partizione AD. Una partizione è un sottoinsieme del namespace. Viene generata una struttura

ad albero. Durante tale creazione, per il primo domain controller all’interno di una foresta vengono create: o Partizione per lo schema. o Partizione per la configurazione. o Partizione per il dominio. o La zona DNS per la foresta. o La zona DNS per il dominio.

• Creazione del database di AD ed i file di log. Essi sono situati in %systemroot%\Ntds. • Creazione del dominio root della foresta. Se il server è il primo della foresta, esso diventa domain controller ed

inoltre assume anche il ruolo di: o PDC (utile se sono presenti macchine Windows NT). o RID master. o Domain-naming master. o Schema master. o Infrastructure master.

• Creazione di alcuni folder condivisi: o Net logon folder, che contiene eventuali script eseguiti durante le operazioni di login da rete, per

macchine che contengono sistemi operativi diversi da Windows 2003. o SYSVOL folder, che contiene informazioni relative al Group Policy.

• Implementazione dei criteri di sicurezza ed abilitazione delle account con relative password. L’installazione di AD infatti aggiunge ulteriori gruppi ed utenti non presenti precedentemente nel sistema.

• Modifica di alcuni menu in “Strumenti di amministrazione”. Gli utenti non possono più essere gestiti in modo tradizionale ma solo più attraverso AD.

Verifica della corretta installazione dell’Active Directory Qualora si voglia verificare se l’AD è stato installato correttamente è possibile effettuare i seguenti passaggi:

• Da esegui (o run) digitare il comando %systemroot%\sysvol. Dovrebbe comparire il folder SYSVOL ed altrii folder quali domain, staging, staging area.

• Da line adi comando digitare il comando net share: dovrebbero esistere due share relativi a NETLOGON e SYSVOL.

• Da esegui digitare il comando %systemroot%\ntds. Dovrebbe comparire il file Ntds.dit che è il database di AD, ed altri file di tipo Edb e Res.

Funzionalità, compatibilità e supporto di Windows 2003 Nel paragrafo seguente riportiamo le funzionalità possibili tramite l’utilizzo di Windows2003

Accodamento messaggi

La funzionalità Accodamento messaggi consente agli sviluppatori di creare e distribuire applicazioni che assicurano un'esecuzione più affidabile nei diversi tipi di rete, inclusa Internet. Queste applicazioni sono in grado di interagire con quelle eseguite su piattaforme diverse, ad esempio mainframe e sistemi UNIX. Per ulteriori informazioni, vedere Utilizzo di Accodamento messaggi.

21

Il protocollo DHCP (Dynamic Host Configuration Protocol) utilizza DNS e Active Directory sulle reti IP (Internet Protocol), eliminando così la necessità di assegnare e tenere traccia degli indirizzi IP statici. Il protocollo DHCP assegna in modo dinamico gli indirizzi IP a risorse o computer connessi a una rete IP. Per ulteriori informazioni, vedere Servizi di rete.

Qualità del servizio

I servizi e i protocolli basati sulla qualità del servizio (QoS) forniscono un sistema di distribuzione delle informazioni in rete garantito, end-to-end e rapido. Per ulteriori informazioni, vedere Qualità del servizio (QoS).

Rete privata virtuale

Implementando una rete privata virtuale (VPN) è possibile consentire agli utenti di accedere alla rete dell'organizzazione anche quando si trovano fuori sede e di ridurre il costo di tali connessioni. Mediante la connessione VPN viene creato nella rete privata un tunnel protetto per l'accesso a Internet.

Nei sistemi della famiglia Windows Server 2003 sono disponibili due tipi di tecnologia VPN:

• PPTP (Point-to-Point Tunneling Protocol): utilizza per la crittografia dei dati i metodi di autenticazione PPP (Point-to-Point Protocol) e MPPE (Microsoft Point-to-Point Encryption).

• L2TP (Layer Two Tunneling Protocol) con IPSec (Internet Protocol Security). Il protocollo L2TP utilizza per la crittografia dei dati i metodi di autenticazione PPP a livello utente e i certificati a livello di computer con IPSec.

In Windows Server 2003, Web Edition e Windows Server 2003, Standard Edition è possibile creare fino a 1.000 porte Point-to-Point Tunneling Protocol (PPTP) e fino a 1.000 porte Layer Two Tunneling Protocol (L2TP). Tuttavia, Windows Server 2003, Web Edition può accettare solo una connessione a rete privata virtuale (VPN) alla volta. Per ulteriori informazioni sulla disponibilità delle funzionalità in Windows Server 2003, Web Edition, vedere Cenni preliminari su Windows Server 2003, Web Edition. Windows Server 2003, Standard Edition può accettare fino a 1.000 connessioni VPN simultanee. Se sono connessi 1.000 client VPN, verranno negati ulteriori tentativi di connessione fino a quando il numero di connessioni non sarà inferiore a 1.000.

Per ulteriori informazioni sulle reti private virtuali, vedere Reti private virtuali.

Ripristino automatico di sistema

Ripristino automatico di sistema consente di ripristinare il sistema nel caso in cui si verifichi un malfunzionamento del disco rigido o il sistema sia danneggiato in modo grave. Le procedure guidate che fanno parte dell'utilità di backup consentono di predisporre facilmente i materiali necessari per il Ripristino automatico di sistema. Utilizzando il Ripristino automatico di sistema in combinazione con le procedure standard per il backup di dati e applicazioni, è possibile ripristinare un sistema nello stato in cui si trovava al momento del backup. Per ulteriori informazioni su Ripristino automatico di sistema, vedere Cenni preliminari su Ripristino automatico di sistema. Per ulteriori informazioni su altre opzioni per il ripristino del sistema, vedere Ripristino dopo un problema grave.

Routing e Accesso remoto

Routing e Accesso remoto sostituisce le funzionalità RRAS (Routing and Remote Access Service) e RAS (Remote Access Service) di Windows NT 4.0. Routing e Accesso remoto è un servizio unico integrato che supporta le connessioni da client remoti o da client di rete privata virtuale (VPN), fornisce il routing (IP, IPX e servizi per Macintosh) oppure esegue entrambe le operazioni. Con il servizio Routing e Accesso remoto, il server può essere utilizzato come server di accesso remoto, server VPN, gateway o router di una filiale. Per ulteriori informazioni, vedere Routing e Accesso remoto.

Servizi certificati

Servizi certificati e gli strumenti per la gestione dei certificati consentono di distribuire un'infrastruttura a chiave pubblica (PKI) personale. Utilizzando un'infrastruttura a chiave pubblica è possibile implementare tecnologie basate su standard, quali le funzionalità di accesso con smart card, l'autenticazione client mediante SSL (Secure Sockets Layer) e TLS (Transport Layer Security), la posta elettronica protetta, le firme digitali e la connettività protetta mediante IPSec (Internet Protocol Security). Il componente Servizi certificati consente di impostare e gestire Autorità di certificazione (CA) che emettono e revocano i certificati X.509 v3. Questo significa che, sebbene sia possibile integrare l'autenticazione client a pagamento nell'infrastruttura a chiave pubblica personale, gli utenti non devono più dipendere dai servizi di autenticazione client commerciali. Per ulteriori informazioni, vedere Servizi certificati.

Servizi componenti

Servizi componenti è un insieme di servizi basati su estensioni del modello COM (Component Object Model) e su Microsoft Transaction Server, una versione precedente del sistema di elaborazione delle transazioni basato su componenti. Servizi componenti fornisce protezione e threading, gestione delle transazioni, pool di oggetti, componenti in coda, nonché amministrazione di applicazioni e creazione di pacchetti di applicazioni.

Per visualizzare la Guida in linea completa delle applicazioni COM+ e di Servizi componenti, fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione, quindi Servizi componenti. In Servizi componenti, scegliere Guida in linea dal menu ?.

22

Servizi di installazione remota

Utilizzando Servizi di installazione remota (RIS) è possibile creare immagini di installazione di sistemi operativi o anche configurazioni di computer complete, incluse le applicazioni e le impostazioni desktop. È quindi possibile rendere disponibili queste immagini agli utenti di computer client. È necessario però che i computer client supportino l'avvio remoto con ROM PXE (Pre-Boot eXecution Environment). In alternativa, è necessario avviarli utilizzando un disco floppy per l'avvio remoto. Per ulteriori informazioni, vedere Servizi di installazione remota.

Questa funzionalità non è inclusa nei computer con sistema operativo Microsoft® Windows® Server 2003, Web Edition. Per ulteriori informazioni, vedere Cenni preliminari su Windows Server 2003, Web Edition.

Servizi di posta elettronica (POP3, SMTP)

POP3 (Post Office Protocol 3) supporta il trasferimento di messaggi di posta elettronica e offre servizi per il recupero dei messaggi stessi. Gli amministratori possono utilizzare POP3 per l'archiviazione e la gestione degli account di posta elettronica sul server di posta. SMTP (Simple Mail Transfer Protocol) supporta il trasferimento dei messaggi di posta elettronica tra server. Per ulteriori informazioni, vedere Servizio POP3 e Servizio SMTP (Simple Mail Transfer Protocol).

Servizi UDDI (Universal Description, Discovery and Integration)

UDDI (Universal Description, Discovery and Integration) è una specifica standard per la pubblicazione e l'individuazione delle informazioni relative ai servizi Web. Alcuni sistemi della famiglia Windows Server 2003 sono dotati di Servizi UDDI, un servizio Web che fornisce funzionalità UDDI da utilizzare all'interno di un'organizzazione o tra più organizzazioni. Per ulteriori informazioni, vedere Cenni preliminari su Servizi UDDI.

Servizi UDDI non è incluso in Windows Server 2003, Web Edition. Windows Server 2003, Standard Edition, inoltre, supporta soltanto installazioni autonome di Servizi UDDI. Il supporto per l'installazione distribuita è disponibile in Windows Server 2003, Enterprise Edition e Windows Server 2003, Datacenter Edition. In un'installazione autonoma di Servizi UDDI vengono installati in un unico server sia il componente server Web UDDI che il componente database UDDI. In un'installazione distribuita, i componenti UDDI vengono distribuiti su più server.

Per ulteriori informazioni su Windows Server 2003, Web Edition, vedere Cenni preliminari su Windows Server 2003, Web Edition.

Servizi Windows Media

Servizi Windows Media supporta la distribuzione di flussi audio e video in reti Intranet aziendali e in Internet. In Windows Server 2003, Enterprise Edition o Windows Server 2003, Datacenter Edition Servizi Windows Media fornisce funzionalità di streaming avanzate, ad esempio multicasting, supporto per reti senza fili, autenticazione Internet e API Cache/Proxy.

Servizi Windows Media non è incluso in Windows Server 2003, Web Edition o nelle versioni a 64 bit dei sistemi della famiglia Windows Server 2003.

Servizio cluster

Il termine "cluster" indica un gruppo di computer indipendenti che collaborano per eseguire un set comune di applicazioni e presentare al client e all'applicazione un'unica immagine del sistema. Per ulteriori informazioni, vedere la voce "Cluster di bilanciamento del carico di rete" o "Cluster di server" in questo elenco.

I cluster di server sono disponibili soltanto in Windows Server 2003, Enterprise Edition e Windows Server 2003, Datacenter Edition.

Servizio di Autenticazione Internet

Servizio di Autenticazione Internet (IAS) fornisce un punto centralizzato per la gestione di autenticazioni, autorizzazioni, account e controllo degli utenti di accesso remoto o della rete privata virtuale (VPN). Il servizio IAS utilizza il protocollo RADIUS (Remote Authentication Dial-In User Service) sviluppato dalla IETF (Internet Engineering Task Force). Per ulteriori informazioni, vedere Servizio di Autenticazione Internet.

Questa funzionalità non è inclusa nei computer con sistema operativo Microsoft® Windows® Server 2003, Web Edition. Per ulteriori informazioni, vedere Cenni preliminari su Windows Server 2003, Web Edition. In Windows Server 2003, Standard Edition è possibile configurare il servizio IAS con un massimo di 50 client RADIUS e 2 gruppi di server RADIUS remoti. Per ulteriori informazioni su queste limitazioni, vedere Servizio di Autenticazione Internet.

Servizio di indicizzazione

In Servizio di indicizzazione è disponibile un metodo rapido, semplice e sicuro per la ricerca di informazioni a livello locale o sulla rete. Gli utenti possono eseguire ricerche in file in lingue e formati diversi utilizzando il comando Trova disponibile nel menu Start oppure mediante le pagine HTML (Hypertext Markup Language) visualizzate in un browser.

Supporto per il protocollo Kerberos V5

23

Kerberos V5 è un protocollo di autenticazione di rete standard affermato. Il supporto per questo protocollo consente agli utenti di accedere alle risorse aziendali, oltre che ad altri ambienti che supportano tale protocollo, mediante un unico processo di accesso rapido. Il supporto per Kerberos V5 offre ulteriori vantaggi, quali l'autenticazione reciproca di client e server e l'autenticazione delegata

24

Configurazione base di Windows 2003 Prima di addentrarci all’intero dei servizi offerti da Windwos 2003, vediamo come assegnare un nome alla macchina e come questa possa essere inserita in rete. Tale procedura non deve essere effettuata durante l’installazione del sistema operativo. Infatti durante questo processo viene già richiesto il nome che assumerà il PC ed il suo indirizzo qualora quest’ultimo debba essere inserito nella rete. Quanto analizziamo in questo paragrafo è da ritenersi quindi procedura qualora sia necessario cambiare il nome alla macchina oppure cambiare le caratteristiche della connessione TCP/IP.

Impostazione del TCP/IP

Per impostazione predefinita, i computer con sistemi operativi Windows Server 2003 vengono configurati come client DHCP (Dynamic Host Configuration Protocol). In altri termini, questi computer possono ricevere lease da qualsiasi server DHCP disponibile. I computer TCP/IP (host) presenti su una rete DHCP ricevono automaticamente le configurazioni TCP/IP da server DHCP che si trovano in un altro punto della rete. Questo rappresenta lo scenario più comune per reti TCP/IP di medie e grandi dimensioni. Per ulteriori informazioni su DHCP, vedere DHCP.

In alcuni casi sarà necessario configurare il protocollo TCP/IP per l'indirizzamento statico. La configurazione di TCP/IP per l'indirizzamento statico è il processo mediante il quale vengono assegnati manualmente indirizzi univoci e permanenti alle periferiche di rete e vengono fornite informazioni sugli indirizzi statici relativi ad altre risorse di rete, ad esempio server DHCP, router e gateway predefiniti. Se un computer viene configurato per l'esecuzione su una rete che non dispone di un server DHCP ma in cui è abilitato il servizio WINS (Windows Internet Name Service), sarà necessario configurare il protocollo TCP/IP per l'utilizzo di WINS. Per ulteriori informazioni su WINS, vedere WINS.

Le operazioni più comuni associate all'impostazione del TCP/IP comprendono la configurazione del TCP/IP per l'indirizzamento statico e la configurazione del TCP/IP per l'utilizzo di WINS. È possibile impostare il protocollo TCP/IP anche dalla riga di comando. Per ulteriori informazioni su altre operazioni relative all'impostazione del TCP/IP, vedere Procedure.

Per configurare TCP/IP per l'indirizzamento statico

1. Aprire Connessioni di rete. 2. Fare clic con il pulsante destro del mouse sulla connessione di rete che si desidera configurare, quindi scegliere

Proprietà. 3. Nella scheda Generale (per una connessione alla rete locale) oppure nella scheda Rete (per tutte le altre

connessioni) fare clic su Protocollo Internet (TCP/IP), quindi su Proprietà. 4. Fare clic su Utilizza il seguente indirizzo IP ed effettuare una delle seguenti operazioni:

o Per una connessione alla rete locale, digitare l'indirizzo IP, la subnet mask e gli indirizzi del gateway predefinito nelle caselle Indirizzo IP, Subnet mask e Gateway predefinito.

o Per tutte le altre connessioni, digitare l'indirizzo IP nella casella Indirizzo IP. 5. Fare clic su Utilizza i seguenti indirizzi server DNS. 6. Nelle caselle Server DNS preferito e Server DNS alternativo digitare l'indirizzo primario e quello

secondario del server DNS.

Note

• Per completare questa procedura, è necessario effettuare l'accesso come amministratore oppure come membro del gruppo Administrators o Network Configuration Operators. Se il computer è connesso a una rete, è possibile che le impostazioni dei criteri di rete impediscano il completamento di questa procedura.

• Per aprire Connessioni di rete, fare clic sul pulsante Start, scegliere Pannello di controllo, quindi fare doppio clic su Connessioni di rete.

• Se sulla rete non è disponibile un server DNS, è possibile ignorare i passaggi 5 e 6.

Per configurare TCP/IP per l'utilizzo del servizio WINS

1. Aprire Connessioni di rete. 2. Fare clic con il pulsante destro del mouse sulla connessione di rete che si desidera configurare, quindi scegliere

Proprietà.

25

3. Nella scheda Generale (per una connessione alla rete locale) oppure nella scheda Rete (per tutte le altre connessioni) fare clic su Protocollo Internet (TCP/IP), quindi su Proprietà.

4. Fare clic su Avanzate, scegliere la scheda WINS, quindi scegliere il pulsante Aggiungi. 5. In Server WINS TCP/IP digitare l'indirizzo IP del server WINS, quindi scegliere il pulsante Aggiungi. 6. Ripetere i passaggi 4 e 5 per ogni indirizzo IP del server WINS che si desidera aggiungere, quindi scegliere

OK. 7. Per consentire l'utilizzo del file Lmhosts per la risoluzione di nomi NetBIOS remoti, selezionare la casella di

controllo Abilita ricerca LMHOSTS. Questa casella di controllo è selezionata per impostazione predefinita. 8. Per specificare il percorso del file che si desidera importare nel file Lmhosts, fare clic su Importa

LMHOSTS, quindi selezionare il file nella finestra di dialogo Apri. 9. Per abilitare o disabilitare NetBIOS su TCP/IP, effettuare le seguenti operazioni:

o Per abilitare l'utilizzo di NetBIOS su TCP/IP, fare clic su Abilita NetBIOS su TCP/IP. o Per disabilitare l'utilizzo di NetBIOS su TCP/IP, fare clic su Disabilita NetBIOS su TCP/IP. o Per consentire al server DHCP di determinare se NetBIOS su TCP/IP è abilitato o disabilitato, fare

clic su Predefinite. Per ulteriori informazioni, fare riferimento alle note.

Note

• Per completare questa procedura, è necessario effettuare l'accesso come amministratore oppure come membro del gruppo Administrators o Network Configuration Operators. Se il computer è connesso a una rete, è possibile che le impostazioni dei criteri di rete impediscano il completamento di questa procedura.

• Per aprire Connessioni di rete, fare clic sul pulsante Start, scegliere Pannello di controllo, quindi fare doppio clic su Connessioni di rete.

• Se si utilizza un server DHCP per allocare gli indirizzi IP del server WINS, non è necessario aggiungere gli indirizzi del server WINS.

• Non è più possibile configurare l'ID dell'ambito NetBIOS nella scheda WINS (opzione precedentemente disponibile in Windows NT 4.0). Per configurare l'ID dell'ambito NetBIOS, impostare il valore del Registro di sistema riportato di seguito sull'ID dell'ambito che si desidera utilizzare:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\ScopeID

Attenzione

• Modifiche errate al Registro di sistema potrebbero danneggiare gravemente il sistema. Prima di apportare modifiche al Registro di sistema, è necessario effettuare il backup di tutti i dati rilevanti presenti nel computer.

Impostazione del nome della macchina Per impostare il nome della macchina è necessario:

1. Aprire il menu start. 2. Selezionare “Risorse del computer” e con il tastro destro cliccare su Proprietà. 3. Selezionare “nome computer” e quindi “cambia”.

Cenni preliminari su Gestione computer Gestione computer è un insieme di strumenti amministrativi per la gestione di singoli computer locali o remoti. Riunisce diverse utilità di amministrazione in un'unica struttura della console, fornendo un accesso semplice a proprietà e strumenti amministrativi.

È possibile utilizzare Gestione computer per svolgere le operazioni seguenti:

• Controllare eventi del sistema, come orari di accesso e errori delle applicazioni. • Creare e gestire risorse condivise. • Visualizzare l'elenco di utenti connessi a un computer locale o remoto. • Avviare e arrestare servizi del sistema, come Utilità di pianificazione e Servizio di indicizzazione. • Impostare le proprietà delle periferiche di archiviazione. • Visualizzare le configurazioni delle periferiche e aggiungere nuovi driver di periferica. • Gestire applicazioni e servizi.

26

Gestione computer contiene tre elementi: Utilità di sistema, Archiviazione e Servizi e applicazioni. Per ulteriori informazioni, vedere:

• Cenni preliminari su Utilità di sistema • Cenni preliminari su Archiviazione • Cenni preliminari su Servizi e applicazioni

Nota

• Se non si è membri del gruppo Administrators, è possibile che non si disponga delle credenziali amministrative necessarie per visualizzare o modificare alcune proprietà o svolgere alcune operazioni disponibili in Gestione computer.

Le proprietà del sistema 1. Aprire Gestione computer. 2. Nella struttura della console fare clic con il pulsante destro del mouse su Gestione computer (locale) e quindi

scegliere Proprietà.

Note

• Per l'esecuzione di questa operazione non sono richieste credenziali amministrative. Per una protezione ottimale, si consiglia quindi di eseguire questa operazione come utente senza credenziali amministrative.

• Per aprire Gestione computer, fare clic sul pulsante Start, scegliere Pannello di controllo, quindi fare doppio clic su Strumenti di amministrazione e infine su Gestione computer.

• Nella scheda Generale sono indicati la versione di Windows installata, il nome della persona autorizzata a utilizzare la copia di Windows installata, il tipo di processore e la memoria fisica totale del computer. Se il sistema operativo è stato installato da un OEM (Original Equipment Manufacturer), la scheda indica inoltre le informazioni relative al supporto tecnico.

• È possibile visualizzare l'identificativo di rete del computer scegliendo la scheda Nome computer. • Per eseguire questa procedura su un computer remoto, fare clic con il pulsante destro del mouse su Gestione

computer (locale), scegliere Connetti a un altro computer, selezionare Altro computer e quindi digitare il nome del computer remoto. È quindi possibile seguire questa procedura a partire dal passaggio 2, sostituendo Gestione computer (nomecomputer remoto) a Gestione computer (locale). È necessario essere membri del gruppo Administrators o disporre di delega appropriata per il computer specificato come nomecomputer remoto.

Cenni preliminari sul Registro di sistema In Microsoft® Windows® Server 2003, le informazioni sulla configurazione del sistema vengono memorizzate in ordine gerarchico in un unico database chiamato Registro di sistema. Il Registro di sistema sostituisce molti dei file di configurazione INI, SYS e COM utilizzati in Windows per MS-DOS® e Microsoft LAN Manager.

Struttura del Registro di sistema

Il Registro di sistema è organizzato in una struttura gerarchica composta da sottostrutture e dalle relative chiavi, sottochiavi e voci.

Il contenuto del Registro di sistema di un computer può essere molto diverso da quello di un altro a seconda delle periferiche, dei servizi e dei programmi installati su ciascuno di essi.

A ogni chiave possono corrispondere delle sottochiavi che a loro volta possono avere delle sottochiavi. Benché la maggior parte delle informazioni nel Registro di sistema sia memorizzata sul disco e sia considerata permanente, alcune informazioni memorizzate nelle chiavi volatili vengono sovrascritte ogni volta che si avvia il sistema operativo.

28

systemdrive sono segnaposti che indicano rispettivamente la directory e la partizione contenenti i file di sistema di Windows Server 2003. Se i file di sistema di Windows Server 2003 ad esempio per l'utente di nome Venturi si trovano nella directory Winnt della partizione C:, i file hive saranno memorizzati nelle cartelle C:\Windows\System32\Config e C:\Documents and Settings\Venturi. I file hive sono detti anche file del Registro di sistema o file registro.

Per impostazione predefinita, la maggior parte dei file hive, DEFAULT, SAM, SECURITY, SOFTWARE e SYSTEM, è memorizzata nella cartella systemroot\System32\Config. Nei sistemi operativi della serie Windows Server 2003 la posizione delle informazioni del profilo utente relative a ciascun utente di un computer, inclusi i file Ntuser.dat e Ntuser.dat.log, può variare a seconda che sia stata effettuata una nuova installazione del sistema operativo oppure che sia stato effettuato un aggiornamento da Windows NT o Windows 2000. Nel caso di nuove installazioni, i file Ntuser.dat e Ntuser.dat.log vengono memorizzati nella cartella systemdrive\Documents and Settings\nomeutente. Nel caso di installazioni che rappresentano un aggiornamento da Windows NT o Windows 2000, i file Ntuser.dat e Ntuser.dat.log sono invece memorizzati nella cartella systemroot\Profili\nomeutente.

Ogni hive nel Registro di sistema di Windows Server 2003 è associato a una serie di file standard. Nella tabella seguente sono riportati gli hive e i file standard per un computer in cui è installato un sistema operativo della serie Windows Server 2003.

Hive del Registro di sistema Nomi dei file HKEY_LOCAL_MACHINE\SAM Sam e Sam.log HKEY_LOCAL_MACHINE\SECURITY Security e Security.log HKEY_LOCAL_MACHINE\SOFTWARE Software e Software.log HKEY_LOCAL_MACHINE\SYSTEM System e System.log HKEY_CURRENT_CONFIG System e System.log HKEY_CURRENT_USER Ntuser.dat e Ntuser.dat.logHKEY_USERS\.DEFAULT Default e Default.log

Voci nelle chiavi del Registro di sistema Ogni chiave o sottochiave del Registro di sistema può contenere dati definiti voci. Le informazioni memorizzate in alcune voci riguardano i singoli utenti, mentre altre riguardano tutti gli utenti di un computer. Una voce è costituita da tre parti: il nome del valore, il tipo di dati del valore e il valore stesso.

Il tipo indica il formato dei dati. I tipi di dati compresi tra 0 e 0x7FFFFFFF sono riservati per le definizioni del sistema. È consigliabile che i programmi utilizzino questi tipi di dati, ma ad essi sono riservati anche i tipi di dati compresi tra 0x80000000 e 0xFFFFFFFF.

Nella tabella che segue sono elencati i tipi di dati correntemente definiti e utilizzati dal sistema.

Tipo di dati Descrizione

REG_BINARY Dati binari non formattati. Quasi tutte le informazioni sui componenti hardware sono memorizzate come dati binari e vengono visualizzate nell'Editor del Registro di sistema in formato esadecimale.

REG_DWORD

Dati rappresentati da un numero della lunghezza di 4 byte. Molti parametri relativi a driver di periferica e servizi appartengono a questo tipo e vengono visualizzati nell'Editor del Registro di sistema in formato binario, esadecimale oppure decimale.

REG_EXPAND_SZ Stringa di dati di lunghezza variabile. Questo tipo di dati include le variabili risolte quando un programma o un servizio utilizza i dati.

REG_MULTI_SZ Stringa multipla. A questo tipo appartengono i valori che contengono elenchi o valori multipli in un formato leggibile. Le voci sono separate da spazi, virgole o altri segni di punteggiatura.

REG_SZ Stringa di testo di lunghezza fissa.

REG_FULL_RESOURCE_DESCRIPTOR Serie di matrici nidificate, create per memorizzare un elenco di risorse per un componente hardware o un driver.

30

Scalabilità In Active Directory, le informazioni vengono memorizzate utilizzando delle partizioni, le quali sono driver logici che organizzano la directory in sezioni, e permettono la memorizzazione di grosse quantità di dati. La directory può dunque essere espansa nel tempo permettendo dunque la gestione di reti con grandi quantità di informazioni e risorse.

Supporto con gli open standard Active Directory è compatibile con i servizi di directory DNS, ovvero i nomi utilizzati per le macchine sono compatibili con il servizio DNS. Inoltre Active Directory può scambiare informazioni con qualsiasi sistema che utilizza il noto protocollo LDAP (Lightweight Directory Access Protocol).

Supporto del formato standard dei nomi Active Directory è compatibile con le definizioni standard dei nomi noti su internet. Nella seguente tabella vengono riassunte le compatibilità:

Format Description

RFC 822 RFC 822 names are in the form username@domainname and are familiar to most users as Internet e-mail addresses.

LDAP URLs and X.500

LDAP names use X.500's attributed naming. An LDAP URL specifies the server holding Active Directory services and the attributed name of the object. For example: LDAP://servername.myco.com/CN=jimsmith,OU=sys, OU=product,OU=division,O=myco,C=US.

Universal Naming Convention (UNC)

Active Directory services supports the UNC used in Windows 2003-based networks to refer to shared volumes, printers, and files. For example: \\servername.myco.com\xl\budget.xls.

Tabella 3

La struttura di Active Directory Active Directory è costruito in modo da definire una directory che si adatta alla struttura della propria organizzazione. Active Directory suddivide la rete in due strutture: logica e fisica. Tutte le risorse di rete possono essere organizzate in gruppi logici, indipendenti dalla loro collocazione fisica.

Oggetti Un oggetto è un insieme di attributi che rappresentano una risorsa di rete. Gli attributi di un oggetto descrivono le sue caratteristiche. Ad esempio per un utente gli attributi potrebbero essere il suo nome, cognome, n. di telefono, ecc. In Active Directory tutti gli oggetti possono essere organizzati in classi, i quali sono raggruppamenti logici di oggetti; esempi di classi potrebbero essere utenti, gruppi, computers, domini.

Il single sign-on Il single sign-on è un processo che consente all’utente di potersi collegare con la propria username e password, da un qualsiasi client Windows. Qualunque esso sia e non necessariamente quello utilizzato quotidianamente, l’utente ritroverà il proprio ambiente di lavoro e le risorse che abitualmente utilizza. I controlli di sicurezza e privilegi restano garantiti. Il single sing-on consiste prevede:

• Autenticazione: ovvero la verifica delle credenziali di chi si sta connettendo • Autorizzazione. ovvero la verifica che la connessione sia autorizzata ed in quale modalità.

31

Archiviazione dei dati di Active Directory Active Directory utilizza quattro diversi tipi di partizione di directory per memorizzare e copiare i diversi tipi di dati. Le partizioni di directory contengono dati di dominio, dati di configurazione, dati dello schema e dati di applicazioni. Grazie a questa struttura di archiviazione e replica, le informazioni della directory sono disponibili per gli utenti e gli amministratori in tutto il dominio.

I dati della directory vengono memorizzati nel file Ntds.dit nel controller di dominio. Si consiglia di memorizzare questo file in una partizione NTFS. Per ulteriori informazioni sullo strumento utilizzato per la gestione del database di Active Directory e dei file registro, vedere File in Ntdsutil. I dati privati vengono memorizzati in modo protetto, mentre i dati pubblici vengono archiviati su un volume di sistema condiviso da cui possono essere replicati ad altri controller di dominio nel dominio. Per ulteriori informazioni sulla replica, vedere Cenni preliminari sulla replica.

Di seguito sono riportati i tipi di dati della directory che vengono replicati tra i controller di dominio.

• Dati di dominio

I dati di dominio comprendono informazioni sugli oggetti presenti all'interno di un dominio. Si tratta di informazioni quali contatti di posta elettronica, attributi di account utente e account computer, risorse pubblicate destinate ad amministratori e utenti.

Ad esempio, quando un account utente viene aggiunto alla rete, tra i dati di dominio vengono memorizzati un oggetto account utente e dati relativi agli attributi. Quando vengono apportate modifiche agli oggetti directory dell'organizzazione, ad esempio quando viene creato o eliminato un oggetto o quando viene modificato un attributo, questi dati vengono memorizzati nei dati di dominio.

• Dati di configurazione

I dati di configurazione descrivono la topologia della directory. Comprendono l'elenco di tutti i domini, strutture e insiemi di strutture, dei percorsi dei controller di dominio e dei cataloghi globali.

• Dati dello schema

Per schema si intende la definizione formale di tutti i dati relativi a oggetti e attributi che possono essere memorizzati nella directory. I controller di dominio con sistema operativo Windows Server 2003 dispongono di uno schema predefinito che definisce numerosi tipi di oggetti, quali account utente e account computer, gruppi, domini, unità organizzative e criteri di protezione. Amministratori e programmatori possono estendere lo schema mediante la definizione di nuovi tipi di oggetti e attributi o mediante l'aggiunta di nuovi attributi per gli oggetti esistenti. Gli oggetti schema sono protetti da elenchi di controllo di accesso, che impediscono agli utenti non autorizzati di modificare lo schema.

Per ulteriori informazioni, vedere Schema.

• Dati di applicazioni

I dati memorizzati nella partizione di directory applicativa vengono utilizzati nei casi in cui è necessario replicare le informazioni, ma non necessariamente su scala globale. Le partizioni di directory applicative non fanno parte dell'archivio dati della directory per impostazione predefinita e devono essere create, configurate e gestite dall'amministratore.

Schema Lo schema di AD definisce i tipi di oggetti, i tipi di informazioni per quegli oggetti, ed i criteri di sicurezza di base per gli oggetti in AD. Lo schema di AD, contiene le definizioni di tutti gli oggetti, come utenti, computer e stampanti contenuti in AD. Esiste un solo schema per una singola foresta.

33

• Il nome canonico viene creato nello stesso modo del nome distinto, ma viene rappresentato utilizzando un formato differente. Nell'esempio riportato sopra, il nome canonico del computer sarebbe Microsoft.com/UnitàOrganizzativa/computerutente.

Il nome distinto viene anche chiamato “distuinguished name” e quello relativo viene detto “relative distinguished name”. Il relative distringuished name identifica in modo univoco un oggetto all’interno dell’AD. Il relative distinguished name è la prima parte del distinguished name e normalmente ma non obbligatoriamente coincide con il CN (vedi sotto). Non possono esistere, all’interno dell’AD, due oggetti con lo stesso distinguished name. Un esempio potrebbe essere il seguente: CN=John Brown, OU=Sales, DC=ABCompany, DC=Microsoft

• CN definisce il common name e identifica l’oggetto. • OU definisce l’organization unit e identifica l’unità che contiene l’oggetto. • DC definisce il domain component e identifica il dominio. Normalmente vi sono più DC.

Gli oggetti identità di protezione sono oggetti di Active Directory a cui vengono assegnati ID di protezione (SID). Possono essere utilizzati per accedere alla rete e possono ottenere l'accesso a risorse di dominio. I nomi degli oggetti identità di protezione (account utente, account computer e gruppi) univoci all'interno di un dominio devono essere assegnati da un amministratore.

Quando un nuovo account utente viene aggiunto alla directory, l'amministratore fornisce all'utente un nome per accedere alla rete, il nome del dominio contenente l'account utente e altri dati descrittivi (detti attributi) quali il nome, il cognome, il numero di telefono e così via. Tutte queste informazioni vengono registrate nella directory.

I nomi degli oggetti identità di protezione possono contenere tutti i caratteri Unicode, ad eccezione dei caratteri LDAP speciali definiti nella RFC 2253, ovvero: spazio iniziale, spazio finale e i seguenti caratteri: # , + " \ < > ;

I nomi degli oggetti identità di protezione devono essere conformi alle specifiche riportate di seguito.

Tipo di nome account

Dimensione massima Limitazioni speciali

Account utente

I computer con sistemi operativi Windows Server 2003 e Windows 2000 possono utilizzare per un account utente un nome principale utente (UPN). I computer con sistemaoperativo Windows NT 4.0 o precedente hanno un limite di 20 caratteri o 20 byte, a seconda del set di caratteri. Singoli caratteri possono richiedere più byte.

Un account utente non può essere costituito unicamente da punti (.) o da spazi, né terminare con un punto. I punti o gli spazi iniziali vengono eliminati. L'utilizzo del simbolo @ non è supportato con il formato di accesso per Windows NT 4.0 o precedente, ovvero NomeDominio\NomeUtente. I nomi di accesso di Windows 2000 sono univoci all'interno del dominio, mentre quelli di Windows Server 2003 sono univoci all'interno dell'insieme di strutture.

Account computer

NetBIOS = 15 caratteri o 15 byte, a seconda del set di caratteri. Singoli caratteri possono richiedere più byte.

DNS = 63 caratteri o 63 byte, a seconda del set di caratteri, e 255 caratteri per un nome di dominio completo (FQDN). Singoli caratteri possono richiedere più byte.

Un account computer non può essere costituito unicamente da numeri, punti (.) o spazi. I punti e gli spazi iniziali vengono eliminati.

Account di gruppo

63 caratteri o 63 byte, a seconda del set di caratteri. Singoli caratteri possono richiedere più byte.

Un account di gruppo non può essere costituito unicamente da numeri, punti (.) o spazi. I punti e gli spazi iniziali vengono eliminati.

Tabella 4

34

Nota

• Se l'amministratore modifica le impostazioni di protezione predefinite, è possibile utilizzare nomi di computer contenenti più di 15 caratteri.

In base alle informazioni fornite dalla persona che crea l'oggetto identità di protezione, Active Directory genera un ID di protezione (SID) e un identificatore univoco globale (GUID) utilizzato per identificare l'identità di protezione. Crea inoltre un nome distinto relativo LDAP sulla base del nome dell'oggetto identità di protezione. Il nome distinto LDAP e il nome canonico vengono ottenuti dal nome distinto relativo e dai nomi di contesto del dominio e del contenitore in cui viene creato l'oggetto identità di protezione.

Se l'organizzazione dispone di più domini, è possibile utilizzare lo stesso nome utente o nome computer in domini differenti. Il SID, il GUID, il nome distinto LDAP e il nome canonico generati da Active Directory identificano in modo univoco ciascun utente, computer o gruppo nell'insieme di strutture. Se l'oggetto identità di protezione viene rinominato o spostato in un altro dominio, il SID, il nome distinto relativo LDAP, il nome distinto LDAP e il nome canonico vengono modificati, mentre il GUID generato da Active Directory rimane invariato.

Gli oggetti identità di protezione, ad esempio gli account utente, possono essere rinominati, spostati o inclusi in una gerarchia di domini nidificata. Per ridurre l'effetto della ridenominazione, dello spostamento o dell'assegnazione di nomi di account utente all'interno di una gerarchia di domini nidificata, Active Directory fornisce un metodo per semplificare i nomi di accesso utente.

Organizational Units Una Organizational Unit (OU) è un contenitore di oggetti o classe che può essere utilizzata per raggruppare oggetti all’interno di un dominio, in gruppi logici di amministrazione. Una OU può contenere utenti, gruppi, computers, stampanti, ecc. Le OU possono essere strutturate gerarchicamente e la struttura di tale gerarchia è interna ad un solo dominio.

Domini, domain controller ed operations masters Il concetto principale di Active Directory è il concetto di dominio. Raggruppare più oggetti in uno o più domini permette all’amministratore di riflettere la gerarchia dell’azienda all’interno della rete. Tutti gli oggetti di una rete sono inclusi in uno o più domini ed ogni dominio contiene informazioni relativi ai soli oggetti che appartengono ad esso. Un dominio rappresenta anche una barriera di sicurezza. Infatti gli accessi agli oggetti di un dominio sono controllati dalle ACL (Access Control List). Tutte le security policies, i diritti ed i permessi dei vari utenti sono interne ad un singolo dominio e non possono appartenere a due domini diversi. Ogni amministratore lo è per un singolo dominio. Un dominio ha normalmente tre tipi di computer: Uno o più domain controller con Windows 2003 server. Come già detto questi computer hanno la gestione del database di Active Directory e effettuano repliche di questo DB tra loro. Uno o più member server con Windows 2003 server. Un member server non ha la possibilità di gestire il DB di Active Directory. Tuttavia è detto “server” in quanto può mettere a disposizione alcune risorse di rete quali dischi, stampanti o applicativi. Client con windows 2003 Professional. Computer con desktop per utenti. Tali computer possono accedere al dominio ed alle risorse di rete per cui sono autorizzati.

Ciascun dominio di Active Directory è identificato da un nome DNS (Domain Name System) e richiede uno o più controller di dominio. Se nella rete sono necessari più domini, è possibile crearne facilmente altri.

Uno o più domini che condividono uno schema e un catalogo globale comuni vengono definiti un insieme di strutture. Il primo dominio in un insieme di strutture è designato dominio principale dell'insieme di strutture. Se più domini nell'insieme di strutture hanno nomi di dominio DNS contigui, la struttura viene definita struttura di dominio.

35

Ogni singolo dominio può comprendere più posizioni fisiche o siti e può contenere milioni di oggetti. La struttura del sito e quella del dominio sono distinte e flessibili. Ogni dominio può estendersi a più siti geografici e includere utenti e computer appartenenti a più domini.

Vediamo nel dettaglio i ruoli dei server in un dominio:

Server membri

Un server membro è un computer che:

• Esegue un sistema operativo della famiglia Windows 2000 Server o della famiglia Windows Server 2003. • Appartiene a un dominio. • Non è un controller di dominio.

Un server membro non gestisce la procedura di accesso degli account, non partecipa alla replica di Active Directory e non memorizza le informazioni sui criteri di protezione.

I server membri vengono in genere utilizzati come: file server, server applicazioni, server di database, server Web, server di certificati, firewall o server di accesso remoto. Per ulteriori informazioni sui ruoli dei server, vedere Ruoli dei server.

Tutti i server membri presentano le seguenti caratteristiche relative alla protezione:

• I server membri sono conformi alle impostazioni di Criteri di gruppo definite per il sito, il dominio o l'unità organizzativa.

• Controllo di accesso per le risorse disponibili sul server. • Agli utenti dei server membri vengono assegnati dei diritti utente. • I server membri contengono un database degli account di protezione locale, ovvero Gestione account di

protezione (SAM).

Controller di dominio

Un controller di dominio è un computer che:

• Esegue un sistema operativo della famiglia Windows 2000 Server o della famiglia Windows Server 2003. • Utilizza Active Directory per memorizzare una copia di lettura/scrittura del database del dominio, partecipare

alla replica multimaster ed eseguire l'autenticazione degli utenti.

I controller di dominio memorizzano i dati di directory e gestiscono le comunicazioni tra utenti e domini, inclusi i processi di accesso degli utenti, l'autenticazione e le ricerche nelle directory. I controller di dominio sincronizzano i dati di directory mediante la replica multimaster, garantendo la coerenza delle informazioni nel tempo. Per ulteriori informazioni sulla replica multimaster, vedere Cenni preliminari sulla replica.

Active Directory supporta la replica multimaster dei dati di directory tra tutti i controller di dominio in un dominio. Per alcuni dati di directory la replica multimaster non è tuttavia appropriata. In questo caso, i dati vengono elaborati da un controller di dominio, denominato il master operazioni. In un insieme di strutture di Active Directory esistono almeno cinque diversi ruoli di master operazioni che vengono assegnati a uno o più controller di dominio. Per ulteriori informazioni sui master operazioni, vedere Ruoli di master operazioni.

Con il variare delle esigenze dell'ambiente di elaborazione, può essere necessario modificare il ruolo di un server. Utilizzando l'Installazione guidata di Active Directory, è possibile installare Active Directory in un server membro per renderlo un controller di dominio oppure rimuovere Active Directory da un controller di dominio per rendere quest'ultimo un server membro. Per ulteriori informazioni sui controller di dominio, vedere Controller di dominio.

Nota

36

• Non è possibile installare Active Directory in un computer che esegue Windows Server 2003, Web Edition, ma è possibile aggiungere il computer a un dominio di Active Directory come server membro.

Alberi (Trees) o strutture di dominio Un albero è un raggruppamento gerarchico di più domini che permettono una condivisione globale di risorse di rete. Un albero può essere costituito anche da un solo dominio, tuttavia la sua utilità è la possibilità di definire dei sottodomini in struttura gerarchica. Vediamo un esempio:

Figura 5

Foreste o insieme di strutture Un foresta è un insieme di alberi. Tali alberi devono condividere le stesse definizione di classe e di attributo ovvero lo stesso schema. Oltre a ciò devono condividere le repliche, le informazioni sui siti, ed il catalogo globale.

Il global catalog Come già visto, le risorse all’interno dell’AD, possono essere condivise tra domini e tra foreste. Per questo motivo, una ricerca di un oggetto potrebbe essere un lavoro oneroso. Un esempio potrebbe essere la ricerca di tutte le stampanti all’interno di una foresta. A priori tale ricerca dovrebbe essere effettuata all’interno di tutti i domini della foresta. Per evitare ciò, è stato introdotto il global catalog. Esso è un deposito di informazioni che contengono un insieme più ridotto

38

Ruoli di master operazioni all'interno dell'insieme di strutture

In ogni insieme di strutture devono essere presenti i seguenti ruoli:

• Master schema • Master dei nomi di dominio

È necessario che nell'insieme di strutture i ruoli siano univoci. Questo significa che in tutto l'insieme di strutture può esistere un solo master schema e un solo master dei nomi di dominio.

Master schema

Il controller di dominio che svolge il ruolo di master schema controlla tutti gli aggiornamenti e le modifiche allo schema. Per aggiornare lo schema di un insieme di strutture, è necessario avere accesso al master schema. In tutto l'insieme di strutture può esistere un solo master schema.

Master dei nomi di dominio

Il controller di dominio che svolge il ruolo di master dei nomi di dominio controlla l'aggiunta o la rimozione di domini nell'insieme di strutture. In tutto l'insieme di strutture può esistere un solo master dei nomi di dominio.

Nota

• Diversamente da un master dei nomi di dominio in un insieme di strutture impostato sul livello di funzionalità Windows 2000, un master dei nomi di dominio in un insieme di strutture impostato sul livello di funzionalità Windows Server 2003 non deve essere necessariamente abilitato come catalogo globale.

Ruoli di master operazioni all'interno del dominio

In ogni dominio presente nell'insieme di strutture devono essere presenti i seguenti ruoli:

• Master RID (Relative ID) • Master emulatore PDC (Primary Domain Controller) • Master infrastrutture

È necessario che questi ruoli siano univoci in ciascun dominio. Questo significa che in ciascun dominio dell'insieme di strutture può esistere un solo master RID, un solo master emulatore PDC e un solo master infrastrutture.

Master RID

Il master RID assegna sequenze di ID relativi (RID) a ciascun controller di dominio presente nel dominio. In qualsiasi momento può esistere un solo controller di dominio con il ruolo di master RID in ciascun dominio dell'insieme di strutture.

Ogni volta che un controller di dominio crea un oggetto utente, gruppo o computer, assegna all'oggetto un ID di protezione (SID) univoco. L'ID di protezione è composto da un SID di dominio, che è uguale per tutti i SID creati nel dominio, e da un RID, che è univoco per ciascun SID creato nel dominio.

Per spostare un oggetto da un dominio all'altro (utilizzando Movetree.exe), è necessario inizializzare lo spostamento nel controller di dominio che svolge il ruolo di master RID del dominio che contiene attualmente l'oggetto.

Master emulatore PDC

Se il dominio contiene dei computer che funzionano senza Windows 2000 o senza il software client di Windows XP Professional oppure contiene controller di dominio di backup Windows NT, il master emulatore PDC svolgerà il ruolo

39

di controller di dominio primario Windows NT. Esso elaborerà le modifiche delle password dei client e replicherà gli aggiornamenti ai BDC. In qualsiasi momento può esistere un solo controller di dominio con il ruolo di master emulatore PDC in ciascun dominio dell'insieme di strutture.

Per impostazione predefinita, il master emulatore PDC è anche responsabile della sincronizzazione dell'ora in tutti i controller di dominio del dominio. L'orologio dell'emulatore PDC di un dominio viene impostato in base all'orologio di un controller di dominio arbitrario del dominio padre. L'emulatore PDC nel dominio padre deve essere configurato per la sincronizzazione con un'orgine ora esterna. È possibile sincronizzare l'ora dell'emulatore PDC con un server esterno eseguendo il comando "net time" con la seguente sintassi:

net time \\NomeServer /setsntp:OrigineOra

Come risultato finale, l'ora impostata sui diversi computer che eseguono Windows Server 2003 o Windows 2000 nell'intero insieme di strutture presenterà pochi secondi di differenza tra un computer e l'altro.

L'emulatore PDC riceve la replica preferenziale delle modifiche alle password eseguite da altri controller di dominio del dominio. Se una password è stata modificata di recente, la replica delle modifiche a ogni controller di dominio del dominio richiederà del tempo. Se l'autenticazione di accesso a un altro controller di dominio non riesce a causa di una password errata, tale controller di dominio inoltrerà la richiesta di autenticazione all'emulatore PDC prima di rifiutare il tentativo di accesso.

Il controller di dominio con il ruolo di emulatore PDC supporta due protocolli di autenticazione:

• Protocollo Kerberos V5 • Protocollo NTLM

Master infrastrutture

In qualsiasi momento può esistere un solo controller di dominio con il ruolo di master infrastrutture in ciascun dominio. Il master infrastrutture è responsabile dell'aggiornamento dei riferimenti degli oggetti nel proprio dominio agli oggetti in altri domini. Esso confronta i propri dati con quelli di un catalogo globale. I cataloghi globali ricevono gli aggiornamenti periodici degli oggetti in tutti i domini tramite replica, garantendo l'aggiornamento costante di tutti i dati in essi contenuti. Se vengono individuati dati obsoleti, verranno richiesti i dati aggiornati al catalogo globale. Il master infrastrutture replica quindi i dati aggiornati negli altri controller di dominio del dominio.

Importante

• A meno che nel dominio non sia presente un solo controller di dominio, il ruolo di master infrastrutture non deve essere assegnato al controller di dominio che contiene il catalogo globale. Se il master infrastrutture e il catalogo globale si trovano sullo stesso controller di dominio, il master infrastrutture non funzionerà. Non trovando mai dati che risultano obsoleti, infatti, non eseguirà mai la replica delle modifiche agli altri controller di dominio del dominio.

Nel caso in cui tutti i controller di dominio del dominio contengano anche il catalogo globale, tutti disporranno dei dati aggiornati e non sarà rilevante conoscere il controller di dominio con il ruolo di master infrastrutture.

Il master infrastrutture è anche responsabile di aggiornare i riferimenti da gruppo a utente ogni volta che i membri dei gruppi vengono rinominati o modificati. Quando si rinomina o si sposta un membro di un gruppo e tale membro risiede in un dominio differente rispetto al gruppo, è possibile che nel gruppo il membro non venga temporaneamente visualizzato. Il master infrastrutture del dominio del gruppo ha la funzione di aggiornare il gruppo in modo da visualizzare il nuovo nome o la nuova posizione del membro. Questo metodo consente di evitare che i membri dei gruppi associati a un account utente vengano persi quando l'account viene rinominato o spostato. Il master infrastrutture distribuisce l'aggiornamento tramite una replica multimaster.

Nell'intervallo di tempo che intercorre tra la ridenominazione del membro e l'aggiornamento del gruppo, la protezione non viene in alcun modo compromessa. La temporanea incoerenza può essere notata solo da un amministratore che in quel momento visualizzi l'appartenenza al gruppo specifico.

40

Per informazioni sul trasferimento dei ruoli di master operazioni, vedere Trasferimento dei ruoli di master operazioni. Per informazioni sulle operazioni da eseguire quando si verifica un errore a livello di master operazioni, vedere Interventi in caso di errori dei master operazioni.

Identificare il master RID, l’emulatore PDC, il master infrastrutture

Utilizzo dell'interfaccia di Windows

1. Aprire Utenti e computer di Active Directory. 2. Fare clic con il pulsante destro del mouse sul nodo del dominio, quindi scegliere Master operazioni. 3. Nel campo Master operazioni della scheda RID viene visualizzato il master RID corrente. 4. Nel campo Master operazioni della scheda Controller di dominio primario vengono visualizzati i master

operazioni che funzioneranno come emulatore PDC. 5. Nel campo Master operazioni della scheda Infrastruttura viene visualizzato il nome del master infrastrutture

corrente.

Note


• Per aprire Utenti e computer di Active Directory, fare clic su Start, fare clic su Pannello di controllo, fare doppio clic su Strumenti di amministrazione e quindi fare doppio clic su Utenti e computer di Active Directory.

• Ogni dominio dispone di un unico master RID. Per identificare il master RID in un altro dominio, selezionare il dominio appropriato prima di scegliere Master operazioni.

• Ogni dominio dispone di un unico master emulatore PDC. Per identificare l'emulatore PDC in un altro dominio, selezionare il dominio appropriato prima di scegliere Master operazioni.

• Ogni dominio dispone di un unico master infrastrutture. Per identificare il master infrastrutture in un altro dominio, selezionare il dominio appropriato prima di scegliere Master operazioni.

Identificare il master dei nomi di dominio


1. Aprire Domini e trust di Active Directory. 2. Fare clic con il pulsante destro del mouse su Domini e trust di Active Directory, quindi scegliere Master

operazioni. 3. Nel campo Master operazioni denominazione domini viene visualizzato il master dei nomi di dominio

corrente.

Note


• Per aprire Domini e trust di Active Directory, fare clic su Start, scegliere Pannello di controllo, fare doppio clic su Strumenti di amministrazione, quindi su Domini e trust di Active Directory.

• Ogni insieme di strutture dispone di un unico master dei nomi di dominio. Per identificare il master dei nomi di dominio in un altro insieme di strutture, selezionare l'insieme di strutture appropriato prima di scegliere Master operazioni.

Identificare il master schema


1. Aprire lo snap-in Schema di Active Directory.

41

2. Nella struttura della console fare clic con il pulsante destro del mouse su Schema di Active Directory, quindi scegliere Master operazioni.

3. Nel campo Master schema corrente viene visualizzato il master schema corrente.

Note


• Per aprire lo snap-in Schema di Active Directory, fare clic su Start, scegliere Pannello di controllo, fare doppio clic su Strumenti di amministrazione e quindi su Schema di Active Directory.

• Ogni insieme di strutture dispone di un unico master schema. Per identificare il master schema in un altro insieme di strutture, selezionare l'insieme di strutture appropriato prima di scegliere Master operazioni.

• Se lo snap-in Schema di Active Directory non è installato, fare clic su Argomenti correlati.

Amministrazione di Active Directory La gestione delle risorse di uno o più domini viene effettuata tramite AD. Quest’ultimo dunque permette una gestione centralizzata di tutte le risorse di rete. È possibile consultare e gestire AD tramite il procollo LDAP. Dunque è suffiente avere un client LDAP. Le group policiy quindi tutte le autorizzazioni necessarie e presenti all’interno di un dominio possono essere gestite tramite AD. Qualora sia necessario, è possibile effettuare una gestione decentralizzata di AD, assegnando particolari permessi e privilegi ad utenti specifici. Ad esempio si potrebbero assegnare alcuni privilegi ad alcuni utenti appartenenti al gruppo del marketing o dei sales, in modo che questi gruppi possano gestire in modo autonomo alcune risorse. La gestione di AD può essere effettuata in svariate modalità:

• snap-in di MMC • ADSI (Active Directory Service Interfaces) • Command console

Per questioni di sicurezza, sarebbe consigliabile utilizzare un utente con privilege standard e tramite il commando runas effettuare tutte le operazioni.

Gestione di Active Directory da MMC Gli strumenti di amministrazione di Active Directory semplificano la gestione del servizio directory. È possibile utilizzare gli strumenti standard oppure, mediante Microsoft Management Console (MMC), creare strumenti personalizzati per l'esecuzione di specifiche operazioni. È possibile combinare diversi strumenti in un'unica console. È anche possibile assegnare strumenti personalizzati a singoli amministratori con particolari responsabilità amministrative.

Gli strumenti di amministrazione di Active Directory possono essere utilizzati solo da un computer che dispone dell'accesso a un dominio. Nel menu Strumenti di amministrazione sono disponibili gli strumenti elencati di seguito:

• Utenti e computer di Active Directory • Domini e trust di Active Directory • Siti e servizi di Active Directory

È anche possibile amministrare Active Directory in remoto da un computer che non svolge la funzione di controller di dominio, ad esempio un computer che esegue Windows XP Professional. A tale scopo, è necessario installare Strumenti di amministrazione di Windows Server 2003.

42

Lo snap-in Schema di Active Directory è lo strumento di amministrazione di Active Directory per la gestione dello schema. Per impostazione predefinita non è disponibile nel menu Strumenti di amministrazione e deve essere aggiunto manualmente.

Per gli amministratori esperti e i tecnici del supporto di rete sono disponibili numerosi strumenti della riga di comando che possono essere utilizzati per configurare e gestire Active Directory e per risolvere eventuali problemi.

È anche possibile creare script che utilizzano l'interfaccia ADSI (Active Directory Service Interfaces). Nel CD del sistema operativo sono disponibili diversi script di esempio. Per ulteriori informazioni sugli script di esempio, vedere Microsoft Windows Deployment Kit e Microsoft Windows Resource Kit. Per ulteriori informazioni sull'utilizzo dell'interfaccia ADSI, vedere Interfacce di programmazione.

Personalizzazione della modalità di visualizzazione dei dati negli strumenti di amministrazione e negli snap-in di Active Directory

Negli strumenti di amministrazione di Active Directory, ad esempio Utenti e computer di Active Directory, e nelle estensioni shell di Windows vengono utilizzati gli identificatori di visualizzazione per creare dinamicamente le voci dei menu di scelta rapida e le pagine delle proprietà. Tali identificatori consentono di individuare i nomi delle classi e degli attributi, i menu di scelta rapida e le pagine delle proprietà e supportano l'aggiunta di nuove classi e attributi. È possibile aggiungere e modificare classi e attributi nello schema ed estendere sia gli strumenti di amministrazione che la shell di Windows in diversi modi modificando gli attributi negli identificatori di visualizzazione. Per ulteriori informazioni sullo schema di Active Directory e sugli identifcatori di visualizzazione, vedere Active Directory Programmer's Guide (in lingua inglese) nel sito Web Microsoft all'indirizzo http://www.microsoft.com/.

Utilizzo di Utenti e computer di Active Directory

Per modificare la modalità di visualizzazione degli oggetti directory in Utenti e computer di Active Directory, è possibile scegliere i comandi del menu Visualizza della console. I comandi del menu offrono la possibilità di attivare e/o disattivare le funzionalità, ad esempio la struttura della console, la barra delle descrizioni, la barra di stato, le icone grandi, le icone piccole e così via.

Quando si avvia Utenti e computer di Active Directory e si espande il nodo di dominio, vengono visualizzati numerosi contenitori nella struttura della console. Se è appena stato creato un controller di dominio, per impostazione predefinita vengono visualizzati i seguenti contenitori:

• Builtin

Contiene gli oggetti che definiscono i gruppi incorporati predefiniti, ad esempio Account Operators o Administrators.

• Computers

Contiene gli oggetti computer Windows 2000, Windows XP e Windows Server 2003, compresi gli account computer originariamente creati con API (Application Programming Interface) che non potevano essere utilizzate con Active Directory. Gli oggetti computer vengono spostati nel contenitore Computer quando i domini di Windows NT vengono aggiornati a Windows 2000 o a un sistema operativo Windows Server 2003.

• Domain controllers

Contiene gli oggetti computer relativi ai controller di dominio con sistema operativo Windows 2000 o Windows Server 2003.

• Users

Contiene gli account utente e i gruppi che sono stati creati originariamente con API che non potevano essere utilizzate con Active Directory. Gli account utente e i gruppi vengono spostati nel contenitore Users quando i domini di Windows NT vengono aggiornati a Windows 2000 o a un sistema operativo Windows Server 2003.

43

Per modificare gli utenti e i gruppi creati con API che non potevano essere utilizzate con Active Directory, è possibile utilizzare lo strumento User Manager (Usrmgr) di Windows NT 4.0.

Se si sceglie Caratteristiche avanzate dal menu Visualizza, verranno visualizzate due cartelle aggiuntive nella console:

• LostAndFound

Contiene gli oggetti i cui contenitori sono stati eliminati al momento della creazione degli oggetti stessi. Se un oggetto è stato creato o spostato in una cartella che, dopo la replica, risulta mancante, l'oggetto viene aggiunto al contenitore degli oggetti perduti e trovati. Il contenitore LostAndFoundConfig nella partizione di directory di configurazione svolge la stessa funzione per gli oggetti dell'insieme di strutture.

• System

Contiene le impostazioni di sistema predefinite relative a diversi oggetti e contenitori dei servizi di sistema. Per ulteriori informazioni sul contenitore Sistema, vedere Microsoft Windows Deployment Kit e Microsoft Windows Resource Kit.

Il comando Opzioni filtro del menu Visualizza consente di visualizzare tutti gli oggetti o solo gli oggetti selezionati, di configurare il numero di elementi che possono essere visualizzati per ciascuna cartella oppure di creare filtri personalizzati utilizzando gli attributi degli oggetti e le query LDAP.

Avvio delle console MMC di Active Directory dalla riga di comando

Le console MMC di Active Directory, compresi Utenti e computer di Active Directory (dsa.msc), Domini e trust di Active Directory (domain.msc) e Siti e servizi di Active Directory (dssite.msc), forniscono opzioni della riga di comando che consentono di avviare una console relativa a uno specifico dominio o controller di dominio. Con le opzioni della riga di comando è possibile utilizzare sia nomi di dominio completi che nomi NetBIOS.

Sono disponibili le seguenti opzioni della riga di comando:

• /domain=NomeDominioCompleto • /domain=NomeDominioNetBIOS • /server=NomeControllerDominioCompleto • /server=NomeControllerDominioNetBIOS

È possibile utilizzare queste opzioni per eseguire le console MMC di Active Directory direttamente dalla riga di comando oppure creare un collegamento per l'avvio di una console e aggiungere le opzioni della riga di comando appropriate al collegamento. È possibile inoltre utilizzare le opzioni della riga di comando anche con le console personalizzate aggiunte in un secondo tempo.

Esempi di opzioni della riga di comando:

• Per avviare Utenti e computer di Active Directory attivando il dominio domain1, digitare:

dsa.msc /domain=domain1

• Per avviare Utenti e computer di Active Directory attivando il server server1, digitare:

dsa.msc /server=server1.domain1

• Per avviare Siti e servizi di Active Directory attivando il server server1, digitare:

dssite.msc /server=server1.domain1

• Per avviare Domini e trust di Active Directory attivando il server server1, digitare:

44

domain.msc /server=server1.domain1

Note

• Non utilizzare contemporaneamente le opzioni della riga di comando /domain e /server. • Le opzioni /domain possono essere utilizzare solo con Utenti e computer di Active Directory.

Gestione di Active Directory dalla riga di comando Per gestire Active Directory è possibile utilizzare i seguenti strumenti della riga di comando. Nome Descrizione Csvde Consente di importare ed esportare dati di Active Directory in formato csv (delimitato da virgole). Dsadd Consente di aggiungere utenti, gruppi, computer, contatti e unità organizzative ad Active Directory.

Dsmod Consente di modificare specifici tipi di oggetti presenti nella directory. I tipi di oggetti modificabili sono gli utenti, i gruppi, i computer, i server, i contatti e le unità organizzative.

Dsrm Consente di rimuovere da Active Directory gli oggetti del tipo specificato.

Dsmove Consente di rinominare un oggetto senza spostarlo nella struttura della directory oppure di spostare un oggetto dalla posizione corrente nella directory a una nuova posizione all'interno dello stesso controller di dominio. Per effettuare spostamenti tra domini diversi, utilizzare lo strumento della riga di comando Movetree.

Dsquery

Consente di inviare una query e di cercare un insieme di oggetti nella directory utilizzando i criteri di ricerca specificati. Utilizzare il comando in modo generico per inviare una query relativa a tutti i tipi di oggetti oppure in modo specifico per inviare una query relativa ai tipi di oggetti selezionati. I tipi di oggetti specifici per i quali è possibile inviare query con questo comando sono i computer, i contatti, le subnet, i gruppi, le unità organizzative, i siti, i server e gli utenti.

Dsget Consente di visualizzare gli attributi selezionati di specifici tipi di oggetti presenti in Active Directory. I tipi di oggetti per i quali è possibile visualizzare gli attributi sono i computer, i contatti, le subnet, i gruppi, le unità organizzative, i server, i siti e i utenti.

Ldifde Consente di creare, modificare ed eliminare oggetti directory. Questo strumento può essere inoltre utilizzato per estendere lo schema, esportare in altre applicazioni o in altri servizi le informazioni relative ai gruppi e agli utenti di Active Directory, nonché per inserire in Active Directory i dati provenienti da altri servizi directory.

Ntdsutil Strumento di gestione generale di Active Directory. Ntdsutil consente di effettuare la manutenzione del database di Active Directory, gestire le operazioni a master singolo e rimuovere i metadati residui dei controller di dominio che sono stati rimossi dalla rete senza essere correttamente disinstallati.

Altri strumenti della riga di comando sono disponibili nella cartella degli Strumenti di supporto del CD del prodotto e nel Resource Kit.

Pianificazione, disegno ed implementazione di active directory In questo paragrafo forniremo alcuni brevi criteri per la progettazione e l’implementazione di un sistema AD. Poiché l’argomento è vasto, rimandiamo alla visione di testi dedicati ad esso. Il primo passo da effettuare è analizzare l’organizzazione e l’azienda in cui si lavora, individuandone sedi (italiane ed estere), struttura organizzativa quali settori per sede, reparti, uffici. Individuare e raccogliere informazioni relative alla struttura di rete già esistente, servizi, realtà informatica, Chiarito come è strutturata l’organizzazione, è necessario definire gli obiettivi per cui si è deciso di implementare un sistema informativo di questo genere. È necessario individuare come tale richieste possono tradursi in un ambiente AD. Individuare infine, come e quali dovrebbero essere i criteri di sicurezza che si desiderano e che devono essere implementati. Da questa analisi preliminare devono emergere le modalità per: Creare foreste e domini e definire i server. È necessario individuare il FQDN per ogni foresta, capire quanti domini sono presenti in ciascuna foresta e le relazioni tra foreste e tra domini.

• Creare le unità organizzative • Creare account per utenti e computer. • Creare gruppi di sicurezza e di distribuzione

45

La possibilità di rinominare i controller di dominio con sist ema operativo Windows Server 2003 offre la flessibilità di apportare modifiche in un per: Ristrutturare la propria rete per esigenze organizzative e aziendali. Semplificare il controllo gestionale e amministrativo. Quando si rinomina un controller di dominio, è necessario assicurarsi che i c

lient siano comunque in grado di individuare il controller di domi

nio rinominato o di eseg uire l'autenticazione in tale controller, a meno che il controller non venga riavviato. Questa condizione è necessaria per la ridenominazione del controller di dominio.

Aprire il Questo comando aggiorna gli attributi

SPN di Active Directory relativi all'account computer corrente e registra

record di risorse

Assicurarsi che le registrazioni DNS

stati completati, quindi digitare: net do m co mput erna me

Riavviare il computer. Al prompt dei comandi digitare: net do m co mput erna meV a l o r e D e s c r i z i o n e NomeComputerCorrente Il nome corrente (primario) o l'indi

rizzo IP del computer da rinominare. Nu o vo NomeCompu ter

I l n u o v o n o m e a s s e g n a t o a l c o m p u t e r . È n e c e s s a r i o c h e i l NuovoNomeComputer

o ppu re d ev e essere in clu so n ell'elen co d ei su ffissi DNS co n sen titi Il nome precedentemente assegnato al computer rinominato.

46

Importante

• Per rinominare un controller di dominio utilizzando lo strumento Netdom, è necessario impostare il livello di funzionalità del dominio su Windows Server 2003. Per ulteriori informazioni, fare clic su Argomenti correlati.

• Per rinominare un controller di dominio è necessario innanzitutto fornire un nome FQDN come nuovo nome di computer da assegnare al controller. È inoltre necessario che tutti gli account computer per il controller di dominio contengano l'attributo SPN aggiornato e che tutti i server DNS di fiducia per il nome di dominio contengano il record di risorse host (A) per il nuovo nome di computer. Il nuovo nome di computer e quello precedente rimangono entrambi memorizzati fino a quando quello precedente non viene rimosso. In questo modo i client saranno comunque in grado di individuare il controller di dominio rinominato o di eseguire l'autenticazione in tale controller, a meno che il controller non venga riavviato.

Note

• Per eseguire questa procedura, è necessario essere membri del gruppo Domain Admins o Enterprise Admins in Active Directory oppure disporre della delega per l'autorità appropriata. Per una protezione ottimale, si consiglia di eseguire questa procedura mediante Esegui come.

• Per aprire una finestra del prompt dei comandi, fare clic sul pulsante Start, scegliere Tutti i programmi, quindi Accessori e infine Prompt dei comandi.

• Per eseguire questa procedura della riga di comando è necessario lo strumento di supporto Netdom di Windows. Per informazioni sull'installazione degli strumenti di supporto di Windows, fare clic su Argomenti correlati.

• Se il controller di dominio appartiene a un gruppo con un criterio di gruppo attivato nel suffisso DNS primario, la stringa specificata nel criterio viene utilizzata come suffisso DNS primario. È possibile utilizzare l'impostazione locale solo se il criterio di gruppo è stato disattivato o non è stato specificato.

• Per impostazione predefinita, la parte del nome FQDN di un computer relativa al suffisso DNS coincide con il nome del dominio di Active Directory a cui appartiene il computer. Per consentire l'utilizzo di suffissi DNS primari differenti, un amministratore di dominio può creare un elenco limitato di suffissi mediante la creazione dell'attributo msDS-AllowedDNSSuffixes nel contenitore degli oggetti di dominio. Tale attributo viene gestito dall'amministratore di dominio mediante ADSI (Active Directory Service Interfaces) o LDAP (Lightweight Directory Access Protocol). Per ulteriori informazioni sulle interfacce di programmazione e sul protocollo LDAP, fare clic su Argomenti correlati.

• I record di risorse DNS DC Locator (record di risorse di individuazione dei controller di dominio) vengono registrati dal controller di dominio dopo il riavvio del controller di dominio rinominato. I record registrati sono disponibili nel controller di dominio, nel file systemroot\System32\Config\Netlogon.dns.

• Per enumerare i nomi con cui il computer è attualmente configurato, al prompt dei comandi digitare:

netdom computername NomeComputer /enumerate:{NomiAlternativi | NomePrimario | TuttiNomi}

• È anche possibile specificare un parametro che utilizzerà le credenziali dell'amministratore necessarie per modificare l'account computer in Active Directory. Se questo parametro non viene specificato, Netdom utilizza le credenziali dell'utente attualmente connesso. Per ulteriori informazioni, vedere il file della Guida relativo allo strumento della riga di comando Netdom.

• Se un controller di dominio viene rinominato utilizzando la finestra di dialogo Proprietà del sistema anziché lo strumento Netdom è possibile che, a causa della latenza della replica del servizio DNS e di Active Directory, i client non siano immediatamente in grado di individuare il controller di dominio rinominato o di eseguire l'autenticazione in tale controller. La lunghezza della latenza dipende dalla struttura della rete e dalla topologia di replica dell'organizzazione.

Ridenominazione dei domini La possibilità di rinominare i domini offre la flessibilità necessaria per apportare modifiche sostanziali all'organizzazione dell'insieme di strutture e allo spazio dei nomi con l'evolversi delle esigenze. La ridenominazione dei domini può facilitare le acquisizioni, le fusioni, le modifiche dei nomi e i processi di riorganizzazione. Grazie alla ridenominazione dei domini è possibile:

• Modificare i nomi DNS e NetBIOS dei domini dell'insieme di strutture, compreso il dominio principale. • Ridefinire la posizione dei domini nell'insieme di strutture, ad eccezione del dominio principale.

47

È possibile rinominare i domini in un insieme di strutture solo se in tutti i controller di dominio è installato Windows Server 2003 e se il livello di funzionalità è stato aumentato a Windows Server 2003. Per ulteriori informazioni, vedere Funzionalità del dominio e dell'insieme di strutture.

Riorganizzazione dell'insieme di strutture

La ridenominazione dei domini consente di riorganizzare la gerarchia dei domini nell'insieme di strutture in modo che un dominio che risiede in una struttura di dominio possa essere spostato in un'altra struttura di dominio. La riorganizzazione di un insieme di strutture consente di spostare un dominio (ad eccezione di quello principale) in qualsiasi posizione all'interno dell'insieme di strutture in cui risiede. È quindi possibile spostare un dominio in modo da farlo diventare il dominio principale della propria struttura di dominio.

Per rinominare o riorganizzare un dominio, è possibile eseguire l'utilità di ridenominazione dei domini (Rendom.exe), disponibile nella directory Valueadd\Msft\Mgmt\Domren nel CD d'installazione del sistema operativo. La ridenominazione di un dominio ha effetto su tutti i controller di dominio dell'insieme di strutture ed è un processo a più fasi che richiede una conoscenza approfondita dell'operazione. Per ulteriori informazioni, fare riferimento alla pagina relativa allo strumento per la ridenominazione dei domini nel sito Web Microsoft all'indirizzo http://www.microsoft.com/.F

Funzionalità del dominio e dell'insieme di strutture La funzionalità del dominio e dell'insieme di strutture, introdotta in Windows Server 2003 Active Directory, consente di attivare nel proprio ambiente di rete funzioni a livello di dominio o insieme di strutture di Active Directory. A seconda dell'ambiente di rete, sono disponibili differenti livelli di funzionalità del dominio e funzionalità dell'insieme di strutture.

Se tutti i controller di dominio presenti nel dominio o nell'insieme di strutture eseguono Windows Server 2003 e il livello di funzionalità è impostato su Windows Server 2003, sono disponibili tutte le funzioni per il dominio o insieme di strutture. Quando nel dominio o nell'insieme di strutture sono inclusi controller di dominio Windows NT 4.0 o Windows 2000 insieme a controller di dominio che eseguono Windows Server 2003, le funzioni di Active Directory sono limitate.

Il concetto di attivazione di funzionalità aggiuntive in Active Directory esiste nei sistemi Windows 2000 in modalità mista e nativa. I domini in modalità mista possono contenere controller di dominio di backup Windows NT 4.0 e non possono utilizzare funzioni relative ai gruppi di protezione universali, alla nidificazione dei gruppi e alla cronologia dell'ID di protezione (SID). Quando invece il dominio è impostato sulla modalità nativa, le funzioni relative ai gruppi di protezione universali, alla nidificazione dei gruppi e alla cronologia SID risultano disponibili. I controller di dominio che eseguono Windows 2000 Server non sono compatibili con le funzionalità del dominio e dell'insieme di strutture.

Funzionalità del dominio

La funzionalità del dominio consente di attivare funzioni valide per tutto il dominio e solo per quel dominio. Sono disponibili quattro livelli di funzionalità del dominio: Windows 2000 misto (predefinito), Windows 2000 nativo, Windows Server 2003 interim e Windows Server 2003. Il livello di funzionalità predefinito dei domini è Windows 2000 misto.

Nella tabella riportata di seguito sono elencati i livelli di funzionalità del dominio e i relativi controller di dominio supportati.

Livello di funzionalità del dominio Controller di dominio supportati

Windows 2000 misto (predefinito) Windows NT 4.0 Windows 2000 Famiglia di sistemi Windows Server 2003

Windows 2000 nativo Windows 2000 Famiglia di sistemi Windows Server 2003

Windows Server 2003 interim Windows NT 4.0 Famiglia di sistemi Windows Server 2003

48

Windows Server 2003 Windows Server 2003 Tabella 5

Una volta aumentato il livello di funzionalità del dominio, non è possibile includere nel dominio controller di dominio con sistemi operativi precedenti. Ad esempio, se si aumenta il livello di funzionalità del dominio a Windows Server 2003, i controller di dominio che eseguono Windows 2000 Server non possono essere aggiunti al dominio.

Nella tabella riportata di seguito sono descritte le funzionalità per l'intero dominio che vengono attivate per tre livelli di funzionalità del dominio. Per informazioni sul livello di funzionalità Windows Server 2003 interim, vedere Aggiornamento di un dominio di Windows NT.

Funzionalità del dominio Windows 2000 misto Windows 2000 nativo Windows Server 2003 Strumento per la ridenominazione dei controller di dominio

Per ulteriori informazioni, vedere Ridenominazione dei controller di dominio.

Disattivata Disattivata Attivata

Aggiornamento del timestamp relativo all'accesso

Per ulteriori informazioni sull'attributo lastLogonTimestamp, vedere Account utente e account computer.


Password utente per l'oggetto InetOrgPerson

Per ulteriori informazioni sugli oggetti InetOrgPerson, vedere Account utente e account computer.


Gruppi universali

Per ulteriori informazioni, vedere Tipi di gruppi e Ambiti dei gruppi.

Attivata per i gruppi di distribuzione.

Disattivata per i gruppi di protezione.

Attivata

Consente entrambi i gruppi di protezione e di distribuzione.

Attivata


Nidificazione dei gruppi

Per ulteriori informazioni, vedere Nidificazione dei gruppi.


Disattivata per i gruppi di protezione, ad eccezione dei gruppi di protezione locali che hanno come membri gruppi globali.

Attivata

Consente la nidificazione completa dei gruppi.

Attivata


Conversione dei gruppi

Per ulteriori informazioni, vedere Conversione dei gruppi.

Disattivata

Non è consentita alcuna conversione dei gruppi.

Attivata

Consente la conversione tra gruppi di protezione e gruppi di distribuzione.

Attivata


Cronologia SID Disattivata

Attivata

Consente la migrazione di identità di protezione da un dominio a un altro.

Attivata

Consente la migrazione di identità di protezione da un

49

dominio a un altro. Tabella 6

Funzionalità dell'insieme di strutture

La funzionalità dell'insieme di strutture consente di attivare delle funzioni su tutti i domini compresi nell'insieme di strutture. Sono disponibili tre livelli di funzionalità dell'insieme di strutture: Windows 2000 (predefinito), Windows Server 2003 interim e Windows Server 2003. Il livello di funzionalità predefinito degli insiemi di strutture è Windows 2000. Questo livello può essere aumentato al livello Windows Server 2003.

Nella tabella riportata di seguito sono elencati i livelli di funzionalità dell'insieme di strutture e i relativi controller di dominio supportati.

Livello di funzionalità dell'insieme di strutture Controller di dominio supportati

Windows 2000 (predefinito) Windows NT 4.0 Windows 2000 Famiglia di sistemi Windows Server 2003



Una volta aumentato il livello di funzionalità dell'insieme di strutture, non è possibile includere nell'insieme di strutture controller di dominio con sistemi operativi precedenti. Ad esempio, se si aumenta il livello di funzionalità del dominio a Windows Server 2003, i controller di dominio che eseguono Windows 2000 Server non possono essere aggiunti all'insieme di strutture.

Se si esegue l'aggiornamento del primo controller di dominio Windows NT 4.0 perché diventi il primo dominio di un nuovo insieme di strutture Windows Server 2003, è possibile impostare il livello di funzionalità del dominio su Windows Server 2003 interim. Per ulteriori informazioni, vedere Aggiornamento di un dominio di Windows NT.

Nella tabella riportata di seguito sono descritte le funzioni per tutto l'insieme di strutture che vengono attivate per i livelli di funzionalità Windows 2000 e Windows Server 2003.

Funzionalità dell'insieme di strutture Windows 2000 Windows Server 2003

Replica più efficiente del catalogo globale

Per ulteriori informazioni, vedere Replica del catalogo globale.

Attivata se entrambi i partner di replica eseguono Windows Server 2003.

In tutti gli altri casi è disattivata.

Attivata

Oggetti schema disattivati

Per ulteriori informazioni, vedere Disattivazione di una classe o di un attributo.

Disattivata Attivata

Trust tra insiemi di strutture

Per ulteriori informazioni, vedere Trust tra insiemi di strutture.


Replica dei valori collegati

Per ulteriori informazioni, vedere Funzionamento della replica.


Ridenominazione dei domini

Per ulteriori informazioni, vedere Ridenominazione dei Disattivata Attivata

51

Un insieme di strutture costituisce il confine di protezione e di amministrazione per tutti gli oggetti che risiedono nell'insieme. Un dominio costituisce invece il confine amministrativo per la gestione di oggetti quali utenti, gruppi e computer. Ciascun dominio dispone inoltre di criteri di protezione individuali e di relazioni di trust con altri domini.

Più strutture di dominio all'interno di un unico insieme di strutture non formano uno spazio dei nomi contiguo, ovvero dispongono di nomi di dominio DNS non contigui. Sebbene le strutture di un insieme non condividano uno spazio dei nomi, un insieme di strutture dispone di un unico dominio principale, denominato dominio principale dell'insieme di strutture, che corrisponde al primo dominio creato nell'insieme di strutture. I gruppi Enterprise Admins e Schema Admins si trovano in questo dominio. Per impostazione predefinita, i membri di questi due gruppi dispongono di credenziali amministrative per tutto l'insieme di strutture.

Quando creare un nuovo insieme di strutture

Il primo passo da compiere nella progettazione di Active Directory consiste nel determinare il numero di insiemi di strutture necessari all'organizzazione. Per la maggior parte delle organizzazioni, il modello preferito e di più facile amministrazione è costituito da un unico insieme di strutture. Un singolo insieme di strutture può tuttavia non costituire la soluzione ottimale.

Con un unico insieme di strutture, gli utenti non devono necessariamente conoscere la struttura di directory poiché attraverso il catalogo globale tutti gli utenti vedono una singola directory. Quando si aggiunge un nuovo dominio a un insieme di strutture, non sono richieste configurazioni di trust aggiuntive poiché tutti i domini di un insieme di strutture sono connessi da trust transitivi bidirezionali. In un insieme di strutture a più domini, è sufficiente applicare una sola volta le modifiche alla configurazione per aggiornare tutti i domini.

Esistono tuttavia casi in cui è preferibile creare più insiemi di strutture:

• Quando si esegue l'aggiornamento di un dominio di Windows NT a un insieme di strutture di Windows Server 2003. È possibile aggiornare un dominio di Windows NT perché diventi il primo dominio di un nuovo insieme di strutture di Windows Server 2003. A tale scopo, è innanzitutto necessario aggiornare il controller di dominio primario del dominio. Sarà quindi possibile aggiornare i controller di dominio di backup, i server membri e i computer client in qualsiasi momento.

È anche possibile mantenere un dominio di Windows NT e creare un nuovo insieme di strutture di Windows Server 2003 installando Active Directory in un server membro che esegue Windows Server 2003. Per ulteriori informazioni, vedere Aggiornamento di un dominio di Windows NT.

• Per fornire autonomia amministrativa. È possibile creare un nuovo insieme di strutture quando occorre segmentare la rete per scopi di autonomia amministrativa. Gli amministratori che gestiscono l'infrastruttura IT di singole divisioni autonome dell'organizzazione possono assumere il ruolo di proprietari dell'insieme di strutture e progettare individualmente i rispetti insiemi di strutture. Viceversa, in altre situazioni, i proprietari di insiemi di strutture possono decidere di unire le rispettive divisioni autonome in un unico insieme di strutture allo scopo di ridurre i costi di progettazione e di gestione di Active Directory o per facilitare la condivisione delle risorse. Per ulteriori informazioni, fare riferimento alla pagina relativa alle procedure di progettazione di Active Directory ottimali per la gestione di reti Windows nel sito Web Microsoft all'indirizzo http://www.microsoft.com/.

• Per creare uno spazio dei nomi DNS differente

52

Se si installa Active Directory per la prima volta su un server in cui è installato Windows Server 2003, fare clic su Compatibility Help per ottenere ulteriori informazioni.

3. Nella pagina Tipo di controller di dominio selezionare Controller di dominio di un nuovo dominio, quindi scegliere il pulsante Avanti.

4. Nella pagina Crea nuovo dominio selezionare Nuovo dominio in un nuovo insieme di strutture, quindi scegliere il pulsante Avanti.

5. Nella pagina Nome nuovo dominio digitare il nome DNS completo del nuovo dominio, quindi scegliere il pulsante Avanti.

6. Nella pagina Nome NetBIOS del dominio verificare il nome NetBIOS, quindi scegliere il pulsante Avanti. 7. Nella pagina Cartelle del database e del registro digitare il percorso nel quale si desidera installare il

database e le cartelle dei file registro oppure scegliere il pulsante Sfoglia per selezionare un percorso, quindi scegliere il pulsante Avanti.

8. Nella pagina Volume di sistema condiviso digitare il percorso nel quale si desidera creare la cartella Sysvol oppure scegliere il pulsante Sfoglia per selezionare un percorso, quindi scegliere il pulsante Avanti.

9. Nella pagina Diagnostica registrazione DNS verificare se esiste un server DNS di fiducia per l'insieme di strutture oppure, se necessario, installare e configurare il servizio DNS sul server selezionando Installa e configura il server DNS su questo computer ed imposta il computer per l'utilizzo di questo server DNS come server DNS preferito, quindi scegliere il pulsante Avanti.

10. Nella pagina Autorizzazioni selezionare uno dei seguenti pulsanti di opzione: o Autorizzazioni compatibili con sistemi operativi server precedenti a Windows 2000 o Autorizzazioni compatibili soltanto con sistemi operativi Windows 2000 o Windows Server 2003

11. Leggere la pagina Riepilogo, quindi scegliere il pulsante Avanti per avviare l'installazione. 12. Riavviare il computer.

Note

• Per eseguire questa procedura, è necessario essere membri del gruppo Administrators sul computer locale oppure disporre della delega per l'autorità appropriata. Se il computer fa parte di un dominio, è possibile che la procedura possa essere completata anche dai membri del gruppo Domain Admins.

• Il server in cui viene installato Active Directory mediante questa procedura diventerà il primo controller di dominio nel dominio principale dell'insieme di strutture.

• Prima di installare Active Directory, è necessario valutare i livelli di protezione compatibili con sistemi precedenti a Windows 2000 e identificare il nome DNS del dominio. Per ulteriori informazioni, vedere l'elenco di controllo in Argomenti correlati.

• Le opzioni disponibili nella pagina Autorizzazioni della procedura guidata influiscono sulla compatibilità delle applicazioni con computer che eseguono sistemi operativi precedenti a Windows 2000 e Windows Server 2003 e non hanno alcun effetto sulla funzionalità del dominio. Per ulteriori informazioni sulle autorizzazioni, fare clic su Argomenti correlati.

• L'Installazione guidata di Active Directory supporta nomi di dominio costituiti da un massimo di 64 caratteri o 155 byte. Sebbene il limite di 64 caratteri venga in genere raggiunto prima di quello dei 155 byte, è possibile che si verifichi il caso contrario quando il nome contiene caratteri Unicode, che occupano tre byte. Questi limiti non vengono applicati ai nomi di computer.

• Non è possibile installare Active Directory in un computer che esegue Windows Server 2003, Web Edition, ma è possibile aggiungere il computer come server membro a un dominio di Active Directory. Per ulteriori informazioni su Windows Server 2003, Web Edition, fare clic su Argomenti correlati. Ù

Creare una nuova struttura di dominio

1. Fare clic sul pulsante Start, scegliere Esegui, quindi digitare dcpromo per avviare l'Installazione guidata di Active Directory.

2. Nella pagina Operating System Compatibility leggere le informazioni, quindi scegliere Next.



53

4. Nella pagina Crea nuovo dominio selezionare Nuova struttura di dominio in un insieme di strutture esistente.

5. Nella pagina Credenziali di rete digitare il nome utente, la password e il dominio dell'account utente che si desidera utilizzare per l'operazione, quindi scegliere il pulsante Avanti.

È necessario che l'account utente sia un membro del gruppo Enterprise Admins.

6. Nella pagina Nuova struttura di dominio digitare il nome DNS completo del nuovo dominio, quindi scegliere il pulsante Avanti.




10. Nella pagina Diagnostica registrazione DNS verificare se esiste un server DNS di fiducia per l'insieme di strutture oppure, se necessario, installare e configurare il servizio DNS sul server selezionando Installa e configura il server DNS su questo computer ed imposta il computer per l'utilizzo di questo server DNS come server DNS preferito, quindi scegliere il pulsante Avanti.


12. Nella pagina Password di amministratore modalità ripristino servizi directory digitare e confermare la password che si desidera assegnare all'account Administrator per il server, quindi scegliere il pulsante Avanti.

Utilizzare questa password quando si avvia il computer in modalità ripristino servizi directory.


Note

• Per eseguire questa procedura è necessario essere un membro del gruppo Domain Admins (nel dominio principale dell'insieme di strutture) o Enterprise Admins in Active Directory oppure avere ottenuto la delega dell'autorità appropriata. Per una protezione ottimale, si consiglia di utilizzare la funzione Esegui come per eseguire questa procedura.

• Il server in cui viene installato Active Directory mediante questa procedura diventerà il primo controller di dominio nella nuova struttura di dominio.


• Quando si crea una nuova struttura di dominio in un insieme di strutture esistente, per impostazione predefinita viene creato un trust di origine struttura bidirezionale e transitivo.


• Per verificare le credenziali amministrative è possibile anche utilizzare una smart card. Per ulteriori informazioni sulle smart card, fare clic su Argomenti correlati.

• L'Installazione guidata di Active Directory supporta nomi di dominio costituiti da un massimo di 64 caratteri o 155 byte. Sebbene il limite di 64 caratteri venga in genere raggiunto prima di quello dei 155 byte, è possibile che si verifichi il caso contrario quando il nome contiene caratteri Unicode, che occupano tre byte. Questi limiti non vengono applicati ai nomi di computer.

• Non è possibile installare Active Directory in un computer che esegue Windows Server 2003, Web Edition, ma è possibile aggiungere il computer come server membro a un dominio di Active Directory. Per ulteriori informazioni su Windows Server 2003, Web Edition, fare clic su Argomenti correlati.

54

Creare un nuovo dominio figlio

1. Fare clic sul pulsante Start, scegliere Esegui, quindi digitare dcpromo per avviare l'Installazione guidata di Active Directory.

2. Nella pagina Operating System Compatibility leggere le informazioni, quindi scegliere Next.



4. Nella pagina Crea nuovo dominio selezionare Nuovo dominio figlio in una struttura di dominio esistente, quindi scegliere il pulsante Avanti.

5. Nella pagina Credenziali di rete digitare il nome utente, la password e il dominio dell'account utente che si desidera utilizzare per l'operazione, quindi scegliere il pulsante Avanti.

È necessario che l'account utente sia un membro del gruppo Enterprise Admins.

6. Nella pagina Installazione del dominio figlio verificare il dominio padre e digitare il nome del nuovo domino figlio, quindi scegliere il pulsante Avanti.




10. Nella pagina Diagnostica registrazione DNS verificare la correttezza delle impostazioni di configurazione del servizio DNS, quindi scegliere il pulsante Avanti.


12. Nella pagina Password di amministratore modalità ripristino servizi directory digitare e confermare la password che si desidera assegnare all'account Administrator per il server, quindi scegliere il pulsante Avanti.

Utilizzare questa password quando si avvia il computer in modalità ripristino servizi directory.


Note

• Per eseguire questa procedura è necessario essere un membro del gruppo Domain Admins (nel dominio padre) o del gruppo Enterprise Admins in Active Directory oppure avere ottenuto la delega dell'autorità appropriata. Per una protezione ottimale, si consiglia di utilizzare la funzione Esegui come per eseguire questa procedura.

• Il server in cui viene installato Active Directory mediante questa procedura diventerà il primo controller di dominio nel nuovo dominio figlio.


• Quando si aggiunge un dominio figlio in una struttura di dominio esistente, per impostazione predefinita viene creato un trust bidirezionale e transitivo tra il dominio padre e il dominio figlio.


• Per verificare le credenziali amministrative è possibile anche utilizzare una smart card. Per ulteriori informazioni sulle smart card, fare clic su Argomenti correlati.

• L'Installazione guidata di Active Directory supporta nomi di dominio costituiti da un massimo di 64 caratteri o 155 byte. Sebbene il limite di 64 caratteri venga in genere raggiunto prima di quello dei 155 byte, è possibile

55

che si verifichi il caso contrario quando il nome contiene caratteri Unicode, che occupano tre byte. Questi limiti non vengono applicati ai nomi di computer.

• Non è possibile installare Active Directory in un computer che esegue Windows Server 2003, Web Edition, ma è possibile aggiungere il computer come server membro a un dominio di Active Directory. Per ulteriori informazioni su Windows Server 2003, Web Edition, fare clic su Argomenti correlati.

Funzionalità del dominio e dell'insieme di strutture La funzionalità del dominio e dell'insieme di strutture, introdotta in Windows Server 2003 Active Directory, consente di attivare nel proprio ambiente di rete funzioni a livello di dominio o insieme di strutture di Active Directory. A seconda dell'ambiente di rete, sono disponibili differenti livelli di funzionalità del dominio e funzionalità dell'insieme di strutture.

Se tutti i controller di dominio presenti nel dominio o nell'insieme di strutture eseguono Windows Server 2003 e il livello di funzionalità è impostato su Windows Server 2003, sono disponibili tutte le funzioni per il dominio o insieme di strutture. Quando nel dominio o nell'insieme di strutture sono inclusi controller di dominio Windows NT 4.0 o Windows 2000 insieme a controller di dominio che eseguono Windows Server 2003, le funzioni di Active Directory sono limitate.

Il concetto di attivazione di funzionalità aggiuntive in Active Directory esiste nei sistemi Windows 2000 in modalità mista e nativa. I domini in modalità mista possono contenere controller di dominio di backup Windows NT 4.0 e non possono utilizzare funzioni relative ai gruppi di protezione universali, alla nidificazione dei gruppi e alla cronologia dell'ID di protezione (SID). Quando invece il dominio è impostato sulla modalità nativa, le funzioni relative ai gruppi di protezione universali, alla nidificazione dei gruppi e alla cronologia SID risultano disponibili. I controller di dominio che eseguono Windows 2000 Server non sono compatibili con le funzionalità del dominio e dell'insieme di strutture.

Funzionalità del dominio

La funzionalità del dominio consente di attivare funzioni valide per tutto il dominio e solo per quel dominio. Sono disponibili quattro livelli di funzionalità del dominio: Windows 2000 misto (predefinito), Windows 2000 nativo, Windows Server 2003 interim e Windows Server 2003. Il livello di funzionalità predefinito dei domini è Windows 2000 misto.

Nella tabella riportata di seguito sono elencati i livelli di funzionalità del dominio e i relativi controller di dominio supportati.

Livello di funzionalità del dominio Controller di dominio supportati

Windows 2000 misto (predefinito) Windows NT 4.0 Windows 2000 Famiglia di sistemi Windows Server 2003

Windows 2000 nativo Windows 2000 Famiglia di sistemi Windows Server 2003



Una volta aumentato il livello di funzionalità del dominio, non è possibile includere nel dominio controller di dominio con sistemi operativi precedenti. Ad esempio, se si aumenta il livello di funzionalità del dominio a Windows Server 2003, i controller di dominio che eseguono Windows 2000 Server non possono essere aggiunti al dominio.

Nella tabella riportata di seguito sono descritte le funzionalità per l'intero dominio che vengono attivate per tre livelli di funzionalità del dominio. Per informazioni sul livello di funzionalità Windows Server 2003 interim, vedere Aggiornamento di un dominio di Windows NT.

Funzionalità del dominio Windows 2000 misto Windows 2000 nativo Windows Server 2003

56

Strumento per la ridenominazione dei controller di dominio

Per ulteriori informazioni, vedere Ridenominazione dei controller di dominio.


Aggiornamento del timestamp relativo all'accesso

Per ulteriori informazioni sull'attributo lastLogonTimestamp, vedere Account utente e account computer.


Password utente per l'oggetto InetOrgPerson



Gruppi universali

Per ulteriori informazioni, vedere Tipi di gruppi e Ambiti dei gruppi.


Disattivata per i gruppi di protezione.

Attivata


Attivata


Nidificazione dei gruppi

Per ulteriori informazioni, vedere Nidificazione dei gruppi.


Disattivata per i gruppi di protezione, ad eccezione dei gruppi di protezione locali che hanno come membri gruppi globali.

Attivata


Attivata


Conversione dei gruppi

Per ulteriori informazioni, vedere Conversione dei gruppi.

Disattivata

Non è consentita alcuna conversione dei gruppi.

Attivata


Attivata


Cronologia SID Disattivata

Attivata


Attivata


Tabella 10

Funzionalità dell'insieme di strutture

La funzionalità dell'insieme di strutture consente di attivare delle funzioni su tutti i domini compresi nell'insieme di strutture. Sono disponibili tre livelli di funzionalità dell'insieme di strutture: Windows 2000 (predefinito), Windows Server 2003 interim e Windows Server 2003. Il livello di funzionalità predefinito degli insiemi di strutture è Windows 2000. Questo livello può essere aumentato al livello Windows Server 2003.

Nella tabella riportata di seguito sono elencati i livelli di funzionalità dell'insieme di strutture e i relativi controller di dominio supportati.

57

Livello di funzionalità dell'insieme di strutture Controller di dominio supportati

Windows 2000 (predefinito) Windows NT 4.0 Windows 2000 Famiglia di sistemi Windows Server 2003



Una volta aumentato il livello di funzionalità dell'insieme di strutture, non è possibile includere nell'insieme di strutture controller di dominio con sistemi operativi precedenti. Ad esempio, se si aumenta il livello di funzionalità del dominio a Windows Server 2003, i controller di dominio che eseguono Windows 2000 Server non possono essere aggiunti all'insieme di strutture.

Se si esegue l'aggiornamento del primo controller di dominio Windows NT 4.0 perché diventi il primo dominio di un nuovo insieme di strutture Windows Server 2003, è possibile impostare il livello di funzionalità del dominio su Windows Server 2003 interim. Per ulteriori informazioni, vedere Aggiornamento di un dominio di Windows NT.

Nella tabella riportata di seguito sono descritte le funzioni per tutto l'insieme di strutture che vengono attivate per i livelli di funzionalità Windows 2000 e Windows Server 2003.

Funzionalità dell'insieme di strutture Windows 2000 Windows Server 2003

Replica più efficiente del catalogo globale

Per ulteriori informazioni, vedere Replica del catalogo globale.

Attivata se entrambi i partner di replica eseguono Windows Server 2003.

In tutti gli altri casi è disattivata.

Attivata

Oggetti schema disattivati

Per ulteriori informazioni, vedere Disattivazione di una classe o di un attributo.


Trust tra insiemi di strutture

Per ulteriori informazioni, vedere Trust tra insiemi di strutture.


Replica dei valori collegati

Per ulteriori informazioni, vedere Funzionamento della replica.


Ridenominazione dei domini

Per ulteriori informazioni, vedere Ridenominazione dei domini.


Algoritmi di replica di Active Directory più avanzati

Per ulteriori informazioni, vedere Cenni preliminari sulla replica.


Classi ausiliarie dinamiche.

Per ulteriori informazioni, vedere Nuove funzionalità per Active Directory.


Modifica della classe di oggetti InetOrgPerson



58

Tabella 12

Aumentare il livello di funzionalità del dominio

4. Aprire Domini e trust di Active Directory. 5. Nella struttura della console fare clic con il pulsante destro del mouse sul dominio di cui si desidera aumentare

il livello di funzionalità, quindi scegliere Aumenta livello funzionalità dominio. 6. Dall'elenco a discesa Selezionare un livello funzionalità dominio disponibile scegliere una delle seguenti

opzioni: o Per aumentare il livello di funzionalità del dominio al livello Windows 2000 nativo, selezionare

Windows 2000 originale, quindi scegliere il pulsante Aumenta. o Per aumentare il livello di funzionalità del dominio a Windows Server 2003, selezionare Windows

Server 2003, quindi scegliere il pulsante Aumenta.

Attenzione

• Se si utilizzano o si intendono utilizzare controller di dominio che eseguono Windows NT 4.0 o versioni precedenti, non aumentare il livello di funzionalità del dominio al livello Windows 2000 nativo. Una volta che il livello di funzionalità è stato impostato su Windows 2000 nativo, non è più possibile ripristinare il livello Windows 2000 misto.

Se si utilizzano o si intendono utilizzare controller di dominio che eseguono Windows NT 4.0 o versioni precedenti oppure Windows 2000, non aumentare il livello di funzionalità del dominio a Windows Server 2003. Una volta che il livello di funzionalità è stato impostato su Windows Server 2003, non è più possibile ripristinare il livello Windows 2000 misto o Windows 2000 nativo.

Tipi di trust

Le comunicazioni tra i domini vengono eseguite mediante i trust, ovvero pipeline di autenticazione la cui presenza è necessaria per consentire agli utenti di un dominio di accedere alle risorse di un altro dominio. Durante l'utilizzo dell'Installazione guidata di Active Directory vengono creati due trust predefiniti. In aggiunta, esistono altri quattro tipi di trust che è possibile creare utilizzando la Creazione guidata nuova relazione di trust o lo strumento della riga di comando Netdom.

Trust predefiniti

Per impostazione predefinita, quando si aggiunge un nuovo dominio a una struttura di dominio o al dominio principale di un insieme di strutture utilizzando l'Installazione guidata di Active Directory, vengono creati automaticamente trust transitivi bidirezionali. Nella seguente tabella sono descritti i due tipi di trust predefiniti.

Tipo di trust Transitività Direzione Descrizione

Padre e figlio Transitivo Bidirezionale

Per impostazione predefinita, quando si aggiunge un nuovo dominio figlio a una struttura di dominio esistente, viene stabilito un nuovo trust padre e figlio. Le richieste di autenticazione presentate dai domini subordinati seguono il percorso di trust verso l'alto attraverso i rispettivi domini padre fino al dominio trusting.

Origine struttura Transitivo Bidirezionale Per impostazione predefinita, quando si crea una nuova struttura di dominio in un

insieme di strutture esistente, viene stabilito un nuovo trust di origine struttura. Tabella 13

59

Altri trust Utilizzando la Creazione guidata nuova relazione di trust o lo strumento della riga di comando Netdom, è possibile creare altri quattro tipi di trust: esterni, tra aree di autenticazione, tra insiemi di strutture e di collegamento. Nella seguente tabella è fornita la descrizione di questi quattro tipi di trust.

Tipo di trust Transitività Direzione Descrizione

Esterno Non transitivo Unidirezionale o bidirezionale

Utilizzare i trust esterni per fornire l'accesso a risorse situate in un dominio di Windows NT 4.0 o in un dominio che si trova in un altro insieme di strutture non collegato da un trust tra insiemi di strutture.

Area di autenticazione

Transitivo o non transitivo

Unidirezionale o bidirezionale

Utilizzare i trust tra aree di autenticazione per stabilire una relazione di trust tra un'area di autenticazione Kerberos non Windows e un dominio di Windows Server 2003..

Insieme di strutture Transitivo Unidirezionale o

bidirezionale

Utilizzare i trust tra insiemi di strutture per condividere risorse tra un insieme di strutture e l'altro. Se un trust tra insiemi di strutture è bidirezionale, le richieste di autenticazione eseguite in uno dei due insiemi di strutture possono raggiungere l'altro insieme..

Collegamento Transitivo Unidirezionale o bidirezionale

Utilizzare i trust di collegamento per migliorare i tempi di accesso utente tra due domini all'interno di un insieme di strutture di Windows Server 2003. Questo tipo di trust è utile quando due domini sono separati da due strutture di dominio

Tabella 14

Quando si creano trust esterni, di collegamento, tra aree di autenticazione o tra insiemi di strutture, è possibile decidere se creare ciascuna parte del trust separatamente o entrambe le parti contemporaneamente.

Se si sceglie la prima opzione, è necessario eseguire la Creazione guidata nuova relazione di trust due volte, una per ciascun dominio. Durante la creazione dei trust mediante questa procedura, è necessario fornire la stessa password di trust per ciascun dominio. Per una protezione ottimale, si consiglia di utilizzare password complesse per tutti i trust.

Se si sceglie di creare entrambe le parti del trust contemporaneamente, è sufficiente eseguire la Creazione guidata nuova relazione di trust una sola volta. Scegliendo questa opzione, viene automaticamente generata una password di trust sicura.

Sono necessarie le credenziali amministrative appropriate per tutti i domini tra i quali viene creato un trust.

Per creare i trust è anche possibile utilizzare Netdom.exe. Per ulteriori informazioni su Netdom, vedere Strumenti di supporto di Active Directory.

Implementazione di utenti, gruppi e computer account Un account è una modalità di accesso al sistema. Normalmente essa consiste in una username ed una password. Si chiama account perché possibile verificare per quanto dura l’accesso al sistema. In passato infatti (ed anche attualmente in alcuni casi), veniva rendicontato il tempo di connessione. L’account è un modo per identificare l’entità che accede al sistema, ne imposta diritti, accessi e protezioni. L’identificazione è univoca. È possibile creare tre tipi di account in Windows 2003:

• Utenti • Gruppi

60

• Computer account

Utenti o user account Esistono tre tipi di user account:

• Local user account o utenti locali: abilità l’utente ad accedere al computer su cui risiede l’account e alle relative risorse (eventuali stampanti, dischi, ecc.).

• Domain user account o utente di dominio: l’utente non accede al solo computer dove effettua il login ma all’intero dominio ed alle relative risorse. In questo caso l’account non risiede sul computer su cui l’utente lavora ma in AD. L’utente tramite il single sign-on, ha la possibilità di utilizzare la propria account non solo dal proprio PC ma da qualsiasi PC all’interno del dominio.

• Built-in user account o utenti predefiniti: sono account di utenti predefiniti dal sistema operativo. Essi hanno svariate funzioni quali l’amministrazione (administrator), operazioni di backup (backup), ecc.

È importante sapere che la gestione degli utenti in ambiente Windows 2003 cambia a seconda se è installato AD oppure non sia presente. Nel caso che AD non sia installato, gli utenti sono locali. Per poter gestire gli utenti, si può aprire la finestra “Gestione computer”. In esso vi è il folder “utenti” dal quale è possibile effettuare creazione, gestione e cancellazione degli utenti locali. Nel caso invece, che venga installato AD, è necessario stabilire se si vogliono definire utenti locali oppure di dominio. Nel primo caso si utilizzerà la procedura descritta successivamente nel paragrafo “Creazione di utenti locali” mentre nel secondo caso, sarà necessario utilizzare l’MMC di AD “Utenti e Computer di Active Directory”.

Gruppi o group account Un gruppo è una collezione di utenti, computer account, o di altri gruppi. L’utilizzo dei gruppi è molto utile per la gestione degli accessi alle risorse. Infatti è sufficiente impostare i criteri di accesso e di sicurezza ad un gruppo, e tutte risorse che ne fanno parte, automaticamente sono soggette a quanto stabilito a livello di gruppo. Anche nel caso dei gruppi, esistono gruppi locali e gruppi di dominio, ed i primi, qualora venga attivato AD, non sono più disponibili, bensì possono essere gestiti tramite AD stesso.

Computer account Ogni sistema operativo Windows quale NT, XP, 2000, può accedere ad un dominio Windows 2003. Affinché ciò avvenga è necessario che a livello dominio esista una computer account, in analogia alle user account. Anche in questo caso, una computer account, fornisce un modo per autenticare il computer e ne gestisce l’accesso alle risorse.

Utenti e gruppi locali “Utenti e gruppi locali” è ubicato in Gestione computer, un insieme di strumenti amministrativi per la gestione di singoli computer locali o remoti. È possibile utilizzare “Utenti e gruppi locali” per proteggere e gestire account utente e gruppi archiviati localmente nel computer. A un account utente o di gruppo locale possono essere assegnati diritti e autorizzazioni per un particolare computer e solo per tale computer.

Mediante “Utenti e gruppi locali” è possibile di limitare la possibilità di utenti e gruppi di eseguire determinate operazioni tramite l'assegnazione di autorizzazioni e diritti. Un diritto autorizza un utente a eseguire determinate operazioni in un computer, quali il backup di file e cartelle o l'arresto di un computer. Un'autorizzazione è una regola associata a un oggetto, in genere un file, una cartella o una stampante, che determina quali utenti possono accedervi e in che modo.

Non è possibile utilizzare “Utenti e gruppi locali” per visualizzare gli account utente e di gruppo una volta che un server membro è stato promosso a controller di dominio. È tuttavia possibile utilizzare “Utenti e gruppi locali” in un controller

61

di dominio per individuare i computer remoti della rete che non sono controller di dominio. Per gestire utenti e gruppi di Active Directory, utilizzare Utenti e computer di Active Directory.

Creazione di utenti locali

Per creare un account utente locale

1. Aprire Gestione computer. 2. Nella struttura della console fare clic su Users.

Percorso

o Gestione computer o Utilità di sistema o Utenti e gruppi locali o Users

3. Scegliere Nuovo utente dal menu Azione. 4. Digitare le informazioni appropriate nella finestra di dialogo. 5. Selezionare o deselezionare le seguenti caselle di controllo:

o Cambiamento obbligatorio password all'accesso successivo o Cambiamento password non consentito o Nessuna scadenza password o Account disabilitato

6. Fare clic su Crea e quindi fare clic su Chiudi.

Note

• Per eseguire questa procedura, è necessario essere membri del gruppo Power Users o Administrators sul computer locale oppure disporre della delega per l'autorità appropriata. Se il computer fa parte di un dominio, è possibile che la procedura possa essere completata anche dai membri del gruppo Domain Admins. Per una protezione ottimale, si consiglia di eseguire questa procedura mediante Esegui come.


• È necessario che un nome utente sia diverso da tutti gli altri nomi di utente o gruppo presenti nel computer amministrato. Può contenere un massimo di 20 caratteri maiuscoli o minuscoli, a eccezione dei seguenti:

" / \ [ ] : ; | = , + * ? < >

Un nome utente non può essere costituito solo da punti (.) o spazi.

• In Password e Conferma password è possibile digitare una password contenente un massimo di 127 caratteri. Se però la rete è composta di computer con sistemi operativi Windows 95 o Windows 98, utilizzare password non più lunghe di 14 caratteri. Se la password è più lunga, potrebbe essere impossibile stabilire una connessione alla rete da questi computer.

• L'utilizzo di password complesse e criteri appropriati per le password possono contribuire alla protezione del computer da eventuali attacchi.

Creazione di gruppi locali

Per creare un gruppo locale

Utilizzo dell'interfaccia Windows

1. Aprire Gestione computer. 2. Nella struttura della console fare clic su Gruppi.

Percorso

62

o Gestione computer o Utilità di sistema o Utenti e gruppi locali o Gruppi

3. Scegliere Nuovo gruppo dal menu Azione. 4. In Nome gruppo digitare il nome che si desidera assegnare al nuovo gruppo. 5. In Descrizione digitare la descrizione del nuovo gruppo. 6. Per aggiungere uno o più membri al nuovo gruppo, fare clic su Aggiungi. 7. Nella finestra di dialogo Seleziona utenti, computer o gruppi, effettuare le operazioni seguenti:

o Per aggiungere un account utente o di gruppo al gruppo, digitare il nome dell'account utente o di gruppo che si desidera aggiungere in Immettere i nomi degli oggetti da selezionare, quindi fare clic su OK.

o Per aggiungere un account di computer al gruppo, fare clic su Tipi di oggetto, selezionare la casella di controllo Computer, quindi fare clic su OK. In Immettere i nomi degli oggetti da selezionare, digitare il nome dell'account di computer che si desidera aggiungere, quindi fare clic su OK.

8. Nella finestra di dialogo Nuovo gruppo fare clic su Crea e quindi su Chiudi.

Gruppi locali predefiniti All'interno della cartella Gruppi ubicata nello snap-in MMC (Microsoft Management Console) “Utenti e gruppi locali” sono visualizzati i gruppi locali predefiniti e i gruppi locali creati dall'amministratore. I gruppi locali predefiniti vengono creati automaticamente quando si installa un server autonomo o un server membro che esegue Windows Server 2003. L'appartenenza a un gruppo locale fornisce all'utente i diritti e le capacità per eseguire varie operazioni nel computer locale. Per ulteriori informazioni sui gruppi basati su domini, vedere oltre.

Ai gruppi locali è possibile aggiungere account utente locali, account utente di dominio, account di computer e account di gruppo. Non è possibile, però, aggiungere account utente e di gruppo locali agli account di gruppo di dominio.

Nota

• Per sapere a quale gruppo è necessario appartenere per svolgere una particolare procedura, molti argomenti di Procedure nella Guida in linea e supporto tecnico forniscono un riferimento a questa informazione.

Nella tabella riportata di seguito sono descritti i gruppi predefiniti presenti nella cartella Gruppi e vengono elencati i diritti utente assegnati a ciascun gruppo. Questi diritti sono assegnati nell'ambito dei criteri di protezione locali.

Gruppo Descrizione Diritti utente predefiniti

Administrators

I membri di questo gruppo dispongono del controllo completo del server e, se necessario, possono assegnare diritti utente e autorizzazioni per il controllo di accesso agli utenti. L'account Administrator è anche un membro predefinito. Quando il server fa parte di un dominio, il gruppo Domain Admins viene aggiunto automaticamente a questo gruppo. Poiché questo gruppo dispone del controllo completo del server, l'aggiunta di utenti va eseguita con cautela.

Accesso al computer dalla rete; regolazione quote di memoria per un processo; rilascio di autorizzazioni per l'accesso locale; rilascio di autorizzazioni per l'accesso tramite Servizi terminal; backup di file e directory; disabilitazione verifica delle visite; modifica dell'ora di sistema; creazione file di paging; debug di programmi; chiusura forzata da un sistema remoto; aumento della priorità di pianificazione; caricamento e rimozione driver di periferica; gestione del registro di controllo e protezione; modifica delle variabili di ambiente firmware; operazioni di manutenzione dei volumi; profilo del singolo processo; profilo delle prestazioni di sistema; rimozione computer dall'alloggiamento di espansione; ripristino di file e directory; arresto del sistema; acquisizione della proprietà di file o altri oggetti.

Backup Operators I membri di questo gruppo possono effettuare il backup e il ripristino di file sul server, indipendentemente dalle autorizzazioni

Accesso al computer dalla rete; rilascio di autorizzazioni per l'accesso locale; backup di file e directory; disabilitazione verifica delle

63

assegnate per tali file, in quanto il diritto a effettuare il backup ha la precedenza su tutte le autorizzazioni per i file. Non possono modificare le impostazioni di protezione.

visite; ripristino di file e directory; arresto del sistema.

DHCP Administrators (installato con il servizio Server DHCP)

I membri di questo gruppo dispongono di diritti amministrativi per il servizio Server DHCP (Dynamic Host Configuration Protocol). Il gruppo consente l'assegnazione di un accesso amministrativo limitato solo al server DHCP, senza offrire un accesso completo al server. I membri di questo gruppo possono amministrare il protocollo DHCP su un server mediante la console DHCP o il comando Netsh, ma non sono in grado di eseguire altre operazioni amministrative nel server.

Nessun diritto utente predefinito.

DHCP Users (installato con il servizio Server DHCP)

I membri di questo gruppo dispongono di accesso di sola lettura al servizio Server DHCP. In questo modo, i membri possono visualizzare le informazioni e le proprietà archiviate in uno specifico server DHCP. Queste informazioni sono utili per il personale di assistenza tecnica, quando sono necessari i report sullo stato del servizio DHCP.


Guests

I membri di questo gruppo dispongono di un profilo temporaneo creato all'accesso; il profilo verrà eliminato alla disconnessione del membro. L'account Guest (disattivato per impostazione predefinita) è anche membro predefinito di questo gruppo.


HelpServicesGroup

Questo gruppo consente agli amministratori di impostare i diritti comuni a tutte le applicazioni di supporto. Per impostazione predefinita, l'unico membro del gruppo è l'account associato alle applicazioni di supporto Microsoft, quale ad esempio Assistenza remota. Non aggiungere utenti a questo gruppo.


Network Configuration Operators

I membri di questo gruppo possono apportare modifiche alle impostazioni TCP/IP nonché rinnovare e rilasciare indirizzi TCP/IP. Questo gruppo non dispone di membri predefiniti.


Performance Monitor Users

I membri di questo gruppo possono controllare i contatori delle prestazioni del server localmente e da client remoti anche senza appartenere ai gruppi Administrators o Performance Log Users.


Performance Log Users

I membri di questo gruppo possono gestire i contatori delle prestazioni, i registri e gli avvisi del server localmente da client remoti anche senza appartenere al gruppo Administrators.


Power Users

I membri di questo gruppo possono creare account utente, quindi modificare ed eliminare gli account che hanno creato. Possono creare gruppi locali nonché aggiungere o rimuovere utenti dai gruppi locali creati. Inoltre possono aggiungere o rimuovere utenti dai gruppi Power Users, Users e Guests. I membri possono creare risorse condivise e amministrare le risorse condivise create. Non possono assumere la proprietà di file, eseguire il backup e il

Accesso al computer dalla rete; rilascio di autorizzazioni per l'accesso locale; disabilitazione verifica delle visite; modifica dell'ora di sistema; profilo del singolo processo; rimozione computer dall'alloggiamento di espansione; arresto del sistema.

64

ripristino di directory, caricare o scaricare driver di periferica o gestire i registri di protezione e di controllo.

Print Operators I membri di questo gruppo possono gestire stampanti e code di stampa. Nessun diritto utente predefinito.

Utenti desktop remoto

I membri di questo gruppo possono accedere in remoto a un server.

Rilascio di autorizzazioni per l'accesso tramite Servizi terminal

Replicator

Il gruppo Replicator supporta le funzioni di replica. L'unico membro del gruppo Replicator dovrebbe essere un account utente di dominio utilizzato per accedere ai servizi di replica di un controller di dominio. Non aggiungere a questo gruppo account utente di utenti effettivi.


Terminal Server Users

Questo gruppo contiene tutti gli utenti attualmente connessi al sistema tramite Server terminal. Qualsiasi programma eseguito da un utente con Windows NT 4.0 verrà eseguito per un membro del gruppo Terminal Server Users. Con le autorizzazioni predefinite assegnate a questo gruppo, i membri possono eseguire quasi tutti i programmi di versioni precedenti.


Users

I membri di questo gruppo possono effettuare operazioni comuni, quali l'esecuzione di applicazioni, l'utilizzo di stampanti locali e in rete e il blocco del server. Non possono condividere directory o creare stampanti locali. Per impostazione predefinita appartengono a questo gruppo i membri dei gruppi Domain Users, Authenticated Users e Interactive. Di conseguenza, qualsiasi account utente creato nel dominio diventa membro di questo gruppo.

Accesso al computer dalla rete; rilascio di autorizzazioni per l'accesso locale; disabilitazione verifica delle visite.

WINS Users (installato con il servizio WINS)

I membri di questo gruppo sono autorizzati all'accesso di sola lettura al servizio WINS (Windows Internet Name Service). In questo modo, i membri possono visualizzare le informazioni e le proprietà archiviate in uno specifico server WINS. Queste informazioni sono utili per il personale di assistenza tecnica, quando sono necessari i report sullo stato del servizio WINS.


Utenti, gruppi e computer account di dominio Vediamo ora, in un ambito in cui è presente un dominio e quindi almeno un domain controller con AD attivo, come vengono gestiti utenti, gruppi ed account. Per vedere come essi vengono gestiti, è necessario approfondire alcune caratteristiche dei gruppi in ambiente Windows 2003.

Tipi di gruppi

I gruppi consentono di raccogliere gli account utente, gli account computer e altri account di gruppo in unità gestibili. L'utilizzo dei gruppi anziché dei singoli utenti semplifica la gestione e l'amministrazione della rete.

65

Esistono due tipi di gruppi in Active Directory: gruppi di distribuzione e gruppi di protezione. È possibile utilizzare i gruppi di distribuzione per creare liste di distribuzione per la posta elettronica e i gruppi di protezione per assegnare le autorizzazioni per le risorse condivise.

Gruppi di distribuzione

I gruppi di distribuzione possono essere utilizzati solo con le applicazioni di posta elettronica, ad esempio Exchange, per inviare i messaggi a insiemi di utenti. Questi gruppi non sono abilitati per la protezione, ossia non possono essere inclusi negli elenchi di controllo di accesso discrezionali (DACL, Discretionary Access Control Lists). Se è necessario un gruppo per controllare l'accesso alle risorse condivise, creare un gruppo di protezione.

Gruppi di protezione

Se utilizzati con attenzione, i gruppi di protezione forniscono un sistema efficiente per l'assegnazione dei diritti di accesso alle risorse sulla rete. Mediante i gruppi di protezione, è possibile effettuare le seguenti operazioni:

• Assegnare i diritti utente ai gruppi di protezione in Active Directory

I diritti utente vengono assegnati ai gruppi di protezione per definire le operazioni che i membri dei gruppi possono effettuare all'interno dell'ambito di un dominio o di un insieme di strutture. Ad alcuni gruppi di protezione i diritti utente vengono assegnati automaticamente durante l'installazione di Active Directory, per consentire agli amministratori di definire il ruolo amministrativo di un utente nel dominio. Un utente che viene aggiunto al gruppo Backup Operators di Active Directory, ad esempio, può eseguire il backup e il ripristino dei file e delle directory che si trovano in ciascun controller di dominio nel dominio.

Per impostazione predefinita, al gruppo Backup Operators vengono assegnati automaticamente i diritti utente Backup di file e directory e Ripristino di file e directory. I membri del gruppo ereditano quindi i diritti utente assegnati al gruppo stesso.

È possibile assegnare i diritti utente ai gruppi di protezione, utilizzando Criteri di gruppo, per delegare operazioni specifiche. Si consiglia di prestare attenzione durante l'assegnazione di operazioni delegate in quanto un utente non esperto a cui sono assegnati troppi diritti in un gruppo di protezione può causare danni significativi alla rete.

• Assegnare le autorizzazioni per le risorse ai gruppi di protezione

Le autorizzazioni non devono essere confuse con i diritti utente. Le autorizzazioni vengono assegnate al gruppo di protezione per la risorsa condivisa e determinano gli utenti che possono accedere alla risorsa e il livello di accesso, ad esempio Controllo completo. Alcune autorizzazioni impostate sugli oggetti di dominio vengono assegnate automaticamente per consentire diversi livelli di accesso ai gruppi di protezione predefiniti, ad esempio Account Operators e Domain Admins.

I gruppi di protezione sono riportati nei DACL, che definiscono le autorizzazioni su risorse e oggetti. Durante il processo di assegnazione delle autorizzazioni di accesso per le risorse, ad esempio condivisioni file, stampanti e così via, è opportuno che gli amministratori assegnino le autorizzazioni a un gruppo di protezione anziché a singoli utenti. Questo approccio consente di concedere le autorizzazioni un'unica volta al gruppo, anziché più volte ai singoli utenti. Ogni account aggiunto a un gruppo riceve i diritti assegnati al gruppo in Active Directory e le autorizzazioni sulla risorsa definite per tale gruppo.

Analogamente ai gruppi di distribuzione, i gruppi di protezione possono essere utilizzati anche come entità di posta elettronica. L'invio di un messaggio al gruppo comporta l'invio del messaggio a tutti i membri del gruppo.

Nidificazione dei gruppi di protezioni Un utilizzo molto diffuso dei gruppi di protezione è quello di nidificarli, ovvero di mettere gruppi all’interno di gruppi. In questo modo il gruppo figlio, oltre ai propri permessi eredita quelli del gruppo padre, permettendo quindi una struttura gerarchia ad albero più elastica.

66

Conversione tra i gruppi di protezione e i gruppi di distribuzione

È possibile convertire in qualsiasi momento un gruppo di protezione in un gruppo di distribuzione e viceversa solo se il livello di funzionalità del dominio è impostato su Windows 2000 nativo o superiore. I gruppi non possono essere convertiti quando il livello di funzionalità del dominio è impostato su Windows 2000 misto.

Ambiti dei gruppi

I gruppi di protezione e i gruppi di distribuzione sono caratterizzati da un ambito che identifica il raggio di azione del gruppo all'interno della struttura di dominio o dell'insieme di strutture. Esistono tre ambiti di gruppo: universale, globale e locale di dominio.

• I membri dei gruppi universali possono includere altri gruppi e account appartenenti a qualsiasi dominio nella struttura di dominio o nell'insieme di strutture e possono disporre di autorizzazioni in qualsiasi dominio della struttura di dominio o dell'insieme di strutture.

• I membri dei gruppi globali possono includere altri gruppi e account appartenenti solo al dominio in cui il gruppo è definito e possono disporre di autorizzazioni in qualsiasi dominio dell'insieme di strutture.

• I membri dei gruppi locali di dominio possono includere altri gruppi e account dei domini di Windows Server 2003, Windows 2000 o Windows NT e possono disporre di autorizzazioni solo all'interno di un dominio.

Nella tabella riportata di seguito sono riepilogate le caratteristiche dei diversi ambiti dei gruppi.

Ambito universale Ambito globale Ambito locale di dominio Quando il livello di funzionalità del dominio è impostato su Windows 2000 nativo o Windows Server 2003, i membri dei gruppi universali possono includere account, gruppi globali e gruppi universali di qualsiasi dominio.

Quando il livello di funzionalità del dominio è impostato su Windows 2000 nativo o Windows Server 2003, i membri dei gruppi globali possono includere account e gruppi globali dello stesso dominio.

Quando il livello di funzionalità del dominio è impostato su Windows 2000 nativo o Windows Server 2003, i membri dei gruppi con ambito locale di dominio possono includere account, gruppi globali e gruppi universali di qualsiasi dominio, nonché gruppi locali dello stesso dominio.

Quando il livello di funzionalità del dominio è impostato su Windows 2000 misto, non è possibile creare gruppi di protezione con ambito universale.

Quando il livello di funzionalità del dominio è impostato su Windows 2000 misto, i membri dei gruppi globali possono includere account dello stesso dominio.

Quando il livello di funzionalità del dominio è impostato su Windows 2000 nativo o Windows Server 2003, i membri dei gruppi locali di dominio possono includere account e gruppi globali di qualsiasi dominio.

Quando il livello di funzionalità del dominio è impostato su Windows 2000 nativo o Windows Server 2003, è possibile aggiungere i gruppi ad altri gruppi e assegnare loro autorizzazioni in qualsiasi dominio.

I gruppi possono essere aggiunti ad altri gruppi e disporre di autorizzazioni in qualsiasi dominio.

I gruppi possono essere aggiunti ad altri gruppi locali di dominio e disporre di autorizzazioni solo nello stesso dominio.

I gruppi possono essere convertiti all'ambito locale di dominio. Possono inoltre essere convertiti all'ambito globale, a condizione che non includano tra i membri altri gruppi universali.

I gruppi possono essere convertiti all'ambito universale, a condizione che non siano membri di altri gruppi con ambito globale.

I gruppi possono essere convertiti all'ambito universale, a condizione che non includano tra i membri un altro gruppo con ambito locale di dominio.

Quando utilizzare i gruppi con ambito locale di dominio

I gruppi con ambito locale di dominio consentono di definire e gestire l'accesso alle risorse all'interno di un singolo dominio. I membri di questi gruppi possono essere:

• Gruppi con ambito globale • Gruppi con ambito universale • Account

67

• Altri gruppi con ambito locale di dominio • Una qualsiasi combinazione delle opzioni riportate sopra

Per concedere a cinque utenti l'accesso a una determinata stampante, ad esempio, è possibile aggiungere i cinque account utente all'elenco delle autorizzazioni della stampante. Tuttavia, se in un secondo momento si desidera concedere ai cinque utenti l'accesso a una nuova stampante, sarà necessario specificare di nuovo i cinque account nell'elenco delle autorizzazioni della nuova stampante.

Con una minima attività di pianificazione è possibile semplificare questa operazione amministrativa di routine creando un gruppo con ambito locale di dominio e assegnando a tale gruppo l'autorizzazione ad accedere alla stampante. Inserire i cinque account utente in un gruppo con ambito globale e aggiungere tale gruppo a quello con ambito locale di dominio. Quando si desidera concedere ai cinque utenti l'accesso a una nuova stampante, assegnare al gruppo con ambito locale di dominio l'autorizzazione ad accedere alla nuova stampante. Tutti i membri del gruppo con ambito globale riceveranno automaticamente l'accesso alla nuova stampante.

Quando utilizzare i gruppi con ambito globale

Utilizzare i gruppi con ambito globale per gestire oggetti directory che richiedono una manutenzione quotidiana, ad esempio gli account utente e gli account computer. Poiché i gruppi con ambito globale non vengono replicati all'esterno del dominio di appartenenza, gli account di un gruppo con ambito globale possono essere modificati di frequente senza generare traffico di replica verso il catalogo globale.

Sebbene i diritti e le autorizzazioni siano validi solo all'interno del dominio in cui vengono assegnati, applicando uniformemente i gruppi con ambito globale nei domini appropriati, sarà possibile consolidare i riferimenti agli account che hanno scopi simili. In questo modo verrà semplificata e razionalizzata la gestione dei gruppi nei domini. Si supponga di avere una rete composta dai due domini Europa e StatiUniti. Se nel dominio Europa è presente un gruppo con ambito globale denominato GLAmministrazione, è opportuno che esista un gruppo GLAmministrazione anche nel dominio StatiUniti, a meno che in questo dominio il reparto Amministrazione non esista.

Si raccomanda di utilizzare gruppi globali o universali anziché gruppi locali di dominio durante la definizione delle autorizzazioni sugli oggetti directory del dominio che vengono replicati nel catalogo globale.

Quando utilizzare i gruppi con ambito universale

Utilizzare i gruppi con ambito universale per consolidare i gruppi utilizzati in più domini. Per eseguire questa operazione, aggiungere gli account a gruppi con ambito globale e nidificare questi ultimi in gruppi con ambito universale. Utilizzando questa strategia, qualsiasi modifica all'appartenenza dei gruppi con ambito globale non avrà effetto sui gruppi con ambito universale.

Ad esempio, in una rete costituita da due domini, Europa e StatiUniti, e da un gruppo con ambito globale denominato GLAmministrazione in ciascun dominio, creare un gruppo con ambito universale denominato UNAmministrazione che abbia come membri i due gruppi GLAmministrazione (Europa\\GLAmministrazione e StatiUniti\\GLAmministrazione). Il gruppo UNAmministrazione potrà quindi essere utilizzato ovunque all'interno dell'organizzazione. Qualsiasi modifica apportata all'appartenenza dei singoli gruppi GLAmministrazione non causerà la replica del gruppo UNAmministrazione.

Si consiglia di non modificare spesso i membri di un gruppo con ambito universale in quanto qualsiasi modifica a questi gruppi provoca la replica dell'appartenenza del gruppo in ciascun catalogo globale dell'insieme di strutture.

Modifica dell'ambito dei gruppi

Quando si crea un nuovo gruppo, per impostazione predefinita il gruppo viene configurato come gruppo di protezione con ambito globale, indipendentemente dal livello di funzionalità corrente del dominio. Sebbene non sia consentito modificare l'ambito di un gruppo nei domini con livello di funzionalità impostato su Windows 2000 misto, le conversioni riportate di seguito sono consentite nei domini con livello di funzionalità impostato su Windows 2000 nativo o Windows Server 2003:

68

• Da globale a universale. Questa conversione è consentita solo se il gruppo che si desidera modificare non è membro di un altro gruppo con ambito globale.

• Da locale di dominio a universale. Questa conversione è consentita solo se tra i membri del gruppo che si desidera modificare non è presente un altro gruppo locale.

• Da universale a globale. Questa conversione è consentita solo se tra i membri del gruppo che si desidera modificare non è presente un altro gruppo universale.

• Da universale a locale di dominio. Per questa conversione non esistono limitazioni.

Gruppi su computer client e server autonomi

Alcune funzionalità relative ai gruppi, ad esempio i gruppi universali, la nidificazione dei gruppi e la distinzione tra i gruppi di protezione e quelli di distribuzione, sono disponibili solo sui server membri e i controller di dominio di Active Directory. Gli account di gruppo in Windows 2000 Professional, Windows XP Professional, Windows 2000 Server e nei server autonomi che eseguono Windows Server 2003 funzionano in modo analogo a quelli di Windows NT 4.0:

• A livello locale sul computer è possibile creare solo i gruppi locali. • A un gruppo locale creato su uno di questi computer è possibile assegnare autorizzazioni solo in tale computer.

Creare un nuovo account utente


1. Aprire Utenti e computer di Active Directory. 2. Nella struttura della console fare clic con il pulsante destro del mouse sulla cartella in cui si desidera

aggiungere un account utente.

Percorso

o Utenti e computer di Active Directory o nodo del dominio o cartella

3. Scegliere Nuovo, quindi Utente. 4. Nella casella di testo Nome digitare il nome dell'utente. 5. Nella casella di testo Iniziali digitare le iniziali dell'utente. 6. Nella casella di testo Cognome digitare il cognome dell'utente. 7. Modificare i dati del campo Nome completo per aggiungere le iniziali o invertire l'ordine del nome e del

cognome. 8. Nella casella di testo Nome accesso utente digitare il nome di accesso utente, quindi selezionare Suffisso UPN

dall'elenco a discesa e scegliere il pulsante Avanti.

Se l'utente utilizza un nome diverso per accedere a computer con sistema operativo Windows 95, Windows 98 o Windows NT, è possibile modificare il nome di accesso utente nella casella di testo Nome accesso utente (precedente a Windows 2000).

9. Nelle caselle di testo Password e Conferma password digitare la password dell'utente, quindi selezionare le opzioni password appropriate.

Note

• Per eseguire questa procedura, è necessario essere membri del gruppo Account Operators, Domain Admins o Enterprise Admins in Active Directory oppure disporre della delega per l'autorità appropriata. Per una protezione ottimale, si consiglia di eseguire questa procedura mediante Esegui come.


69

• Per aggiungere un utente, è possibile anche fare clic su sulla barra degli strumenti. • Per aggiungere un utente, è possibile anche copiare un account utente creato in precedenza. Per ulteriori

informazioni, fare clic su Argomenti correlati. • Un nuovo account utente con lo stesso nome di un account utente eliminato in precedenza non assume

automaticamente le autorizzazioni e le appartenenze ai gruppi dell'account eliminato perché l'ID di protezione (SID) per ciascun account è univoco. Per duplicare un account utente eliminato, è necessario ricreare manualmente tutte le autorizzazioni e le appartenenze ai gruppi.

• Per l'interoperabilità con altri servizi directory, è possibile creare un oggetto utente InetOrgPerson. Per creare un nuovo InetOrgPerson, nel passaggio tre scegliere InetOrgPerson anziché Utente. Per ulteriori informazioni su InetOrgPerson, vedere Account utente e account computer in Argomenti correlati.

• Per impostazione predefinita, quando si crea un nuovo utente, l'attributo del nome completo viene creato nel formato Nome Cognome. L'attributo del nome completo determina anche il formato del nome che viene visualizzato nell'elenco degli indirizzi globale. È possibile modificare il formato del nome visualizzato utilizzando ADSI Edit. In questo modo verrà modificato anche il formato del nome completo. Per ulteriori informazioni, vedere l'articolo Q250455 relativo alla modifica dei nomi visualizzati degli utenti di Active Directory, nella Knowledge Base di Microsoft.

• Nei domini di Windows NT versione 4.0 e precedenti era consentito l'utilizzo di un punto (.) al termine del nome di accesso utente, purché quest'ultimo non fosse costituito esclusivamente da punti. Nei domini di Windows Server 2003 non è consentito l'utilizzo dei punti al termine di un nome di accesso utente.

Creare un nuovo gruppo


1. Aprire Utenti e computer di Active Directory. 2. Nella struttura della console fare clic con il pulsante destro del mouse sulla cartella in cui si desidera

aggiungere un nuovo gruppo.

Percorso

o Utenti e computer di Active Directory o nodo del dominio o cartella

3. Scegliere Nuovo, quindi Gruppo. 4. Digitare il nome del nuovo gruppo.

Per impostazione predefinita, questo nome viene inserito anche nella casella del nome precedente a Windows 2000 per il nuovo gruppo.

5. In Ambito del gruppo selezionare una delle opzioni disponibili. 6. In Tipo gruppo selezionare una delle opzioni disponibili.

Note

• Per eseguire questa procedura, è necessario essere membri del gruppo Account Operators, Domain Admins o Enterprise Admins in Active Directory oppure disporre della delega per l'autorità appropriata. Per una protezione ottimale, si consiglia di eseguire questa procedura mediante Esegui come.


• Per aggiungere un gruppo, è anche possibile fare clic sulla cartella in cui si desidera aggiungere il gruppo,

quindi fare clic su sulla barra degli strumenti. • Se il livello di funzionalità del dominio in cui si desidera creare il gruppo è impostato su Windows 2000 misto,

è possibile selezionare solo il tipo di gruppo Protezione con ambito Locale al dominio o Globale. Per ulteriori informazioni, fare clic su Argomenti correlati.

70

La protezione di Windows 2003

Cenni preliminari sulla protezione

Le principali caratteristiche del modello di protezione dei prodotti Microsoft® Windows® Server 2003 sono l'autenticazione utente e il controllo di accesso. Il servizio directory di Active Directory® garantisce agli amministratori la possibilità di gestire tali funzionalità in modo semplice ed efficiente. Le caratteristiche del modello di protezione vengono descritte nelle seguenti sezioni.

Autenticazione

• L'accesso interattivo conferma l'identificazione dell'utente con il rispettivo computer locale o l'account Active Directory.

• L'autenticazione di rete conferma l'identificazione dell'utente in qualsiasi servizio di rete a cui l'utente tenta di accedere. Per fornire questo tipo di autenticazione, il sistema di protezione include i seguenti meccanismi di autenticazione: Kerberos V5, certificati a chiave pubblica, Secure Sockets Layer/Transport Layer Security (SSL/TLS), Digest e NTLM (per la compatibilità con i sistemi Windows NT® 4.0).

L'accesso singolo consente agli utenti di accedere alle risorse in rete senza dover fornire continuamente le proprie credenziali. Nel caso dei prodotti Windows Server 2003, gli utenti devono eseguire un'unica autenticazione per accedere alle risorse di rete. Le successive autenticazioni verranno eseguite in modo automatico.

I prodotti Windows Server 2003 includono anche un'autenticazione a due fattori, così come avviene con le smart card. Per ulteriori informazioni, vedere Smart card.

Per ulteriori informazioni, vedere Cenni preliminari sui protocolli di autenticazione.

Controllo degli accessi basato sugli oggetti

Oltre all'autenticazione dell'utente, viene consentito agli amministratori il controllo degli accessi alle risorse o agli oggetti della rete. A tale scopo, gli amministratori assegnano descrittori di protezione agli oggetti archiviati in Active Directory. In un descrittore di protezione sono elencati gli utenti e i gruppi ai quali è consentito l'accesso a un oggetto e le autorizzazioni specifiche assegnate a tali utenti e gruppi. Un descrittore di protezione specifica inoltre i vari eventi di accesso da controllare per un oggetto. Esempi di oggetti sono i file, le stampanti e i servizi. Gestendo le proprietà relative agli oggetti, gli amministratori possono impostare le autorizzazioni, assegnare la proprietà ed eseguire il monitoraggio dell'accesso utente.

Gli amministratori possono non solo controllare l'accesso a un oggetto specifico, ma anche controllare l'accesso a un attributo specifico di tale oggetto. Ad esempio, tramite la configurazione appropriata del descrittore di protezione di un oggetto, un utente potrebbe essere autorizzato ad accedere a un sottoinsieme di informazioni, quali il nome e il numero di telefono dei dipendenti, ma non all'indirizzo dell'abitazione. Per ulteriori informazioni, vedere Controllo degli accessi.

Per ulteriori informazioni sui tipi di autenticazione, vedere la sezione relativa al controllo delle autorizzazioni e degli accessi nel sito Web di Microsoft Windows Resource Kit all'indirizzo http://www.microsoft.com/.

Criteri di protezione

Per controllare la protezione del computer locale o di più computer è possibile ricorrere a criteri di password, criteri di blocco degli account, criteri Kerberos, criteri di controllo, diritti utente e altri criteri. Per creare criteri validi per l'intero sistema, è possibile utilizzare i modelli di protezione, applicare i modelli tramite Analisi e configurazione della protezione oppure modificare i criteri nel computer locale, nell'unità organizzativa o nel dominio. Per ulteriori informazioni, vedere Utilità di configurazione della protezione.

71

Controllo

Il monitoraggio della creazione o della modifica degli oggetti consente di tenere traccia di potenziali problemi di protezione, di assicurare l'affidabilità dell'utente e di fornire delle prove in caso di violazione della protezione. Per ulteriori informazioni, vedere Controllo.

Active Directory e la protezione

Active Directory garantisce la memorizzazione protetta delle informazioni sugli account utente e sui gruppi utilizzando il controllo degli accessi alle credenziali degli oggetti e degli utenti. Poiché in Active Directory sono memorizzate non solo le credenziali dell'utente ma anche le informazioni sul controllo degli accessi, gli utenti che accedono alla rete otterranno sia l'autenticazione che l'autorizzazione ad accedere alle risorse di sistema. Ad esempio, quando un utente accede alla rete, il sistema di protezione lo autentica con le informazioni memorizzate in Active Directory. Successivamente, quando l'utente tenta di accedere a un servizio sulla rete, il sistema controlla le proprietà definite nell'Elenco di controllo dell'accesso discrezionale (DACL, Discretionary Access Control List) per tale servizio.

Poiché Active Directory consente agli amministratori di creare degli account di gruppo, la protezione del sistema potrà essere gestita in modo più efficiente. Ad esempio, modificando le proprietà di un file, un amministratore può consentire a tutti gli utenti di un gruppo di leggere tale file. Questo spiega che l'appartenenza a un gruppo può fornire la possibilità di accesso agli oggetti di Active Directory.

Protezione dei dati

I dati memorizzati (in linea o non in linea) possono essere protetti utilizzando quanto segue:

• Crittografia del file system (EFS, Encrypting File System). EFS utilizza la crittografia con chiave pubblica per crittografare i dati NTFS locali. Per ulteriori informazioni, vedere Archiviazione protetta dei dati.

• Firme digitali, Con le firme digitali vengono firmati i componenti software, assicurandone la validità. Per ulteriori informazioni, vedere Firme digitali.

Protezione dei dati di rete

I dati di rete che si trovano nel sito (rete locale e subnet) sono protetti dal protocollo di autenticazione. Per garantire un ulteriore livello di protezione, è inoltre possibile scegliere di crittografare i dati di rete in un sito. Utilizzando la protezione IP (IPSec), è possibile crittografare tutte le comunicazioni di rete per determinati client oppure per tutti i client di un dominio.

I dati di rete in entrata e in uscita dal sito (tramite reti Intranet, reti Extranet o un gateway Internet) possono essere protetti utilizzando i seguenti strumenti:

• Internet Protocol Security (IPSec). Un gruppo di servizi di protezione basati sulla crittografia e sui protocolli di protezione.

• Routing e Accesso remoto. Consente di configurare il routing e i protocolli di accesso remoto. Per ulteriori informazioni, vedere Cenni preliminari sul routing.

• Servizio di autenticazione Internet (IAS, Internet Authentication Service). Fornisce protezione e servizi di autenticazione agli utenti autorizzati. Per ulteriori informazioni, vedere Servizio autenticazione Internet.

Infrastruttura con chiave pubblica

La crittografia con chiave pubblica è un'aspetto importante della protezione. Per ulteriori informazioni, vedere Infrastruttura della chiave pubblica.

Trust

I prodotti The Windows Server 2003 supportano il trust dei domini e degli insiemi di strutture.

73

• Nel caso di un account di dominio, l'utente accede alla rete con una password o una smart card utilizzando le credenziali di accesso singolo memorizzate nel servizio directory Active Directory. Effettuando l'accesso con questo tipo di account, l'utente autorizzato può accedere alle risorse del dominio e a qualsiasi dominio trusting. Se per accedere all'account di dominio viene utilizzata una password, l'autenticazione verrà eseguita tramite il protocollo Kerberos V5. Se invece si utilizza una smart card, l'autenticazione Kerberos V5 verrà utilizzata con i certificati.

• Nel caso di un account di computer locale, l'utente accede al computer locale utilizzando le credenziali memorizzate nel sistema di gestione degli account di protezione (SAM), che costituisce il database degli account di protezione locale. Gli account degli utenti locali possono essere memorizzati in qualsiasi workstation o server membro ma possono essere utilizzati esclusivamente per l'accesso a un determinato computer locale.

Autenticazione di rete L'autenticazione di rete conferma l'identificazione dell'utente in qualsiasi servizio di rete a cui l'utente tenta di accedere. Per fornire questo tipo di autenticazione, il sistema di protezione supporta vari meccanismi di autenticazione, tra cui il protocollo Kerberos V5, SSL/TLS (Secure Socket Layer/Transport Layer Security) e, per garantire la compatibilità con Windows NT 4.0, l'autenticazione NTLM. Per gli utenti che utilizzano un account di dominio l'autenticazione di rete avviene in modo invisibile. Gli utenti che utilizzano un account di computer locale devono fornire le proprie credenziali, ad esempio il nome utente e la password, ogni volta che accedono a una risorsa di rete. Viceversa, con l'account di dominio l'utente dispone di credenziali che possono essere utilizzate per l'accesso singolo.

Autenticazione Kerberos V5 Kerberos V5 rappresenta il principale protocollo di protezione per l'autenticazione in un dominio. Esso verifica l'identità dell'utente e dei servizi di rete. Questa duplice verifica viene definita anche autenticazione reciproca.

Cenni preliminari sul funzionamento di Kerberos V5 Il meccanismo di autenticazione Kerberos V5 rilascia dei ticket per consentire l'accesso ai servizi di rete. Questi ticket contengono dati crittografati, compresa una password crittografata, che conferma l'identità dell'utente al servizio richiesto. Ad eccezione dell'immissione di credenziali quali la password o la smart card, l'intero processo di autenticazione risulta invisibile all'utente. Un importante servizio offerto dal protocollo Kerberos V5 è il Centro distribuzione chiave (KDC, Key Distribution Center). Il KDC viene eseguito in ciascun controller di dominio come parte del servizio directory Active Directory, che memorizza tutte le password dei client e altre informazioni sugli account. Il processo di autenticazione Kerberos V5 funziona come segue:

1. L'utente che si trova in un sistema client ottiene l'autenticazione al KDC utilizzando una password o una smart card.

2. Il KDC rilascia al client uno speciale ticket di concessione ticket (TGT, Ticket-Granting Ticket). Il sistema client utilizza questo TGT per accedere al servizio di concessione dei ticket (TGS, Ticket-Granting Service), che fa parte del meccanismo di autenticazione Kerberos V5 nel controller di dominio.

3. Il servizio TGS rilascia quindi al client un ticket di servizio. 4. Il client presenta questo ticket al servizio di rete richiesto. Con il tagliando di servizio viene verificata l'identità

dell'utente al servizio e l'identità del servizio all'utente. I servizi Kerberos V5 vengono installati in ciascun controller di dominio e il client Kerberos viene installato in ogni workstation e server. Ogni controller di dominio funge da KDC. Un client utilizza una ricerca DNS (Domain Name Service) per individuare il controller di dominio più vicino. Tale controller di dominio funziona quindi come KDC preferito per tale utente durante la sessione di accesso. Se il KDC preferito non è più disponibile, il sistema individuerà un altro KDC per fornire l'autenticazione.

75

• Computer attendibile per la delega solo ai servizi specificati. Si tratta di una nuova funzionalità dei prodotti Windows Server 2003 e viene generalmente denominata delega limitata. Con questa opzione l'amministratore è in grado di specificare i nomi principali di servizio (SPN) che possono essere delegati all'account. Se per migliorare la funzionalità di un'applicazione è necessario fornire una delega, questa opzione rappresenta la scelta migliore. Una delega per servizi specificati consente all'amministratore di scegliere i servizi di rete delegabili, selezionando un servizio o un account computer specifico. Consentendo la delega solo a servizi specifici l'amministratore può controllare le risorse di rete utilizzabili dal servizio o dal computer.

Controllo di accesso Per proteggere un computer e le rispettive risorse, è necessario prendere in considerazione le autorizzazioni assegnate agli utenti. È possibile proteggere uno o più computer assegnando specifici diritti a utenti o gruppi. Un oggetto, ad esempio un file o una cartella, può essere protetto assegnando autorizzazioni che consentano a utenti o gruppi di svolgere operazioni specifiche su tale oggetto.

Cenni preliminari sul controllo di accesso

Il controllo di accesso è il processo di autorizzazione di utenti, gruppi e computer ad accedere agli oggetti sulla rete. Gli aspetti principali sui quali si basa il controllo di accesso sono le autorizzazioni, i diritti utente e il controllo degli oggetti.

Controllo degli oggetti

È possibile controllare l'accesso degli utenti agli oggetti. È quindi possibile visualizzare questi eventi relativi alla protezione nel registro di protezione con il Visualizzatore eventi. Per ulteriori informazioni, vedere Controllo.

Autorizzazioni

Le autorizzazioni definiscono il tipo di accesso consentito a un utente o a un gruppo per un oggetto o una proprietà di oggetto. Ad esempio, al gruppo Contabilità possono essere concesse le autorizzazioni di lettura e scrittura per il file libropaga.dat.

Le autorizzazioni vengono applicate a tutti gli oggetti protetti, quali file, oggetti di Active Directory® oppure oggetti del Registro di sistema. È possibile concedere autorizzazioni a utenti, gruppi o computer. È preferibile assegnare le autorizzazioni ai gruppi.

È possibile assegnare le autorizzazioni per gli oggetti a:

• gruppi, utenti e identità particolari del dominio • gruppi e utenti di tale dominio e di qualsiasi dominio di tipo trusted • gruppi locali e utenti che si trovano sul computer in cui risiede l'oggetto

Le autorizzazioni applicate a un oggetto dipendono dal tipo di oggetto. Ad esempio, le autorizzazioni applicabili a un file sono differenti da quelle applicabili a una chiave di registro. Alcune autorizzazioni sono tuttavia comuni a quasi tutti i tipi di oggetti. Le autorizzazioni comuni sono le seguenti:

• autorizzazioni di lettura • autorizzazioni di modifica • modifica proprietario • eliminazione

Quando si impostano le autorizzazioni, è anche possibile specificare il livello di accesso che si desidera consentire a gruppi e utenti. È possibile ad esempio consentire a un utente di leggere il contenuto di un file, a un altro di apportarvi

76

delle modifiche e nello stesso tempo impedire a tutti gli altri utenti di accedervi. Autorizzazioni simili possono essere impostate sulle stampanti, in modo che alcuni utenti possano configurarle e altri possano solo eseguire operazioni di stampa.

Se è necessario modificare le autorizzazioni di un oggetto singolo, è sufficiente avviare lo strumento appropriato e modificare le proprietà di tale oggetto. Per modificare ad esempio le autorizzazioni su un file, è possibile avviare Esplora risorse, fare clic con il pulsante destro del mouse sul nome del file e scegliere Proprietà. Nella scheda Protezione è possibile modificare le autorizzazioni per il file. Per ulteriori informazioni, vedere Autorizzazioni.

Proprietà degli oggetti

Quando un oggetto viene creato, a esso viene assegnato un proprietario. Per impostazione predefinita, il proprietario è colui che ha creato l'oggetto. Il proprietario di un oggetto può sempre modificare le autorizzazioni relative all'oggetto, indipendentemente da quelle già impostate. Per ulteriori informazioni, vedere Proprietà.

Ereditarietà delle autorizzazioni

L'ereditarietà consente agli amministratori di assegnare e gestire le autorizzazioni con facilità. Questa funzionalità consente di impostare gli oggetti di un contenitore in modo che ereditino automaticamente tutte le autorizzazioni ereditabili del contenitore. I file contenuti in una cartella, ad esempio, ne ereditano le autorizzazioni quando vengono creati. Verranno ereditate solo le autorizzazioni contrassegnate per l'ereditarietà.

Autorizzazioni e descrittori di protezione

A ogni contenitore e oggetto della rete è associata una serie di informazioni sul controllo di accesso. Note come descrittori di protezione, queste informazioni controllano il tipo di accesso concesso a utenti e gruppi. Il descrittore di protezione viene creato automaticamente insieme al contenitore o all'oggetto creato. Un esempio tipico di oggetto dotato di descrittore di protezione è rappresentato da un file.

Le autorizzazioni vengono definite all'interno di un descrittore di proprietà dell'oggetto. Le autorizzazioni sono associate o assegnate a utenti e gruppi specifici. Ad esempio, per il file Temp.dat, al gruppo Administrator potrebbero essere assegnate le autorizzazioni di lettura, scrittura ed eliminazione, mentre al gruppo Operator potrebbero essere assegnate solo le autorizzazioni di lettura e scrittura.

Ogni assegnazione di autorizzazioni a un utente o gruppo è nota come voce di autorizzazione, ovvero un tipo di voce di controllo di accesso (ACE, Access Control Entry). L'intero gruppo di voci delle autorizzazioni di un descrittore di protezione è noto come insieme di autorizzazioni o elenco di controllo di accesso (ACL; Access Control List). Pertanto, nel caso di un file denominato Temp.dat, l'insieme di autorizzazioni include due voci di autorizzazione: una per il gruppo Administrator e l'altra per il gruppo Operator.

Autorizzazioni esplicite ed ereditate

Esistono due tipi di autorizzazioni: autorizzazioni esplicite e autorizzazioni ereditate.

• Le autorizzazioni esplicite vengono configurate per impostazione predefinita durante la creazione dell'oggetto, tramite azione dell'utente.

• Le autorizzazioni ereditate sono quelle che vengono trasmesse a un oggetto da un oggetto padre. Le autorizzazioni ereditate semplificano la gestione delle autorizzazioni e assicurano l'uniformità delle autorizzazioni tra tutti gli oggetti di un determinato contenitore.

Per impostazione predefinita, gli oggetti di un contenitore ereditano le autorizzazioni da tale contenitore nel momento in cui vengono creati. Ad esempio, quando si crea una cartella denominata MiaCartella, tutte le sottocartelle e i file creati all'interno di tale cartella erediteranno automaticamente le autorizzazioni di tale cartella. Di conseguenza, la cartella MiaCartella sarà caratterizzata da autorizzazioni esplicite, mentre tutte le sottocartelle e i file al suo interno saranno caratterizzati da autorizzazioni ereditate.

Note

77

• Le autorizzazioni Nega ereditate non impediscono l'accesso a un oggetto se questo dispone di un'autorizzazione Consenti esplicita.

• Le autorizzazioni esplicite hanno la precedenza sulle autorizzazioni ereditate, anche sulle autorizzazioni Nega ereditate.

Tipi di autorizzazioni Ciascun tipo di oggetto è controllato da un gestore di oggetti. Per ogni tipo di oggetto è disponibile un gestore di oggetti differente. Di seguito vengono illustrati i tipi di oggetti, i gestori e gli strumenti utilizzati per gestire tali oggetti.

Tipo di oggetto Descrizione dell'autorizzazione Procedure

File e cartelle Autorizzazioni per file e cartelle

Per impostare, visualizzare, modificare o rimuovere le autorizzazioni per file e cartelle o Per impostare, visualizzare, modificare o rimuovere le autorizzazioni speciali

Condivisioni Autorizzazioni di condivisione Per impostare le autorizzazioni per una risorsa condivisa

Chiavi del Registro di sistema Garantire la protezione del Registro di sistema Per aggiungere utenti o gruppi all'elenco delle

autorizzazioni

Servizi Autorizzazioni di accesso ai servizi Protezione del computer locale per il file system, il Registro di sistema e i servizi di sistema

Stampante Assegnazione delle autorizzazioni di accesso alla stampante

Per impostare o rimuovere le autorizzazioni per una stampante

Connessioni di Servizi terminal

Gestione delle autorizzazioni di connessioneo Controllo dell'accesso alle connessioni

Gestire le autorizzazioni di connessione

Oggetto WMI Per autorizzare gli utenti WMI e impostare le autorizzazioni

Per modificare le autorizzazioni o eliminare gli utenti autorizzati

Oggetti di Active Directory

Autorizzazioni per gli oggetti Active Directory.

Procedure ottimali per l'assegnazione di autorizzazioni per gli oggetti Active Directory.

Proprietà Ogni oggetto ha un proprietario, sia che si tratti di un volume NTFS o Active Directory. Il proprietario controlla come le autorizzazioni sono impostate sull'oggetto e gli utenti a cui sono concesse.

Importante

• Per poter rettificare o modificare le autorizzazioni su un file, l'amministratore ne deve prima assumere la proprietà.

Per impostazione predefinita, in Windows Server 2003 il proprietario è il gruppo Administrators. Il proprietario può sempre modificare le autorizzazioni su un oggetto, anche quando è stato negato a tutti gli utenti l'accesso all'oggetto.

La proprietà di un oggetto può essere rilevata da:

78

• un amministratore. Per impostazione predefinita, il gruppo Administrators dispone del diritto utente Proprietà di file o altri oggetti .

• tutti gli utenti e i gruppi che dispongono dell'autorizzazione Diventa proprietario sull'oggetto in questione. • un utente con privilegio Ripristino di file e directory.

La proprietà può essere trasferita nei modi descritti di seguito.

• Il proprietario corrente può concedere l'autorizzazione Diventa proprietario ad altri utenti, consentendo loro di diventare proprietari in qualsiasi momento. Per completare la procedura, tali utenti dovranno però assumere effettivamente la proprietà dell'oggetto.

• Gli amministratori possono diventare proprietari di un oggetto. • Un utente al quale è stato assegnato il privilegio Ripristino di file e directory può fare doppio clic su Altri

utenti e gruppi e scegliere qualsiasi utente o gruppi a cui assegnare la proprietà.

Effetti dell'ereditarietà sulle autorizzazioni di accesso ai file e alle cartelle Dopo avere impostato le autorizzazioni su una cartella principale, i nuovi file e le nuove sottocartelle create in tale cartella ne ereditano le autorizzazioni. Per evitare che ciò accada, selezionare Solo la cartella selezionata dalla casella di riepilogo Applica a durante l'impostazione delle autorizzazioni speciali per la cartella principale. Per fare in modo che determinati file o sottocartelle non ereditino le autorizzazioni, fare clic con il pulsante destro del mouse sul file o sulla sottocartella, scegliere Proprietà, fare clic sulla scheda Protezione, quindi su Avanzate e deselezionare la casella di controllo Eredita dall'oggetto padre le autorizzazioni propagate agli oggetti figlio. Aggiungi tali autorizzazioni a quelle qui specificate.

Se le caselle di controllo sono inattive, il file o la cartella ha ereditato le autorizzazioni dalla cartella principale. Esistono tre metodi per apportare modifiche alle autorizzazioni ereditate:

• Una volta apportate le modifiche alla cartella principale, il file o la cartella ne erediterà le autorizzazioni. • Selezionare l'autorizzazione opposta (Consenti o Nega) per ignorare l'autorizzazione ereditata. • Deselezionare la casella di controllo Eredita dall'oggetto padre le autorizzazioni propagate agli oggetti

figlio. Aggiungi tali autorizzazioni a quelle qui specificate. È ora possibile apportare le modifiche alle autorizzazioni o rimuovere l'utente o il gruppo dall'elenco delle autorizzazioni. Il file o la cartella non erediterà più le autorizzazioni dalla cartella principale.

Nella maggior parte dei casi, l'impostazione Nega ha la precedenza su Consenti, a meno che una cartella erediti impostazioni in conflitto da diverse cartelle principali. In tal caso, l'impostazione ereditata dalla cartella principale più prossima all'oggetto nella sottostruttura avrà la precedenza.

Solo le autorizzazioni ereditabili vengono ereditate dagli oggetti figlio. Quando si impostano le autorizzazioni per l'oggetto padre, è possibile decidere se le cartelle e le sottocartelle potranno ereditarle con Applica a. Per ulteriori informazioni, vedere Selezione dell'oggetto a cui applicare le autorizzazioni.

È possibile trovare le autorizzazioni concesse a un utente o gruppo con lo Strumento Autorizzazioni valide.

Per impostare, visualizzare, modificare o rimuovere le autorizzazioni speciali

1. Fare clic con il pulsante destro del mouse sull'oggetto per il quale impostare le autorizzazioni avanzate o speciali, scegliere Proprietà, quindi fare clic sulla scheda Protezione.

2. Fare clic sul pulsante Avanzate, quindi effettuare una delle seguenti operazioni:

Per Procedura Impostare autorizzazioni speciali per un utente o un gruppo aggiuntivo

• Fare clic su Aggiungi. • In Immettere il nome dell'oggetto da selezionare (esempi), digitare il nome dell'utente o del gruppo, quindi fare clic su OK.

79

Visualizzare o modificare le autorizzazioni speciali per un utente o gruppo esistente

Selezionare il nome del gruppo o dell'utente e quindi fare clic su Modifica.

Rimuovere un gruppo o un utente esistente e le relative autorizzazioni speciali

Selezionare il nome del gruppo o dell'utente e quindi fare clic su Rimuovi. Se il pulsante Rimuovi non è disponibile, deselezionare la casella di controllo Eredita dall'oggetto padre le autorizzazioni propagate agli oggetti figlio. Aggiungi tali autorizzazioni a quelle qui specificate, quindi fare clic su Rimuovi.

3. Nella casella Autorizzazioni selezionare o deselezionare le caselle di controllo Consenti o Nega appropriate. 4. In Applica a fare clic sulle cartelle o sottocartelle a cui si desidera applicare queste autorizzazioni. 5. Per configurare la protezione in modo che le sottocartelle e i file non ereditino queste autorizzazioni,

deselezionare la casella di controllo Applica queste autorizzazioni solo a oggetti e/o contenitori in questo contenitore.

6. Fare clic su OK e quindi, in Impostazioni di protezione avanzate per nomeoggetto, fare clic su OK.

Attenzione

• Se si seleziona la casella di controllo Sostituisci le autorizzazioni su tutti gli oggetti figlio con le autorizzazioni appropriate qui specificate, le autorizzazioni di tutte le sottocartelle e di tutti i file verranno reimpostate in base a quelle ereditabili dall'oggetto padre. Una volta fatto clic su Applica o su OK

80

o Per assegnare autorizzazioni a un utente o gruppo per una risorsa condivisa, fare clic su Aggiungi. Nella finestra di dialogo Seleziona utenti, computer o gruppi cercare o digitare il nome dell'utente o del gruppo e quindi fare clic su OK.

o Per revocare l'accesso alla risorsa condivisa, fare clic su Rimuovi. o Per impostare singole autorizzazioni per l'utente o il gruppo, selezionare le caselle di controllo

Consenti o Nega nella casella Autorizzazioni per gruppo o utente.

Nota


Utilizzo di Esplora risorse

1. Aprire Esplora risorse. 2. Fare clic con il pulsante destro del mouse sulla cartella o sull'unità per la quale si desidera impostare le

autorizzazioni, quindi scegliere Condivisione e protezione. 3. Nella scheda Condivisione fare clic su Autorizzazioni, apportare una delle modifiche descritte di seguito,

quindi fare clic su OK: o Per assegnare autorizzazioni a un utente o gruppo per una risorsa condivisa, fare clic su Aggiungi.

Nella finestra di dialogo Seleziona utenti, computer o gruppi cercare o digitare il nome dell'utente o del gruppo e quindi fare clic su OK.

o Per revocare l'accesso a una risorsa condivisa, fare clic su Rimuovi. o Per impostare singole autorizzazioni per l'utente o il gruppo, selezionare le caselle di controllo

Consenti o Nega nella casella Autorizzazioni per gruppo o utente.

Nota

• Per aprire Esplora risorse, fare clic su Start, scegliere Tutti i programmi, Accessori e quindi fare clic su Esplora risorse.

Importante

• Le autorizzazioni di condivisione vengono applicate solo agli utenti che accedono alla risorsa attraverso la rete. Non vengono applicate agli utenti che accedono localmente, ad esempio al server terminal. In questi casi, per impostare le autorizzazioni utilizzare il controllo di accesso sul file system NTFS. Per ulteriori informazioni, vedere Argomenti correlati.

Note

• Per completare questa procedura occorre essere connessi come membro del gruppo Administrators, del gruppo Server Operators o del gruppo Power Users. Se il computer è connesso a una rete, è possibile che le impostazioni dei criteri di rete impediscano il completamento di questa procedura.

• Cartelle condivise consente di gestire le risorse condivise sia su computer locali sia su computer remoti. Per informazioni sulla connessione a un altro computer, vedere Argomenti correlati. Con Esplora risorse e la riga di comando è possibile gestire le risorse condivise solo nel computer locale.

• Una volta assegnate le autorizzazioni alla risorsa condivisa e a livello di file system, verranno applicate sempre le autorizzazioni più restrittive.

• In genere, è più semplice assegnare le autorizzazioni a un gruppo al quale vengono successivamente aggiunti gli utenti piuttosto che assegnare autorizzazioni identiche ai singoli utenti.

• Se si modificano le autorizzazioni per risorse condivise speciali, come ad esempio ADMIN$, potrebbero essere ripristinate le impostazioni predefinite all'arresto e al successivo riavvio del servizio Server oppure al riavvio del sistema. Questa condizione non viene applicata alle risorse condivise create dall'utente il cui nome di condivisione termina con il carattere $. Per ulteriori informazioni sulle risorse condivise speciali, vedere Argomenti correlati.

• Le opzioni di condivisione dei file potrebbero essere limitate se è attivata la condivisione file semplice. Per ulteriori informazioni sulla condivisione file semplice, vedere l'articolo Q304040, "Description of File Sharing and Permissions in Windows XP", nella Microsoft Knowledge Base all'indirizzo http://www.microsoft.com/.

81

Per impostare o rimuovere le autorizzazioni per una stampante

1. Aprire Stampanti e fax. 2. Fare clic con il pulsante destro del mouse sulla stampante per la quale si desidera impostare le autorizzazioni,

scegliere Proprietà e quindi fare clic sulla scheda Protezione. 3. Effettuare una delle operazioni descritte di seguito:

o Per modificare o eliminare le autorizzazioni da un gruppo o da un utente esistente, fare clic sul nome del gruppo o dell'utente.

o Per impostare le autorizzazioni per un nuovo utente o gruppo, fare clic su Aggiungi. In Seleziona utenti, computer o gruppi digitare il nome dell'utente o del gruppo per il quale si desidera impostare autorizzazioni, quindi fare clic su OK per chiudere la finestra di dialogo.

4. Se necessario, nella casellaAutorizzazioni selezionare la casella di controllo Consenti o Nega per ogni autorizzazione che si desidera consentire o negare. In alternativa, fare clic su Rimuovi per rimuovere il gruppo o l'utente dall'elenco delle autorizzazioni.

Note

• Per modificare le impostazioni della periferica, è necessario disporre dell'autorizzazione Gestione stampanti. Per ulteriori informazioni sulle autorizzazioni di protezione della stampa, fare clic su Argomenti correlati.

• Per aprire Stampanti e fax, fare clic sul pulsante Start, quindi scegliere Stampanti e fax. • Per visualizzare o modificare le autorizzazioni che costituiscono la base di Stampa, Gestione stampanti e

Gestione documenti, scegliere il pulsante Avanzate. • È necessario che la stampante sia condivisa per consentire l'applicazione delle impostazioni di autorizzazione

agli utenti e ai gruppi elencati. • È anche possibile visualizzare le autorizzazioni assegnate facendo clic sul gruppo di appartenenza nella scheda

Protezione. Per informazioni su come individuare il gruppo di appartenenza, fare clic su Argomenti correlati.

Diritti utente

I diritti utente consentono di assegnare privilegi specifici e diritti di accesso a utenti e gruppi. Per informazioni sui diritti utente, vedere: Per ulteriori informazioni, vedere Introduzione ai diritti utente.

Introduzione ai diritti utente Gli amministratori possono assegnare diritti specifici ad account di gruppo o a singoli account utente. Questi diritti autorizzano gli utenti a eseguire operazioni specifiche, quali l'accesso a un sistema in modo interattivo o il backup di file e directory. I diritti utente sono differenti dalle autorizzazioni in quanto i primi si applicano agli account utente e le seconde si applicano agli oggetti. Per informazioni sulle autorizzazioni, vedere Effetti dell'ereditarietà sulle autorizzazioni di accesso ai file e alle cartelle.

I diritti utente definiscono le funzionalità a livello locale. Sebbene sia possibile applicare i diritti utente a singoli account utente, si consiglia di amministrarli in base ad account di gruppo. Questo assicura che se un utente accede al sistema in qualità di membro di un gruppo, erediterà automaticamente i diritti associati a tale gruppo. Assegnando i diritti utente ai gruppi anziché a singoli utenti, si semplifica l'amministrazione degli account utente. Quando gli utenti di un gruppo richiedono tutti gli stessi diritti utente, è possibile assegnare una sola volta al gruppo l'insieme di diritti utente, anziché ripetere l'assegnazione dello stesso insieme di diritti per ciascun account utente.

I diritti utente assegnati a un gruppo vengono applicati a tutti i membri del gruppo mentre sono membri. Se un utente risulta membro di più gruppi, i diritti utente saranno cumulativi, vale a dire che l'utente potrà avvalersi di più insiemi di diritti. L'unico caso in cui i diritti che vengono assegnati a un gruppo potrebbero entrare in conflitto con quelli assegnati a un altro si verifica quando vengono applicati determinati diritti di accesso. In generale, i diritti utente assegnati a un gruppo non entrano in conflitto con i diritti assegnati a un altro gruppo. Per rimuovere i diritti da un utente, è sufficiente che l'amministratore rimuova l'utente dal gruppo. In questo caso l'utente non potrà più avvalersi dei diritti assegnati a tale gruppo.

Esistono due tipi di diritti utente: i privilegi, ad esempio il diritto di eseguire il backup di file e directory, e i diritti di accesso, ad esempio il diritto di accedere localmente a un sistema.

82

Privilegi Per agevolare l'amministrazione degli account utente, è necessario assegnare i privilegi principalmente agli account di gruppo, anziché a singoli account utente. Quando si assegnano i privilegi a un account di gruppo, agli utenti vengono automaticamente assegnati tali privilegi nel momento in cui diventano membri di tale gruppo. Questo metodo di amministrazione dei privilegi risulta molto più semplice rispetto all'assegnazione di singoli privilegi a ciascun account utente quando viene creato l'account.

Nella seguente tabella vengono elencati e descritti i privilegi che è possibile concedere a un utente.

Privilegio Descrizione

Agisci come parte del sistema operativo

Questo diritto utente consente a un processo di rappresentare qualsiasi utente senza autenticazione. Il processo può pertanto accedere alle stesse risorse locali accessibili all'utente.

I processi che richiedono questo privilegio dovrebbero utilizzare l'account LocalSystem, che include tale privilegio, anziché utilizzare un account utente distinto a cui il privilegio viene assegnato specificamente. Se l'organizzazione utilizza solo server con sistema operativo Windows Server 2003, non è necessario assegnare questo privilegio agli utenti. Se tuttavia l'organizzazione utilizza server che eseguono Windows 2000 o Windows NT 4.0, può essere necessario assegnare questo privilegio per utilizzare applicazioni che scambiano password non crittografate.

Impostazione predefinita: Sistema locale.

Aggiunta di workstation al dominio

Questa impostazione di protezione determina quali gruppi o utenti possono aggiungere workstation a un dominio.

Questa impostazione di protezione è valida solo nei controller di dominio. Per impostazione predefinita, tutti gli utenti autenticati dispongono di questo diritto e possono creare fino a 10 account computer nel dominio.

L'aggiunta di un account computer al dominio consente al computer in questione di utilizzare una rete basata su Active Directory. Ad esempio, l'aggiunta di una workstation a un dominio consente a tale workstation di riconoscere gli account e i gruppi che esistono in Active Directory.

Impostazione predefinita: Authenticated Users (nei controller di dominio).

Regolazione delle quote di memoria per un processo

Questo privilegio stabilisce chi può modificare la quantità di memoria massima allocabile a un processo.

Il diritto utente è definito nell'oggetto Controller di dominio predefinito di Criteri di gruppo (GPO) e nei criteri di protezione locali delle workstation e dei server.

Impostazione predefinita: Administrators.

Backup di file e directory

Questo diritto utente determina quali utenti possono aggirare le autorizzazioni di accesso a file e directory, al Registro di sistema e ad altri oggetti permanenti per eseguire il backup del sistema.

Impostazione predefinita: Administrators e Backup Operators.

Ignora controllo esplorazione

Questo diritto utente determina quali utenti possono esplorare le strutture di directory anche se privi delle autorizzazioni specifiche. Questo privilegio non consente all'utente di elencare il contenuto di una directory, ma solo di visitare le directory.


83

Impostazione predefinita:

• Nelle workstation e nei server: o Administrators o Backup Operators o Power Users o Users o Everyone

• Nei controller di dominio: o Administrators o Authenticated Users

Modifica dell'orario del sistema

Questo diritto utente determina quali utenti e gruppi possono modificare l'ora e la data dell'orologio interno del computer. Gli utenti in possesso di questo diritto utente possono modificare l'aspetto dei registri eventi. Se l'ora di sistema viene modificata, gli eventi registrati rifletteranno la nuova ora, e non l'ora effettiva in cui si sono verificati.



• Nelle workstation e nei server: o Administrators o Power Users

• Nei controller di dominio: o Administrators o Server Operators

Creazione di un file di paging

Consente all'utente di creare e modificare la dimensione di un file di paging. Questaoperazione viene eseguita specificando la dimensione di un file di paging per una determinata unità presente nella casella Opzioni prestazioni nella scheda Avanzate della finestra di dialogo Proprietà - Sistema.

Impostazione predefinita: Administrators

Creazione di un oggetto token

Consente a un processo di creare un token da utilizzare per accedere a qualsiasi risorsa locale quando il processo utilizza NtCreateToken() o altre API per la creazione del token.

I processi che richiedono questo privilegio dovrebbero utilizzare l'account LocalSystem, che lo include, anziché utilizzare un account utente distinto a cui il privilegio viene assegnato specificamente.

Impostazione predefinita: Nessuno

Creazione di oggetti globali

Questa impostazione di protezione determina quali account sono autorizzati a creare oggetti globali in una sessione di Servizi terminal.

Impostazione predefinita: Administrators e Sistema locale.

Creazione di oggetti condivisi permanenti

Consente a un processo di creare un oggetto directory nel servizio Object Manager dei sistemi operativi della famiglia Windows Server 2003 e di Windows XP Professional. Questo privilegio è particolarmente utile per i componenti in modalità kernel che estendono lo spazio dei nomi dell'oggetto. Poiché ai componenti eseguiti in modalità kernel è già assegnato questo privilegio, non è necessario assegnarlo in modo specifico.

Impostazione predefinita: Nessuno

Debug programmi Questo diritto utente determina quali utenti possono associare un debugger ai processi o al kernel. Non è necessario assegnare questo diritto agli sviluppatori che eseguono il debug delle proprie applicazioni. Per eseguire il debug di nuovi componenti del sistema, gli

84

sviluppatori dovranno invece disporre di tale diritto utente. Questo diritto utente consente l'accesso completo a componenti del sistema operativo cruciali e importanti.


• Administrators • Sistema locale

Consenti ad account utente e computer di essere considerati trusted per la delega

Questa impostazione di protezione determina quali utenti possono attivare l'impostazione Trusted per la delega per un oggetto utente o computer.

L'utente o l'oggetto cui viene concesso questo privilegio deve disporre dell'accesso in scrittura ai flag di controllo dell'account sull'oggetto utente o computer. Un processo server in esecuzione su un computer, o in un contesto utente, impostato come trusted per la delega può accedere alle risorse in un altro computer utilizzando le credenziali delegate di un client, purché per l'account del client non sia stato impostato il flag di controllo L'account è sensibile e non può essere delegato.


Impostazione predefinita: Nei controller di dominio:

• Administrators

Imponi arresto del sistema da un sistema remoto

Questa impostazione di protezione determina quali utenti sono autorizzati ad arrestare un computer da una posizione remota della rete. L'utilizzo improprio di questo diritto utente può causare una situazione di negazione di servizio (DoS, Denial of Service).



• Nelle workstation e nei server: Administrators. • Nei controller di dominio: Administrators e Server Operators.

Generazione di controlli di protezione

Questa impostazione di protezione determina quali account possono essere utilizzati da un processo per aggiungere voci al registro di protezione. Il registro protezione viene utilizzato per individuare un eventuale accesso al sistema non autorizzato. L'utilizzo improprio di questo diritto utente può determinare la generazione di numerosi eventi di controllo, nascondendo le prove di potenziali attacchi, oppure causare una situazione di negazione di servizio (DoS, Denial of Service) se il criterio di protezione Controllo: arresta il sistema immediatamente se non è possibile registrare i controlli di protezione è attivato. Per ulteriori informazioni, vedere Controllo: arresta il sistema immediatamente se non è possibile registrare i controlli di protezione.


Rappresentazione di un client dopo l'autenticazione

Questa impostazione di protezione determina quali account sono autorizzati a rappresentare altri account.

Impostazione predefinita: Administrators e Servizio.

Aumento livello di priorità

Questa impostazione di protezione determina quali account sono autorizzati a utilizzare un processo con accesso Proprietà di scrittura a un altro processo per aumentare la priorità di esecuzione assegnata all'altro processo. Un utente dotato di questo privilegio può modificare la priorità di pianificazione di un processo tramite l'interfaccia utente di Task

85

Manager.


Carica e scarica driver di periferica

Questo diritto utente determina quali utenti possono caricare e scaricare dinamicamente driver di periferica o altro codice in modalità kernel. Questo diritto utente non è valido per i driver di periferica Plug and Play. Si consiglia di non assegnare questo privilegio ad altri utenti. Utilizzare invece l'API StartService().

Impostazione predefinita: Administrators. È consigliabile non concedere questo privilegio a nessun altro utente. I driver delle periferiche vengono eseguiti come programmi trusted o con privilegi avanzati.

Blocca pagine in memoria

Questa impostazione di protezione determina quali account possono utilizzare un processo per mantenere i dati nella memoria fisica, impedendo al sistema di effettuare il paging dei dati nella memoria virtuale su disco. L'utilizzo di questo privilegio può avere un impatto notevole sulle prestazioni del sistema a causa della riduzione della memoria RAM disponibile.

Impostazione predefinita: Nessuno. Alcuni processi di sistema hanno questo privilegio per impostazione predefinita.

Gestione del registro di protezione e di controllo

Questa impostazione di protezione determina quali utenti possono specificare le opzioni di controllo dell'accesso agli oggetti per singole risorse, quali file, oggetti Active Directory echiavi del Registro di sistema.

Questa impostazione di protezione non consente agli utenti di attivare il controllo generale dell'accesso a oggetti e file. Per attivare questo tipo di controllo, è necessario configurare l'impostazione Controlla accesso agli oggetti in Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri locali\Criteri controllo.

È possibile visualizzare gli eventi nel registro di protezione utilizzando il Visualizzatore eventi. Un utente con questo privilegio può inoltre visualizzare e cancellare il contenuto del registro di protezione.


Modifica valori ambiente firmware

Questa impostazione di protezione determina quali utenti possono modificare i valori di ambiente del firmware. Le variabili di ambiente del firmware sono impostazioni memorizzate nella RAM non volatile dei computer con processore non x86. L'effetto dell'impostazione dipende dal processore.

• Nei computer basati su processore x86, l'unico valore di ambiente del firmware che è possibile modificare assegnando questo diritto utente è l'impostazione Ultima configurazione valida, che deve essere modificata soltanto dal sistema.

• Nei computer basati su processore Itanium, le informazioni di avvio sono memorizzate nella RAM non volatile. Gli utenti devono disporre di questo diritto utente per eseguire bootcfg.exe e modificare l'impostazione Sistema operativo predefinito nella casella di gruppo Avvio e ripristino della finestra di dialogo Proprietà del sistema.

• In tutti i computer, questo diritto utente è necessario per installare o aggiornare Windows.


• Administrators • Sistema locale

Creazione del profilo di un singolo processo

Questa impostazione di protezione determina quali utenti possono utilizzare gli strumenti di monitoraggio delle prestazioni per controllare le prestazioni di processi non di sistema.

86

Impostazione predefinita: Administrators, Power Users e Sistema locale.

Creazione di un profilo delle prestazioni del sistema

Questa impostazione di protezione determina quali utenti possono utilizzare gli strumenti di monitoraggio delle prestazioni per controllare le prestazioni dei processi di sistema.

Impostazione predefinita: Administrators e Sistema locale.

Rimozione dall'alloggiamento di espansione

Questa impostazione di protezione determina se un utente può rimuovere un computer portatile dal relativo alloggiamento di espansione senza eseguire l'accesso.

Se il criterio è attivato, l'utente deve connettersi prima di rimuovere il computer portatile dall'alloggiamento di espansione. Se il criterio è disattivato, l'utente può rimuovere il computer portatile dall'alloggiamento di espansione senza eseguire l'accesso.

Impostazione predefinita: Disattivato.

Sostituzione di token a livello di processo

Consente di stabilire quali account utente sono autorizzati a inizializzare un processo per la sostituzione del token predefinito associato a un sottoprocesso avviato.

Il diritto utente è definito nell'oggetto Controller di dominio predefinito di Criteri di gruppo e nei criteri di protezione locali delle workstation e dei server.

Impostazione predefinita: Servizio locale e Network Service.

Ripristino di file e directory

Questa impostazione di protezione determina quali utenti possono aggirare le autorizzazioni di accesso a file e directory, al Registro di sistema e ad altri oggetti permanenti quando eseguono il ripristino di file e directory di backup e quali utenti possono impostare qualsiasi identità di protezione valida come proprietario di un oggetto.

In particolare, questo diritto utente è analogo alla concessione delle seguenti autorizzazioni all'utente o al gruppo in questione per tutti i file e tutte le cartelle del sistema:

• Visita cartella/Esecuzione file • Scrittura


• Nelle workstation e nei server: Administrators e Backup Operators. • Nei controller di dominio: Administrators, Backup Operators e Server Operators.

Arresta il sistema

Questa impostazione di protezione determina quali utenti connessi al computer localmente possono arrestare il sistema operativo utilizzando il comando Chiudi sessione. L'utilizzo improprio di questo diritto utente può causare una situazione di negazione di servizio (DoS, Denial of Service).


• Nelle workstation: Administrators, Backup Operators, Power Users e Users. • Nei server: Administrators, Backup Operators e Power Users. • Nei controller di dominio: Account Operators, Administrators, Backup Operators,

Server Operators e Print Operators.

Sincronizzazione dati servizio directory

Questa impostazione di protezione determina quali utenti e gruppi sono autorizzati a sincronizzare tutti i dati del servizio di directory. Questo processo è noto anche come sincronizzazione di Active Directory.

Impostazione predefinita: Nessuno.

Proprietà di file o altri oggetti

Questa impostazione di protezione determina quali utenti possono acquisire la proprietà di qualsiasi oggetto del sistema che è possibile proteggere, inclusi gli oggetti Active Directory, i file e le cartelle, le stampanti, le chiavi del Registro di sistema, i processi e i

87

thread.


Alcuni privilegi possono sovrascrivere le autorizzazioni impostate su un oggetto. Ad esempio, un utente connesso a un account di dominio in qualità di membro del gruppo Backup Operators ha il diritto di eseguire operazioni di backup per tutti i server di dominio. È tuttavia necessario ottenere l'autorizzazione a leggere tutti i file di quei server, compresi i file su cui i proprietari hanno impostato autorizzazioni che negano esplicitamente l'accesso a tutti gli utenti, inclusi i membri del gruppo Backup Operators. Un diritto utente, in questo caso il diritto di eseguire il backup, ha la precedenza su tutte le autorizzazioni relative ai file e alle directory.

Per ulteriori informazioni, vedere Diritti di accesso, Diritti utente e Strumenti di gestione della configurazione della protezione.

Nota

• Per visualizzare i propri privilegi, digitare whoami /priv al prompt dei comandi. Per ulteriori informazioni sul comando whoami, vedere Whoami.

Diritti di accesso Nella tabella seguente vengono descritti i diritti di accesso.

Diritto di accesso Descrizione

Accesso al computer dalla rete

Questo diritto utente determina quali utenti o gruppi possono connettersi al computer dalla rete. Servizi terminal non viene influenzato da questo diritto utente.



• Nei controller di dominio: o Administrators o Authenticated Users o Everyone

Consenti accesso locale

Questo diritto di accesso determina quali utenti possono accedere interattivamente al computer. Per gli accessi avviati premendo CTRL+ALT+CANC sulla tastiera, gli utenti devono disporre di questo diritto di accesso. Inoltre, questo diritto di accesso può essere richiesto da servizi o applicazioni amministrative che richiedono l'accesso degli utenti. Se si definisce questo criterio per un utente o un gruppo, è necessario assegnare il diritto anche al gruppo Administrators.


• Nelle workstation e nei server: Administrators, Backup Operators, Power Users, Users e Guest.

• Nei controller di dominio: Account Operators, Administrators, Backup Operators, Print Operators e Server Operators.

Consenti accesso tramite Questa impostazione di protezione determina quali utenti o gruppi sono autorizzati ad accedere come

88

Servizi terminal

client Servizi terminal.


• Nelle workstation e nei server: Administrators, Utenti desktop remoto. • Nei controller di dominio: Administrators.

Nega accesso al computer dalla rete

Questa impostazione di protezione determina a quali utenti è impedito l'accesso a un computer dalla rete. Questa impostazione di criterio è prioritaria rispetto all'impostazione Accedi al computer dalla retese un account utente è soggetto a entrambi i criteri.


Nega accesso come processo batch

Questa impostazione di protezione determina a quali account viene impedito di accedere come processo batch. Questa impostazione di criterio è prioritaria rispetto all'impostazione Accesso come processo batch se un account utente è soggetto a entrambi i criteri.


Nega accesso come servizio

Questa impostazione di protezione determina a quali account di servizio viene impedito di registrare un processo come servizio. Questa impostazione di criterio è prioritaria rispetto all'impostazione Accesso come servizio se un account è soggetto a entrambi i criteri.

Nota

• Questa impostazione di protezione non è valida per gli account System, Servizio locale e Network Service.


Nega accesso locale

Questa impostazione di protezione determina a quali utenti viene impedito l'accesso al computer. Questa impostazione di criterio è prioritaria rispetto all'impostazione Consenti accesso locale se un account è soggetto a entrambi i criteri.

Importante

• Se questo criterio di protezione viene applicato al gruppo Everyone, nessun utente potrà eseguire l'accesso locale.


Nega accesso tramite Servizi terminal

Questa impostazione di protezione determina a quali utenti e gruppi viene negata l'autorizzazione ad accedere come client Servizi terminal.


Accesso come processo batch

Questa impostazione di protezione consente a un utente di accedere al sistema utilizzando un'utilità di accodamento batch.

Ad esempio, quando un utente inoltra un processo tramite l'utilità di pianificazione, la connessione dell'utente avviene come utente batch e non come utente interattivo.

Nota

• In Windows 2000 Server, Windows 2000 Professional, Windows Server 2003 e Windows XP Professional, l'utilità di pianificazione concede automaticamente questo diritto secondo le necessità.

Impostazione predefinita: Sistema locale. Accedi come servizio Questa impostazione di protezione determina quali account di servizio possono registrare un processo

89

come servizio.


Per ulteriori informazioni, vedere Privilegi e Strumenti di gestione della configurazione della protezione.

Nota

• Le impostazioni predefinite sopra elencate sono relative a Windows XP Professional e ai sistemi della famiglia Windows Server 2003.

Diritti di accesso Nella tabella seguente vengono descritti i diritti di accesso.

Diritto di accesso Descrizione

Accesso al computer dalla rete

Questo diritto utente determina quali utenti o gruppi possono connettersi al computer dalla rete. Servizi terminal non viene influenzato da questo diritto utente.



• Nei controller di dominio: o Administrators o Authenticated Users o Everyone

Consenti accesso locale

Questo diritto di accesso determina quali utenti possono accedere interattivamente al computer. Per gli accessi avviati premendo CTRL+ALT+CANC sulla tastiera, gli utenti devono disporre di questo diritto di accesso. Inoltre, questo diritto di accesso può essere richiesto da servizi o applicazioni amministrative che richiedono l'accesso degli utenti. Se si definisce questo criterio per un utente o un gruppo, è necessario assegnare il diritto anche al gruppo Administrators.


• Nelle workstation e nei server: Administrators, Backup Operators, Power Users, Users e Guest.

• Nei controller di dominio: Account Operators, Administrators, Backup Operators, Print Operators e Server Operators.

Consenti accesso tramite Servizi terminal

Questa impostazione di protezione determina quali utenti o gruppi sono autorizzati ad accedere come client Servizi terminal.


• Nelle workstation e nei server: Administrators, Utenti desktop remoto. • Nei controller di dominio: Administrators.

Nega accesso Questa impostazione di protezione determina a quali utenti è impedito l'accesso a un computer dalla

90

al computer dalla rete

rete. Questa impostazione di criterio è prioritaria rispetto all'impostazione Accedi al computer dalla retese un account utente è soggetto a entrambi i criteri.


Nega accesso come processo batch

Questa impostazione di protezione determina a quali account viene impedito di accedere come processo batch. Questa impostazione di criterio è prioritaria rispetto all'impostazione Accesso come processo batch se un account utente è soggetto a entrambi i criteri.


Nega accesso come servizio

Questa impostazione di protezione determina a quali account di servizio viene impedito di registrare un processo come servizio. Questa impostazione di criterio è prioritaria rispetto all'impostazione Accesso come servizio se un account è soggetto a entrambi i criteri.

Nota

• Questa impostazione di protezione non è valida per gli account System, Servizio locale e Network Service.


Nega accesso locale

Questa impostazione di protezione determina a quali utenti viene impedito l'accesso al computer. Questa impostazione di criterio è prioritaria rispetto all'impostazione Consenti accesso locale se un account è soggetto a entrambi i criteri.

Importante

• Se questo criterio di protezione viene applicato al gruppo Everyone, nessun utente potrà eseguire l'accesso locale.


Nega accesso tramite Servizi terminal

Questa impostazione di protezione determina a quali utenti e gruppi viene negata l'autorizzazione ad accedere come client Servizi terminal.


Accesso come processo batch

Questa impostazione di protezione consente a un utente di accedere al sistema utilizzando un'utilità di accodamento batch.

Ad esempio, quando un utente inoltra un processo tramite l'utilità di pianificazione, la connessione dell'utente avviene come utente batch e non come utente interattivo.

Nota

• In Windows 2000 Server, Windows 2000 Professional, Windows Server 2003 e Windows XP Professional, l'utilità di pianificazione concede automaticamente questo diritto secondo le necessità.


Accedi come servizio

Questa impostazione di protezione determina quali account di servizio possono registrare un processo come servizio.


Per ulteriori informazioni, vedere Privilegi e Strumenti di gestione della configurazione della protezione.

Nota

91

• Le impostazioni predefinite sopra elencate sono relative a Windows XP Professional e ai sistemi della famiglia Windows Server 2003.

Il server DNS DNS è l'abbreviazione di Domain Name System, un sistema di denominazione dei computer e dei servizi di rete organizzati in una gerarchia di domini. La denominazione DNS viene utilizzata nelle reti TCP/IP, ad esempio Internet, per individuare i computer e i servizi attraverso nomi comuni. Quando un utente inserisce un nome DNS in un'applicazione, i servizi DNS possono risolvere il nome con altre informazioni associate ad esso, ad esempio un indirizzo IP.

Ad esempio, la maggior parte degli utenti preferisce nomi comuni, come esempio.microsoft.com, per individuare un computer, come un server Web o un server di posta elettronica su una rete. Un nome comune è più facile da memorizzare e ricordare. Tuttavia, i computer comunicano su una rete utilizzando indirizzi numerici. Per semplificare l'uso delle risorse di rete, i sistemi basati su nomi, come DNS, forniscono un modo per mappare i nomi comuni per un computer o un servizio con l'indirizzo numerico.

Strumenti DNS Esistono diverse utilità per l'amministrazione, il monitoraggio e la risoluzione dei problemi per i server e i client DNS. Queste utilità includono:

• La console DNS, che è parte degli Strumenti di amministrazione. • Le utilità della riga di comando, ad esempio Nslookup, che possono essere utilizzate per la risoluzione dei

problemi DNS. • Le funzioni di registrazione, ad esempio il registro del server DNS, che può essere visualizzato mediante la

console DNS o il Visualizzatore eventi. Anche registri basati su file possono essere utilizzati temporaneamente come opzione di debug avanzata per registrare e tracciare particolari eventi dei servizi.

• Le utilità di monitoraggio delle prestazioni, ad esempio i contatori statistici per misurare e monitorare l'attività del server DNS con Monitor di sistema.

• WMI (Windows Management Instrumentation), una tecnologia standard per l'accesso alle funzioni di gestione all'interno dell'organizzazione.

• Platform Software Developer Kit (SDK).

Console DNS

Il principale strumento utilizzato per la gestione dei server DNS è la console DNS, fornita nella cartella Strumenti di amministrazione situata nella cartella Programmi del menu Start. La console DNS può essere utilizzata da sola o come console MMC (Microsoft Management Console), integrando ulteriormente l'amministrazione DNS nella gestione totale della rete.

La console DNS può essere utilizzata solo dopo l'installazione sul server del servizio DNS. È possibile utilizzare la console DNS per le attività amministrative di base sul server riportate di seguito.

1. Effettuare la configurazione iniziale di un nuovo server DNS. 2. Connettersi e gestire un server DNS locale sullo stesso computer o server DNS remoti su altri computer. 3. Aggiungere e rimuovere le zone di ricerca diretta e inversa a seconda delle esigenze. 4. Aggiungere, rimuovere e aggiornare i record di risorsa nelle zone. 5. Modificare il modo in cui le zone vengono memorizzate e replicate tra i server. 6. Modificare il modo in cui i server elaborano le query e gestiscono gli aggiornamenti dinamici. 7. Modificare la protezione per zone o record di risorsa specifici.

Inoltre, è possibile anche utilizzare la console DNS per eseguire le seguenti operazioni:

92

• Effettuare la manutenzione sul server. È possibile avviare, arrestare, mettere in pausa o ripristinare il server oppure aggiornare manualmente i file di dati del server.

• Monitorare il contenuto della cache del server e, se necessario, svuotarla. • Regolare le opzioni del server avanzate. • Configurare la durata e lo scavenging dei record di risorsa non aggiornati memorizzati dal server.

È inoltre possibile utilizzare la console DNS da una workstation per amministrare in remoto i sever DNS. Per ulteriori informazioni, vedere Strumenti di amministrazione di Windows Server 2003.

Importante

• La console DNS può essere utilizzata solo per gestire i server DNS in cui è in esecuzione Microsoft® Windows® e non per gestire altri server DNS, come BIND.

Note

• La console DNS fornisce nuove modalità per eseguire operazioni amministrative comuni del DNS precedentemente eseguite per mezzo di DNS Manager in Microsoft® Windows® NT Server 4.0. Per ulteriori informazioni, vedere Nuovi modi per eseguire operazioni comuni.

• Per utilizzare la console DNS da un altro computer non server, ad esempio uno in cui sia in esecuzione Microsoft® Windows® XP Professional, è necessario installare il pacchetto Strumenti di amministrazione di Windows Server 2003.

• Per informazioni sull'installazione del servizio DNS, vedere Per installare un server DNS.

Utilità della riga di comando

Diverse utilità della riga di comando consentono di gestire i server e i client DNS e risolvere i problemi a essi relativi. La seguente tabella descrive ciascuna di queste utilità che possono essere eseguite dal prompt dei comandi oppure da file batch da utilizzare come script.

Comando Descrizione

Nslookup Utilizzato per eseguire test di query dello spazio dei nomi del dominio DNS. Per ulteriori informazioni, vedere Nslookup.

Dnscmd

Interfaccia della riga di comando per la gestione dei server DNS. Questa utilità può essere utilizzata nei file batch di script per automatizzare le operazioni di routine di gestione del DNS oppure per eseguire semplici installazioni e configurazioni automatiche di nuovi server DNS sulla rete. Per ulteriori informazioni, vedere Amministrazione dei server tramite Dnscmd.

Ipconfig

Questo comando viene utilizzato per visualizzare e modificare i dettagli di configurazione IP usati dal computer. Le opzioni della riga di comando aggiuntive vengono incluse con questa utilità per semplificare il supporto e la risoluzione dei problemi relativi ai client DNS. Per ulteriori informazioni, vedere Per scaricare e ripristinare la cache del resolver di un client tramite il comando ipconfig o Per rinnovare la registrazionedel client DNS tramite il comando ipconfig.

Per ulteriori informazioni sulle utilità della riga di comando, vedere Informazioni di riferimento per la riga di comando. Per ulteriori informazioni sulla gestione, vedere Strategie e strumenti di gestione.

Utilità di monitoraggio degli eventi

La famiglia Windows® Server 2003 include due opzioni per il monitoraggio dei server DNS:

• Registrazione predefinita dei messaggi di eventi del server DNS nel registro del server DNS.

I messaggi di eventi del server DNS vengono separati e inseriti in un particolare registro degli eventi di sistema, il registro dei server DNS, che può essere visualizzato mediante la console DNS o il Visualizzatore eventi. Per ulteriori informazioni, vedere Per visualizzare il file degli eventi di sistema del server DNS.

93

Il registro dei server DNS contiene eventi registrati dal servizio Server DNS. Ad esempio, quando il server DNS viene avviato o interrotto, il messaggio di evento corrispondente viene scritto in questo registro. Anche la maggior parte degli eventi importanti del servizio DNS viene inserita in questo registro, ad esempio quando il server viene avviato ma non può localizzare i dati di inizializzazione, come le zone o le informazioni di avvio memorizzate nel registro o (in alcuni casi) in Active Directory.

I tipi di eventi registrati dai server DNS possono essere modificati tramite la console DNS. Per ulteriori informazioni, vedere Guida di riferimento al registro del server DNS.

È possibile utilizzare il Visualizzatore eventi per visualizzare e monitorare gli eventi DNS relativi al client. Questi appaiono nel Registro di sistema e vengono scritti dal servizio Client DNS nei computer che eseguono Windows (tutte le versioni). Per ulteriori informazioni, vedere Visualizzatore eventi.

• Opzioni di debug per tracciare la registrazione in un file di testo sul server DNS.

È inoltre possibile utilizzare la console DNS per abilitare in modo selettivo le opzioni aggiuntive di registrazione di debug per tracciare temporaneamente in un file di testo l'attività del server DNS. Il file creato e utilizzato per questa funzione, Dns.log, viene memorizzato nella cartella systemroot\System32\Dns.

Per ulteriori informazioni, vedere Utilizzo delle opzioni di registrazione di debug del server.

Utilità di monitoraggio delle prestazioni

Il monitoraggio delle prestazioni per i server DNS può essere effettuato utilizzando contatori specifici che misurano le prestazioni del server DNS. Questi contatori sono accessibili attraverso il Monitor di sistema che viene fornito nella console Prestazioni.

Quando si utilizza il Monitor di sistema, è possibile creare grafici delle tendenze delle prestazioni nel tempo per i server DNS. Questi possono essere studiati ed analizzati successivamente in modo da stabilire se è necessaria un'ulteriore regolazione del server.

Misurando e riesaminando le matrici in un determinato periodo di tempo, è possibile determinare l'efficienza delle prestazioni e decidere se occorre effettuare ulteriori regolazioni per ottimizzare il sistema. Per ulteriori informazioni, vedere Monitoraggio delle prestazioni del server DNS.

Strumentazione gestione Windows (WMI)

WMI è l'implementazione Microsoft di WBEM (Web-Based Enterprise Management), che è un progetto industriale per lo sviluppo di una tecnologia standard per l'accesso alle informazioni di gestione in un ambiente aziendale. WMI utilizza lo standard industriale CIM (Common Information Model) per rappresentare sistemi, applicazioni, reti, periferiche e altri componenti gestiti in un ambiente aziendale. Per ulteriori informazioni su Strumentazione gestione Windows, vedere il sito Web Microsoft Platform SDK all'indirizzo http://msdn.microsoft.com/.

Platform Software Developer Kit (SDK)

I computer in cui è in esecuzione un prodotto della famiglia Windows Server 2003 forniscono funzioni che consentono ai programmatori delle applicazioni di utilizzare il servizio DNS, come l'esecuzione di query DNS a livello di programmazione, il confronto di record e la ricerca di nomi.

I componenti DNS programmabili sono progettati per essere utilizzati dai programmatori in C/C++. È necessaria una conoscenza approfondita dell'ambiente di rete e dei servizi DNS. I programmatori devono conoscere anche la serie di protocolli IP, oltre al protocollo DNS e al suo funzionamento.

Funzionalità del server Il servizio Server DNS (Domain Name System) fornisce quanto riportato di seguito:

94

• Un server DNS compatibile con RFC

Il DNS è un protocollo aperto ed è standardizzato da un insieme di RFC (Requests for Comments). Il servizio DNS Microsoft supporta ed è compatibile con queste specifiche standard.

Per ulteriori informazioni, vedere RFC per DNS.

• Comunicazione con altre implementazioni di server DNS

Poiché il servizio Server DNS è compatibile con le specifiche RFC e può utilizzare file di dati DNS e formati di record di risorse standard, funziona correttamente con la maggior parte delle altre implementazioni di server DNS, ad esempio quelle che utilizzano il software BIND (Berkeley Internet Name Domain).

Per ulteriori informazioni, vedere Problemi di interoperabilità.

• Supporto per Active Directory

Il DNS è necessario per il supporto del servizio directory Active Directory®. Se si installa Active Directory su un server, è possibile installare e configurare automaticamente un server DNS se è possibile individuare un server DNS che soddisfa i requisiti di Active Directory.

Innanzitutto, nell'Installazione guidata di Active Directory, specificare il nome DNS del dominio Active Directory per cui si sta promuovendo il server a controller di dominio. Successivamente, durante il processo di installazione la procedura guidata verifica quanto segue:

1. In base alla configurazione del client TCP/IP, verifica se un server DNS preferenziale è configurato per l'uso.

2. Se è disponibile un server DNS preferenziale, esegue query per trovare il server di fiducia principale per il nome DNS del dominio Active Directory specificato precedentemente nella procedura guidata.

3. In seguito, verifica se il server di fiducia principale può supportare e accettare aggiornamenti dinamici come descritto nel protocollo di aggiornamento dinamico (RFC 2136).

4. Se a questo punto del processo non è possibile individuare un server DNS di supporto per accettare gli aggiornamenti per il nome di dominio DNS specificato che si sta utilizzando con Active Directory, verrà fornita l'opzione per installare localmente il servizio Server DNS.

5. Se si sceglie di installare il servizio Server DNS localmente, l'indirizzo IP relativo al server DNS corrente preferito è utilizzato per configurare un server di inoltro sul server DNS locale. Questa configurazione conserva eventuali risoluzioni presenti su un ISP (Internet Service Provider).

Generalmente, l'uso del servizio Server DNS di Windows Server 2003 è consigliato per l'integrazione e il supporto ottimale di Active Directory e delle funzionalità avanzate del server DNS. È possibile, tuttavia, utilizzare un altro tipo di server DNS per supportare la distribuzione di Active Directory.

Quando si utilizzano altri tipi di server DNS, considerare le problematiche relative alla comunicazione DNS. Per ulteriori informazioni, vedere Supporto di Active Directory con altre implementazioni del server DNS.

Nota

o Questa funzionalità non è inclusa nei computer con sistema operativo Microsoft® Windows® Server 2003, Web Edition. Per ulteriori informazioni, vedere Cenni preliminari su Windows Server 2003, Web Edition.

• Miglioramenti della memorizzazione della zona DNS in Active Directory

Le zone DNS possono essere memorizzate nel dominio o nelle partizioni di directory applicative di Active Directory. Una partizione è una struttura di dati interna di Active Directory utilizzata per distinguere i dati per scopi di replica diversi. È possibile specificare in quale partizione di Active Directory memorizzare la zona e, di conseguenza, il set di controller di dominio tra cui i dati della zona saranno replicati.

Per ulteriori informazioni, vedere Replica della zona DNS in Active Directory.

95

Nota

o Questa funzionalità non è inclusa nei computer con sistema operativo Microsoft® Windows® Server 2003, Web Edition. Per ulteriori informazioni, vedere Cenni preliminari su Windows Server 2003, Web Edition.

• Server di inoltro condizionali

Il servizio Server DNS estende la configurazione standard del server di inoltro con server di inoltro condizionali. Un server di inoltro condizionale è un server DNS su una rete che viene utilizzato per inoltrare query DNS secondo il nome di dominio DNS contenuto nella query. Un server DNS può ad esempio essere configurato per inoltrare tutte le query ricevute per i nomi che terminano con giochi.esempio.com all'indirizzo IP di un server DNS specifico o agli indirizzi IP di più server DNS.

Per ulteriori informazioni, vedere Nozioni sui server di inoltro.

• Zone di stub

DNS supporta un nuovo tipo di zona chiamato zona di stub. Una zona di stub è una copia di una zona che contiene solo i record di risorse necessari all'identificazione dei server DNS di fiducia per quella zona. Una zona di stub è utilizzata per comunicare a un server DNS che esegue l'hosting di una zona padre la presenza di server DNS di fiducia per la zona figlio e, di conseguenza, conservare l'efficacia della risoluzione del nome DNS.

Per ulteriori informazioni, vedere Nozioni sulle zone di stub.

• Funzionalità avanzate della protezione DNS

DNS fornisce una migliore amministrazione della protezione per il servizio Server DNS, il servizio Client DNS e i dati DNS. Per ulteriori informazioni, vedere Informazioni sulla protezione delle connessioni DNS.

• Integrazione con altri servizi di rete Microsoft

Il servizio Server DNS offre l'integrazione con altri servizi e contiene funzionalità aggiuntive rispetto a quelle specificate nelle RFC. Queste includono l'integrazione con i servizi Active Directory, WINS e DHCP.

Per ulteriori informazioni, vedere Integrazione di Active Directory; Integrazione della ricerca WINS; Aggiornamento dinamico.

• Maggiore facilità di amministrazione

La console DNS offre una migliore interfaccia utente di tipo grafico per la gestione del servizio Server DNS. Inoltre, sono presenti diverse configurazioni guidate per l'esecuzione delle comuni operazioni di amministrazione del server. Oltre alla console DNS, vengono forniti altri strumenti per una migliore gestione e supporto dei server e dei client DNS sulla rete.

Per ulteriori informazioni, vedere Strumenti DNS.

• Supporto del protocollo di aggiornamento dinamico compatibile con RFC

Il servizio Server DNS consente ai client di aggiornare dinamicamente i record di risorse, in base al protocollo di aggiornamento dinamico descritto nel documento RFC 2136. Questo migliora l'amministrazione DNS riducendo il tempo necessario per gestire manualmente questi record. I computer che eseguono il servizio Client DNS possono registrare in modo dinamico i propri nomi DNS e indirizzi IP.

Per ulteriori informazioni, vedere Aggiornamento dinamico.

• Supporto per il trasferimento incrementale di zona tra i server

96

I trasferimenti di zona vengono utilizzati tra i server DNS per replicare le informazioni su una parte dello spazio dei nomi DNS. Il trasferimento incrementale di zona viene utilizzato per replicare solo le parti modificate di una zona, risparmiando larghezza di banda della rete.

Per ulteriori informazioni, vedere Nozioni sulle zone e sui trasferimenti di zona.

• Supporto per i nuovi tipi di record di risorsa

Il servizio Server DNS include il supporto per nuovi tipi di record di risorsa (RR). Questi tipi, che includono gli RR posizione servizio (SRV) e indirizzo ATM (ATMA), aumentano le possibilità di utilizzo del servizio DNS come servizio di database dei nomi.

Risposte alternative alle query

Come già noto, quando un DNS server non è in grado di risolvere un nome, può rivolgersi ad un altro server, processo noto come “ricorsione”.

Il meccanismo della ricorsione delle query DNS presuppone che il processo termini con l'invio al client di una risposta positiva. Tuttavia, le query possono anche restituire altre risposte. Di seguito sono riportate le risposte più comuni:

• Risposta autorevole • Risposta positiva • Risposta di riferimento • Risposta negativa

Una risposta autorevole è una risposta positiva inviata al client e recapitata con il bit authority impostato nel messaggio DNS per indicare che la risposta è stata ottenuta da un server che ha autorità diretta sul nome richiesto.

La risposta positiva può consistere nel record di risorse o nell'elenco dei record di risorse per i quali è stata effettuata la query (noto anche come RRset), che coincidono con il nome di dominio DNS interrogato e con il tipo di record specificato nel messaggio della query.

La risposta di riferimento contiene altri record di risorse non specificati per nome o tipo nella query. Questo tipo di risposta viene inviata al client se non è supportato il processo di ricorsione. In genere questi record rappresentano un utile riferimento che il client può utilizzare per continuare la query mediante iterazione.

Una risposta di riferimento contiene dati aggiuntivi come record di risorse diversi dal tipo richiesto. Ad esempio, se il nome host interrogato è "www" e nella zona non è stato trovato nessun record A per questo nome, ma è stato trovato invece un record CNAME per "www", il server DNS può includere tali informazioni nella risposta al client.

Se il client è in grado di utilizzare l'iterazione, potrà effettuare altre query utilizzando le informazioni di riferimento, nel tentativo di giungere da solo alla risoluzione completa del nome. Per ulteriori informazioni, vedere Funzionamento dell'iterazione.

Una risposta negativa del server può indicare che, in seguito al tentativo da parte del server di elaborare e risolvere ricorsivamente la query in modo completo e con una risposta autorevole, si è determinato uno dei seguenti risultati:

• Un server di fiducia ha comunicato che il nome richiesto non esiste nello spazio dei nomi DNS. • Un server di fiducia ha comunicato che il nome richiesto esiste, ma che non esistono per quel nome record del

tipo specificato.

Il resolver passa i risultati della query, in forma di risposta positiva o negativa, al programma richiedente e memorizza la risposta nella cache.

Note

97

• Se la risposta a una query è troppo lunga per essere inviata e risolta in un singolo pacchetto di messaggio UDP, il server DNS può avviare una risposta failover sulla porta TCP 53 per rispondere al client in modo completo in una sessione con connessione TCP.

• Su un server DNS l'uso della ricorsione viene generalmente disabilitato quando la risoluzione dei nomi da parte dei client DNS viene limitata a un determinato server DNS, ad esempio un server presente nella rete Intranet. La ricorsione può essere disabilitata anche quando il server DNS non è in grado di risolvere i nomi DNS esterni e si prevede che i client reindirizzino a un altro server DNS la risoluzione di questi nomi.

È possibile disattivare la ricorsione configurando le proprietà Avanzate nella console DNS del server preferito. Per ulteriori informazioni, vedere Per disattivare la ricorsione sul server DNS.

• Se si disattiva la ricorsione sul server DNS, non sarà possibile utilizzare server di inoltro sullo stesso server. • In base all'impostazione predefinita, i server DNS utilizzano diversi intervalli predefiniti durante una query

ricorsiva e la connessione ad altri server DNS. Gli intervalli sono i seguenti: o Un intervallo tra i tentativi di ricorsione pari a 3 secondi, pari al tempo di attesa del servizio DNS

prima di ritentare una query effettuata durante una ricerca ricorsiva. o Un intervallo di timeour della ricorsione pari a 15 secondi. Corrisponde al tempo di attesa del servizio

DNS prima che un secondo tentativo di ricerca ricorsiva debba considerarsi non riuscito.

Nella maggior parte dei casi, questi parametri non richiedono regolazione. Tuttavia, se si utilizzano le ricerche ricorsive in un collegamento WAN a bassa velocità, è possibile migliorare le prestazioni del server e favorire il completamento della query regolando leggermente le impostazioni. Per ulteriori informazioni, vedere Regolazione dei parametri del server avanzati.

Funzionamento dell'iterazione

L'iterazione è il tipo di risoluzione del nome utilizzato tra i client e i server DNS quando si verificano le seguenti condizioni:

• Il client richiede l'uso della ricorsione, ma questa è disabilitata sul server DNS. • Il client non richiede l'uso della ricorsione nell'invio di query al server DNS.

Una richiesta iterativa proveniente da un client comunica al server DNS che il client attende la migliore risposta che il server DNS possa fornire sul momento, senza contattare altri server DNS.

Quando si utilizza un'iterazione, un server DNS risponde a un client unicamente in base alle informazioni specifiche riguardanti lo spazio dei nomi e attinenti ai dati sui nomi richiesti. Ad esempio, se un server DNS presente nella rete Intranet riceve una query da un client locale per il nome "www.microsoft.com", può inviare una risposta dalla relativa cache dei nomi. Se il nome richiesto non è memorizzato nella cache dei nomi del server, il server può rispondere fornendo un riferimento, vale a dire un elenco di record di risorse NS e A di altri server DNS più simili al nome richiesto dal client.

Quando viene effettuato un riferimento, il client DNS si assume la responsabilità di continuare le query iterative verso altri server DNS configurati per risolvere il nome. Ad esempio, in un caso limite il client DNS può espandere la ricerca ai server del dominio principale di Internet, nel tentativo di localizzare il server DNS di fiducia per il dominio "com". Una volta contattati i server principali di Internet, può ricevere da questi server DNS ulteriori risposte iterative che facciano effettivamente riferimento ai server DNS Internet relativi al dominio "microsoft.com". Dopo aver ricevuto i record relativi a questi server DNS, il client potrà inviare su Internet un'altra query iterativa al server DNS esterno Microsoft, che sarà in grado di fornire una risposta definitiva e autorevole.

Quando si utilizza l'iterazione, è possibile che un server DNS fornisca un'ulteriore assistenza nella risoluzione di un nome, oltre a dare al client la migliore risposta possibile. Nella maggior parte delle query iterative, un client utilizza il proprio elenco di server DNS configurato localmente per contattare altri server dei nomi nello spazio dei nomi DNS se il server DNS primario non è in grado di risolvere la query.

99

In questo esempio, viene eseguita la sequenza riportata di seguito per un server richiedente secondario, il server di destinazione, che esegue la richiesta, e per il relativo server di origine di una zona, un altro server DNS che esegue l'hosting della zona.

1. Durante la nuova configurazione, il server di destinazione invia una richiesta iniziale di trasferimento completo (AXFR) al server DNS master configurato come origine per la zona.

2. Il server master (di origine) risponde e trasferisce per intero la zona al server secondario (di destinazione).

La zona viene inviata al server di destinazione che richiede il trasferimento con la versione stabilita dall'utilizzo del campo Numero di serie nelle proprietà dei record di risorse origine di autorità (SOA). I record di risorse SOA contengono inoltre un intervallo di aggiornamento impostato in secondi (in base all'impostazione predefinita, 900 secondi o 15 minuti) per indicare al server di destinazione quando richiedere al server di origine il successivo aggiornamento della zona.

3. Quando l'intervallo di aggiornamento scade, il server di destinazione invia una query SOA per richiedere l'aggiornamento della zona da parte del server di origine.

4. Il server di origine risponde alla query per il record SOA.

Questa risposta contiene il numero di serie della zona in base allo stato corrente sul server di origine.

5. Il server di destinazione controlla il numero di serie del record SOA nella risposta e stabilisce come aggiornare la zona.

Se il valore del numero di serie nella risposta SOA è uguale al numero di serie locale corrente, il server di destinazione deduce che la zona è identica su entrambi i server e che non è necessario un trasferimento di zona. Il server di destinazione aggiorna quindi la zona ripristinando l'intervallo di aggiornamento sulla base del valore del relativo campo nella risposta SOA ricevuta dal server di origine.

Se il valore del numero di serie nella risposta SOA è maggiore del numero di serie corrente locale, il server di destinazione deduce che la zona è stata aggiornata e che è necessario un trasferimento.

6. Se il server di destinazione deduce che la zona è stata modificata, invia una query IXFR al server di origine contenente il valore locale corrente del numero di serie nel record SOA della zona.

7. Il server di origine risponde con un trasferimento incrementale o completo della zona.

Se il server di origine supporta il trasferimento incrementale gestendo una cronologia delle recenti modifiche incrementali apportate alla zona per i record di risorse modificati, può rispondere con un trasferimento di zona incrementale (IXFR).

Se il server di origine non supporta trasferimenti incrementali o non dispone di una cronologia delle modifiche alla zona, può invece rispondere con un trasferimento di zona completo (AXFR).

100

Nota

• Per i server in cui è in esecuzione Windows 2000 e Windows Server 2003, è supportato il trasferimento di zona incrementale tramite query IXFR. Per le versioni precedenti del servizio DNS e per molte altre implementazioni dei server DNS, il trasferimento incrementale di zona non è disponibile e per replicare le zone si utilizzano solo le query e i trasferimenti dell'intera zona (AXFR).

Notifica DNS

I server DNS di Windows supportano la Notifica DNS descritta nel documento RFC 1996, un aggiornamento della specifica del protocollo originale DNS che consente di avviare la notifica ai server secondari quando si effettuano modifiche alla zona. La notifica DNS implementa un meccanismo di push per la notifica degli aggiornamenti effettuati in una zona ad alcuni dei server secondari relativi alla zona in questione. I server a cui viene notificato l'aggiornamento possono avviare un trasferimento di zona come descritto in precedenza per eseguire il pull delle modifiche della zona dai server master e per aggiornare le repliche locali della zona.

Perché ai server secondari sia inviata la notifica da parte del server DNS configurato come origine della zona, è necessario che nell'elenco di notifica del server di origine sia presente l'indirizzo IP di ciascun server secondario. Quando si utilizza la console DNS, tale elenco viene gestito nella finestra di dialogo Notifica, a cui è possibile accedere dalla scheda Trasferimenti di zona nella finestra di dialogo Proprietà - zona.

In aggiunta alla notifica dei server presenti nell'elenco, la console DNS consente di utilizzare il contenuto dell'elenco di notifica per restringere o limitare l'accesso ai trasferimenti di zona solo ai server secondari specificati nell'elenco. Tale operazione consente di impedire tentativi da parte di server DNS sconosciuti o non autorizzati di eseguire il pull o di richiedere aggiornamenti di una zona. Per ulteriori informazioni, vedere Per creare e gestire un elenco di notifica per una zona.

Di seguito viene riportato un breve riepilogo di una tipica procedura di notifica DNS per gli aggiornamenti di una zona:

1. Viene aggiornata la zona locale su un server DNS che funge da server master, ovvero da origine per altri server. Quando la zona viene aggiornata sul server master o di origine, viene aggiornato anche il campo del numero di serie nel record di risorse SOA, per indicare una nuova versione locale della zona.

2. Il server master invia un messaggio di notifica DNS agli altri server che fanno parte dell'elenco di notifica configurato.

3. Tutti i server secondari che ricevono il messaggio di notifica possono rispondere inviando una richiesta di trasferimento di zona al server master che ha inviato la notifica.

Il normale processo di trasferimento di zona può quindi continuare come descritto nella precedente sezione.

Non è possibile configurare un elenco di notifica per una zona di stub.

Importante

• Utilizzare la notifica DNS solo per i server configurati come server secondari per una zona. Per la replica di zone integrate nella directory, la notifica DNS non è necessaria.

Il motivo consiste nel fatto che i server DNS che caricano una zona da Active Directory eseguono automaticamente il polling della directory (specificato dall'intervallo di aggiornamento del record di risorse SOA) per aggiornare la zona (refresh e update).

In questi casi la configurazione di un elenco di notifica può in realtà ridurre le prestazioni del sistema causando ulteriori richieste di trasferimento non necessarie per le zone aggiornate.

102

3. Il server DNS attende per un breve periodo la risposta dal server di inoltro prima di tentare di contattare i server DNS specificati nei parametri principali.

Quando un server DNS inoltra una query a un server di inoltro, invia una query ricorsiva al server di inoltro. Questa query è diversa dalla query iterativa che un server DNS invia a un altro server DNS durante la risoluzione dei nomi standard, che non implica l'utilizzo di un server di inoltro.

Server di inoltro condizionali

Un server di inoltro condizionale è un server DNS su una rete che viene utilizzato per inoltrare query DNS secondo il nome di dominio DNS contenuto nella query. Un server DNS può ad esempio essere configurato per inoltrare tutte le query ricevute per i nomi che terminano con giochi.esempio.com all'indirizzo IP di un server DNS specifico o agli indirizzi IP di più server DNS.

Risoluzione dei nomi in una rete Intranet

Un server di inoltro condizionale può essere utilizzato per migliorare la risoluzione dei nomi per i domini della rete Intranet. La risoluzione dei nomi in una rete Intranet può essere migliorata configurando i server DNS con server di inoltro per nomi di dominio interni specifici. Ad esempio, tutti i server DNS del dominio giochi.esempio.com possono essere configurati per l'inoltro di query per i nomi che terminano con test.esempio.com ai server DNS di fiducia per unione.giochi.esempio.com, eliminando in questo modo il passaggio relativo all'invio di query ai server principali di esempio.com o eliminando il passaggio della configurazione dei server DNS nella zona giochi.esempio.com con zone secondarie per test.esempio.com.

Risoluzione dei nomi in Internet

I server DNS possono utilizzare server di inoltro condizionali per risolvere le query tra i nomi di dominio DNS di aziende che condividono informazioni. Ad esempio, due aziende, Widgets Toys e TailspinToys, possono migliorare la risoluzione dei nomi dei client DNS di Tailspin Toys da parte dei client DNS di Widgets Toys. Gli amministratori di Tailspin Toys informano gli amministratori di Widgets Toys della presenza del gruppo di server DNS nella rete di Tailspin Toys cui la Widgets può inviare query per il dominio bambole.tailspintoys.com. I server DNS all'interno della rete Widgets Toys sono configurati per l'invio di tutte le query per i nomi che terminano con bambole.tailspintoys.com ai server DNS designati nella rete per Tailspin Toys. Di conseguenza, i server DNS della rete Widgets Toys non dovranno interrogare i server principali interni o i server principali in Internet per risolvere le query relative ai nomi che terminano con bambole.tailspintoys.com.

Aggiornamento dinamico L'aggiornamento dinamico consente ai client DNS di registrare e aggiornare dinamicamente i propri record di risorse con un server DNS ogni volta che vengono apportate modifiche. In questo modo, si riduce la necessità di gestione manuale dei record di zona, specialmente per i client che spostano o cambiano spesso le posizioni e che utilizzano il DHCP per ottenere un indirizzo IP.

I servizi Client e Server DNS supportano l'utilizzo di aggiornamenti dinamici, come descritto nel documento RFC (Request for Comments) 2136, "Dynamic Updates in the Domain Name System" (informazioni in lingua inglese). Il servizio Server DNS consente l'attivazione o la disattivazione dell'aggiornamento dinamico per ciascuna zona sui server configurati per caricare una zona standard primaria o una zona integrata nella directory. In base all'impostazione predefinita, il servizio Client DNS, quando è configurato per l'utilizzo del protocollo TCP/IP, aggiorna dinamicamente nel DNS i record di risorse dell'host (A).

Integrazione di Active Directory Il servizio Server DNS è integrato nella struttura e nell'implementazione di Active Directory. Active Directory fornisce uno strumento destinato alle aziende per l'organizzazione, la gestione e l'individuazione delle risorse in una rete.

Nota

103

• Questa funzionalità non è inclusa nei computer con sistema operativo Microsoft® Windows® Server 2003, Web Edition. Per ulteriori informazioni, vedere Cenni preliminari su Windows Server 2003, Web Edition.

Quando si implementano i server DNS con Active Directory, considerare quanto riportato di seguito.

• Il servizio DNS è necessario per l'individuazione dei controller di dominio in cui è in esecuzione Windows Server 2003.

Il servizio Accesso rete utilizza il nuovo supporto dei server DNS per fornire la registrazione dei controller di dominio nello spazio dei nomi di dominio DNS.

• I server DNS in cui è in esecuzione Windows Server 2003 possono utilizzare Active Directory per la memorizzazione e la replica delle zone.

Tramite l'integrazione delle zone nella directory, è possibile sfruttare le funzionalità del servizio DNS come gli aggiornamenti dinamici protetti e le funzioni relative alla durata e allo scavenging dei record.

Per ulteriori informazioni, vedere Aggiornamenti dinamici protetti e Nozioni su durata e scavenging.

Modalità di integrazione del DNS con Active Directory

Quando si installa Active Directory su un server, si promuove il server al ruolo di controller di dominio per un dominio specifico. Durante il completamento di questa procedura, viene richiesto di specificare un nome di dominio DNS per il dominio Active Directory del quale si entra a far parte e per il quale il server viene promosso di livello.

Se durante questa procedura non è possibile individuare sulla rete un server DNS di fiducia per il dominio specificato, oppure se quest'ultimo non supporta il protocollo di aggiornamento dinamico DNS, verrà richiesto di installare un server DNS. Questa possibilità è fornita in quanto è necessario un server DNS per individuare questo server o altri controller di dominio per i membri di un dominio Active Directory. Per ulteriori informazioni sulla modalità di individuazione dei controller di dominio da parte dei computer che utilizzano il servizio DNS, vedere Microsoft Windows Deployment e Resource Kit.

Dopo aver installato Active Directory, esistono due opzioni che consentono di memorizzare e replicare le zone quando il server DNS funge da nuovo controller di dominio:

• Memorizzazione di zona standard, tramite un file di testo.

Le zone memorizzate in questo modo sono collocate in file .Dns memorizzati nella cartella systemroot\System32\Dns su ciascun computer che funge da server DNS. I nomi di file delle zone corrispondono al nome selezionato per la zona al momento della creazione, come esempio.microsoft.com.dns se il nome della zona era "esempio.microsoft.com".

• Memorizzazione di zone integrate nella directory, tramite il database di Active Directory.

Le zone memorizzate in questo modo sono collocate nella struttura di Active Directory sotto il dominio o la partizione di directory applicativa. Ciascuna zona integrata nella directory è memorizzata in un oggetto contenitore Zonadns identificato con il nome selezionato per la zona al momento della sua creazione. Per ulteriori informazioni, vedere Replica della zona DNS in Active Directory e Archivio dati di Active Directory.

Vantaggi dell'integrazione in Active Directory

Per le reti che implementano il servizio DNS per il supporto di Active Directory, si consiglia l'utilizzo delle zone principali integrate nelle directory, per sfruttare i seguenti vantaggi:

• Aggiornamento a master multipli e protezione avanzata sulla base delle possibilità offerte da Active Directory.

104

In un modello di memorizzazione di zona standard, gli aggiornamenti DNS sono effettuati sulla base di un modello di aggiornamento a master singolo. In tale modello, viene designato un singolo server DNS di fiducia per una zona come origine primaria della zona.

Tale server gestisce la copia master della zona in un file locale. Con questo modello, il server primario della zona rappresenta un singolo punto che può dare origine a problemi. Se questo server non è disponibile, le richieste di aggiornamento dai client DNS della zona non vengono soddisfatte.

Con la memorizzazione integrata nella directory, gli aggiornamenti dinamici del DNS sono effettuati sulla base di un modello di aggiornamento a master multipli.

In tale modello, qualsiasi server DNS di fiducia, ad esempio un controller di dominio in cui sia in esecuzione un server DNS, viene designato come origine primaria della zona. Poiché la copia master della zona viene gestita nel database di Active Directory che viene replicato per intero su tutti i controller di dominio, la zona può essere aggiornata dai server DNS che fungono da controller per il dominio.

Con il modello di aggiornamento a master multipli di Active Directory, qualsiasi server primario per la zona integrata nella directory è in grado di soddisfare le richieste di aggiornamento della zona provenienti dai client DNS fino a quando è disponibile e raggiungibile in rete un controller di dominio.

Inoltre, se si utilizzano le zone integrate nella directory, sarà possibile modificare l'elenco di controllo di accesso (ACL) per proteggere un contenitore dell'oggetto Zonadns nella struttura di directory. Questa funzionalità consente l'accesso granulare alla zona o al record di risorse specificato nella zona.

Ad esempio, un elenco di controllo di accesso (ACL) per un record di risorse della zona può essere limitato in modo che gli aggiornamenti dinamici siano consentiti solo a un particolare computer client o a un gruppo protetto, ad esempio un gruppo di amministratori di dominio. Questa funzione di protezione non è disponibile con le zone primarie standard.

Quando si modifica il tipo di zona per integrarla nella directory, le impostazioni predefinite per l'aggiornamento della zona vengono modificate per consentire solo aggiornamenti protetti. Inoltre, anche se è possibile utilizzare gli elenchi di controllo su oggetti Active Directory collegati al servizio DNS, gli elenchi di controllo possono essere applicati solo al servizio client DNS.

• Le zone vengono automaticamente replicate e sincronizzate nei nuovi controller di dominio ogni volta che un nuovo controller di dominio viene aggiunto a un dominio Active Directory.

Sebbene il servizio DNS possa essere rimosso in modo selettivo da un controller di dominio, le zone integrate nella directory sono già memorizzate su ciascun controller di dominio, per cui la memorizzazione e la gestione della zona non richiede risorse aggiuntive. Inoltre, i metodi utilizzati per sincronizzare le informazioni memorizzate nella directory offrono significativi miglioramenti di prestazioni rispetto ai metodi di aggiornamento di zona standard, che possono richiedere il trasferimento dell'intera zona.

• Integrando la memorizzazione dei database della zona DNS in Active Directory, è possibile semplificare la pianificazione della replica del database per la rete.

Quando lo spazio dei nomi DNS e i domini Active Directory vengono memorizzati e replicati separatamente, è necessario pianificare ed eventualmente amministrare separatamente ciascuno di essi. Ad esempio, quando si utilizza la memorizzazione standard della zona DNS e Active Directory contemporaneamente, è necessario progettare, implementare, verificare e gestire due diverse topologie di replica di database. È necessaria ad esempio una topologia di replica per i dati di directory tra i controller di dominio e un'altra topologia per la replica dei database di zona tra i server DNS.

Tale situazione può creare una maggiore complessità amministrativa per la pianificazione, la progettazione e l'eventuale crescita della rete. Se si integra la memorizzazione del DNS, si unificano la gestione della memorizzazione e la replica per il DNS e per Active Directory, che vengono uniti e visualizzati come singola entità amministrativa.

• La replica di Active Directory è più veloce ed efficace rispetto alla replica standard DNS.

105

Poiché l'elaborazione della replica di Active Directory viene eseguita in base alle proprietà, vengono propagate solo le modifiche principali. In questo modo, è possibile utilizzare e inviare un numero inferiore di dati negli aggiornamenti per le zone memorizzate nella directory.

Note

• È possibile memorizzare nella directory solo le zone primarie. Un server DNS non è in grado di memorizzare zone secondarie nella directory. Tali zone verranno memorizzate in file di testo standard. Il modello di replica a master multipli di Active Directory elimina la necessità di zone secondarie quando tutte le zone sono memorizzate in Active Directory.

• Il servizio Server DNS include un'opzione per l'inizializzazione mediante la lettura dei parametri memorizzati nel database di Active Directory e nel Registro di sistema del server. Si tratta dell'opzione di avvio predefinita. Per ulteriori informazioni, vedere Modifica delle impostazioni predefinite del server.

• Per ulteriori infomazioni sulla configurazione del servizio DNS per l'integrazione in Active Directory, vedere Configurare un server DNS per utilizzarlo con Active Directory e Elenco di controllo: verifica di DNS prima dell'installazione di Active Directory.

Per creare le partizioni di directory applicative DNS predefinite


1. Aprire DNS. 2. Nella struttura della console, fare clic con il pulsante destro del mouse sul server DNS desiderato.

Percorso

o DNS o server DNS desiderato

3. Fare clic su Crea partizioni di directory applicative.

I record SRV I client microsoft devono poter interagire con i server presenti in rete per effettuare logon o per effettuare ricerche nell’AD, ad esempio per trovare una stampante, un disco o qualsiasi altra risorsa. Dunque, deve esistere un processo di individuazione dei server da parte dei client, in funzione dei servizi richiesti. Affinché ciò avvenga, vengono introdotti i record SRV all’interno del DNS. I record SRV sono degli standard del DNS e non sono dunque caratteristici di Microsoft. Quando un domain server viene fatto partire per la prima volta, registra i record SRV ed A, i quali contengono il proprio nome e indirizzo IP. Successivamente un client, tramite l’utilizzo dei record SRV ed A, individuerà il servizio ed il server di cui necessita.

I record SRV sono necessari per individuare i controller di dominio di Active Directory. Generalmente, l'amministrazione manuale del record SRV può essere evitata in fase di installazione di Active Directory.

In base all'impostazione predefinita, l'Installazione guidata Active Directory tenta di individuare un server DNS in base all'elenco di server DNS preferenziali o alternativi configurati in tutte le proprietà dei client TCP/IP per ognuna delle connessioni di rete attive. Se viene contattato un server DNS in grado di accettare l'aggiornamento dinamico del record SRV (oltre che degli altri record di risorse correlati alla registrazione di Active Directory come servizio in DNS), il processo di configurazione sarà completato.

Se invece durante la configurazione non viene trovato un server DNS in grado di accettare gli aggiornamenti per il nome di dominio DNS utilizzato per la denominazione di Active Directory, la procedura guidata consente di installare localmente un server DNS e di configurarlo automaticamente con una zona che supporti il dominio di Active Directory.

106

Se ad esempio il dominio di Active Directory scelto come primo dominio dell'insieme di strutture fosse esempio.microsoft.com, verrebbe aggiunta e configurata una zona appartenente al nome di dominio DNS esempio.microsoft.com da utilizzare con il server DNS in esecuzione nel nuovo controller di dominio.

A prescindere dall'installazione locale del servizio Server DNS, durante il processo di installazione di Active Directory verrà creato un file, Netlogon.dns, contenente i record SRV e altri record di risorse necessari per supportare l'utilizzo di Active Directory. Questo file viene creato nella cartella systemroot\System32\Config.

Se si utilizza un server DNS che rientra in una delle seguenti descrizioni, si consiglia di utilizzare i record contenuti nel file Netlogon.dns per configurare manualmente la zona principale del server per supportare Active Directory.

1. Il computer in cui è installato il server DNS è in esecuzione su una piattaforma differente, quale UNIX, e non è in grado di accettare o riconoscere gli aggiornamenti dinamici.

2. Un server DNS che non rappresenti il servizio Server DNS fornito con la famiglia Windows Server 2003 è autorevole per la zona principale corrispondente al nome di dominio DNS del dominio di Active Directory.

3. Il server DNS supporta il record SRV, secondo quanto definito nella bozza Internet "A DNS RR specifying the location of services (DNS SRV)", ma non supporta gli aggiornamenti dinamici.

Il servizio Server DNS fornito con Windows NT Server 4.0 aggiornato con Service Pack 4 o versione successiva rientra ad esempio in questa descrizione.

In futuro sarà possibile utilizzare il record SRV anche per registrare e cercare altri servizi TCP/IP conosciuti nella rete, purché le applicazioni implementino e supportino le ricerche di nomi DNS in cui è specificato questo tipo di record.

Formato dei record SRV Il formato dei record SRV può essere riassunto nella seguente tabella: Descrizione: Record posizione servizio (SRV). Consente di individuare più server che forniscono un servizio TCP/IP simile utilizzando un'unica query DNS. Mediante questo record è possibile gestire un elenco di server, per una porta o un tipo di protocollo di trasporto specifici, ordinati in base alla preferenza per un nome di dominio DNS. Nei DNS di Windows Server 2003 è possibile ad esempio utilizzare questo record per individuare i controller di dominio che utilizzano il servizio Lightweight Directory Access Protocol (LDAP) sulla porta TCP 389.

I campi speciali del record SRV vengono utilizzati per i seguenti scopi:

• servizio Nome simbolico del servizio desiderato. Per i servizi noti, nella RFC 1700 è definito un nome simbolico universale riservato, quale "_telnet" o "_smtp". Per i nomi di servizio noti non definiti nella RFC 1700, è invece possibile utilizzare un nome locale o scelto dall'utente. Per alcuni servizi TCP/IP di uso comune, ad esempio Post Office Protocol (POP), non è definito alcun nome simbolico universale unico. Se nella RFC 1700 è assegnato un nome a un servizio indicato in questo campo, l'unico nome valido sarà quello definito nella RFC. Solo ai servizi definiti localmente è possibile assegnare un nome locale.

• protocollo Indica il tipo di protocollo di trasporto. In genere viene utilizzato il protocollo TCP o UDP, tuttavia è possibile indicare qualsiasi protocollo definito nella RFC 1700.

• nome Il nome del dominio DNS a cui fa riferimento questo record di risorsa. Il record SRV si distingue dagli altri tipi di record DNS, in quanto non viene utilizzato per l'esecuzione di ricerche o query.

• priorità Imposta la preferenza per un host specificato nel campo destinazione. I client DNS che inoltrano query per la ricerca di record SRV tentano di connettersi al primo host raggiungibile con il numero di preferenza più basso indicato nell'elenco. Anche se agli host di destinazione è stato assegnato lo stesso valore di preferenza, la ricerca può essere effettuata in ordine casuale. I valori di preferenza sono compresi nell'intervallo da 0 a 65535.

• peso Può essere utilizzato in aggiunta al campo preferenza per fornire un meccanismo di bilanciamento del carico quando nel campo destinazione sono indicati più server tutti con lo stesso livello di preferenza. Quando occorre scegliere un host di destinazione tra quelli con una stessa preferenza, è possibile utilizzare questo valore per impostare un ulteriore livello di preferenza che potrà servire per determinare l'esatto ordine o bilanciamento per la selezione degli host di destinazione utilizzati in risposta a una query SRV. Se si utilizza un valore diverso da zero, nel tentare l'accesso ai server con un livello di preferenza uguale verrà considerato il peso di questo valore. I valori sono compresi nell'intervallo da 1 a 65535. Se non è necessario prevedere il bilanciamento del carico, per rendere più facile la lettura del record immettere in questo campo il valore 0.

• porta La porta del server host di destinazione che fornisce il servizio indicato nel campo servizio. I numeri di

107

porta sono compresi nell'intervallo da 0 a 65535, anche se spesso il numero corrisponde a un numero di porta conosciuto assegnato a un determinato servizio, secondo quanto specificato nella RFC 1700. Le porte non assegnate possono essere utilizzate secondo necessità.

• destinazione Specifica il nome del dominio DNS dell'host che fornisce il tipo di servizio richiesto. Per ogni nome di host utilizzato è richiesto un corrispondente record di indirizzo host (A) nello spazio dei nomi DNS. In questo campo è possibile immettere un punto (.) per indicare che il servizio richiesto specificato nel record SRV non è disponibile per questo nome di dominio DNS.

Per ulteriori informazioni, fare riferimento alla bozza Internet "A DNS RR for specifying the location of services (DNS SRV)". Sintassi: servizio.protocollo.nome ttl classe SRV preferenza peso porta destinazione Esempio: _ldap._tcp._msdcs SRV 0 0 389 dc1.example.microsoft.com SRV 10 0 389 dc2.example.microsoft.com

Tabella 15 Per fare in modo che un client individui un domain controller, quest’ultimo al momento della propria registrazione crea un record SRV con la seguente struttura: servizio.protocollo.nome.Dctipo._msdcs.NomeDNSDominio o NomeDNSForesta Il termine _msdcs è un sottodominio nello spazio dei nome DNS, specifico di Microsoft e permette ai client di individuare uno specifico domain controller. Dctipo può avere i seguenti valori:

• dc per un domain controller • gc per un global catalog

Verifica dei record SRV Per verificare l’esistenza dei record SRV, si può utilizzare la console di gestione del server DNS, in cui è facile, per ogni zona di cui il DNS è autoritativo, individuare la corrispondente _msdcs. In alternativa si può utilizzarte il comando nslookup:

1. Aprire il prompt dei comandi. 2. Digitare:

nslookup

3. Al prompt successivo digitare:

set q=srv

4. Al prompt successivo digitare:

_ldap._tcp.dc._msdcs.NomeDominioActiveDirectory

5. Rivedere l'output della query SRV precedente e determinare se sono necessari ulteriori interventi in base all'esito positivo o negativo della query precedente:

o In caso di esito positivo della query, esaminare i record di risorse posizione servizio (SRV) registrati restituiti nella query per determinare se tutti i controller del dominio Active Directory sono inclusi e registrati con indirizzi IP validi. Se in risposta alla query non viene restituito alcun record di risorse

108

indirizzo (A) corrispondente, utilizzare lo strumento nslookup per ottenere tali record. Per informazioni sull'utilizzo di nslookup, vedere Argomenti correlati.

o In caso di esito negativo della query, procedere con la risoluzione dei problemi relativi all'aggiornamento dinamico o al server DNS per determinare l'esatta causa del problema.

Valore Descrizione nslookup Avvia lo strumento della riga di comando.

set q=

Comando da utilizzare per inviare la query al server principale. Questo parametro accetta tutti i tipi di record di risorse (RR). Ad esempio, set q=A per i record di risorsa host (A).

srv Record di risorse SRV che utilizzano un nome specifico.

_ldap._tcp.dc._msdcs.NomeDominioActiveDirectory

Nome DNS configurato per l'utilizzo con il dominio Active Directory e uno qualsiasi dei controller di dominio associati.

Ad esempio, se il nome del dominio DNS del dominio Active Directory è example.microsoft.com, digitare:

_ldap._tcp.dc._msdcs.example.microsoft.com.Tabella 16

Note

• Per aprire una finestra del prompt dei comandi, fare clic sul pulsante Start, scegliere Tutti i programmi, quindi Accessori e infine Prompt dei comandi.

• Per visualizzare la sintassi completa del comando, al prompt dei comandi effettuare le seguenti operazioni:

Digitare nslookup, premere INVIO, quindi digitare help.

• In alcuni casi, quando si esegue questa procedura è possibile che vengano segnalati numerosi timeout. Ciò si verifica quando la ricerca inversa non è configurata per i server DNS utilizzati dallo stesso dominio DNS utilizzato dal dominio Active Directory.

• Di seguito viene riportato un esempio di output della riga di comando per una sessione Nslookup utilizzata per verificare i record di risorse SRV registrati dai controller di dominio. Nell'esempio seguente i due controller di dominio dc1 e dc2 vengono registrati per il dominio "example.microsoft.com".

C:\nslookup Server predefinito: dc1.example.microsoft.com Indirizzo: 10.0.0.14 10.0.0.14 set type=srv _ldap._tcp.dc._msdcs.example.microsoft.com Server: dc1.example.microsoft.com Indirizzo: 10.0.0.14 10.0.0.14 _ldap._tcp.dc._msdcs.example.microsoft.com SRV service location: priority = 0 weight = 0 port = 389 svr hostname = dc1.example.microsoft.com _ldap._tcp.dc._msdcs.example.microsoft.com SRV service location: priority = 0 weight = 0 port = 389 svr hostname = dc2.example.microsoft.com dc1.example.microsoft.com internet address = 10.0.0.14 dc2.example.microsoft.com internet address = 10.0.0.15

109

• Lo strumento della riga di comando Nslookup è uno strumento standard incluso nella maggior parte delle implementazioni del servizio DNS. Questo strumento offre la possibilità di eseguire test di query dei server DNS e ottenere risposte dettagliate come output del comando. Tali informazioni risultano utili per la risoluzione dei problemi di risoluzione dei nomi, per verificare che i record di risorse vengano aggiunti o aggiornati correttamente in una zona e per il debug di altri problemi relativi al server.

• Il servizio Accesso rete in ogni controller di dominio registra appropriatamente numerosi record di risorse DNS diversi nei server DNS. Per ulteriori informazioni su questi record e sull'aggiornamento di DNS da parte di Accesso rete, visitare il sito Web di Microsoft Windows Resource Kit all'indirizzo http://www.microsoft.com/.

Per avviare o arrestare un server DNS

1. Aprire DNS. 2. Nella struttura della console, fare clic sul server DNS desiderato.

o DNS o Server DNS desiderato

3. Scegliere Tutte le attività dal menu Azioni, quindi scegliere una delle seguenti operazioni: o Per avviare il servizio, scegliere Avvia. o Per arrestare il servizio, scegliere Arresta. o Per interrompere il servizio, scegliere Sospendi. o Per arrestare e poi riavviare automaticamente il servizio, scegliere Riavvia.

Note

• Per eseguire questa procedura, è necessario essere membri del gruppo Administrators sul computer locale oppure disporre della delega per l'autorità appropriata. Se il computer fa parte di un dominio, è possibile che la procedura possa essere completata anche dai membri del gruppo Domain Admins. Per una protezione ottimale, si consiglia di eseguire questa procedura mediante Esegui come.

• Per aprire DNS, fare clic su Start, scegliere Pannello di controllo, fare doppio clic su Strumenti di amministrazione e quindi su DNS.

• Una volta messo in pausa o arrestato il servizio, utilizzando il comando Tutte le attività del menu Azioni è possibile fare clic su Riprendi per ripristinare immediatamente il servizio.

• Quando si utilizza la configurazione basata sul Registro di sistema, le modifiche vengono applicate ai server DNS solo quando il servizio Server DNS viene reinizializzato. In questi casi, se un valore DNS viene modificato manualmente direttamente nel Registro di sistema, perché il nuovo valore venga utilizzato sarà sempre necessario riavviare il servizio Server DNS.

Per aggiungere un server alla console DNS

1. Aprire DNS. 2. Scegliere Connetti al server DNS dal menu Azioni. 3. In Connetti al server DNS, scegliere:

o Questo computer, se il server a cui ci si desidera connettere e che si vuole gestire è sullo stesso computer utilizzato per la gestione.

o Il computer seguente, se il server a cui ci si desidera connettere e che si vuole gestire è su un computer remoto.

Se si sceglie di connettersi a un server remoto, specificare il nome DNS del computer o l'indirizzo IP.

4. Selezionare la casella di controllo Connettersi al computer specificato adesso e fare clic su OK.

Note

• Per eseguire questa procedura, è necessario essere membri del gruppo Administrators sul computer locale oppure disporre della delega per l'autorità appropriata. Se il computer fa parte di un dominio, è possibile che la

110

procedura possa essere completata anche dai membri del gruppo Domain Admins. Per una protezione ottimale, si consiglia di eseguire questa procedura mediante Esegui come.


• La console DNS è uno strumento di amministrazione di MMC (Microsoft Management Console) riservato alla gestione dei server DNS in cui è in esecuzione solo il sistema operativo Windows Server 2003. Per ulteriori informazioni, vedere Argomenti correlati.

• Se si utilizza la console DNS di Windows Server 2003 per amministrare un server DNS di Windows 2000, non sarà possibile visualizzare alcune nuove funzionalità nel server DNS di Windows 2000.

Per modificare la protezione del servizio Server DNS in un controller di dominio

1. Aprire DNS. 2. Nella struttura della console fare clic con il pulsante destro del mouse sul server desiderato e scegliere

Proprietà. 3. Nella scheda Protezione, modificare l'elenco degli utenti membri o dei gruppi a cui è consentita

l'amministrazione del server desiderato.

Per aggiungere un server secondario per una zona esistente



Percorso

o DNS o Server DNS desiderato

3. Dal menu Azioni, fare clic su Nuova zona. 4. Seguire le istruzioni contenute nella Creazione guidata nuova zona.

Quando si aggiunge la zona, selezionare Zona secondaria come tipo di zona.

Note



• Se il server DNS è in esecuzione in locale, non è necessario eseguire il passaggio 2. • Per aggiungere un server secondario per una zona esistente, è necessario disporre di un accesso di rete al server

che agisce come server master per questo server e potere accedere alla zona. Il server master agisce come origine per i dati di zona e viene contattato periodicamente per il rinnovo della zona e per il trasferimento degli aggiornamenti di zona, quando necessario.

Per installare un server DNS di solo caching

1. Per installare un server DNS di solo caching, installare un server DNS sul server. 2. Non configurare il server DNS secondo la normale procedura per il caricamento di zone. 3. Verificare che i parametri principali del server siano configurati o aggiornati correttamente.

Per ulteriori informazioni, vedere Argomenti correlati.

112

di fiducia per il nome di dominio esempio.microsoft.com, ovvero funge da host della zona primaria per quel nome di dominio, non è possibile configurare il server DNS con un server di inoltro condizionale per esempio.microsoft.com.

• I problemi associati all'utilizzo di server di inoltro derivano spesso da configurazioni inefficaci e da un utilizzo eccessivo. Per informazioni su alcuni problemi comuni, vedere Argomenti correlati.

Per disattivare la rotazione delle funzioni circolari per i nomi multihomed



Percorso


3. Scegliere Proprietà dal menu Azioni. 4. Scegliere la scheda Avanzate. 5. In Opzioni server deselezionare la casella di controllo Attiva round robin, quindi fare clic su OK.

Note



Per selezionare e attivare le opzioni di registrazione di debug sul server DNS

1. Aprire DNS. 2. Nella struttura della console, fare clic con il pulsante destro del mouse sul server DNS desiderato e scegliere

Proprietà. 3. Selezionare la scheda Registrazione debug. 4. Selezionare Registra i pacchetti per il debugging e selezionare gli eventi che si desidera far registrare dal

server DNS per la registrazione di debug.

Note



• Per impostare le opzioni di registrazione, è necessario per prima cosa selezionare Registra i pacchetti per il debugging.

• Per ottenere un output di registrazione di debug utile, è necessario selezionare una Direzione pacchetto, un Protocollo di trasporto e almeno una opzione.

• Oltre alla selezione degli eventi per il file di registro di debug DNS, è possibile specificare il nome del file, il percorso e le dimensioni massime del file.

• L'utilizzo delle opzioni di registrazione di debug riduce le prestazioni del server DNS. Per questo motivo, tutte le opzioni di registrazione di debug sono disabilitate come impostazione predefinita.

113

Per eseguire il test di una query semplice sul server DNS


Percorso


3. Scegliere Proprietà dal menu Azioni. 4. Fare clic sulla scheda Monitoraggio. 5. Selezionare la casella di controllo Query semplice su questo server DNS. 6. Fare clic su Effettua test.

Note



• I risultati del test di query vengono visualizzati in Risultati test.

Per visualizzare un file registro di debug del server DNS

1. Arrestare il servizio Server DNS. 2. Aprire WordPad. 3. Scegliere Apri dal menu File. 4. In Apri, per Nome file, specificare il percorso del file registro di debug del server DNS.

In base all'impostazione predefinita, se il server DNS desiderato viene eseguito localmente, il file e il percorso saranno i seguenti:

systemroot\System32\Dns\Dns.log

5. Una volta specificato il percorso e il file corretti, fare clic su Apri per visualizzare il file registro.

Note


• Per aprire WordPad, fare clic su Start, scegliere Tutti i programmi, Accessori e quindi fare clic su WordPad.

• Per arrestare il servizio Server DNS, vedere Argomenti correlati. • Il percorso del file DNS.log è gestito tramite la console DNS. Per specificare il nome e il percorso del file

DNS.log, vedere Argomenti correlati. • In base all'impostazione predefinita, il file Dns.log è vuoto se precedentemente non sono state abilitate le

opzioni di registrazione di debug. • La registrazione di debug riduce le prestazioni del server DNS e deve essere abilitata solo per un uso

temporaneo.

114

Per aggiungere una zona di ricerca diretta


1. Aprire DNS. 2. Nella struttura della console, fare clic con il pulsante destro del mouse su un server DNS, quindi scegliere

Nuova zona per aprire la Creazione guidata nuova zona. 3. Seguire le istruzioni per la creazione di una zona primaria, secondaria o di stub.

Note



Per avviare una zona e sospendere una zona


1. Aprire DNS. 2. Nella struttura della console, selezionare la zona desiderata.

Percorso

o DNS o server DNS desiderato o Zone di ricerca diretta (o Zone di ricerca inversa) o zona desiderata

3. Scegliere Proprietà dal menu Azioni. 4. Nella scheda Generale, fare clic su Avvia e quindi su OK.

Note



• In base all'impostazione predefinita, le zone vengono avviate quando vengono create o caricate sul server. È necessario riavviare solo le zone precedentemente messe in pausa.

Il server DHCP Il protocollo DHCP (Dynamic Host Configuration Protocol) rappresenta uno standard IP per la semplificazione della gestione della configurazione IP dell'host. Lo standard DHCP consente l'utilizzo di server DHCP come modalità per gestire l'allocazione dinamica degli indirizzi IP e di altri dettagli di configurazione correlati per i client abilitati al servizio DHCP nella rete.

È necessario che ciascun computer di una rete TCP/IP disponga di un indirizzo IP univoco. L'indirizzo IP, assieme alla relativa subnet mask, identifica sia il computer host che la subnet a cui è collegato. Quando un computer viene spostato in una subnet diversa, è necessario modificare l'indirizzo IP. Grazie a DHCP è possibile assegnare dinamicamente a un client un indirizzo IP contenuto nel database di indirizzi IP di un server DHCP della rete locale:

115

Per le reti basate sul protocollo TCP/IP, DHCP riduce la complessità e la quantità di lavoro amministrativo destinato alla riconfigurazione dei computer.

Microsoft® Windows® Server 2003 offre un servizio DHCP conforme alle RFC che è possibile utilizzare per gestire la configurazione client IP e automatizzare l'assegnazione degli indirizzi IP nella rete.

Vantaggi dell’utilizzo di DHCP L’utilizzo di DHCP offre i seguenti vantaggi nell’amministrazione delle reti TCP/IP:

• Configurazione sicura e affidabile

DHCP consente di evitare errori di configurazione causati dalla necessità di immettere manualmente valori in ciascun computer. DHCP consente inoltre di evitare conflitti di indirizzo causati da un indirizzo IP assegnato in precedenza e da riutilizzare per configurare un nuovo computer sulla rete.

• Riduzione della gestione di configurazione

L'utilizzo di server DHCP consente di diminuire in modo notevole il tempo necessario a configurare e riconfigurare i computer sulla propria rete. È possibile configurare server per offrire un'ampia gamma di valori di configurazione aggiuntivi in fase di assegnazione dei lease di indirizzo. Tali valori vengono assegnati utilizzando opzioni DHCP.

Il processo di rinnovo del lease DHCP assicura inoltre che laddove è necessario aggiornare spesso configurazioni client, ad esempio nel caso di utenti di computer portatili che cambiano spesso posizione, tali modifiche possono essere apportate in modo efficiente ed automatico da client che comunicano direttamente con i server DHCP.

Terminologia DHCP Termine Descrizione

ambito

Un ambito rappresenta un intervallo consecutivo completo di indirizzi IP possibili per una rete. Generalmente definisce una singola subnet fisica della rete, alla quale vengono forniti i servizi DHCP. Gli ambiti forniscono al server la principale modalità per la gestione della distribuzione e dell'assegnazione degli indirizzi IP e dei relativi parametri di configurazione ai client connessi alla rete.

ambito esteso

Un ambito esteso rappresenta un raggruppamento amministrativo di ambiti che è possibile utilizzare per supportare più subnet IP logiche nella stessa subnet fisica. Gli ambiti estesi possono contenere solo un elenco di ambiti membri o ambiti figli che è possibile attivare insieme. Non è possibile utilizzare gli ambiti estesi per configurare altri dettagli relativi a un utilizzo dell'ambito. Per la configurazione della maggior parte delle proprietà utilizzate all'interno di un ambito esteso, è necessario configurare individualmente le proprietà dell'ambito del membro.

intervallo di esclusione

Un intervallo di esclusione rappresenta una sequenza limitata di indirizzi IP all'interno di un ambito esclusi dalle offerte del servizio DHCP. Gli intervalli di esclusione assicurano che qualsiasi indirizzo appartenente a tali intervalli non venga offerto dal server a client DHCP della propria rete.

pool di Una volta definito un ambito DHCP e applicati gli intervalli di esclusione, gli indirizzi rimanenti

116

indirizzi formano il pool di indirizzi disponibile all'interno dell'ambito. I pool di indirizzi sono utilizzati dal server per l'assegnazione dinamica ai client DHCP della rete.

lease

Un lease rappresenta una durata di tempo specificata dal server DHCP, durante la quale un computer client può utilizzare un indirizzo IP assegnato. Quando viene specificato un lease per un client, tale lease è attivo. Prima della scadenza del lease, il client generalmente deve rinnovare l'assegnazione del lease dell'indirizzo nel server. Un lease diventa inattivo quando scade o viene eliminato dal server. La durata di un lease ne determina la scadenza e la frequenza con cui il client deve rinnovarne l'assegnazione con il server.

prenotazione La prenotazione viene utilizzata per creare un'assegnazione di lease di indirizzo permanente da parte del server DHCP. Grazie alle prenotazioni viene assicurato che uno specifico dispositivo hardware della subnet potrà sempre utilizzare lo stesso indirizzo IP.

tipi di opzioni

I tipi di opzioni rappresentano altri parametri di configurazione del client che un server DHCP può assegnare quando gestisce i lease di client DHCP. Alcune opzioni utilizzate più di frequente includono ad esempio indirizzi IP per gateway predefiniti o router, server WINS e server DNS. Questi tipi di opzioni vengono in genere attivati e configurati per ciascun ambito. Grazie alla console DHCP è possibile configurare tipi di opzioni predefiniti utilizzati da tutti gli ambiti aggiunti e configurati sul server. La maggior parte delle opzioni viene predefinita attraverso il documento RFC 2132, ma è possibile utilizzare la console DHCP per definire e aggiungere tipi di opzioni personalizzati quando necessario.

classe di opzioni

Una classe di opzioni rappresenta un modo con il quale il server gestisce ulteriormente i tipi di opzioni forniti ai client. Quando viene aggiunta al server una classe di opzioni, è possibile offrire ai client di tale classe tipi di opzioni specifici della classe per la propria configurazione. Per Microsoft® Windows® 2000 e Windows XP, i computer client possono anche specificare un ID di classe quando comunicano con il server. Per i client DHCP precedenti che non supportano il processo di ID della classe, è possibile configurare il server con classi predefinite da utilizzare quando vengono inseriti client in una classe. Le classi di opzioni possono essere di due tipi: classi fornitore e classi utente.

Console DHCP

La console DHCP viene aggiunta alla cartella Strumenti di amministrazione del Pannello di controllo quando si installa un server DHCP con sistema operativo Windows Server 2003. La console viene visualizzata come snap-in MMC (Microsoft Management Console), integrando ulteriormente l'amministrazione DHCP nella gestione totale della rete.

Dopo aver installato un server DHCP, è possibile utilizzare la console DHCP o i comandi Netsh per DHCP per eseguire le seguenti operazioni amministrative di base del server:

1. Creare ambiti. 2. Aggiungere e configurare ambiti estesi e ambiti multicast. 3. Visualizzare e modificare le proprietà dell'ambito per gli ambiti, ad esempio l'impostazione di intervalli di

esclusione aggiuntivi. 4. Attivare gli ambiti, gli ambiti multicast o gli ambiti estesi. 5. Controllare l'attività di lease dell'ambito esaminando i lease attivi per ciascun ambito. 6. Creare prenotazioni negli ambiti necessarie ai client DHCP che richiedono un indirizzo IP permanente per

l'utilizzo di lease.

È inoltre possibile utilizzare la console DHCP o i comandi Netsh per DHCP per eseguire le seguenti operazioni di configurazione facoltative o avanzate:

• Aggiungere nuovi tipi di opzione predefiniti personalizzati. • Aggiungere e configurare qualsiasi classe di opzioni utente o definita dal fornitore. • Configurare ulteriormente altre proprietà del server, ad esempio i registri di controllo o le tabelle BOOTP.

La console DHCP inoltre dispone di opzioni avanzate suggerite dai responsabili della rete. Tra queste sono inclusi il controllo avanzato delle prestazioni del server, ulteriori tipi di opzioni DHCP predefiniti, il supporto di aggiornamento dinamico per i client con versioni precedenti di Windows e il rilevamento di server DHCP non autorizzati nella rete.

117

Per autorizzare il server DHCP in Active Directory

1. Aprire DHCP. 2. Nella struttura della console fare clic su DHCP. 3. Scegliere Gestisci server autorizzati dal menu Azione.

Verrà visualizzata la finestra di dialogo Gestione server autorizzati.

4. Fare clic su Autorizza. 5. Quando richiesto, digitare il nome o l'indirizzo IP del server DHCP da autorizzare, quindi scegliere OK.

Note

• Per autorizzare un server DHCP in un ambiente di dominio Active Directory, è necessario prima effettuare l'accesso come membro del gruppo Enterprise Admins dell'organizzazione in cui verrà aggiunto il server.

• Per aprire DHCP, fare clic su Start, scegliere Impostazioni, Pannello di controllo, fare doppio clic su Strumenti di amministrazione e quindi su DHCP.

• Questa procedura è in genere necessaria solo se viene eseguito un server DHCP su un server membro. Nella maggior parte dei casi, se viene installato un server DHCP su un computer che opera anche come controller di dominio, il server verrà automaticamente autorizzato nel momento in cui verrà aggiunto il server alla console DHCP.

• Il nome completo di dominio (FQDN, Fully Qualified Domain Name) del server DHCP non può superare i 64 caratteri. Se l'FQDN del server DHCP supera i 64 caratteri, il tentativo di autorizzazione del server viene segnalato dal messaggio di errore "Violazione delle limitazioni". Se l'FQDN del server DHCP supera i 64 caratteri, autorizzare il server utilizzando l'indirizzo IP invece del nome completo di dominio.

• I server DHCP con sistema operativo Windows 2000 non possono essere autorizzati con gli strumenti di amministrazione di Windows Server 2003, ovvero la console DHCP e i comandi Netsh per DHCP, a meno che non sia installato Windows 2000 Server Service Pack 2.

Nuove caratteristiche di DHCP Il servizio DHCP (Dynamic Host Configuration Protocol) di Microsoft® Windows® Server 2003 offre le seguenti nuove caratteristiche:

• Configurazione alternativa client DHCP

Con la configurazione alternativa del client DHCP, è possibile spostare facilmente un computer tra due o più reti, una configurata con indirizzi IP statici e l'altra o le altre configurate con DHCP, senza dover riconfigurare i parametri delle schede di rete, come ad esempio l'indirizzo IP, la subnet mask, il gateway predefinito, i server DNS (Domain Name Service) preferiti o alternativi e i server WINS (Windows Internet Name Service). Per ulteriori informazioni, vedere Configurazione alternativa client DHCP e Per utilizzare la configurazione alternativa client DHCP.

• Backup e ripristino del database DHCP

È possibile eseguire il backup e il ripristino del database DHCP mediante i comandi Backup e Ripristina della console DHCP. Per ulteriori informazioni sul comando Backup, vedere Backup del database DHCP e Per eseguire il backup del database DHCP. Per ulteriori informazioni sul comando Ripristina, vedere Ripristino dei dati del server e Per ripristinare il database DHCP.

Le caratteristiche descritte di seguito, implementate per la prima volta in Windows 2000 Server, sono disponibili anche nei sistemi Windows Server 2003:

• Gruppi locali per offrire accesso a server e console limitato ad amministratori e utenti DHCP

Quando un server DHCP viene installato su un computer server vengono creati due gruppi amministrativi locali, i gruppi DHCP Users e DHCP Administrators. È possibile utilizzare il gruppo DHCP Users per fornire

118

al server un accesso di sola lettura alla console. Quando viene utilizzato, questo gruppo offre ai membri la possibilità di visualizzare i dati del server, ma non di modificarli.

Il gruppo DHCP Administrators offre un livello superiore di accesso amministrativo. I membri aggiunti a questo gruppo possono gestire e modificare qualsiasi tipo di dati nel server DHCP, ma non viene offerto loro alcun tipo di accesso amministrativo illimitato, come quando viene utilizzato ad esempio il gruppo Administrators locale per fornire accesso amministrativo al server DHCP applicabile. Per ulteriori informazioni, vedere Gruppi DHCP.

• Assegnazione automatica di indirizzi IP

In Windows 98, Windows 2000, Windows XP e Windows Server 2003, ai client abilitati al servizio DHCP viene assegnata automaticamente una configurazione IP temporanea se un server DHCP non è disponibile per un lease quando il client viene avviato nella rete. Nel caso dei client DHCP con queste versioni di Windows, il client tenterà di contattare un server DHCP in background ogni 5 minuti per ottenere eventualmente il proprio lease di indirizzo IP valido.

L'assegnazione automatica è sempre trasparente per gli utenti, ai quali non viene effettuata alcuna richiesta se il client non riesce a ottenere un lease da un server DHCP. Gli indirizzi vengono assegnati in modo automatico da un intervallo di indirizzi di rete riservato per l'utilizzo privato TCP/IP e non su Internet.

• Controllo delle prestazioni avanzato e capacità di reporting del server

DHCP è essenziale per il successo dell'infrastruttura di rete. Senza server DHCP funzionanti, i client IP possono perdere in tutto o in parte la propria capacità di accedere o utilizzare la rete. Poiché molti amministratori di rete esperti comprendono l'importanza di un controllo continuo dei server DHCP, sono state apportate diverse modifiche per rendere più semplice questo compito.

Nei computer con sistema operativo Windows 2000 o Windows Server 2003 sono disponibili contatori di controllo delle prestazioni per consentire il controllo delle prestazioni del server DHCP nella rete. Per ulteriori informazioni, vedere Monitoraggio delle prestazioni del server DHCP.

• Supporto di ambito più ampio per ambiti multicast e ambiti estesi

Il server DHCP Microsoft supporta ambiti aggiuntivi utilizzabili per ottimizzare l'amministrazione continuativa di configurazioni di indirizzi IP.

Nuovi ambiti multicast consentono ai client abilitati al servizio DHCP di offrire in lease indirizzi IP di classe D (da 224.0.0.0 a 239.255.255.255) per la partecipazione a gruppi multicast. Per ulteriori informazioni, vedere Utilizzo degli ambiti multicast.

Gli ambiti estesi, che rappresentano una recente aggiunta a Windows NT® Server 4.0, sono utili per creare un gruppo amministrativo degli ambiti dei membri. Gli ambiti estesi possono risultare utili quando si desidera rinumerare o espandere lo spazio dell'indirizzo IP nella rete senza disturbare ambiti attivi attuali. Per ulteriori informazioni, vedere Utilizzo degli ambiti estesi.

• Supporto per classi di opzioni specificate da fornitore e utente

È possibile utilizzare questa caratteristica per separare e distribuire opzioni appropriate per i client con esigenze di configurazione simili o speciali.

È ad esempio possibile assegnare alla stessa classe di opzioni tutti i client abilitati al servizio DHCP presenti allo stesso piano di un ufficio. È possibile utilizzare questa classe, configurata con lo stesso valore di ID di classe del DHCP, per distribuire altri dati di opzione durante il processo di lease, tralasciando qualsiasi opzione predefinita globale o di ambito. In questo modo, opzioni appropriate per una serie di client membri di una classe nella stessa posizione della rete, ad esempio gateway predefiniti specifici o nomi di dominio, vengono applicate come opzioni specifiche della classe. Per ulteriori informazioni, vedere Utilizzo delle classi di opzioni.

119

• Integrazione di DHCP con DNS

Un server DHCP con sistema operativo Windows 2000 o Windows Server 2003 può attivare aggiornamenti dinamici nello spazio dei nomi DNS per qualsiasi client che supporta questi aggiornamenti. I client dell'ambito possono quindi utilizzare un protocollo di aggiornamento dinamico DNS per aggiornare le informazioni di mapping nome-indirizzo del proprio host, memorizzate in aree nel server DNS, ogni volta che si verifica una modifica al proprio indirizzo assegnato dal DHCP. Per ulteriori informazioni, vedere Utilizzo dei server DNS con DHCP.

• Rilevamento di server DHCP non autorizzati attraverso l'utilizzo dell'integrazione Active Directory®

Quando in una rete viene avviato in modo accidentale un server DHCP, è possibile che si verifichino problemi di rete di diversa natura. Per evitare questa situazione, Windows 2000 Server e Windows Server 2003 offrono un metodo per concedere l'autorizzazione a un server DHCP nonché un mezzo per rilevare e disattivare eventuali server non autorizzati.

Quando viene effettuato il tentativo di avviare nella rete un server DHCP membro di dominio con sistema operativo Windows 2000 o Windows Server 2003, viene inoltrata una query ad Active Directory e viene eseguito il confronto dell'indirizzo IP del computer server con l'elenco dei server DHCP autorizzati. Se viene rilevata una corrispondenza, il computer server viene autorizzato come server DHCP. In caso contrario, si verificano le seguenti condizioni:

o Il server non viene autorizzato in Active Directory. o Il server viene identificato come server non autorizzato. o Il server interrompe il lease di indirizzi IP ai client DHCP.

Per utilizzare l'autorizzazione del server DHCP, è necessario distribuire Active Directory e il servizio DHCP in un server con sistema operativo Windows 2000 o Windows Server 2003. Altri server DHCP non supportano questa caratteristica.

Per ulteriori informazioni, vedere Autorizzazione dei server DHCP.

• Supporto dinamico per client BOOTP

Il servizio DHCP offre un supporto aggiuntivo per i client BOOTP nelle reti di grandi organizzazioni attraverso l'aggiunta del BOOTP dinamico.

Il BOOTP dinamico rappresenta un'estensione del protocollo BOOTP che consente al server DHCP di configurare client BOOTP senza utilizzare una configurazione esplicita di indirizzo fisso. Questa caratteristica consente un'amministrazione semplificata delle reti BOOTP di grandi dimensioni consentendo una distribuzione automatica di indirizzi IP, alla stessa maniera di DHCP, senza la necessità di modificare il comportamento dal lato client.

Configurazione degli ambiti Un ambito rappresenta un raggruppamento amministrativo di indirizzi IP per i computer di una subnet che utilizzano il servizio DHCP. L'amministratore crea un ambito per ciascuna subnet fisica e poi per definire i parametri utilizzati dai client. Un ambito dispone delle seguenti proprietà:

• Un intervallo di indirizzi IP nel quale includere o escludere gli indirizzi utilizzati per offerte di lease del servizio DHCP.

• Una subnet mask, che determina la subnet di un dato indirizzo IP. • Un nome di ambito assegnato al momento della creazione. • Valori di durata del lease che vengono assegnati ai client DHCP i quali ricevono indirizzi IP assegnati

dinamicamente. • Tutte le opzioni di ambito DHCP configurate per l'assegnazione ai client DHCP, ad esempio il server DNS,

l'indirizzo IP del router e l'indirizzo del server WINS. • Prenotazioni, facoltativamente utilizzate per garantire che un client DHCP riceva sempre lo stesso indirizzo IP.

120

Prima di aggiungere gli ambiti

Un ambito DHCP consiste di un pool di indirizzi IP di una determinata subnet, ad esempio da 192.168.0.1 a 192.168.0.254, che il server DHCP può assegnare in lease ai client.

Per ciascuna subnet è possibile disporre di un solo ambito DHCP con un singolo intervallo continuo di indirizzi IP. Per utilizzare diversi intervalli di indirizzi all'interno di un unico ambito o subnet per il servizio DHCP, è necessario innanzitutto definire l'ambito, quindi impostare l'eventuale intervallo di esclusione necessario.

• Definizione dell'ambito

Utilizzare l'intero intervallo di indirizzi IP consecutivi che compongono la subnet IP locale per cui viene attivato il servizio DHCP.

• Impostazione di intervalli di esclusione

È necessario impostare intervalli di esclusione per tutti gli indirizzi IP compresi nell'ambito che il server DHCP non dovrà offrire o utilizzare per l'assegnazione di lease DHCP. È ad esempio possibile escludere i primi 10 indirizzi dell'ambito dell'esempio precedente, creando un intervallo tra 192.168.0.1 e 192.168.0.10.

Impostando un'esclusione per questi indirizzi, si specifica che quando i client DHCP richiedono una configurazione di lease al server, non riceveranno mai questi indirizzi. Gli indirizzi IP esclusi possono essere attivi nella rete, ma solo configurandoli manualmente per gli host che non utilizzano il DHCP per ottenere un indirizzo.

Creazione degli ambiti

Quando si crea un ambito DHCP, viene utilizzata la console DHCP per immettere le seguenti informazioni necessarie:

• Nome dell'ambito assegnato dall'utente o dall'amministratore che ha creato l'ambito. • Una subnet mask utilizzata per identificare la subnet a cui appartiene un indirizzo IP. • Un intervallo di indirizzi IP contenuti nell'ambito. • Un intervallo di tempo denominato durata di lease con cui si specifica il periodo durante il quale un client

DHCP può utilizzare un indirizzo IP assegnato prima di dover rinnovare la configurazione con il server DHCP.

Utilizzo della regola 80/20 per gli ambiti

Per il bilanciamento dell'utilizzo del server DHCP, è consigliabile utilizzare la regola "80/20" per dividere gli indirizzi di ambito tra i due server DHCP. Se il server 1 è configurato per rendere disponibile la maggior parte degli indirizzi, circa l'80%, è possibile configurare il server 2 per rendere disponibili ai client gli altri indirizzi, ovvero il 20%. Nell'illustrazione che segue viene raffigurato un esempio della regola 80/20:

121

Note

• Per informazioni dettagliate sull'applicazione della regola 80/20, vedere Procedure ottimali. • Quando si crea un nuovo ambito, l'indirizzo IP utilizzato per crearlo non dovrà includere indirizzi di computer

esistenti configurati in modo statico, ad esempio il server DHCP. È necessario che tali indirizzi statici si trovino all'esterno dell'intervallo dell'ambito oppure occorre escluderli dal pool di indirizzi dell'ambito.

Fasi successive all'aggiunta degli ambiti

Una volta definito un ambito, è possibile configurarlo eseguendo le operazioni seguenti:

• Impostare intervalli di esclusione aggiuntivi

È possibile escludere qualsiasi altro indirizzo IP che non debba essere assegnato in lease ai client DHCP. È necessario utilizzare esclusioni per tutte le periferiche che occorre configurare in modo statico. Gli intervalli esclusi dovranno comprendere tutti gli indirizzi IP assegnati manualmente ad altri server DHCP, client non DHCP, workstation prive di disco o client PPP e di Routing e Accesso remoto.

• Creare prenotazioni

È possibile scegliere di riservare alcuni indirizzi IP per l'assegnazione di lease permanenti a computer o periferiche specifiche della propria rete. È necessario effettuare prenotazioni solo per le periferiche abilitate al servizio DHCP e che occorre riservare per scopi specifici nella rete, quali i server di stampa.

• Regolare la lunghezza della durata dei lease

È possibile modificare la durata dei lease da utilizzare per l'assegnazione di lease di indirizzi IP. La durata di lease predefinita è di otto giorni.

Per la maggior parte delle LAN il valore predefinito è accettabile, ma è possibile aumentarlo ulteriormente se raramente i computer vengono spostati oppure cambiano posizione. È inoltre possibile impostare tempi di lease infiniti, ma è necessario utilizzarli con cautela. Per informazioni sulle circostanze in cui la modifica di queste impostazioni risulta maggiormente utile, vedere Gestione dei lease.

• Configurare opzioni e classi da utilizzare con l'ambito

123

Nell'illustrazione che segue viene mostrato lo stato originale di questa rete di esempio. A questo punto non è stato aggiunto alcun ambito esteso, mentre un ambito singolo, l'ambito 1, viene utilizzato per servire tutti i client DHCP sulla subnet A.

Esempio 2: ambito esteso per server DHCP privo di routing che supporta reti multiple locali

Per includere reti multiple implementate per i computer client nella subnet A ovvero nello stesso segmento di rete in cui è posizionato il server DHCP, è possibile configurare un ambito esteso che include come membri l'ambito originale (ambito 1) e gli ambiti aggiuntivi per le reti multiple logiche per le quali è necessario aggiungere un supporto (ambito 2 e ambito 3).

Nell'illustrazione che segue viene visualizzata la configurazione dell'ambito e dell'ambito esteso che supporta le reti multiple nella stessa rete fisica (subnet A) del server DHCP.

124

Esempio 3: ambito esteso per server DHCP di routing con agente di inoltro che supporta reti multiple remote

Per includere reti multiple implementate per computer client nella subnet B ovvero nel segmento di rete remota posizionato attraverso un router dal server DHCP nella subnet A, è possibile configurare un ambito esteso che include come membri gli ambiti aggiuntivi per le reti multiple logiche per le quali è necessario aggiungere un supporto remoto (ambito 2, ambito 3).

Poiché le reti multiple sono destinate alla rete remota (subnet B), non è necessario che l'ambito originale (ambito 1) faccia parte dell'ambito esteso aggiunto.

Nell'illustrazione che segue viene mostrata la configurazione dell'ambito e dell'ambito esteso per supportare reti multiple nella rete fisica remota (subnet B) all'esterno del server DHCP.

Nota

• Un agente di inoltro DHCP viene utilizzato per consentire ai server DHCP di supportare client su subnet remote, come mostrato nell'esempio 3. Per ulteriori informazioni, vedere Informazioni sugli agenti di inoltro.

Per abilitare il DNS per i client DHCP

• Per configurare il DNS per i client con indirizzi IP configurati dinamicamente forniti da un server DHCP, è generalmente necessario configurare quanto segue sul server DHCP o sui client applicabili:

a. Il nome (o i nomi) host DNS per il client.

Per i client DHCP, questo deve essere impostato sul client o assegnato durante l'installazione automatica.

125

b. I server DNS primari o alternativi che il client utilizza per la risoluzione dei nomi di dominio DNS.

Per i client DHCP, questi possono essere impostati assegnando l'opzione server DNS (opzione 6) e fornendo un elenco configurato di indirizzi IP ordinati per i server DNS che il client può utilizzare.

c. Un elenco dei suffissi DNS da aggiungere per il completamento dei nomi DNS non qualificati utilizzati per ricercare e sottoporre le query DNS al client per la risoluzione.

Per i client DHCP, questo può essere impostato assegnando l'opzione del nome di dominio DNS (opzione 15) e fornendo un suffisso DNS per il client da aggiungere ed utilizzare nelle ricerche. Per configurare suffissi DNS aggiuntivi, configurare manualmente il TCP/IP per la configurazione DNS.

d. Il comportamento specifico della connessione per la registrazione e l'aggiornamento dinamico, ad esempio se le schede di rete specifiche installate nel client registrano dinamicamente gli indirizzi IP configurati con un server DNS.

Per i client DHCP, in base all'impostazione predefinita le connessioni client registrano gli indirizzi IP configurati con un server DNS. Per modificare questo comportamento per il client, configurare il TCP/IP manualmente per la configurazione DNS. È necessario attivare la voce “Utilizza il suffisso DNS di questa connessione nella registrazione DNS” reperibile nella configurazione dell’interfaccia di rete, premendo il tasto “Avanzate” nella sezione DNS.

Il servizio WINS Il servizio Windows Internet Name Service (WINS) fornisce un database distribuito per la registrazione e la ricerca di mapping dinamici dei nomi NetBIOS relativi a computer e gruppi utilizzati nella rete. In WINS i nomi NetBIOS vengono mappati a indirizzi IP in modo da risolvere i problemi relativi alla risoluzione dei nomi NetBIOS negli ambienti con routing. WINS rappresenta la soluzione ideale per la risoluzione dei nomi NetBIOS in reti con routing che utilizzano NetBIOS su TCP/IP.

I nomi NetBIOS vengono utilizzati dalle versioni precedenti dei sistemi operativi Microsoft® Windows® per identificare e individuare computer e altre risorse condivise o raggruppate necessarie per risolvere i nomi utilizzati in rete.

Tali nomi sono un requisito fondamentale per la creazione di servizi di rete nelle versioni precedenti dei sistemi operativi Microsoft. Sebbene sia possibile utilizzare il protocollo di denominazione NetBIOS con altri protocolli di rete diversi da TCP/IP, WINS è stato progettato appositamente per supportare NetBIOS su TCP/IP (NetBT).

WINS semplifica la gestione dello spazio dei nomi NetBIOS nelle reti basate su TCP/IP. Nella figura che segue è riportata una tipica serie di eventi riguardanti client e server WINS.

126

La situazione descritta nell'esempio è la seguente:

1. Un client WINS, denominato HOST-A, registra i propri nomi NetBIOS locali su WINS-A, il relativo server WINS configurato.

2. Un altro client WINS, denominato HOST-B, invia una query a WINS-A per individuare l'indirizzo IP di HOST-A sulla rete.

3. WINS-A risponde fornendo l'indirizzo IP di HOS-A, ovvero 192.168.1.20.

Grazie a WINS viene ridotto l'utilizzo di messaggi broadcast locali per la risoluzione dei nomi e viene consentito agli utenti di individuare facilmente i sistemi su reti remote. Poiché le registrazioni WINS vengono eseguite automaticamente ad ogni avvio e accesso dei client alla rete, il database WINS viene aggiornato automaticamente quando si apportano modifiche alla configurazione dinamica degli indirizzi. Quando ad esempio viene assegnato a un client WINS un nuovo indirizzo o un indirizzo modificato tramite un server DHCP, le informazioni di WINS relative al client vengono aggiornate. Tutto ciò avviene senza alcun intervento manuale da parte degli utenti o dell'amministratore della rete.

Note

• Il protocollo WINS è basato su protocolli definiti per il servizio dei nomi NetBIOS specificato nelle RFC 1001 e 1002 e risulta compatibile con questi. Può pertanto interagire con qualsiasi implementazione di queste RFC.

• La replica dei dati relativi ai nomi NetBIOS in WINS è una tecnologia proprietaria di Microsoft pertanto non può essere utilizzata con altri server di nomi NetBIOS.

Vantaggi derivanti dall'utilizzo di WINS

Di seguito sono riportati i vantaggi derivanti dall'utilizzo di WINS per l'amministrazione della rete basata su protocollo TCP/IP:

• Un database dinamico dei mapping nome-indirizzo che gestisce il supporto per la registrazione e la risoluzione dei nomi di computer.

• La gestione centralizzata del database dei mapping nome-indirizzo che permette di limitare l'utilizzo dei file Lmhosts.

• La riduzione del traffico di broadcast NetBIOS sulle subnet grazie alla possibilità per i client di eseguire query sui server WINS per individuare direttamente i sistemi remoti.

• Il supporto di versioni precedenti di client Microsoft® Windows® e NetBIOS che consente a questi tipi di client di effettuare ricerche in elenchi di domini Windows remoti senza che venga richiesta la presenza di un controller di dominio locale su ciascuna subnet.

• Il supporto di client DNS che consente ai client di individuare risorse NetBIOS quando è implementata l'integrazione di ricerca WINS.

Alcune definizioni

Risoluzione dei nomi NetBIOS

La risoluzione dei nomi NetBIOS implica la corretta esecuzione del mapping tra un nome NetBIOS e un indirizzo IP. Il nome NetBIOS è un indirizzo a 16 byte utilizzato per identificare una risorsa NetBIOS in rete. Il nome NetBIOS è un nome univoco (esclusivo) oppure un nome di gruppo (non esclusivo). Quando un processo NetBIOS comunica con un processo specifico su un computer specifico, viene utilizzato un nome univoco. Quando un processo NetBIOS comunica con più processi su più computer, viene utilizzato un nome di gruppo.

Un esempio di processo che utilizza un nome NetBIOS è il servizio Condivisione file e stampanti per reti Microsoft in un computer che esegue Windows XP Professional. Quando il computer viene avviato, il servizio registra un nome NetBIOS univoco basato sul nome del computer. Il nome esatto utilizzato dal servizio è il nome del computer di 15 caratteri più un sedicesimo carattere di 0x20. Se il nome del computer ha una lunghezza inferiore a 15 caratteri, verranno aggiunti spazi fino al raggiungimento di 15 caratteri.

Quando si tenta di stabilire una connessione di condivisione file a un computer utilizzandone il nome, il servizio Condivisione file e stampanti per reti Microsoft sul file server specificato corrisponde a uno specifico nome NetBIOS.

127

Ad esempio, quando si tenta di stabilire la connessione a un computer denominato CORPSERVER, il nome NetBIOS corrispondente al servizio Condivisione file e stampanti per reti Microsoft su tale computer è

CORPSERVER [20]

Si noti l'utilizzo degli spazi per completare il nome del computer. Prima di stabilire una connessione di condivisione file e stampanti, è necessario creare una connessione TCP. Per poter stabilire una connessione TCP, sarà necessario risolvere il nome NetBIOS "CORPSERVER [20]" in un indirizzo IP.

L'esatto meccanismo per mezzo del quale i nomi NetBIOS vengono risolti in indirizzi IP dipende dal tipo di nodo NetBIOS che è configurato per il nodo. L'RFC 1001 "Protocol Standard for a NetBIOS Service on a TCP/UDP Transport: Concepts and Methods" definisce i tipi di nodo NetBIOS, elencati nella tabella che segue.

Tipo di nodo Descrizione

Nodo B (broadcast)

Il nodo B utilizza query broadcast di nomi NetBIOS per la registrazione e la risoluzione dei nomi. Il nodo B presenta due problemi fondamentali: (1) i broadcast disturbano tutti i nodi della rete, e (2) i router di solito non inoltrano i broadcast, pertanto possono essere risolti solo i nomi NetBIOS nella rete locale.

Nodo P (peer-peer)

Il nodo P utilizza un server dei nomi NetBIOS (NBNS), quale un server WINS, per la risoluzione dei nomi NetBIOS. Il nodo P non utilizza broadcast, bensì interroga il server dei nomi direttamente.

Nodo M (misto)

Il nodo M è una combinazione del nodo B e del nodo P. Per impostazione predefinita, un nodo M funziona come un nodo B. Se un nodo M non è in grado di risolvere un nome tramite broadcast, interrogherà un NBNS utilizzando il nodo P.

Nodo H (ibrido)

Il nodo H è una combinazione del nodo P e del nodo B. Per impostazione predefinita, un nodo H funziona come un nodo P. Se un nodo H non è in grado di risolvere un nome tramite l'NBNS, utilizzerà un broadcast per la risoluzione del nome.

Per impostazione predefinita, i computer che eseguono sistemi operativi Windows Server 2003 sono nodi B e diventano nodi H quando sono configurati con un server WINS. Tali computer possono inoltre utilizzare un file di database locale, denominato Lmhosts, per risolvere nomi NetBIOS remoti. Il file Lmhosts è memorizzato nella cartella systemroot\System32\Drivers\Etc. Per ulteriori informazioni, vedere File di database per TCP/IP.

Per rendere possibile la risoluzione dei nomi NetBIOS remoti, è consigliabile configurare i computer basati su Windows con l'indirizzo IP del server WINS. Nei computer basati su Active Directory, che eseguono i sistemi operativi Windows XP Professional e Windows Server 2003, è necessario configurare l'indirizzo IP di un server WINS se questi devono comunicare con altri computer che eseguono Windows NT, Windows 95, Windows 98, Windows 2000 o Windows Millennium Edition e non utilizzano Active Directory.

File di database per TCP/IP

Nella tabella riportata di seguito sono elencati i file di database in formato UNIX memorizzati nella cartella systemroot\System32\Drivers\Etc relativa al protocollo TCP/IP per i computer che eseguono sistemi operativi Windows Server 2003.

Nome file Utilizzo Hosts Fornisce la risoluzione dal nome host all'indirizzo IP per i programmi Windows Sockets. Lmhosts Fornisce la risoluzione dal nome NetBIOS all'indirizzo IP per le reti basate su Windows. Networks Fornisce la risoluzione dal nome di rete all'ID di rete per i programmi Windows Sockets. Protocols Fornisce la risoluzione dal nome del protocollo all'ID di protocollo per i programmi Windows Sockets.Services Fornisce la risoluzione dal nome del servizio all'ID di porta per i programmi Windows Sockets.

Per la risoluzione dei problemi relativi a questi file su un computer locale, attenersi alla seguente procedura:

1. Verificare che il formato delle voci in ciascun file corrisponda al formato definito nel file di esempio fornito con TCP/IP.

2. Controllare la presenza di eventuali errori di ortografia. 3. Controllare che non vi siano indirizzi IP e identificatori IP non validi.

128

Nota

• Per impostazione predefinita, non viene installato alcun file Lmhosts. Esiste un file Lmhosts.sam di esempio che è possibile utilizzare come base per la creazione di un file Lmhosts.

Funzionamento di WINS

Per impostazione predefinita, se un computer che esegue Microsoft® Windows® 2000, Windows XP o un sistema operativo Windows Server 2003 è configurato per la risoluzione dei nomi con indirizzi di server WINS (manualmente o tramite DHCP), utilizza il nodo ibrido (nodo H) per la registrazione dei nomi NetBIOS, a meno che non venga configurato un altro tipo di nodo NetBIOS. Anche per le query e la risoluzione dei nomi NetBIOS viene utilizzato il nodo H, ma con alcune differenze.

Per la risoluzione dei nomi NetBIOS il client WINS effettua in genere i seguenti passaggi:

1. Verifica se il nome richiesto corrisponde al nome di computer locale NetBIOS di cui è proprietario. 2. Ricerca i nomi remoti nella cache locale dei nomi NetBIOS. Ciascun nome di client remoto risolto viene

inserito in questa cache dove rimane per 10 minuti. 3. Inoltra la query NetBIOS al server WINS primario configurato. Se il server WINS primario non è in grado di

rispondere alla query perché non è disponibile o non contiene una voce per il nome richiesto, il client proverà a contattare gli altri server WINS in base all'ordine con cui sono elencati e configurati per l'utilizzo.

4. Trasmette la query NetBIOS alla subnet locale. 5. Ricerca nel file Lmhosts una voce corrispondente alla query, se è configurato per l'utilizzo del file Lmhosts. 6. Prova ad utilizzare il file Hosts e quindi un server DNS, se configurato per l'utilizzo.

Note

• Per una descrizione più dettagliata del processo di risoluzione dei nomi NetBIOS eseguito su computer che eseguono Windows XP o un sistema operativo Windows Server 2003, vedere Risoluzione dei nomi.

• I sistemi operativi Windows supportano in genere due importanti metodi per la risoluzione dei nomi di rete, vale a dire:

o Risoluzione dei nomi host. In questo tipo di risoluzione dei nomi Windows basata sui socket viene implementata l'API gethostbyname () per ricercare l'indirizzo IP di un host in base al nome host indicato in una query. La risoluzione dei nomi viene eseguita tramite un file Hosts o una query DNS.

o Risoluzione dei nomi NetBIOS. In questo tipo di risoluzione dei nomi viene utilizzato il redirector NetBIOS per cercare un indirizzo in base al nome NetBIOS indicato in una query. La risoluzione dei nomi viene eseguita tramite un file Lmhosts file o una query WINS.

Per impostazione predefinita, nei client WINS che eseguono Windows 2000, Windows XP o un sistema operativo Windows Server 2003 i nomi composti da più di 15 caratteri o che contengono punti (".") vengono risolti tramite DNS. In caso di mancata risposta a una query WINS, questo servizio verrà utilizzato anche per i nomi con meno di 15 caratteri e che non contengono punti qualora i client siano configurati per l'utilizzo di un server DNS.

Console WINS

La console WINS viene aggiunta alla cartella Strumenti di amministrazione del Pannello di controllo quando si installa un server WINS con un sistema operativo server Microsoft® Windows® Server 2003. La console WINS viene visualizzata come snap-in di Microsoft Management Console (MMC) e integra ulteriormente l'amministrazione WINS nella gestione di rete totale.

Dopo aver installato un server WINS, è possibile utilizzare la console WINS o i comandi Netsh di WINS per eseguire le seguenti operazioni amministrative di base del server:

1.

129

3. Eseguire operazioni di manutenzione, come il backup, il ripristino, la compressione e lo scavenging del database dei server WINS.

È inoltre possibile utilizzare la console WINS per effettuare le seguenti operazioni di configurazione opzionali o avanzate:

• Visualizzare e modificare le proprietà WINS, come l'intervallo di rinnovo e altri intervalli utilizzati per registrare, rinnovare e verificare i record dei nomi memorizzati nel database del server.

• Aggiungere e configurare mapping WINS statici, se necessari per l'utilizzo della rete. • Rimuovere o eliminare definitivamente i record WINS riportati tra i dati dei server WINS della rete.

Nuove caratteristiche di WINS

Il servizio Windows Internet Name Service (WINS) di Microsoft® Windows® Server 2003 fornisce le seguenti nuove caratteristiche:

• Funzioni avanzate di ricerca e filtro dei database WINS

Le nuove funzioni avanzate di filtro e ricerca consentono di individuare i record visualizzando solo quelli corrispondenti ai criteri specificati. Queste funzioni sono particolarmente utili per analizzare database WINS di notevoli dimensioni. È possibile utilizzare più criteri per eseguire ricerche avanzate di record dei database WINS. La funzionalità avanzata di filtro consente di combinare filtri per ottenere risultati di ricerca precisi e personalizzati. I filtri disponibili riguardano il proprietario di record, il tipo di record, il nome NetBIOS e l'indirizzo IP con o senza subnet mask.

Poiché adesso è possibile archiviare i risultati nella memori RAM del computer locale, le prestazioni delle query successive sono aumentate, mentre il traffico di rete è stato ridotto. Per ulteriori informazioni, vedere Ricerca e visualizzazione di record WINS e Visualizzare i record WINS.

• Accettazione dei partner di replica

Quando si determina una strategia aziendale di replica, è possibile definire un elenco delle origini dei record dei nomi in entrata da controllare durante la replica pull tra i server WINS (Windows Internet Name Service).

Oltre a bloccare i record dei nomi di specifici partner di replica, è anche possibile scegliere di accettare durante la replica solo i record dei nomi di specifici server WINS, escludendo i record dei nomi di tutti i server non compresi nell'elenco. Per ulteriori informazioni, vedere Accettazione dei partner di replica e Per accettare la replica dei record di uno specifico server.

Le caratteristiche descritte di seguito, implementate per la prima volta in Windows 2000 Server, sono disponibili anche nei sistemi Windows Server 2003:

• Amministrazione di server WINS dalla riga di comando mediante Netsh

Oltre all'interfaccia utente grafica per la gestione dei server WINS, nei sistemi Windows Server 2003 è possibile utilizzare uno strumento del tutto equivalente alla riga di comando di WINS denominato Netsh. Per ulteriori informazioni, vedere Gestire WINS dalla riga di comando. Per una Guida di riferimento ai comandi Netsh di WINS, comprensiva di sintassi, esempi e parametri, vedere Comandi Netsh per WINS. Per un esempio di come utilizzare i comandi Netsh per WINS in script e file batch, vedere Esempio di comando Netsh per WINS.

• Connessioni permanenti

È ora possibile configurare ciascun server WINS in modo che venga mantenuta una connessione permanente con uno o più partner di replica. La velocità di replica viene aumentata mentre il sovraccarico determinato dalla apertura e chiusura delle connessioni viene eliminato. Per ulteriori informazioni, vedere Connessioni permanenti.

130

• Rimozione definitiva manuale

È possibile contrassegnare manualmente un record per un'eventuale rimozione definitiva. Lo stato di rimozione definitiva del record viene replicato sugli altri server WINS per evitare che copie replicate dei record rimossi riappaiano sullo stesso server dal quale erano stati originariamente eliminati. Per ulteriori informazioni, vedere Eliminazione e rimozione definitiva di record.

• Utilità di gestione migliorata

La console WINS è totalmente integrata con Microsoft Management Console (MMC), un ambiente potente e di facile utilizzo che può essere personalizzato per garantire la massima efficienza. Poiché tutte le utilità amministrative del server fornite con i sistemi Windows Server 2003 fanno parte di MMC, le nuove utilità basate su MMC sono più facili da utilizzare in quanto il loro funzionamento è intuitivo e poi si basano su strutture già note.

• Maggiore facilità nell'utilizzo e nella gestione delle funzionalità avanzate di WINS

È possibile ad esempio bloccare i record per un proprietario specifico o un particolare partner di replica WINS, noto in precedenza come PNG (Persona Non Grata) oppure utilizzare la funzione Sovrascrivi i mapping statici univoci per questo server, ottenuta in precedenza tramite i comandi di attivazione/disattivazione della migrazione. Per ulteriori informazioni, vedere Blocco di partner di replica oppure Utilizzo di mapping statici.

• Selezione multipla ed eliminazione di record dinamici

Queste caratteristiche semplificano la gestione del database WINS. Con lo snap-in WINS è sufficiente puntare e fare clic per eliminare una o più voci WINS statiche o dinamiche. Questa funzionalità era in precedenza disponibile solo tramite utilità basate su comandi, come Winscl.exe, progettate per versioni precedenti di WINS. È ora possibile eliminare anche record che utilizzano nomi basati su caratteri non alfanumerici.

• Verifica dei record e convalida del numero di versione

Grazie a queste funzionalità è possibile verificare rapidamente la coerenza dei nomi memorizzati e replicati sui server WINS. Nella verifica dei record vengono confrontati gli indirizzi IP restituiti da una query di nomi NetBIOS di server WINS diversi. Nella convalida del numero di versione vengono esaminate le tabelle dei mapping indirizzo proprietario-numero versione. Per ulteriori informazioni, vedere Verifica della coerenza del database WINS.

• Funzione di esportazione

Durante l'esportazione i dati WINS vengono inseriti in un file di testo delimitato da virgole. Questo file può essere esportato in Microsoft Excel, in strumenti per la creazione di report oppure in programmi di script o simili per eseguire analisi e report. Per ulteriori informazioni, vedere Per esportare i dati della console WINS in un file di testo.

• Caratteristiche di tolleranza d'errore migliorate per i client

Nei client che eseguono Windows 98, Windows 2000, Windows Millennium Edition, Windows XP o un sistema operativo Windows Server 2003 è possibile specificare più di due server WINS (fino a un massimo di 12 indirizzi) per interfaccia, utilizzando i primi due server nell'elenco per la registrazione dei nomi NetBIOS. Gli indirizzi dei server WINS supplementari vengono utilizzati solo se i server WINS primario e secondario non rispondono. Sui client WINS è inoltre possibile sfruttare i vantaggi offerti dall'utilizzo della gestione del burst attivato automaticamente. Per ulteriori informazioni, vedere Server WINS primario e secondario e Gestione burst.

• Reinserimento dinamico dei nomi dei client

Non è più necessario riavviare i client WINS dopo l'avvio di WINS per forzare il reinserimento e l'aggiornamento di nomi NetBIOS locali. È infatti sufficiente utilizzare il comando Nbstat con la nuova

131

opzione -RR. L'opzione -RR può essere utilizzata anche sui client WINS dotati di Windows NT® 4.0 con Service Pack 4 o versione successiva. Per ulteriori informazioni, vedere Per verificare la registrazione WINS dei nomi NetBIOS dei client.

• Accesso in sola lettura alla console WINS

Con questa funzionalità viene creato un gruppo utenti locale speciale, denominato WINS Users, aggiunto automaticamente durante l'installazione di WINS. Aggiungendo membri a questo gruppo è possibile fornire agli utenti diversi dagli amministratori un accesso in sola lettura tramite la console WINS alle informazioni relative a WINS. Gli utenti di questo gruppo possono visualizzare, ma non modificare, le informazioni e le proprietà memorizzate su un server WINS specifico. Per ulteriori informazioni, vedere Gruppi predefiniti.

• Motore del database migliorato

WINS utilizza la stessa tecnologia di database con prestazioni potenziate di Active Directory®.

Server WINS WINS comprende due componenti principali, il server e i client.

Il server WINS gestisce le richieste di registrazione dei nomi inviate dai client WINS, ne registra i nomi e gli indirizzi IP e risponde alle query dei nomi NetBIOS inoltrate dai client, restituendo l'indirizzo IP di un nome richiesto se figura nell'elenco del database del server.

Come illustrato nella figura seguente, i server WINS sono inoltre in grado di replicare il contenuto del proprio database, cioè i mapping tra nome NetBIOS del computer e indirizzo IP, su altri server WINS. Quando un client WINS, ad esempio una workstation su Subnet 1 o Subnet 2, accede alla rete, il relativo nome computer e indirizzo IP verranno inseriti in una richiesta di registrazione inviata direttamente a WINS-A, il server primario WINS configurato, e poiché WINS-A è il server che registra questi client, viene detto proprietario dei record dei client di WINS.

Nell'esempio i client che vengono registrati da WINS-A sono sia locali, cioè appartenenti a Subnet 2 dov'è anch'esso ubicato, che remoti, cioè raggiungibili tramite router su Subnet 1. Un altro server, WINS-B, si trova su Subnet 3 ed è proprietario esclusivamente di mapping dei client locali registrati sulla stessa subnet. WINS-A e WINS-B possono successivamente completare la replica dei rispettivi database in modo che i record per i client su tutte e tre le subnet figurino nel database WINS di entrambi i server. Per ulteriori informazioni, vedere Replica WINS.

132

Server WINS primario e secondario

I server WINS vengono utilizzati dai client come server primario o secondario.

La differenza tra server primario e secondario non dipende assolutamente dai server, perfettamente identici sotto il profilo funzionale, quanto piuttosto dal client, che distingue e ordina l'elenco di server WINS quando dispone di più server WINS da utilizzare.

Nella maggior parte dei casi il client contatta il server WINS primario per tutte le funzioni dei servizi di nomi NetBIOS, quali registrazione, rinnovo, rilascio e query e risoluzione. Ricorre ai server secondari solo quando il server WINS primario è:

a. non disponibile sulla rete quando viene inviata la richiesta del servizio oppure b. incapace di risolvere un nome del client in caso di query di nomi.

In caso di guasto del server WINS primario, il client richiede la stessa funzione di servizio ai server secondari. Se nel client sono configurati più di due server, verranno utilizzati i server supplementari sino a esaurimento dell'elenco o al completamento dell'operazione e alla risposta da parte di un server WINS secondario. Dopo l'utilizzo di un server WINS secondario, il client tenta periodicamente di tornare al proprio server primario per le richieste successive.

In client WINS più recenti, quali Windows XP e Windows 2000, è possibile configurare sino a 12 server secondari sia manualmente tramite le proprietà TCP/IP che dinamicamente mediante un server DHCP che fornisce un elenco utilizzando l'opzione DHCP di tipo 44. Questa funzione è utile in un ambiente in cui esistono numerosi client mobili e le risorse e i servizi basati su NetBIOS sono soggetti a un utilizzo frequente. Poiché in questi tipi di ambienti è possibile che il database WINS non risulti coerente in tutta la rete di server a causa di problemi di convergenza, può essere utile che i client possano interrogare più di due server WINS.

È tuttavia sconsigliabile abusare di tale opzione in quanto determina un compromesso in termini di vantaggi ottenibili aumentando la tolleranza d'errore grazie all'elenco di server WINS supplementari. Occorre valutare i vantaggi di questa funzione in relazione al fatto che ciascun server supplementare elencato implica un incremento del tempo richiesto per l'elaborazione completa di una richiesta di query. Se ad esempio un client WINS prova ad utilizzare tre o più server senza ottenere risultati, sarà possibile che ritardi in modo consistente l'elaborazione della query del nome prima di tentare soluzioni alternative, quali la ricerca di un file Hosts locale o la query di un server DNS.

Database WINS Il database WINS memorizza e replica i mapping tra nomi NetBIOS e indirizzi IP della rete. Nei sistemi Windows Server 2003 il database WINS utilizza il modulo di gestione ESE (Extensible Storage Engine).

Compressione del database

Non esiste un limite prestabilito al numero di record che un server WINS è in grado di replicare o memorizzare. Le dimensioni del database dipendono dal numero di client WINS presenti nella rete. Le dimensioni del database WINS risultano modificate man mano che i client si collegano o si scollegano dalla rete.

Tuttavia non sono direttamente proporzionali al numero di voci dei client attivi. Con il passare del tempo alcune voci divengono obsolete e vengono eliminate, ciò nonostante il database WINS sembra più esteso dello spazio correntemente utilizzato. Ciò è dovuto al fatto che lo spazio occupato dai record obsoleti non viene automaticamente riutilizzato dal server una volta reso disponibile.

La compressione del database serve a recuperare proprio questo spazio inutilizzato. La compressione dinamica del database viene eseguita automaticamente in background nei server WINS durante i momenti di inattività che seguono l'aggiornamento del database. È inoltre possibile eseguire manualmente la compressione non in linea. Windows NT Server 4.0, Windows 2000 e Windows Server 2003 supportano sia la compressione dinamica che quella manuale. Windows NT Server 3.51 e le versioni precedenti supportano solo la compressione manuale del database del server WINS.

133

Anche se la compressione dinamica riduce notevolmente la necessità di compressione non in linea, quest'ultima assicura migliori risultati in termini di spazio recuperato e deve essere eseguita periodicamente. La frequenza della compressione manuale nel database WINS dipende dalla rete. In reti estese e molto utilizzate con 1.000 o più client WINS è necessario eseguire mensilmente la compressione non in linea. Le reti più piccole di solito richiedono frequenze inferiori.

Poiché la compressione dinamica si verifica mentre il database viene utilizzato, non è necessario arrestare il server WINS durante l'operazione. Per la compressione manuale è invece necessario arrestare il server WINS e attivare la modalità non in linea.

Backup del database WINS

La console WINS comprende tutti gli strumenti necessari per mantenere, visualizzare, eseguire il backup e ripristinare il database del server WINS. È necessario eseguire il backup del database dopo ogni backup degli altri file del server WINS.

File del database WINS

WINS memorizza i dati nel formato di database Jet. Tale formato genera file J<n>.log e di altro tipo nella cartella systemroot\System32\Wins per aumentare la velocità e l'efficienza della memorizzazione dei dati.

Nella tabella che segue sono riassunti i tipi di file creati e utilizzati dal database Jet in ciascun server WINS.

File Descrizione

J50.log e J50#####.log

Un registro di tutte le transazioni eseguite nel database WINS. Questo file viene utilizzato da WINS per recuperare i dati, se necessario.

Per aumentare la velocità e l'efficienza della memorizzazione, in Jet le transazioni correnti vengono scritte in file registro invece che direttamente nel database. La visualizzazione più aggiornata dei dati comprende quindi sia il database che tutte le transazioni nei file registro. Entrambi i tipi di file vengono utilizzati per il ripristino in caso di improvvisa o imprevista interruzione del servizio WINS. Se il servizio viene interrotto in modo imprevisto, i file registro verranno automaticamente utilizzati per ricreare lo stato corretto del database WINS.

I file registro conservano proprie dimensioni, tuttavia possono crescere rapidamente in server WINS particolarmente utilizzati. Inevitabilmente il numero di transazioni scritte da WINS in un file registro supera le dimensioni del file stesso. Una volta pieno, il file registro viene rinominato per indicare che si tratta di un registro vecchio non più utilizzato. Viene quindi creato un nuovo file registro con il nome J<n>.log, dove <n> indica un numero decimale, ad esempio J50.log. Il precedente file registro utilizza il formato di assegnazione del nome JetXXXXX.log, dove ogni X indica un numero esadecimale compreso tra 0 e F. I file registro precedenti vengono conservati nella medesima cartella dei file registro correnti.

I file registro vengono elaborati (tutte le voci vengono registrate nel database) e cancellati ogni tre ore. L'elaborazione e la cancellazione hanno luogo anche al termine del backup del database WINS o dell'arresto regolare del server WINS. Se si accumulano molti file J<n>.log, occorre programmare backup frequenti per mantenere i registri.

Una volta elaborate le voci, è possibile eliminare manualmente i file registro, tuttavia tale operazione impedisce il ripristino corretto del database in caso di necessità. Per tale motivo, occorre evitare di eliminare o rimuovere manualmente i file registro dal sistema a meno che non sia appena stato eseguito un backup.

J50.chk

Un file checkpoint che indica la posizione dell'ultima informazione scritta dai registri delle transazioni nel database. Nell'ambito di un recupero di dati, il file checkpoint indica il punto di partenza per il recupero o la ripetizione dei dati. Questo file checkpoint viene aggiornato ogni volta che vengono scritti dei dati nel file del database, Wins.mdb.

Wins.mdb Il file del database del server WINS che contiene due tabelle: la tabella di mapping tra indirizzo IP e ID

134

proprietario e la tabella di mapping tra nome e indirizzo IP.

Winstmp.mdb Un file temporaneo creato dal servizio del server WINS. Questo file funge da file di scambio durante le operazioni di manutenzione dell'indice e può rimanere nella cartella systemroot\System32\Wins dopo un errore di sistema.

Res#.log

Si tratta di file registro riservati utilizzati in casi di emergenza quando il server ha esaurito lo spazio su disco. Se un server cerca di creare un altro file registro di transazione e lo spazio su disco è insufficiente, il server scaricherà tutte le transazioni in corso in questi file riservati. Il servizio viene quindi interrotto e viene registrato un evento in Visualizzatore eventi.

Importante

• Non rimuovere né alterare i file J50.log, J50#####.log, Wins.mdb, Winstmp.mdb e Res#.log.

Cenni preliminari sulla replica Quando in una rete vengono utilizzati più server WINS, è possibile configurare ciascuno in modo che replichi i record presenti nel proprio database su altri server. Il processo è illustrato nella figura che segue. Due server WINS, WINS-A e WINS-B, sono configurati per la replica reciproca integrale dei record.

Utilizzando la replica tra questi server WINS, nella rete è possibile mantenere e distribuire un insieme di informazioni WINS coerenti. Nell'esempio della figura precedente un client WINS, HOST-1 su Subnet 1, registra il proprio nome nel server primario WINS-A. Un altro client WINS, HOST-2 su Subnet 3, esegue la medesima operazione in WINS-B. Se uno dei due host cerca in seguito di individuare l'altro mediante WINS, ad esempio HOST-1, invierà una query per trovare l'indirizzo IP di HOST-2, la replica tra WINS-A e WINS-B assicurerà la correttezza della risposta.

Perché la replica funzioni, ciascun server WINS deve essere configurato in modo da disporre di almeno un altro server WINS come partner di replica. Ciò garantisce che un nome registrato in un server WINS venga successivamente replicato su tutti gli altri server WINS della rete. I partner di replica possono essere aggiunti e configurati come partner pull o partner push oppure come partner push/pull. Quest'ultimo tipo rappresenta la configurazione predefinita e consigliata per la maggior parte dei casi.

136

A ciascun nome corrisponde una voce nel database che viene considerata di proprietà del server WINS che l'ha registrata e replicata in tutti gli altri server WINS. A ciascuna voce è associato uno stato che ne indica la condizione: attivo, rilasciato o rimosso, quest'ultimo noto anche come definitivamente rimosso. Alle voci corrisponde un ID di versione, cioè un numero utilizzato nel processo di replica e illustrato più in dettaglio in Replica WINS. Per ulteriori informazioni, vedere Partner di push.

WINS consente anche la registrazione di nomi statici. Ciò permette all'amministratore di registrare i nomi dei server sui quali vengono eseguiti sistemi operativi che non sono in grado di registrare dinamicamente i nomi. WINS è in grado di distinguere voci dinamiche da quelle statiche. I nomi dinamici vengono gestiti in modo parzialmente diverso da quelli dinamici. Per ulteriori informazioni, vedere Utilizzo di mapping statici.

Il web server IIS (Internet Information Server) IIS è il web server proposto da Microsoft e si può considerare come il web server più importante qualora si voglia sviluppare applicativi web in tecnologia Microsoft .NET. Esso infatti supporta la tecnologia ASP.NET. IIS prevede anche l’installazione di un server FTP.

Servizi di IIS

IIS fornisce i servizi di base per pubblicare informazioni, trasferire file, supportare comunicazioni utente e aggiornare gli archivi dati che questi servizi utilizzano. In questa sezione vengono introdotti i servizi forniti da IIS 6.0.

Nella tabella seguente sono elencati i servizi IIS e i relativi componenti primari e host del servizio.

Servizio Componente primario Host Servizio Pubblicazione sul Web(servizio WWW) Iisw3adm.dll Svchost.exe

Servizio FTP (File Transfer Protocol) Ftpsvc.dll Inetinfo.exe

Servizio SMTP(Simple Mail Transfer Protocol) Smtpsvc.dll Inetinfo.exe

Servizio NNTP(Network News Transfer Protocol) Nntpsvc.dll Inetinfo.exe

Servizio Amministrazione di IIS Iisadmin.dll Inetinfo.exe

Servizio Pubblicazione sul Web

Il Servizio Pubblicazione sul Web (servizio WWW) fornisce la pubblicazione sul Web del contenuto destinato agli utenti finali di IIS, connettendo le richieste HTTP ai siti Web che sono in esecuzione in IIS. Il servizio WWW gestisce i componenti principali di IIS che elaborano le richieste HTTP e che configurano e gestiscono le applicazioni Web.

Il servizio WWW viene eseguito come Iisw3adm.dll e il relativo host è Svchost.exe.

Servizio FTP (File Transfer Protocol)

Tramite il servizio FTP (File Transfer Protocol), IIS fornisce un supporto completo per la gestione e la distribuzione di file. Il servizio utilizza il protocollo TCP (Transmission Control Protocol) che assicura che i trasferimenti di file siano completi e che i dati trasferiti siano corretti. Questa versione di FTP supporta l'isolamento di utenti a livello di sito per aiutare gli amministratori a proteggere e commercializzare i siti Internet.

Il servizio FTP viene eseguito come Ftpsvc.dll e il relativo host è Inetinfo.exe.

137

Servizio SMTP (Simple Mail Transfer Protocol)

IIS può inviare o ricevere messaggi di posta elettronica utilizzando il servizio SMTP (Simple Mail Transfer Protocol). È possibile programmare il server per inviare automaticamente dei messaggi in risposta a eventi, ad esempio per confermare il riuscito invio di moduli da parte di utenti. È inoltre possibile utilizzare il servizio SMTP per ricevere messaggi che raccolgono i commenti dei clienti del sito Web. Il servizio SMTP non fornisce i servizi completi di posta elettronica. Per ottenere servizi completi di posta elettronica, utilizzare Microsoft® Exchange Server.

Il servizio SMTP viene eseguito come Smtpsvc.dll e il relativo host è Inetinfo.exe.

Servizio NNTP (Network News Transfer Protocol)

È possibile utilizzare il servizio NNTP (Network News Transfer Protocol) per ospitare gruppi di discussione locali NNTP su un solo computer. Poiché questa funzionalità è completamente conforme al protocollo NNTP, gli utenti possono utilizzare qualsiasi client per la lettura delle news e per partecipare alle discussioni. Tramite lo script Rfeed, che si trova nella cartella inetsrv, il servizio NNTP di IIS ora supporta i newsfeed. Il servizio NNTP non supporta la replicazione. Per utilizzare newsfeed o per replicare un gruppo di discussione su più computer, utilizzare Exchange Server.

Il servizio NNTP viene eseguito come Nntpsvc.dll e il relativo host è Inetinfo.exe.

Servizio Amministrazione di IIS

Il Servizio Amministrazione di IIS gestisce la metabase di IIS e aggiorna il registro del sistema operativo Microsoft Windows® per i servizi WWW, FTP, SMTP e NNTP. La metabase è un archivio dati che contiene i dati di configurazione di IIS. Il Servizio Amministrazione di IIS espone la metabase ad altre applicazioni, inclusi i componenti principali di IIS, le applicazioni basate su IIS e le applicazioni di terze parti che sono indipendenti da IIS, come ad esempio strumenti di gestione o monitoraggio.

Il Servizio Amministrazione di IIS viene eseguito come lisadmin.dll e il relativo host è Inetinfo.exe

Installazione di IIS A differenza degli altri applicativi, l’installazione di IIS è già prevista dal sistema operativo. Infatti è sufficiente andare in Pannello di controllo > Installa Applicazioni > Installazione di componenti di Windows. Nella finestra è possibile scegliere vari applicativi da installare o deinstallare. In particolare è necessario selezionare “Server Applicazioni” (selezionare la voce “Server Applicazioni” e non la corrispondente casella) e ciccare sul tasto “Dettagli”. Si apre un’ulteriore finestra dove appare la voce “IIS Internet Informazion Services”. Si selezioni la casella corrispondente. Anche in questo caso è possibile selezionare la riga IIS Internet Informazion Services e poi ciccare il tasto “Dettagli”. In questo modo è possibile scegliere singolarmente quale componente installare. Normalmente oltre alle opzioni selezionate è anche consigliabile installare il server FTP che permetterà di trasferire file nel web server da macchine remote, soprattutto dagli sviluppatori web. Selezionato il tutto di procede con il tasto OK e poi avanti. Potrebbe essere richiesto l’inserimento del CD di Windows 2003 server. Al termine dell’installazione, il web server è in funzione. Esso può essere visto come processo da “servizi” di “Strumenti di Amministrazione”. Inoltre ora è presente una nuova directory di nome C:\Inetpub che contiene varie directory. Quella che riguarda IIS è la wwwroot la quale, come dice il suo nome, è la directory di base del web server IIS. Sotto di essa risiederanno tutti gli applicativi web. Il web server può ora essere acceduto come http://localhost La procedura appena analizzata è valida per qualsiasi sistema Windows e non solo per Windows 2003. Per quest’ultimo infatti, è anche possibile effettuare l’installazione “Amministrazione server”.

138

Gestione di IIS Dopo aver effettuato l’installazione di IIS, nel menu “Strumenti di amministrazione” compare la voce “Gestione di internet Information Server”. Ad essa si può anche accedere tramite il comando inetmgr da linea di comando. Gestione IIS è un'interfaccia grafica per la configurazione di pool di applicazioni o di siti Web, FTP, SMTP o NNTP. Con Gestione IIS è possibile configurare le funzionalità relative alla protezione, alle prestazioni e all'affidabilità di IIS. Con Gestione IIS è possibile aggiungere o eliminare siti e avviarne, interromperne o sospenderne l'esecuzione; eseguire il backup e il ripristino di configurazioni del server; creare directory virtuali per migliorare la gestione del contenuto; ed effettuare numerose altre operazioni di amministrazione. Nelle versioni precedenti di IIS, questo strumento era denominato Gestione servizio Internet.

Creazione di siti web e FTP IIS crea una configurazione di sito Web predefinita sul disco rigido al momento dell'installazione. È possibile utilizzare la directory \Inetpub\Wwwroot per pubblicare il contenuto Web oppure è possibile creare una directory o directory virtuale a scelta. Per creare un sito FTP, è necessario installare e avviare il servizio FTP (File Transfer Protocol). Il servizio non viene installato per impostazione predefinita. La creazione di un sito Web o FTP mediante Gestione IIS non corrisponde alla creazione del contenuto ma solamente della struttura di directory e dei file di configurazione necessari alla sua pubblicazione.

Creazione di un sito web

1. In Gestione IIS espandere la struttura del computer locale, fare clic con il pulsante destro del mouse sulla cartella Siti Web, scegliere Nuovo, quindi Sito Web. Viene visualizzata la Creazione guidata Sito Web.

2. Fare clic su Avanti. 3. Nella casella Descrizione digitare il nome del sito, quindi scegliere Avanti. 4. Digitare o selezionare l'indirizzo IP (il valore predefinito è Tutti non assegnati), la porta TCP e l'intestazione

host del sito (ad esempio, www.miosito.com), quindi scegliere Avanti. 5. Nella casella Percorso digitare o selezionare la directory che ospita o che ospiterà il contenuto del sito, quindi

scegliere Avanti. 6. Selezionare le caselle di controllo delle autorizzazioni di accesso al sito Web che si desidera assegnare agli

utenti, quindi scegliere Avanti. 7. Fare clic su Fine. 8. Per modificare queste o altre impostazioni in un momento successivo, fare clic con il pulsante destro del

mouse sul sito Web e scegliere Proprietà.

Creazione di un sito FTP

1. In Gestione IIS espandere la struttura del computer locale, fare clic sulla cartella Siti FTP, scegliere Nuovo, quindi Sito FTP. Viene visualizzata la Creazione guidata Sito FTP.

2. Fare clic su Avanti. 3. Nella casella Descrizione digitare il nome del sito, quindi scegliere Avanti. 4. Digitare o selezionare l'indirizzo IP (il valore predefinito è Tutti non assegnati) e la porta TCP del sito, quindi

scegliere Avanti. 5. Scegliere l'opzione di isolamento utente desiderata e fare clic su Avanti. 6. Nella casella Percorso digitare o selezionare la directory che ospita o che ospiterà il contenuto condiviso,

quindi scegliere Avanti. 7. Selezionare le caselle di controllo delle autorizzazioni di accesso al sito FTP che si desidera assegnare agli

utenti, quindi scegliere Avanti. 8. Fare clic su Fine. 9. Per modificare queste o altre impostazioni in un momento successivo, fare clic con il pulsante destro del

mouse sul sito FTP e scegliere Proprietà.

139

Configurazione di un sito web

Modifica delle impostazioni predefinite dei siti Web

Durante l'installazione di IIS alle varie proprietà assegnate ai siti Web viene assegnato un valore predefinito. È possibile impostare le proprietà a livello globale, influendo su tutti i siti Web di un server, a livello di singolo sito, di directory o di file. IIS utilizza un modello di ereditarietà, ossia le impostazioni ai livelli superiori vengono ereditate automaticamente da quelli inferiori. Le impostazioni ai livelli inferiori possono essere modificate individualmente in modo da ignorare le impostazioni ereditate dal livello successivo a salire.

Se si modifica un'impostazione a un livello inferiore e poi si modifica un'impostazione a un livello superiore che è in conflitto con la prima, viene chiesto di scegliere se si desidera modificare l'impostazione del livello inferiore in modo che corrisponda alla nuova impostazione del livello superiore.

Impostazione delle home directory

Ogni sito Web deve disporre di una home directory. La home directory predefinita del sito Web è UnitàLocale:\Inetpub\Wwwroot. È possibile modificare la home directory del sito Web utilizzando Gestione IIS o modificando direttamente il file MetaBase.xml. In questo manuale analizzeremo solo il primo metodo.

1. In Gestione IIS, espandere nell'ordine la struttura del computer locale e la directory Siti Web, fare clic con il pulsante destro del mouse sul sito Web, quindi scegliere Arresta.

2. Utilizzare Esplora risorse per rinominare la directory UnitàLocale:\Inetpub\Wwwroot. In alternativa, è possibile copiare l'intera struttura della directory \Wwwroot in un nuovo percorso.

3. In Gestione IIS, fare clic con il pulsante destro del mouse sul sito Web, quindi scegliere Proprietà. 4. Fare clic sulla scheda Home directory e, in Provenienza del contenuto della risorsa, fare clic su Directory

situata in questo computer, Directory condivisa situata in un altro computer o Reindirizzamento a un URL, a seconda della posizione della home directory.

5. Nella casella Percorso locale, digitare il nome del percorso, il nome della condivisione o l'URL della directory.

Nota Se si seleziona una directory situata in una condivisione di rete, potrebbe essere necessario immettere un nome utente e una password per accedere alla risorsa. IUSR_nomecomputer è l'account predefinito utilizzato se non viene specificato un account diverso. Se si utilizza un account con credenziali amministrative per il server, i client potranno accedere alle operazioni del server, mettendo in grave pericolo la sicurezza della rete.

In Gestione IIS, espandere la cartella Siti Web, fare clic con il pulsante destro del mouse sul sito Web appena modificato, quindi scegliere Avvia.

Impostazione dei documenti predefiniti

È possibile specificare un documento predefinito per le richieste del client a un sito Web che non specifica un nome di documento. Il documento predefinito può essere la home page di una directory o una pagina d'indice. Prima di abilitare il documento predefinito in Gestione IIS, è necessario creare il documento predefinito e inserirlo in una directory principale o in una directory virtuale sul sito Web appropriato.

1. In Gestione IIS, espandere la struttura del computer locale, quindi la directory Siti Web, fare clic con il pulsante destro del mouse sul sito Web designato e scegliere Proprietà.

2. Fare clic sulla scheda Documenti. 3. Selezionare la casella di controllo Abilita pagina contenuto predefinita. 4. Fare clic su Aggiungi per aggiungere un nuovo documento predefinito all'elenco. 5. Scegliere il documento da rimuovere dall'elenco e fare clic su Rimuovi.

140

6. Scegliere un documento dall'elenco e fare clic su Sposta su o Sposta giù per modificare l'ordine in cui i documenti predefiniti vengono inviati alle richieste del client.

7. Fare clic su OK.

Utilizzo di directory virtuali

Una directory virtuale è un nome descrittivo, o alias, per la directory fisica sul disco rigido del server che non risiede nella home directory o per la home directory in un altro computer. Poiché un alias è in genere un nome più breve del percorso della directory fisica, risulta più conveniente da digitare. Inoltre, l'utilizzo degli alias è sicuro in quanto gli utenti non conoscono la posizione fisica dei file sul server e quindi non possono utilizzare le informazioni per modificare i file. Grazie agli alias lo spostamento delle directory all'interno del sito risulta semplificato. Anziché modificare l'URL della directory, è infatti sufficiente modificare il mapping tra l'alias e la posizione fisica della directory.

Se il sito Web contiene file posizionati in una directory differente dalla home directory o in altri computer, sarà necessario creare directory virtuali per includere tali file nel sito Web. Per utilizzare una directory in un altro computer sarà necessario specificare il nome Universal Naming Convention (UNC) della directory, nonché fornire un nome utente e una password per i diritti di accesso.

Per pubblicare un documento di una directory qualsiasi non inclusa nella home directory, è necessario creare una directory virtuale. Si supponga, ad esempio, di impostare nella rete Intranet aziendale un sito Web per il dipartimento di marketing. Nella tabella seguente è illustrato il mapping tra la posizione fisica dei file e l'URL per accedervi.

Posizione fisica Alias URL C:\Inetpub\wwwroot home directory (nessuna) http://SitoWebdiesempio \\Server2\Dativendite Clienti http://SitoWebdiesempio/Clienti D:\Inetpub\wwwroot\Quotazioni Nessuno http://SitoWebdiesempio/Quotazioni D:\Inetpub\wwwroot\Statoordine Nessuno http://SitoWebdiesempio/Statoordine D:\Marketing\PR PR http://SitoWebdiesempio/PR

In Gestione IIS vengono visualizzate sia le directory virtuali sia le directory fisiche, ossia le directory prive di alias. Una directory virtuale viene indicata dall'icona di un meccanismo.

Nel caso di siti Web non complessi, potrebbe essere sufficiente inserire tutti i file nella home directory del sito senza aggiungere directory virtuali. Se invece viene creato un sito complesso oppure si desidera specificare URL diversi per le varie parti del sito, sarà possibile aggiungere il numero di directory virtuali necessario. Per rendere una directory virtuale accessibile da più siti sarà necessario aggiungerla a ciascun sito.

Esistono tre modi per creare o eliminare una directory virtuale:

• In Gestione IIS, utilizzando la Creazione guidata Directory virtuale o importando un file di configurazione. • In Esplora risorse; per questo metodo è necessario che il disco rigido sia formattato con il file system NTFS. • Utilizzando lo script di amministrazione iisvdir.vbs.

Vedremo solo il primo caso:

1. In Gestione IIS, espandere nell'ordine la struttura del computer locale e il sito Web o FTP al quale aggiungere una directory virtuale, fare clic con il pulsante destro del mouse sul sito Web o sulla cartella nella quale creare la directory virtuale, scegliere Nuovo, quindi fare clic su Directory virtuale.

2. Fare clic su Avanti. 3. Nella casella Alias, digitare il nome della directory virtuale. Questo nome viene scelto dall'utente e deve essere

breve e di facile inserimento. 4. Fare clic su Avanti. 5. Nella casella Directory, digitare o selezionare la directory fisica nella quale risiede la directory virtuale. 6. Fare clic su Avanti. 7. Nella casella di dialogo Autorizzazioni di accesso, impostare le autorizzazioni di accesso richieste.

141

8. Fare clic su Avanti, quindi scegliere Fine. La directory virtuale viene creata sotto il livello attualmente selezionato.

Protezione di un sito web In questa sezione viene descritto come configurare il server Web e il sistema operativo Microsoft® Windows® per ottenere una protezione adeguata del sito Web ed eseguire altre importanti funzionalità di protezione.

Autenticazione

In Internet Information Services sono disponibili funzionalità di protezione completamente integrate con Windows. IIS, ad esempio, supporta i sei metodi di autenticazione riportati di seguito. Questi metodi consentono di confermare l'identità di qualsiasi utente che richiede l'accesso al sito Web e di concedere l'accesso alle aree pubbliche del sito, impedendo al contempo l'accesso non autorizzato alle directory e ai file privati.

• L'autenticazione anonima consente a chiunque di accedere al sito, senza che vengano richiesti nome utente e password.

• Con l'autenticazione di base viene richiesto all'utente di specificare il nome utente e la password, che vengono trasmessi in forma non crittografata attraverso la rete.

• L'autenticazione del digest agisce in modo analogo all'autenticazione di base, fatta eccezione per il fatto che le password vengono inviate come valore hash. Questo metodo di autenticazione è disponibile solo nei domini con un controller di dominio Windows.

• L'autenticazione del digest avanzata è identica all'autenticazione del digest, fatta eccezione per il fatto che, per garantire una maggiore protezione, memorizza le credenziali del client come hash MD5 nel servizio di directory Active Directory® sul controller di dominio del computer in cui è in esecuzione Windows Server 2003.

• L'autenticazione integrata di Windows utilizza la tecnologia hashing per identificare gli utenti senza trasferire effettivamente le password attraverso la rete.

• I certificati sono documenti identificativi digitali con cui stabilire connessioni SSL (Secure Sockets Layer). Possono inoltre essere utilizzati per l'autenticazione.

Per informazioni sulle differenti modalità di utilizzo dell'autenticazione sul server Web, vedere Autenticazione.

Controllo degli accessi

Grazie alle autorizzazioni per l'accesso NTFS, alla base della protezione del server Web, è possibile definire il livello di accesso a file e directory da concedere agli utenti e ai gruppi di Windows. Se, ad esempio, un'azienda decide di pubblicare il catalogo nel server Web di un provider, è necessario che quest'ultimo crei un account utente di Windows per tale azienda e quindi configuri le autorizzazioni per il sito Web, la directory o il file specifico. Le autorizzazioni dovrebbero consentire solo all'amministratore del server e al titolare dell'azienda di aggiornare i contenuti del sito Web. Gli utenti pubblici, invece, dovrebbero poter visualizzare il sito Web, ma non modificarne i contenuti. Per controllare l'accesso alle directory e ai file in questo modo, è necessario utilizzare unità formattate in NTFS e non in FAT32. Se si utilizza FAT32, gli utenti potranno accedere a tutti i file sul disco rigido. Per informazioni sull'impostazione delle autorizzazioni NTFS, vedere Impostazione delle autorizzazioni NTFS per directory o file.

WebDAV è un'estensione del protocollo HTTP 1.1 che facilita l'amministrazione di file e directory tramite connessioni HTTP. Grazie all'uso dei "verbi", ovvero dei comandi WebDAV, è possibile aggiungere e leggere proprietà nei file e nelle directory. Inoltre, è possibile creare, eliminare, spostare e copiare file e directory in modalità remota. Questo ulteriore livello di accesso può essere configurato tramite le autorizzazioni sia del server Web sia NTFS. Per ulteriori informazioni, vedere Pubblicazione di contenuti Web con WebDAV.

Certificati

I certificati sono documenti identificativi digitali che consentono a server e client di autenticarsi reciprocamente. Sono necessari sia a livello di server che di browser del client per impostare una connessione SSL tramite la quale inviare

142

informazioni crittografate. Le funzionalità SSL basate sui certificati di IIS si avvalgono di un certificato server, un certificato client e varie chiavi digitali. I certificati possono essere creati tramite Servizi certificati Microsoft oppure possono essere richiesti a un'organizzazione indipendente di fiducia, detta Autorità di certificazione. Per ulteriori informazioni sull'impostazione di certificati e chiavi, vedere Configurazione della protezione SSL sui server.

I certificati consentono agli utenti di verificare l'identità del sito Web. Un certificato server contiene informazioni dettagliate, quali il nome dell'organizzazione associata al contenuto del server, il nome dell'organizzazione che ha emesso il certificato e una chiave pubblica utilizzata per stabilire una connessione crittografata. Grazie a queste informazioni gli utenti possono verificare l'autenticità dei contenuti del server Web e l'integrità della connessione HTTP protetta.

Con SSL, il server Web può anche autenticare gli utenti controllando il contenuto dei rispettivi certificati client. Un tipico certificato client contiene informazioni dettagliate su un utente e sull'organizzazione che ha emesso il certificato, nonché una chiave pubblica. È possibile utilizzare l'autenticazione con certificati client, unitamente alla crittografia SSL, per implementare un metodo molto sicuro per la verifica dell'identità degli utenti. Per ulteriori informazioni, vedere Informazioni sui certificati.

Crittografia

Con la crittografia è possibile garantire scambi sicuri di informazioni riservate fra gli utenti e il server, quali il numero della carta di credito o numeri di telefono. Le informazioni vengono rese indecifrabili prima dell'invio, quindi vengono decrittografate al ricevimento. Le funzionalità di crittografia di IIS si basano sul protocollo SSL 3.0, che offre un metodo sicuro per stabilire comunicazioni protette con gli utenti. SSL conferma l'autenticità del sito Web e, facoltativamente, l'identità degli utenti che accedono a siti Web riservati.

I certificati contengono chiavi, che vengono utilizzate per stabilire una connessione protetta SSL. Una chiave è un valore univoco che consente di autenticare il server e il client. La chiave pubblica e la chiave privata formano una coppia di chiavi SSL. Il server Web utilizza questa coppia di chiavi per negoziare una connessione protetta con il browser dell'utente e determinare il livello di crittografia necessario per proteggere le comunicazioni.

Per questo tipo di connessioni, sia il server Web che il browser dell'utente devono supportare funzionalità di crittografia e decrittografia compatibili. Durante lo scambio viene creata una chiave di crittografia o di sessione. Sia il server che il browser utilizzano la chiave di sessione per crittografare e decrittografare le informazioni trasmesse. Il livello di crittografia della chiave della sessione si misura in bit. Maggiore è il numero di bit che compongono la chiave di sessione, maggiore è il livello di crittografia e quindi di protezione. Tuttavia, a un livello maggiore di crittografia corrisponde un impiego maggiore delle risorse del sistema. In genere la chiave di sessione del server Web è di 40 bit, ma può raggiungere anche i 128 bit, a seconda del livello di protezione desiderato. Per ulteriori informazioni, vedere Crittografia.

Impostazione delle autenticazioni È possibile richiedere agli utenti di specificare il nome e la password di un account utente Microsoft® Windows® valido prima dell'accesso alle informazioni sul server. Questo processo di identificazione è chiamato autenticazione. Come molte altre funzionalità di IIS, l'autenticazione può essere impostata a livello di sito Web, directory o file. In IIS sono disponibili i metodi di autenticazione seguenti per il controllo degli accessi al contenuto del server.

Metodi Web

• Autenticazione anonima: consente agli utenti di accedere alle aree pubbliche del sito Web senza richiedere loro il nome utente o la password.

• Autenticazione di base: richiede le credenziali, ovvero il nome utente e password di un account Windows precedentemente assegnati.

• Autenticazione del digest: offre le stesse funzionalità dell'Autenticazione di base, ma è caratterizzata da una modalità più protetta per l'invio delle credenziali dell'utente attraverso la rete.

• Autenticazione del digest avanzata: raccoglie le credenziali dell'utente e le memorizza nel controller di dominio sotto forma di hash MD5, noto anche come digest del messaggio.

143

• Autenticazione integrata di Windows: raccoglie le informazioni mediante un metodo di autenticazione sicuro che prevede l'esecuzione dell'hashing del nome utente e della password prima dell'invio attraverso la rete.

• Autenticazione con certificati: offre la protezione aggiuntiva del protocollo SSL (Secure Sockets Layer) mediante i certificati client e/o server.

• Autenticazione .NET Passport: fornisce un servizio ad accesso unico tramite funzionalità SSL, reindirizzamenti HTTP, cookie, JavaScript e crittografia di chiavi simmetriche.

Metodi FTP

• Autenticazione FTP anonima: consente agli utenti di accedere alle aree pubbliche del sito FTP senza richiedere loro il nome utente o la password.

• Autenticazione FTP di base: prevede che gli utenti si colleghino con un nome utente e una password corrispondenti a un account utente Windows valido.

Vediamo i casi più importanti:

Autenticazione anonima web

Questo metodo di autenticazione consente agli utenti di accedere alle aree pubbliche dei siti Web o FTP senza specificare un nome utente o una password. Quando un utente tenta di connettersi al sito Web o FTP pubblico, il server Web assegna la connessione all'account utente di Windows IUSR_nomecomputer, dove nomecomputer è il nome del computer in cui IIS è in esecuzione. Per impostazione predefinita, l'account IUSR_nomecomputer è incluso nel gruppo di utenti Guests di Windows. A questo gruppo sono associate restrizioni di protezione, imposte tramite le autorizzazioni NTFS, che definiscono il livello di accesso e il tipo di contenuto disponibile per gli utenti pubblici.

Account IUSR_nomecomputer

Di seguito viene descritto il modo in cui Internet Information Services (IIS) utilizza l'account IUSR_nomecomputer.

1. L'account IUSR_nomecomputer viene aggiunto durante l'installazione al gruppo Guests nel computer in cui IIS è in esecuzione.

2. Quando riceve una richiesta, IIS rappresenta l'account IUSR_nomecomputer prima di eseguire eventuale codice. IIS è in grado di rappresentare l'account IUSR_nomecomputer perché ne riconosce il nome utente e la password.

3. Prima di restituire una pagina al client, IIS controlla le autorizzazioni NTFS di file e directory per stabilire se l'account IUSR_nomecomputer è autorizzato ad accedere al file.

4. In caso affermativo, il processo di accesso (denominato anche autorizzazione) viene completato e le risorse diventano disponibili per l'utente.

5. In caso contrario, IIS cercherà di utilizzare un altro metodo di autenticazione. Se non è selezionato alcun metodo, viene restituito al browser il messaggio di errore "HTTP 403 Accesso negato".

Implementazione dell’autenticazione anonima

1. In Gestione IIS espandere la struttura del computer locale, fare clic con il pulsante destro del mouse su un sito, una directory o un file e scegliere Proprietà.

2. Fare clic sulla scheda Protezione directory o Protezione file, a seconda del livello in corrispondenza del quale si modificano le impostazioni di protezione.

3. Nella sezione Controllo autenticazione e accesso fare clic su Modifica. 4. Selezionare la casella di controllo Abilita accesso anonimo. 5. Scegliere due volte OK.

144

Autenticazione di base web Il metodo di autenticazione di base è un metodo standard diffusamente utilizzato per la raccolta di informazioni su nomi utente e password.

Processo dell'autenticazione client

Di seguito vengono descritti i passaggi eseguiti quando un client viene autenticato utilizzando l'autenticazione di base.

1. Quando un utente immette il nome utente e la password dell'account di Windows assegnatogli in precedenza, ovvero le proprie credenziali, nel browser Internet Explorer viene visualizzata una finestra di dialogo.

2. Il browser tenta quindi di stabilire una connessione a un server utilizzando le credenziali dell'utente. Prima di essere inviata attraverso la rete, la password non crittografata viene sottoposta alla codifica Base64.

Importante La codifica Base64 non è un tipo di crittografia. Se una password con codifica Base64 viene intercettata sulla rete da uno sniffer della rete, potrà essere facilmente decodificata e riutilizzata da utenti non autorizzati.

3. Se le credenziali di un utente non vengono accettate, verrà visualizzata una finestra di dialogo per l'autenticazione in cui l'utente dovrà reimmettere le proprie credenziali. Sono consentiti tre tentativi prima che la connessione venga annullata e venga segnalato un errore all'utente.

4. Dopo che il server Web ha verificato che il nome utente e la password corrispondono a un account utente valido di Microsoft Windows, viene stabilita la connessione.

Il vantaggio dell'autenticazione di base è che fa parte della specifica HTTP ed è supportata dalla maggior parte dei browser. Lo svantaggio è dato dal fatto che i browser che utilizzano l'autenticazione di base trasmettono le password in un formato non crittografato. Monitorando le comunicazioni sulla rete, un pirata informatico o un utente non autorizzato potrebbe intercettare e decodificare con facilità queste password mediante strumenti di pubblico utilizzo. L'autenticazione di base pertanto non è consigliabile a meno che non si abbia la certezza che la connessione fra gli utenti e il server Web sia sicura, ad esempio nel caso avvenga tramite linea dedicata o tramite una connessione SSL (Secure Sockets Layer). Per ulteriori informazioni, vedere Crittografia.

Nota Il browser sceglie l'autenticazione integrata di Windows e tenta di utilizzare le informazioni per l'accesso correnti di Windows prima di richiedere all'utente di specificare nome utente e password. Attualmente, solo Internet Explorer versione 2.0 e successive supportano l'autenticazione integrata di Windows.

Implementazione dell’autenticazione di base

L'abilitazione dell'autenticazione di base non comporta automaticamente la configurazione del server Web per l'autenticazione degli utenti. A questo scopo, è necessario creare gli account utente di Windows e impostare le autorizzazioni NTFS appropriate.

L'autenticazione di base trasmette i nomi utente e le password attraverso la rete in un formato non crittografato. Per proteggere le informazioni relative agli account utente trasmesse su una rete, è possibile utilizzare le funzionalità di crittografia del server Web oltre all'autenticazione di base.

1. In Gestione IIS fare clic con il pulsante destro del mouse sulla cartella Siti Web, sul sito Web, sulla directory, sulla directory virtuale o sul file, quindi scegliere Proprietà.

Nota Le impostazioni di configurazione a livello della cartella Siti Web possono essere ereditate da tutti i siti Web.

145

2. Fare clic sulla scheda Protezione directory o Protezione file, a seconda del livello in corrispondenza del quale si configurano le impostazioni di protezione.

3. Nella sezione Controllo autenticazione e accesso anonimo fare clic su Modifica. 4. Nella sezione Accesso con autenticazione selezionare la casella di controllo Autenticazione di base. 5. Dal momento che con l'autenticazione di base le password vengono inviate sulla rete senza essere crittografate,

viene visualizzata una finestra di dialogo in cui si chiede se si desidera procedere. Per procedere, fare clic su Sì.

6. Nella casella Dominio predefinito digitare il nome del dominio che si desidera utilizzare oppure fare clic su Seleziona per selezionare un nuovo dominio di accesso predefinito. Se si specifica un nome nella casella Dominio predefinito, il dominio specificato verrà utilizzato come predefinito. Se non si specifica alcun nome nella casella Dominio predefinito, verrà utilizzato il dominio del computer in cui IIS è in esecuzione. IIS configura il valore della proprietà DefaultLogonDomain, che determina il dominio predefinito utilizzato per autenticare i client che accedono al server IIS con l'autenticazione di base. Il dominio specificato dalla proprietà DefaultLogonDomain, tuttavia, è utilizzato solo quando un client non specifica un dominio nella finestra di dialogo di accesso visualizzata sul computer client.

7. In alternativa, è possibile immettere un valore nella casella Area autenticazione per configurare il valore della proprietà Realm. Se la proprietà Realm è impostata, il relativo valore verrà visualizzato nella finestra di dialogo di accesso del client, quando si utilizza l'autenticazione di base. Il valore della proprietà Realm è inviato al client solo a scopo informativo e non viene utilizzato per l'autenticazione dei client mediante l'autenticazione di base.

8. Scegliere due volte OK.

Naturalmente è necessario disabilitare l’accesso anonimo che normalmente è attivo per default.

Autenticazione anonima FTP

È possibile configurare il server FTP in modo da consentire l'accesso anonimo alle risorse FTP. Se si seleziona l'autenticazione FTP anonima per una risorsa, tutte le richieste relative a tale risorsa verranno accettate senza che all'utente venga chiesto di immettere nome utente o password. Questo è possibile perché IIS crea automaticamente un account utente Windows chiamato IUSR_nomecomputer, dove nomecomputer è il nome del server su cui IIS è in esecuzione. Questo processo è molto simile all'autenticazione anonima basata sul Web. Se l'autenticazione FTP anonima è abilitata, IIS cercherà sempre di utilizzarla per prima, anche se si abilita l'autenticazione FTP di base.

Con i siti FTP non è possibile utilizzare l'autenticazione del digest e l'autenticazione integrata di Windows. Per i siti FTP le impostazioni di autenticazione disponibili devono essere configurate a livello di sito.

Implementazione dell’autenticazione anonima

1. Se l'account IUSR_nomecomputer non viene usato per l'autenticazione FTP anonima, occorre creare un account utente di Windows appropriato per il metodo di autenticazione ed aggiungerlo a un gruppo di utenti di Windows.

2. Configurare le autorizzazioni NTFS per la directory o i file per cui si desidera controllare gli accessi, utilizzando l'account utente selezionato nel passaggio 1.

3. In Gestione IIS, fare clic con il pulsante destro del mouse sul sito FTP, sulla directory, sulla directory virtuale o sul file, quindi scegliere Proprietà.

4. Fare clic sulla scheda Account di protezione. 5. Selezionare la casella di controllo Consenti connessioni anonime. 6. Per permettere agli utenti di accedere solo con autenticazione anonima, selezionare la casella di controllo

Consenti solo connessioni anonime. 7. Nelle caselle di testo Nome utente e Password specificare il nome utente e la password da utilizzare per

l'accesso anonimo. Il nome utente è il nome dell'account utente anonimo, che in genere è IUSR_nomecomputer.

8. Fare clic su OK. 9. Impostare le autorizzazioni NTFS appropriate per l'account anonimo.

Autenticazione di base FTP Per stabilire una connessione FTP con il server Web utilizzando il metodo dell'autenticazione FTP di base, è necessario utilizzare un nome utente e una password corrispondenti a un account utente di Windows valido. Se il server FTP non è

146

in grado di verificare l'identità dell'utente che cerca di stabilire la connessione, verrà restituito un messaggio di errore. L'autenticazione FTP di base fornisce una bassa protezione, poiché la password e il nome utente vengono trasmessi in rete come testo non crittografato.

Implementazione dell’autenticazione di base

1. Creare un account utente di Windows idoneo al metodo di autenticazione. Se possibile, aggiungere l'account a un gruppo di utenti di Windows.

2. Configurare le autorizzazioni NTFS per la directory o il file per cui si desidera controllare gli accessi. 3. In Gestione IIS, fare clic con il pulsante destro del mouse sul sito FTP, sulla directory, sulla directory virtuale

o sul file, quindi scegliere Proprietà. 4. Fare clic sulla scheda Account di protezione. 5. Deselezionare la casella di controllo Consenti connessioni anonime. 6. Fare clic su OK.

Osservazioni generali sull’implementazione di un server FTP Le directory degli utenti e dell’utente anonimo risiedono direttamente sotto la root directory del sito FTP. Oltre all’autenticazione di base e anonima è necessario anche definire se gli utenti possono accedere a tutta la directory del server FTP oppure solo alla sezione a loro dedicata (detta homedirectory FTP). Nel primo caso, un utente che accede al sito FTP, può navigare anche nelle directory degli altri utenti anche se normalmente ha solo privilegi di lettura e non di scrittura. Per realizzare ciò, al momento della creazione del sito FTP, è necessario cliccare sull’opzione “Non isolare gli utenti”. In questo modo, quando un utente effettua l’accesso FTP, vede la directory principale del sito FTP e tutte le sottodirectory degli altri utenti, oppure se l’amministratore ha creato all’interno di questa, una directory con lo stesso nome dell’utente, questi viene direttamente inviato all’interno di essa. Tuttavia con il comando cd di FTP può salire di un livello e vedere le altre directory degli altri utenti. Analoga cosa avviene per gli utenti anonimi. Nel secondo caso invece, dopo aver effettuato il login, l’utente vede solo la propria directory e relative sottodirectory, ma non può navigare in tutto il resto dell’albero della directory root del sito FTP. Per realizzare ciò, durante la creazione del sito FTP. È necessario selezionare “Isola utenti”.

Isolamento di utenti FTP

Isolamento utente FTP rappresenta una soluzione per provider di servizi Internet (ISP) e provider di servizi applicativi che offrono ai propri clienti directory FTP individuali per caricare file e contenuto Web. Mediante Isolamento utente FTP è possibile impedire agli utenti di visualizzare o sovrascrivere il contenuto Web di altri utenti, limitando l'accesso di ciascuno alla propria directory. Gli utenti non possono spostarsi a un livello superiore nella struttura di directory poiché la propria directory di livello superiore viene visualizzata come directory principale del servizio FTP. All'interno del proprio sito, gli utenti possono creare, modificare o eliminare i file e le cartelle.

Isolamento utente FTP è una proprietà del sito e non del server. Tale proprietà può essere attivata o disattivata per ciascun sito FTP.

Modalità Isolamento utente FTP

Isolamento utente FTP supporta tre modalità di isolamento. Ogni modalità abilita diversi livelli di isolamento e di autenticazione.

Modalità di isolamento Descrizione

Non isolare gli utenti

Questa modalità non abilita Isolamento utente FTP. Questa modalità è stata concepita per operare in modo analogo alle versioni di IIS precedenti. Poichè l'isolamento non viene imposto tra i diversi utenti che si collegano al server FTP, questa modalità rappresenta la soluzione ideale per un sito che offre solo funzioni di download di contenuto condiviso o per i siti che non richiedono la protezione di accesso ai dati tra gli utenti.

147

Isola gli utenti

Questa modalità prevede l'autenticazione degli utenti negli account locali o di dominio prima di poter accedere alla home directory corrispondente al loro nome utente. Tutte le home directory degli utenti sono contenute in una struttura di directory all'interno di una directory principale FTP in cui ogni utente viene inserito e limitato alla home home directory corrispondente. Agli utenti non è consentito navigare al di fuori della propria home directory. Se gli utenti necessitano dell'accesso a cartelle condivise dedicate, è possibile anche stabilire una cartella principale virtuale. Questa modalità non consente l'autenticazione nel servizio directory Active Directory.

Nota Le prestazioni del server possono rallentare quando si utilizza questa modalità per creare centinaia di home directory.

Isola gli utenti utilizzando Active Directory

Questa modalità consente di autenticare le credenziali utente per un contenitore Active Directory corrispondente, invece di ricercare l'intera Active Directory, che richiede tempi di elaborazione troppo lunghi. È possibile dedicare a ciascun utente istanze server FTP per assicurare l'integrità e l'isolamento dei dati. Quando un oggetto utente è posizionato all'interno del contenitore Active Directory, vengono estratte le proprietà FTPRoot e FTPDir in modo da poter fornire il percorso completo alla home directory dell'utente. Se il servizio FTP riesce ad accedere al percorso, l'utente viene inserito nella home directory, che rappresenta il percorso principale FTP. L'utente visualizza solo il percorso principale FTP e, di conseguenza, non è in grado di spostarsi a un livello superiore nella struttura di directory. All'utente viene negato l'accesso se la proprietà FTPRoot o FTPDir non esiste, oppure, se queste due insieme non compongono un percorso valido e accessibile.

Nota Questa modalità richiede un server Active Directory funzionante su un sistema operativo della famiglia Windows Server 2003. È possibile utilizzare una Active Directory di Windows 2000 ma è richiesta un'estensione manuale dello schema Oggetto utente. Per ulteriori informazioni sull'impostazione di un server Active Directory, vedere la Guida in linea di Windows.

Configurazione Isolamento utente FTP con Gestione IIS

Quando il server FTP è impostato in modo da isolare tutti gli utenti, tutte le home directory degli utenti vengono inserite in una directory a due livelli nella directory del sito FTP (come configurato nella pagina delle proprietà home directory FTP. La directory del sito FTP può risiedere sul computer locale o su una condivisione di rete.

1. In Gestione IIS, espandere la struttura del computer locale, fare clic con il pulsante destro del mouse sulla cartella Siti FTP, selezionare Nuovo e quindi Sito FTP.

2. Fornire le informazioni necessarie nelle finestre di dialogo Descrizione sito FTP e Indirizzo IP e impostazioni della porta e selezionare Avanti.

3. Nella finestra di dialogo Isolamento utente FTP, fare clic su Isola gli utenti e quindi su Avanti. 4. Completare i passaggi restanti della procedura guidata. 5. Fare clic con il pulsante destro del mouse sul nuovo sito FTP creato e scegliere Proprietà. 6. Fare clic sulla scheda Account di protezione. Se è stata selezionata la casella di controllo Consenti

connessioni anonime, nelle caselle Nome utente e Password digitare un nome utente e una password da utilizzare per autenticare gli utenti anonimi.

7. Qualora fosse consentito l'accesso anonimo, creare le sottodirectory LocalUser e LocalUser\Public nella home directory del sito FTP.

8. Se gli utenti del computer locale effettuano l'accesso con i rispettivi nomi utente account, invece che come utenti anonimi, creare le sottodirectory LocalUser e LocalUser\nomeutente nella directory principale del sito FTP per ciascun utente a cui è consentito accedere a questo sito FTP. Ciò se il server non è inserito in un dominio.

9. Se gli utenti di diversi domini effettuano l'accesso con le rispettive credenziali dominio\nomeutente esplicite, creare una sottodirectory per ciascun dominio, utilizzando il nome del dominio, nella directory principale del sito FTP. In ogni directory di dominio, creare una directory per ciascun utente. Ad esempio, per supportare l'accesso da parte dell'utente Sales\user1, creare le directory Sales e Sales\user1.

Controllo degli accessi Come scritto precedentemente, il controllo degli accessi può essere effettuato tramite l’utilizzo delle autorizzazioni NTFS.

148

Autorizzazioni NTFS

Per il server applicazioni si consiglia di utilizzare il file system NTFS, più potente e sicuro rispetto ai file system FAT e FAT32. Il file system NTFS consente di limitare l'accesso ai file e alle directory del server Web. Consente inoltre di configurare il livello di accesso concesso a un determinato utente o gruppo per i file e le directory sul proprio server. Oltre a una maggiore dimensione dei volumi rispetto a FAT, NTFS offre ulteriori vantaggi, come illustrato nella tabella che segue.

NTFS FAT Consente agli amministratori di proteggere le directory e i file mediante autorizzazioni NTFS. Le autorizzazioni possono essere impostate a livello di file e a livello di directory.

Non consente agli amministratori di proteggere directory e file.

Supporta la crittografia dei file, che migliora notevolmente la protezione dei file. Non supporta la crittografia dei file. Consente agli amministratori di abilitare le proprietà WebDAV (Web Distributed Authoring and Versioning).

Non consente agli amministratori di abilitare le proprietà WebDAV.

Supporta la protezione Active Directory® e basata sul dominio. Non supporta la protezione Active Directory e basata sul dominio.

Tabella 17

Impostazione delle autorizzazioni NTFS per directory o file

Per controllare l'accesso alle directory e ai file di un sito Web è possibile impostare le autorizzazioni di accesso NTFS. Le autorizzazioni NTFS consentono di definire il livello di accesso che si desidera concedere a utenti e gruppi di utenti specifici. Una corretta configurazione delle autorizzazioni per file e directory è fondamentale per impedire l'accesso non autorizzato alle risorse.

Importante Per poter eseguire le procedure descritte di seguito, è necessario essere membri del gruppo Administrators sul computer locale oppure aver ricevuto in delega l'autorità appropriata. Per una protezione ottimale, accedere al computer utilizzando un account non appartenente al gruppo Administrators, quindi utilizzare il comando Esegui come per eseguire Gestione IIS come amministratore. Dal prompt dei comandi digitare runas /user:nomeaccount_amministrativo "mmc %systemroot%\system32\inetsrv\iis.msc".

Per proteggere un sito Web tramite le autorizzazioni NTFS

1. In Gestione IIS espandere la struttura del computer locale, fare clic con il pulsante destro del mouse su un file o un sito Web e scegliere Autorizzazioni.

2. Attenersi a una delle procedure riportate di seguito.

Per Operazione da eseguire Aggiungere un gruppo o un utente che non è elencato nella casella di riepilogo Utenti e gruppi

Fare clic su Aggiungi e digitare il nome dell'utente o delgruppo nella casella Nome, quindi scegliere OK.

Modificare o rimuovere le autorizzazioni da un gruppo o un utente esistente

Dalla casella di riepilogo Utenti e gruppi selezionare il nome del gruppo o dell'utente.

3. Per concedere o negare un'autorizzazione, nella casella di riepilogo Autorizzazioni per Utente o gruppo selezionare la casella di controllo Consenti o Nega.

Importante Le autorizzazioni Nega ereditate non impediscono l'accesso a un oggetto se all'oggetto è stata assegnata esplicitamente l'autorizzazione Consenti. Le autorizzazioni esplicite hanno la precedenza su quelle ereditate, incluse le autorizzazioni Nega.

Le autorizzazioni NTFS consentono anche di assegnare a gruppi o utenti autorizzazioni speciali, ovvero autorizzazioni a un livello più dettagliato. Per una migliore gestione, si consiglia di assegnare autorizzazioni di ampio livello a utenti o

149

gruppi solo nei casi in cui è possibile. Per una descrizione delle autorizzazioni, vedere Autorizzazioni per file o cartelle nella Guida in linea di Windows.

Per proteggere un sito Web tramite le autorizzazioni speciali NTFS

1. In Gestione IIS espandere la struttura del computer locale, fare clic con il pulsante destro del mouse su un file o un sito Web e scegliere Autorizzazioni.

2. Fare clic sulla scheda Avanzate e utilizzare una delle procedure riportate di seguito.

Per Operazione da eseguire Impostare autorizzazioni speciali per un gruppo o un utente aggiuntivo

Fare clic su Aggiungi e digitare il nome dell'utente o del gruppo nella casella Immettere il nome dell'oggetto da selezionare, quindi scegliere OK.

Visualizzare o modificare le autorizzazioni speciali per un gruppo o un utente esistente

Selezionare il nome del gruppo o dell'utente, quindi fare clic su Modifica.

Rimuovere un gruppo o un utente esistente e le relative autorizzazioni speciali

Selezionare il nome del gruppo o dell'utente, quindi fare clic su Rimuovi. Se il pulsante Rimuovi non è disponibile, deselezionare la casella di controllo Consenti propagazione delle autorizzazioni ereditabili dall'oggetto padre a questo oggetto e a tutti gli oggetti figlio. Aggiungi tali autorizzazioni a quelle qui specificate., quindi fare clic su Rimuovi. Scegliere OK e saltare i passi da 3 a 6 (riportati sotto).

3. Nella casella Autorizzazioni selezionare o deselezionare la casella di controllo Consenti o Nega, a seconda del caso.

4. Nella casella di riepilogo Applica a selezionare le cartelle o le sottocartelle alle quali si desidera applicare queste autorizzazioni.

5. Per impedire che le sottocartelle e i file ereditino queste autorizzazioni, deselezionare la casella di controllo Applica queste autorizzazioni solo a oggetti e/o contenitori in questo contenitore.

6. Scegliere OK per tre volte.

Importante Si consiglia di assegnare le autorizzazioni alle cartelle di livello superiore e quindi di applicare l'ereditarietà per propagare le impostazioni alle sottocartelle e ai file di livello inferiore. Per ulteriori informazioni sull'ereditarietà, vedere Influenza dell'ereditarietà sulle autorizzazioni per file e cartelle nella Guida in linea di Windows.

Il servizio telnet Telnet è un protocollo che è stato definito insieme alla creazione del protocollo TCP/IP. Telnet viene infatti considerato un protocollo che si trova a livello applicativo della pila OSI (o del TCP/IP) e viene trasportato dal TCP/IP. Consente di stabilire una sessione remota su un server. Il protocollo supporta solo terminali ad input alfanumerico, ossia non supporta mouse né altre periferiche di puntamento o interfacce utente grafiche. Tutti i comandi devono infatti essere digitati alla riga di comando. La protezione fornita dal protocollo Telnet è decisamente esigua. In una sessione Telnet che non utilizza l'autenticazione NTLM, tutti i dati, incluse le password, vengono trasmessi tra client e server come testo non crittografato. A causa di tale limitazione, e poiché è buona norma non concedere l'accesso ai server critici per la protezione a utenti non attendibili, si consiglia di eseguire Telnet Server solo su computer in cui non sono memorizzati dati riservati. Il telnet è un servizio di tipo client/server. Per questo motivo è necessario installare un server telnet sulla macchina su cui ci si vuole connettere.

Implementazione di un server telnet In Windows 2003 non è prevista un’interfaccia grafica per il telnet server. Quest’ultimo deve essere gestito dal comando tlntadmn.

150

Prima di far partire il server telnet è necessario abilitare quest’ultimo, che di norma, su un sistema Windows 2003 è disabilitato. Al fine di abilitare tale servizio, si deve accedere alla finestra “Servizi”. In essa sarà possibile individuare il servizio “telnet” che deve essere abilitato selezionando il servizio con il tasto destro del mouse e selezionando “Proprietà”. La scelta può ricadere sulla voce “automatico” o “manuale”. Si consiglia quest’ultima per ovvi motivi i sicurezza. Dopo aver abilitato il server, quest’ultimo deve essere fatto partire secondo le modalità descritte nel paragrafo successivo.

Amministrazione del server tlntadmn [\\ServerRemoto] [start] [stop] [pause] [continue] [-u NomeUtente -p Password] Parametri \\ServerRemoto Specifica il nome di un server remoto che si desidera amministrare. Se non si specifica un server, verrà utilizzato il server locale. start Avvia Server Telnet. stop Arresta Server Telnet. pause Interrompe Server Telnet. continue Riprende l'esecuzione di Server Telnet. -u NomeUtente -p Password Specifica le credenziali amministrative per un server remoto che si desidera amministrare. Questo parametro è obbligatorio se si desidera amministrare un server remoto al quale si è connessi senza credenziali amministrative. /? Visualizza informazioni della Guida al prompt dei comandi.

Impostazione del numero massimo di connessioni tlntadmn [\\ServerRemoto] config [maxconn=InteroPositivo] [-u NomeUtente -p Password] Parametri \\ServerRemoto Specifica il nome di un server remoto che si desidera amministrare. Se non si specifica un server, verrà utilizzato il server locale. maxconn=InteroPositivo Imposta il numero massimo di connessioni. È necessario specificare questo numero con un intero positivo inferiore a 10 milioni. -u NomeUtente -p Password Specifica le credenziali amministrative per un server remoto che si desidera amministrare. Questo parametro è obbligatorio se si desidera amministrare un server remoto al quale si è connessi senza credenziali amministrative.

151

Impostazione della porta telnet tlntadmn [\\ServerRemoto] config [port=ValoreIntero] [-u NomeUtente -p Password] Parametri \\ServerRemoto Specifica il nome di un server remoto che si desidera amministrare. Se non si specifica un server, verrà utilizzato il server locale. port=ValoreIntero Imposta la porta Telnet. È necessario specificare la porta con un intero inferiore a 1.204. -u NomeUtente -p Password Specifica le credenziali amministrative per un server remoto che si desidera amministrare. Questo parametro è obbligatorio se si desidera amministrare un server remoto al quale si è connessi senza credenziali amministrative.

Impostazione dei metodi di autenticazione tlntadmn [\\ServerRemoto] config [sec=[{+ | -}ntlm][{+ | -}passwd]] [-u NomeUtente -p Password] Parametri \\ServerRemoto Specifica il nome di un server remoto che si desidera amministrare. Se non si specifica un server, verrà utilizzato il server locale. sec=[{+ | -}ntlm][{+ | -}passwd] Specifica se si desidera utilizzare il protocollo NTLM, una password o entrambi per autenticare i tentativi di accesso. Per utilizzare un determinato tipo di autenticazione, digitare il segno più (+) prima del tipo di autenticazione. Per impedire l'utilizzo di un determinato tipo di autenticazione, digitare il segno meno (-) prima del tipo di autenticazione. -u NomeUtente -p Password Specifica le credenziali amministrative per un server remoto che si desidera amministrare. Questo parametro è obbligatorio se si desidera amministrare un server remoto al quale si è connessi senza credenziali amministrative. Osservazioni NTLM è il protocollo di autenticazione per le transazioni tra due computer quando uno o entrambi i computer eseguono Windows NT. Inoltre, NTLM è il protocollo di autenticazione utilizzato per i computer che non fanno parte di un dominio, quali i server e i gruppi di lavoro autonomi.

Il cliente telnet Al fine di accedere ad un server telnet, è necessario utilizzare un client. Tutti i sistemi operativi Windows forniscono un client telnet. Inoltre è possibile scaricare da internet prodotti più evoluti, sia gratuiti che a pagamento. Consideriamo ora i comandi di base di un telnet client. Per accedere ad una server telnet vi sono due modalità.

• La prima modalità è quella di digitare da finestra DOS il seguente comando: telnet indirizzo server. Ad esempio telnet nomemacchina.dominio.it

• La seconda modalità quella di digitare il comando telnet. In questo casi ci si ritrova con il prompt telnet>.

La modalità telnet Vediamo ora i comandi più importanti che si possono digitare in modalità telnet>: Comando Descrizione

152

open Utilizzare open nomehost per stabilire una connessione Telnet a un host. close Utilizzare il comando close per chiudere una connessione Telnet esistente. display Utilizzare il comando display per visualizzare le impostazioni correnti di Telnet Client. quit Utilizzare il comando quit per chiudere Telnet Client. set

Utilizzare il comando set con uno dei seguenti argomenti per configurare Telnet Client per la sessione corrente. bsasdel Backspace viene inviato come Canc. codeset opzione Disponibile solo se la lingua impostata è il giapponese. Impostare opzione sull'insieme di codici corrente. Sono disponibili le opzioni seguenti: Shift JIS Japanese EUC JIS Kanji JIS Kanji (78) DEC Kanji NEC Kanji È necessario che sul computer remoto sia impostato lo stesso insieme di codici. Per impostazione predefinita, Telnet Client utilizza caratteri raster. Prima di accedere a un computer remoto utilizzando uno di questi insiemi di codici, è necessario configurare Telnet Client per l'utilizzo di un tipo di carattere TrueType allo scopo di garantire la visualizzazione corretta dei caratteri. delasbs Canc viene inviato come Backspace. escape carattere Passa dalla modalità sessione Telnet alla modalità comandi Telnet. In modalità comandi Telnet premere INVIO per tornare alla modalità sessione Telnet. logging Attiva la registrazione per la sessione corrente. logfile nome Specifica il nome del file in cui viene registrata la sessione corrente di Telnet. Se non si specifica alcun percorso, il file verrà creato nella directory corrente. La specifica di un file registro attiva contemporaneamente la registrazione. localecho Attiva l'eco locale. ntlm Attiva l'autenticazione NTLM. term {ansi | vt100 | vt52 | vtnt} Indica il tipo di terminale che Telnet Client deve emulare. ? Visualizza le informazioni della Guida per il comando set.

status Utilizzare il comando status per verificare la connessione del computer che esegue Telnet Client. ?/help Visualizza le informazioni della Guida.

Criteri di gruppo (GPO) Le impostazioni di Criteri di gruppo consentono di definire i vari componenti dell'ambiente desktop dell'utente che un amministratore di sistema deve gestire, ad esempio le applicazioni disponibili agli utenti, i programmi visualizzati sul desktop dell'utente e le opzioni del menu di avvio. Per creare una specifica configurazione del desktop per un gruppo di

153

utenti, utilizzare l'Editor oggetti Criteri di gruppo. Le impostazioni specificate sono contenute in un oggetto Criteri di gruppo che, a sua volta, è associato a oggetti Active Directory® selezionati, ovvero siti, domini o unità organizzative.

Oltre che a utenti e computer client, Criteri di gruppo è applicato ai server membri, ai controller di dominio e a tutti gli altri computer Microsoft® Windows® 2000 che rientrano nell'ambito di gestione. Per impostazione predefinita, i Criteri di gruppo applicati a un dominio, ovvero al livello appena al di sopra del nodo principale di Utenti e computer di Active Directory, influiscono su tutti i computer e gli utenti presenti nel dominio. Utenti e computer di Active Directory include inoltre l'unità organizzativa predefinita Controller di dominio. Se si utilizza questa unità organizzativa per gestire gli account dei controller di dominio, è possibile utilizzare l'oggetto Criteri predefiniti controller di dominio di Criteri di gruppo per gestire i controller di dominio in modo diverso dagli altri computer.

In Criteri di gruppo sono incluse le impostazioni per Configurazione utente, applicate agli utenti, e Configurazione computer, applicate ai computer.

Con Criteri di gruppo è possibile svolgere le operazioni seguenti:

• Gestire i criteri basati sul Registro di sistema con Modelli amministrativi. Tramite Criteri di gruppo viene creato un file contenente le impostazioni del Registro di sistema scritte nella sezione del database del Registro di sistema relativa all'utente o al computer locale. Le impostazioni del profilo utente per un utente che accede a una workstation o a un server specifico vengono scritte nel Registro di sistema in HKEY_CURRENT_USER (HKCU), mentre le impostazioni specifiche per il computer vengono scritte in HKEY_LOCAL_MACHINE (HKLM). Per ulteriori informazioni, vedere Utilizzare i Modelli amministrativi. Per informazioni tecniche, vedere la sezione relativa all'implementazione di criteri basati sul Registro di sistema nel sito Web Microsoft.

• Assegnare script, ad esempio quelli relativi all'avvio e all'arresto del computer, nonché gli script di accesso e di fine sessione. Per ulteriori informazioni, vedere Utilizzare script di avvio, arresto, accesso e disconnessione.

• Reindirizzare cartelle. È possibile reindirizzare cartelle, ad esempio Documenti e Immagini, dalla cartella Documents and Settings del computer locale ad altri percorsi di rete. Per ulteriori informazioni su Reindirizzamento cartelle, vedere Utilizzare Reindirizzamento cartelle.

• Gestire applicazioni. Tramite Criteri di gruppo è possibile assegnare, pubblicare, aggiornare o ripristinare applicazioni utilizzando Installazione software basata su Criteri di gruppo. Per ulteriori informazioni, vedere Utilizzare Installazione software basata su Criteri di gruppo.

• Specificare opzioni di protezione. Per informazioni sull'impostazione delle opzioni di protezione, vedere Estensione di Impostazioni protezione per Criteri di gruppo.

Oggetti Criteri di gruppo predefiniti

In ogni computer che esegue il sistema operativo Windows 2000, Microsoft® Windows® XP Professional o Windows Server 2003 è presente un solo oggetto Criteri di gruppo archiviato localmente. Tale oggetto include un sottoinsieme delle impostazioni disponibili negli oggetti Criteri di gruppo non locali. Per ulteriori informazioni, vedere Criteri di gruppo locale.

Per impostazione predefinita, quando viene impostato Active Directory vengono creati due oggetti Criteri di gruppo non locali:

L'oggetto criteri di dominio predefinito è collegato al dominio e, con l'ereditarietà dei criteri, influisce su tutti gli utenti e i computer che fanno parte del dominio, inclusi i controller. Per ulteriori informazioni, vedere Ereditarietà dei criteri.

L'oggetto Criteri predefiniti controller di dominio è collegato all'unità organizzativa Controller di dominio e normalmente influisce solo sui controller, perché gli account computer per i controller di dominio vengono gestiti esclusivamente nell'unità organizzativa Controller di dominio.

Attenzione

Se si sposta un controller di dominio al di fuori dell'unità organizzativa Controller di dominio, il criterio predefinito corrispondente non sarà più valido. Se il controller di dominio deve essere necessariamente tenuto in un'unità organizzativa diversa, collegare il criterio predefinito per i controller di dominio a tale unità organizzativa.

154

Criteri utente e del computer

Le impostazioni dei criteri utente, si trovano in Configurazione utente di Criteri di gruppo e vengono applicate quando l'utente esegue l'accesso. Le impostazioni dei criteri computer sono posizionate in Configurazione computer e vengono applicate all'avvio del computer. Per ulteriori informazioni, vedere Configurazione utente e Configurazione computer.

Utenti e Computer sono i soli tipi di oggetto Active Directory a cui vengono applicati criteri. I criteri non vengono applicati a gruppi di protezione. Al contrario, per motivi di prestazioni, è possibile utilizzare i gruppi di protezione per filtrare i criteri tramite una voce di controllo di accesso (ACE) Applica criteri di gruppo, che può essere impostata su Consenti o Nega o lasciata come non configurata. Per ulteriori informazioni, vedere Filtrare l'ambito di applicazione di Criteri di gruppo in base all'appartenenza ai gruppi di protezione.

Ordine di applicazione

I criteri vengono applicati nel seguente ordine:

1. Oggetto Criteri di gruppo locale. 2. Oggetti Criteri di gruppo associati ai siti, nell'ordine specificato dall'amministratore. 3. Oggetti Criteri di gruppo associati ai domini, nell'ordine specificato dall'amministratore. 4. Oggetti Criteri di gruppo associati alle unità organizzative, dall'unità di dimensioni maggiori a quella di dimensioni

minori (da padre a figlio), secondo l'ordine specificato dall'amministratore a livello delle singole unitàorganizzative.

Per ulteriori informazioni, vedere Ordine di elaborazione delle impostazioni.

Per impostazione predefinita, in caso di conflitto i criteri più recenti sostituiscono quelli meno recenti. Se viceversa non vi è conflitto tra le impostazioni, tutti i criteri concorrono a definire l'insieme dei criteri effettivi. Per ulteriori informazioni, vedere Precedenza dei Criteri di gruppo.

Blocco dell'ereditarietà dei criteri

I criteri che normalmente verrebbero ereditati da siti, domini o unità organizzative di livello superiore possono essere bloccati a livello del sito, del dominio o dell'unità organizzativa. Per ulteriori informazioni, vedere Bloccare l'ereditarietà dei criteri.

Imposizione di criteri di livello superiore

I criteri che normalmente verrebbero sovrascritti dai criteri delle unità organizzative figlie possono essere impostati su Non sovrascrivere a livello dell'oggetto Criteri di gruppo. Per ulteriori informazioni, vedere Impedire che un oggetto Criteri di gruppo venga sovrascritto.

Cenni preliminari sulle impostazioni di Criteri di gruppo

Con le impostazioni di Criteri di gruppo è possibile definire la configurazione dell'ambiente desktop di un utente. Le impostazioni sono disponibili per Configurazione computer e Configurazione utente e possono essere applicate non solo ai computer client e agli utenti, ma anche ai server membri e ai controller di dominio che rientrano nell'ambito di un insieme di strutture di Active Directory.

155

Cartella Modelli amministrativi

Le cartelle Modelli amministrativi sono disponibili in Configurazione computer e Configurazione utente dell'Editor oggetti Criteri di gruppo. Queste cartelle contengono le impostazioni del Registro di sistema. Per ulteriori informazioni su Modelli amministrativi, vedere Modelli amministrativi.

Nella tabella seguente sono riportati i collegamenti alla Guida in linea per tutte le impostazioni del Registro di sistema incluse nei cinque modelli amministrativi predefiniti.

Per le impostazioni Aprire il modello amministrativo

Informazioni di riferimento

Impostazioni di sistema che controllano funzioni quali il desktop, le connessioni di rete, le cartelle condivise e il Pannello di controllo

Sistema (System.adm)

Impostazioni di Criteri di gruppo per Windows 2000, Windows XP e per la famiglia Windows Server 2003

Impostazioni di Internet Explorer che controllano funzioni quali le aree di protezione, le impostazioni proxy, la ricerca e i file temporanei Internet.

Internet Explorer (Inetres.adm)

Impostazioni di Criteri di gruppo per Internet Explorer

Impostazioni di Windows Media Player che controllano funzioni quali le impostazioni proxy, i codec e il buffer di rete. Questo strumento non è disponibile nelle versioni basate su Itanium dei sistemi operativi Windows. Questo strumento non è disponibile nelle versioni dei sistemi operativi Windows con processore x64.

Windows Media Player (Wmplayer.adm)

Impostazioni di Criteri di gruppo per Windows Media Player

Impostazioni di NetMeeting che controllano funzioni quali la condivisione di applicazioni, le applicazioni audio, video e di chat. Questo strumento non è disponibile nelle versioni basate su Itanium dei sistemi operativi Windows. Questo strumento non è disponibile nelle versioni dei sistemi operativi Windows con processore x64.

NetMeeting (Conf.adm)

Impostazioni di Criteri di gruppo per NetMeeting v3.01

Impostazioni di Windows Update che controllano funzioni quali gli aggiornamenti automatici del software mediante Internet.

Windows Update (Wuau.adm)

Impostazioni di Criteri di gruppo per Windows Update

Cartella Impostazioni del software

Le cartelle Impostazioni del software sono disponibili in Configurazione computer e Configurazione utente dell'Editor oggetti Criteri di gruppo. La cartella Configurazione computer\Impostazioni del software contiene le impostazioni software che verranno applicate a tutti gli utenti che accedono al computer. Questa cartella contiene le impostazioni di installazione del software e potrebbe contenere altre impostazioni introdotte da altri fornitori di software indipendente. La cartella Configurazione utente\Impostazioni del software contiene le impostazioni software che verranno applicate agli utenti, indipendentemente dal computer a cui accedono. Questa cartella contiene anche le impostazioni di installazione del software e potrebbe contenere altre impostazioni introdotte da altri fornitori di software indipendente. Per ulteriori informazioni, vedere Impostazioni del software.

Cartella Impostazioni di Windows

Le cartelle Impostazioni di Windows sono disponibili in Configurazione computer e Configurazione utente dell'Editor oggetti Criteri di gruppo. La cartella Configurazione computer\Impostazioni di Windows contiene le impostazioni di Windows che verranno applicate a tutti gli utenti che accedono al computer. Questa cartella contiene anche gli elementi seguenti: Impostazioni di protezione e Script. La cartella Configurazione utente\Impostazioni di Windows contiene le impostazioni di Windows che verranno applicate agli utenti, indipendentemente dal computer a cui accedono. Questa cartella contiene anche gli elementi seguenti: Reindirizzamento cartelle, Impostazioni di protezione e Script. Per ulteriori informazioni, vedere Impostazioni di Windows.

156

Cartella Impostazioni di protezione

Le cartelle Impostazioni di protezione sono disponibili in Configurazione computer e Configurazione utente dell'Editor oggetti Criteri di gruppo. Le impostazioni di protezione, o criteri di protezione, sono regole configurate su uno o più computer che garantiscono la sicurezza delle risorse di un computer o di una rete. Cone le impostazioni di protezione è possibile specificare i criteri di protezione di un'unità organizzativa, un dominio o un sito. Per visualizzare un elenco completo e informazioni dettagliate sulle impostazioni di protezione, vedere Descrizione delle impostazioni di protezione. Per specificare le impostazioni di protezione in un computer locale, vedere Criteri di protezione locali. Per ulteriori informazioni, vedere Estensione di Impostazioni protezione per Criteri di gruppo.

Oggetti Criteri di gruppo

Le impostazioni relative ai criteri sono archiviate negli oggetti Criteri di gruppo. L'Editor oggetti Criteri di gruppo può essere paragonato a un'applicazione cui è associato il tipo di documento oggetto Criteri di gruppo, così come un elaboratore di testi utilizza file con estensione doc o txt.

Esistono due tipi di oggetti Criteri di gruppo: locali e non locali. Gli oggetti Criteri di gruppo locali vengono archiviati nei singoli computer. In un computer esiste un solo oggetto Criteri di gruppo che include un sottoinsieme delle impostazioni disponibili negli oggetti Criteri di gruppo non locali. In caso di conflitto, le impostazioni dell'oggetto locale possono essere sovrascritte dalle impostazioni non locali. In caso contrario, vengono applicate entrambe. Per ulteriori informazioni, vedere Criteri di gruppo locale.

Gli oggetti Criteri di gruppo non locali, archiviati in un controller di dominio, sono disponibili solo in un ambiente Active Directory. Tali oggetti vengono applicati agli utenti e ai computer di un sito, di un dominio o di un'unità organizzativa a cui è associato l'oggetto Criteri di gruppo. Per ulteriori informazioni, vedere Archiviazione di oggetti Criteri di gruppo.

Cenni preliminari su Installazione software basata su Criteri di gruppo

Installazione software basata su Criteri di gruppo è una funzionalità di gestione del software che consente di gestire l'intero ciclo di vita delle applicazioni all'interno di un'organizzazione. La funzionalità Installazione software basata su Criteri di gruppo viene utilizzata in combinazione con Criteri di gruppo e Active Directory e rappresenta uno dei tre componenti di Criteri di gruppo per l'installazione e la manutenzione del software descritti nella tabella seguente.

Componente Ruolo

Installazione software basata su Criteri di gruppo (estensione dell'Editor oggetti Criteri di gruppo)

Utilizzato dagli amministratori per gestire il software.

Windows Installer Utilizzato per installare il software fornito sotto forma di file di pacchetto di Windows Installer.

Installazione applicazioni del Pannello di controllo

Utilizzato dagli utenti per gestire il software nel proprio computer. Per ulteriori informazioni, vedere Installazione applicazioni del Pannello di controllo.

Lo snap-in Installazione software basata su Criteri di gruppo consente di specificare le modalità di installazione e manutenzione delle applicazioni all'interno dell'organizzazione. Tramite questo snap-in è possibile gestire un'applicazione all'interno di un oggetto Criteri di gruppo, a sua volta associato a un contenitore Active Directory specifico, ovvero un sito, un dominio o un'unità organizzativa. È possibile gestire le applicazioni in due modi: come assegnate o come pubblicate.

Per suggerimenti sull'utilizzo di Installazione software basata su Criteri di gruppo, vedere Procedure ottimali per Installazione software basata su Criteri di gruppo. Per iniziare a utilizzare immediatamente Installazione software basata su Criteri di gruppo, vedere Aprire Installazione software basata su Criteri di gruppo. Per ulteriori informazioni, vedere Installazione software basata su Criteri di gruppo.

157

Assegnazione agli utenti

Quando si assegna un'applicazione a un utente, l'applicazione viene annunciata al successivo accesso dell'utente a una workstation. L'annuncio di applicazione "segue" l'utente nei suoi spostamenti, indipendentemente dal computer fisico utilizzato. L'applicazione viene installata la prima volta che l'utente la attiva nel computer selezionandone il collegamento dal menu di avvio oppure richiamando un documento a essa associato. Per ulteriori informazioni, vedere Assegnare un'applicazione.

In genere si sceglie di assegnare un'applicazione quando si desidera che tutti gli utenti dispongano di tale applicazione nel proprio computer. Si supponga, ad esempio, di voler rendere disponibile Microsoft Excel a tutti gli utenti di un reparto di marketing. Ogni utente del reparto è gestito da un oggetto Criteri di gruppo. Quando si assegna Excel all'interno dell'oggetto Criteri di gruppo del reparto di marketing, l'applicazione viene annunciata nel computer di ogni utente. Quando un'applicazione assegnata viene annunciata, non viene effettivamente installata nel computer. In questo caso, tramite l'annuncio dell'applicazione vengono installate solo le informazioni su Excel sufficienti a visualizzare i collegamenti all'applicazione nel menu di avvio e ad aggiungere le associazioni di file (con estensione xls) necessarie nel Registro di sistema.

Quando gli utenti accedono al computer, Excel viene visualizzato nel menu di avvio e viene installato la prima volta che l'utente sceglie l'applicazione dopo avere fatto clic sul pulsante Start. È inoltre possibile installare un'applicazione annunciata aprendo un documento a essa associato, in base all'estensione del file o all'attivazione basata su COM. Se un utente che non ha ancora attivato Excel dal menu di avvio fa clic su un foglio di lavoro di Excel per aprirlo, l'applicazione verrà installata e il foglio di lavoro verrà aperto.

Anche se l'utente elimina un'applicazione assegnata, questa verrà nuovamente annunciata al successivo accesso e verrà installata alla successiva selezione dell'applicazione nel menu di avvio.

Assegnazione ai computer

Quando si assegna un'applicazione a un computer, l'applicazione viene annunciata e l'installazione viene eseguita nel momento più appropriato, ovvero, in genere, all'avvio del computer, quando non vi sono altri processi in corso che possono ostacolarne l'esecuzione. Per ulteriori informazioni, vedere Assegnare un'applicazione.

Pubblicazione per gli utenti

Quando si pubblica un'applicazione per gli utenti, l'applicazione non viene effettivamente installata nel computer degli utenti. Sul desktop o nel menu di avvio non viene visualizzato alcun collegamento e non viene apportata alcuna modifica al Registro di sistema locale. Per le applicazioni pubblicate, gli attributi di annuncio vengono invece archiviati in Active Directory. Le informazioni pertinenti, ad esempio il nome dell'applicazione e le associazioni di file, vengono visualizzate all'utente nel contenitore Active Directory. L'applicazione è quindi disponibile per l'installazione, che può essere eseguita tramite Installazione applicazioni del Pannello di controllo o facendo clic su un file associato all'applicazione, ad esempio un file con estensione xls per Microsoft Excel. Per ulteriori informazioni, vedere Pubblicare un'applicazione e Installazione applicazioni del Pannello di controllo.

La scelta di pubblicare un'applicazione è utile quando si desidera rendere disponibile l'applicazione agli utenti gestiti dall'oggetto Criteri di gruppo che intendono utilizzarla. Nel caso delle applicazioni pubblicate, sarà l'utente a decidere se installare o meno l'applicazione.

Se, ad esempio, si pubblica Microsoft Image Composer per gli utenti gestiti dall'oggetto Criteri di gruppo del reparto di marketing, l'utente che desidera installare l'applicazione può utilizzare Installazione applicazioni del Pannello di controllo. Se Image Composer non viene installato utilizzando Installazione applicazioni e se l'estensione jpg per i file immagine è associata all'applicazione, sarà possibile installare Image Composer la prima volta che viene aperto un documento con estensione jpg.

Script di assegnazione delle applicazioni

Gli script di assegnazione delle applicazioni rappresentano uno dei tipi di file utilizzati da Installazione software basata su Criteri di gruppo. Per ogni applicazione assegnata o pubblicata in un oggetto Criteri di gruppo specifico, viene

158

generato uno script di assegnazione delle applicazioni (file con estensione aas), che viene archiviato nell'oggetto Criteri di gruppo del dominio. Questi file script contengono le informazioni di annuncio sulla configurazione dell'applicazione. Per ulteriori informazioni, vedere Tipi di file utilizzati con Installazione software basata su Criteri di gruppo.

Visualizzazione dell'utente dell'installazione del software

La visualizzazione nel computer dell'utente dell'installazione del software è resa possibile dai componenti di sistema che includono Winlogon, la shell, OLE (Object Linking and Embedding), il client LDAP (Lightweight Directory Access Protocol) e il Registro di sistema locale. Winlogon è l'agente principale attraverso cui vengono applicati i criteri di installazione software. I componenti di sistema shell e OLE dispongono di funzionalità avanzate per il supporto di Active Directory e per la comunicazione con Windows Installer ai fini dell'esecuzione di operazioni di installazione. Il client LDAP offre funzionalità di ricerca e query in Active Directory.

Installazione applicazioni consente agli utenti di individuare e installare il software da Active Directory in un ambiente gestito oppure da un supporto di archiviazione nel computer locale (in ambienti non gestiti o, qualora i criteri lo consentano, anche in ambienti gestiti).

Gestione di Installazione software basata su Criteri di gruppo

Ai fini di una corretta gestione del software dell'organizzazione, gli amministratori completano le seguenti fasi: preparazione, gestione e rimozione. Per suggerimenti sull'utilizzo di Installazione software basata su Criteri di gruppo, vedere Procedure ottimali per Installazione software basata su Criteri di gruppo. Per ulteriori informazioni generali, vedere Cenni preliminari su Installazione software basata su Criteri di gruppo.

Preparazione

Prima di utilizzare Installazione software basata su Criteri di gruppo, è necessario procurarsi un pacchetto di Windows Installer (con estensione msi) per l'applicazione che si desidera installare. Il pacchetto viene spesso fornito insieme al software. Se per un'applicazione non è disponibile un pacchetto di Windows Installer, è necessario crearne uno. Per creare un nuovo pacchetto per un programma esistente da installare sono disponibili altre utilità. Successivamente sarà possibile utilizzare le trasformazioni per personalizzare il package. Le trasformazioni, a cui è associata l'estensione mst, vengono anche dette modifiche. Per ulteriori informazioni, vedere Aggiungere o rimuovere modifiche per un pacchetto di applicazioni e Tipi di file utilizzati con Installazione software basata su Criteri di gruppo.

Il passaggio successivo consiste nella creazione di una cartella di rete condivisa, denominata punto di distribuzione software, che conterrà i pacchetti (file con estensione msi), le eventuali trasformazioni (file con estensione mst), i file e i componenti del programma. L'amministrazione risulterà più semplice se i pacchetti e i file di programma vengono conservati nella stessa condivisione, sebbene non sia strettamente necessario. I pacchetti e le relative trasformazioni non possono essere tenuti separati. Come amministratore è possibile inoltre utilizzare file system distribuiti per semplificare la gestione dei punti di distribuzione software.

Infine, verificare che gli utenti dispongano delle autorizzazioni di accesso in lettura al punto di distribuzione e di accesso in scrittura al punto di destinazione dell'installazione, soprattutto se il programma viene scritto su un file server di rete.

Nota

• È ancora possibile distribuire applicazioni che non dispongono di un file msi utilizzando un file di installazione zap. Per ulteriori informazioni, vedere Tipi di file utilizzati con Installazione software basata su Criteri di gruppo.

Inizio pagina

Gestione

È possibile utilizzare Installazione software basata su Criteri di gruppo per gestire i programmi all'interno della propria organizzazione. È possibile assegnare i programmi a computer o a utenti oppure pubblicare i programmi per gli utenti.

159

L'assegnazione e la pubblicazione di applicazioni per gli utenti prevedono le seguenti fasi di implementazione del software:

• Fase di valutazione: a scopo di valutazione, può essere utile rendere disponibile la nuova applicazione solo ad alcuniutenti, in modo da verificarne il funzionamento e le funzionalità. Durante questa fase, la versione precedente delprogramma continuerà a essere la versione predefinita e verrà utilizzata dalla maggioranza degli utenti. I nuovi utentiinstallano la versione assegnata o pubblicata. Questa fase viene spesso definita fase pilota e rappresenta un'opportunità per acquisire familiarità con le opzioni di Installazione software basata su Criteri di gruppo, adesempio l'assegnazione e la pubblicazione di un'applicazione, operazione meno onerosa. È inoltre possibile provare a configurare l'opzione di installazione automatica per un'applicazione, in modo che il software venga installato quandol'utente tenta di aprire un file con un'estensione associata all'applicazione. È possibile impostare le opzioni Minima o Completa per l'interfaccia utente dell'installazione tramite la procedura descritta in Impostare i valori predefiniti di Installazione software basata su Criteri di gruppo. Queste opzioni controllano il livello di visibilità del processo diinstallazione per l'utente.

Per ulteriori informazioni, vedere Assegnare un'applicazione, Pubblicare un'applicazione e Impostare l'opzione di installazione automatica per un'applicazione.

• Fase di distribuzione: durante questa fase, la nuova applicazione viene resa disponibile a un numero maggiore diutenti. La nuova versione dell'applicazione verrà impostata come predefinita e utilizzata dalla maggioranza degliutenti. I nuovi utenti avranno solo la possibilità di installare la nuova applicazione. È possibile evitare di assegnare opubblicare l'applicazione per determinati utenti qualora l'aggiornamento interferisca con le attività svolte.

Rimozione

Come amministratore è necessario selezionare una delle impostazioni seguenti, che si escludono a vicenda, quando si rimuove un'applicazione:

• Disinstalla immediatamente: per utilizzare questa opzione, è necessario che l'applicazione non sia correntemente inuso. Gli utenti che dispongono ancora dell'applicazione nel proprio computer riceveranno un annuncio di rimozione del programma.

• Impedisci nuove installazioni: questa opzione consente agli utenti di continuare a utilizzare il software già installato.

Per ulteriori informazioni, vedere Rimuovere un'applicazione gestita.

Eliminazione dal server

Quando si è certi che la versione precedente di un'applicazione non è più necessaria, è possibile eliminare il pacchetto di Windows Installer, i file di programma e i componenti. Se necessario, archiviare il pacchetto, i file di programma e i componenti e successivamente eliminare i file dal punto di distribuzione software.

Il sistema di backup

Cenni preliminari sul backup

L'utilità di backup consente di proteggere i dati contro le perdite causate da errori dei supporti di archiviazione o dell'hardware. È ad esempio possibile utilizzare l'utilità di backup per creare una copia dei dati sul disco rigido e quindi archiviare i dati in un'altra periferica di archiviazione. Il supporto di archiviazione del backup può essere un'unità logica, ad esempio il disco rigido, oppure una periferica di archiviazione separata, ad esempio un disco rimovibile, oppure ancora un'intera libreria di dischi o nastri organizzati e controllati da un juke-box. Se i dati originali sul disco rigido vengono cancellati o sovrascritti per errore oppure diventano inaccessibili a causa di un malfunzionamento del disco rigido, è possibile ripristinare questi dati in modo semplice dalla copia archiviata.

L'utilità di backup esegue una copia shadow del volume dei dati per creare una copia del contenuto dell'unità disco rigido, che include tutti i file aperti o i file utilizzati dal sistema. Gli utenti possono continuare ad accedere al sistema mentre l'utilità di backup è in esecuzione senza correre il rischio che si verifichino perdite di dati.

160

Per ulteriori informazioni sulla copia shadow del volume, vedere Cenni preliminari su Copia shadow del volume.

Con l'utilità di backup è possibile eseguire le operazioni seguenti:

• Archiviare sul disco rigido le cartelle e i file selezionati. • Ripristinare sul disco rigido o su altri dischi accessibili le cartelle e i file archiviati. • Utilizzare il Ripristino automatico di sistema per salvare e ripristinare tutti i file di sistema e le impostazioni di

configurazione necessarie per eseguire un ripristino in seguito a un errore di sistema irreversibile. • Creare una copia di tutti i dati dell'archivio remoto e di quelli archiviati nelle unità collegate. • Creare una copia dello stato del sistema del computer. • Creare un registro dei percorsi dei file sottoposti a backup e delle date di backup. • Creare una copia della partizione di sistema e della partizione di avvio del computer nonché dei file necessari

per avviare il sistema qualora si verifichi un errore nel computer o nella rete. •

161

Quando si esegue un backup incrementale, vengono inclusi nel backup solo i file creati o modificati dall'ultimo backup normale o incrementale. I file di backup vengono contrassegnati, il che significa che l'attributo di archivio viene deselezionato. Se si utilizza una combinazione di backup normali e incrementali, per il ripristino dei dati sarà necessario avere a disposizione sia l'ultimo set di backup normale che tutti i set di backup incrementali.

Backup normale

Quando si esegue un backup normale, vengono copiati tutti i file selezionati e i file di backup vengono contrassegnati, il che significa che l'attributo di archivio viene deselezionato. Con i backup normali, per il ripristino di tutti i file è sufficiente avere a disposizione la copia più recente del nastro o del file di backup. Il backup normale in genere viene eseguito la prima volta che si crea un set di backup.

L'esecuzione del backup mediante una combinazione di backup normali e incrementali richiede una quantità minima di spazio di archiviazione ed è il metodo più rapido. Tuttavia, poiché il set di backup può essere archiviato in diversi dischi o nastri, il ripristino dei file può richiedere molto tempo e risultare difficoltoso.

L'esecuzione del backup mediante una combinazione di backup normali e differenziali richiede una quantità di tempo ancora maggiore, in particolare se i dati sono soggetti a frequenti modifiche, ma il ripristino dei dati risulta più facile in quanto il set di backup in genere viene archiviato solo in pochi dischi o nastri.

Per ulteriori informazioni, vedere Per impostare il tipo di backup.

Cenni preliminari sulla copia replicata del volume

Con l'utilità di backup è possibile creare backup delle copie replicate di volumi e copie esatte di file, inclusi i file aperti. Ad esempio, durante il processo di backup della copia replicata del volume, viene eseguito anche il backup dei database aperti in modo esclusivo e dei file aperti per le attività di sistema o di un operatore. In questo modo, i file modificati durante il processo di backup vengono copiati correttamente.

I backup della copia replicata garantiscono quanto segue:

• È possibile che le applicazioni continuino a scrivere dati anche durante il processo di backup. • I file aperti non vengono esclusi dal processo di backup. • È possibile eseguire i processi di backup in qualsiasi momento, senza bloccare altri utenti.

Alcune applicazioni gestiscono in modo diverso l'uniformità di archiviazione quando i file sono aperti, influenzando di fatto l'uniformità dei file nel backup. Nel caso delle applicazioni critiche, consultare la documentazione dell'applicazione oppure il fornitore del prodotto circa il metodo di backup consigliato. In caso di dubbio, chiudere l'applicazione prima di eseguire un backup.

Si consiglia di eseguire i backup in orari di minore utilizzo del server. Eseguire il backup, ad esempio, durante la notte.

Per ulteriori informazioni, vedere Per impostare le opzioni di backup avanzate.

Per eseguire il backup di file su file o su nastro


1. Aprire Backup.

Il Backup o ripristino guidato viene avviato per impostazione predefinita, a meno che non sia stato disattivato. È possibile utilizzare questa procedura guidata oppure procedere con il passaggio successivo in Modalità avanzata.

2. Fare clic sul collegamento Modalità avanzata in Backup o ripristino guidato. 3. Fare clic sulla scheda Backup, quindi scegliere Nuovo dal menu Processo.

164

Stampa senza l'utilizzo di un server di stampa

Per il primo metodo, considerare la situazione descritta di seguito: la rete di un gruppo di lavoro di ridotte dimensioni è composta da un numero esiguo di computer e da una stampante collegata direttamente alla rete. Ciascun utente della rete aggiunge la stampante alla cartella Stampanti e fax senza condividerla e configura le impostazioni del driver.

Lo svantaggio di questa configurazione consiste nel fatto che i client non conoscono lo stato effettivo della stampante. Ad ogni computer corrisponde una coda di stampa nella quale vengono visualizzati solo i processi inviati da quel computer. Pertanto, non è possibile determinare la posizione del processo di stampa inviato rispetto a quelli provenienti dagli altri computer. Inoltre, i messaggi di errore, ad esempio carta esaurita o inceppamento fogli, compaiono unicamente nella coda di stampa del processo corrente. Infine, tutti i processi su un documento inviato in stampa vengono eseguiti localmente su tale computer.

Stampa con l'utilizzo di un server di stampa

Il secondo metodo consiste nell'utilizzare come server di stampa un computer con un sistema operativo della serie Windows Server 2003. La stampante verrà aggiunta su questo computer e condivisa con gli altri utenti. Anche un computer con Windows XP Professional può essere utilizzato come server di stampa, ma presenta alcune limitazioni; questo sistema operativo infatti non supporta i servizi Macintosh o NetWare e non consente più di 10 connessioni all'interno della stessa LAN (Local Area Network).

La stampa tramite server offre numerosi vantaggi:

• Il server di stampa gestisce le impostazioni del driver della stampante. • Su tutti i computer connessi alla stampante viene visualizzata la stessa coda di stampa, pertanto ogni utente

sarà in grado di determinare la posizione del processo inviato rispetto agli altri. • I messaggi di errore vengono visualizzati su tutti i computer e tutti gli utenti conoscono lo stato della

stampante. • Parte dell'elaborazione viene spostata dal client al server di stampa. • Gli amministratori che intendono controllare gli eventi di stampa potranno disporre di un singolo file registro.

L'unico svantaggio consiste nel fatto che un computer dovrà essere utilizzato come server di stampa. Non è tuttavia indispensabile che un computer venga esclusivamente dedicato alla funzione di stampa. Normalmente, i server di stampa sono implementati su computer che eseguono anche altre attività.

Gennaio 2006 V1 - Libero...

Documents

Transcript of Gennaio 2006 V1 - Libero...