Active Directory: Struttura, Funzionalità e Oggetti

Classificato in Informatica

Scritto il in italiano con una dimensione di 15,1 KB

Active Directory fornisce funzionalità di servizio di directory come un mezzo per organizzare, gestire e controllare centralmente l'accesso alle risorse di rete.

Rende la topologia fisica della rete e dei protocolli trascurabile.

È organizzato in sezioni che permettono la memorizzazione di un gran numero di oggetti.

È possibile estendere Active Directory man mano che l'organizzazione cresce.

Controllo centralizzato di accesso alle risorse di rete, consentendo agli utenti di accedere una sola volta per avere pieno accesso alle risorse.

Oggetti di Servizio in Active Directory

Gli oggetti rappresentano le risorse di rete.

Un amministratore unico controlla centralmente le risorse in un database distribuito.

Quando si crea un oggetto, le proprietà o gli attributi che lo descrivono sono memorizzati nella directory.

Gli utenti possono trovare gli oggetti ricercando attributi specifici.

Una funzione importante di un oggetto è quella di contenere altri oggetti.

Schema del Servizio di Directory

Lo schema contiene le definizioni di tutti gli oggetti.

In Windows 2000 esiste un solo schema.

I due tipi di definizioni dello schema sono gli attributi e le classi di oggetti.

Le classi di oggetti descrivono gli oggetti di directory che possono essere creati.

Ogni classe è un insieme di attributi.

Gli attributi sono definiti indipendentemente dalle classi di oggetti.

Ogni attributo è definito solo una volta e può essere utilizzato in più classi di oggetti.

Il database memorizza lo schema di Active Directory.

L'archiviazione in un database significa che lo schema:

  • È disponibile dinamicamente alle applicazioni degli utenti, questo permette alle applicazioni utente di leggere lo schema e scoprire quali oggetti e proprietà sono disponibili e possono essere utilizzati.
  • È aggiornabile in modo dinamico, in modo che un'applicazione possa estendere lo schema con nuovi attributi e classi di oggetti.
  • È possibile utilizzare gli elenchi di permessi (Access Control Lists - DACL) per proteggere tutti i tipi di oggetti e attributi.

Struttura Logica e Fisica di Active Directory

In Active Directory, la struttura logica è diversa dalla struttura fisica ed è separata da essa.

La struttura logica è utilizzata per organizzare le risorse di rete e la struttura fisica viene utilizzata per configurare e gestire il traffico di rete.

La struttura fisica definisce dove e quando si verifica la replica del traffico e il login.

La struttura logica è flessibile e fornisce un metodo per la progettazione di una gerarchia di directory.

I componenti logici della struttura sono:

  • Domini
  • OU (Unità Organizzative)
  • Alberi
  • Foreste

Domini

È l'unità centrale della struttura logica di Active Directory.

È un insieme di computer definito da un amministratore, che condividono un database di cartelle comuni.

Un dominio ha un nome univoco e fornisce l'accesso agli account utente e account di gruppo centralizzato gestito dall'amministratore del dominio.

In una rete, il dominio funge da limite di sicurezza.

Lo scopo è di assicurare che un amministratore di dominio disponga delle autorizzazioni necessarie per l'amministrazione solo in quel dominio, a meno che esplicitamente non conceda un dominio aggiuntivo.

Tutti i domini hanno le loro politiche di sicurezza e rapporti di sicurezza con altri domini.

I domini sono anche unità di replicazione.

Un'unità di replicazione significa che tutti i controller di dominio ricevono le informazioni che cambiano nel proprio dominio, replicando quelle modifiche agli altri controller di dominio nello stesso.

Dopo aver installato Active Directory e stabilito un dominio, funziona in modalità mista, come modalità predefinita del dominio.

Un dominio in modalità mista è compatibile con tutti i controller di dominio.

Active Directory è installato in modalità mista per garantire la compatibilità con i controller di dominio esistenti.

Quando tutti i driver sono aggiornati a Windows 2000 o superiore, allora è possibile convertire il dominio dalla modalità mista alla modalità nativa.

Alcune funzioni richiedono che il dominio di Active Directory sia in modalità nativa.

Modificare la modalità mista alla modalità nativa è un'operazione irreversibile.

Alberi e Foreste

Il primo dominio Windows è chiamato il dominio radice della foresta.

Il dominio radice della foresta è importante per i seguenti motivi:

  • Ci si riferisce alla foresta con il nome del dominio principale. Rinominare Active Directory significa eliminare tutti i controller di dominio.
  • Domini aggiuntivi vengono aggiunti alla radice del dominio per formare la struttura degli alberi o foreste.
  • I pannelli sono creati per la gestione di Active Directory solo nel dominio radice della foresta.
  • Nella foresta del dominio principale devono esistere le funzioni di schema master operations e la denominazione dei domini master.

Un albero è una disposizione gerarchica di domini Windows, che condividono uno spazio dei nomi contiguo.

Quando si aggiunge un dominio ad un albero esistente, il nuovo dominio è un dominio figlio di un dominio esistente.

Il nome del dominio è in combinazione con il nome di dominio DNS primario per formare il nome completo.

Ogni dominio secondario ha una relazione transitiva, a due vie, rispetto al dominio principale.

Una foresta è uno o più alberi.

Gli alberi in una foresta non necessariamente condividono un namespace contiguo.

Gli alberi in un bosco condividono uno schema, un contesto di configurazione e un catalogo comune.

Un singolo albero che non è correlato ad un altro, è una foresta di un albero.

Ogni dominio principale dell'albero ha una relazione transitiva di trust con il dominio radice della foresta.

Il nome del dominio radice della foresta è usato per riferirsi a un insieme di strutture specifiche.

Ogni albero in un bosco ha il proprio spazio dei nomi univoco.

Relazioni di Trust (Trust Relationship)

Il trust è un sicuro collegamento di comunicazione bidirezionale tra i domini.

Un trust bidirezionale significa che ci sono due percorsi di fiducia che vanno in direzioni opposte tra i due domini.

Una fiducia transitiva significa che il rapporto di fiducia esteso a un dominio è automaticamente esteso a tutti gli altri domini che si fidano di lui.

Una relazione di trust transitiva a due vie è il rapporto di fiducia tra i domini di default nella stessa foresta in Windows.

Un trust transitivo a due vie è una combinazione di un trust transitivo e un trust bidirezionale.

Unità Organizzative (OU)

Una unità organizzativa è un oggetto che viene utilizzato per organizzare gli oggetti del dominio.

Una OU può contenere oggetti o anche altre unità organizzative.

È possibile utilizzare le unità organizzative per raggruppare oggetti nella gerarchia logica che meglio si adatta alle esigenze.

La gerarchia delle unità organizzative in un dominio è indipendente.

Ogni dominio può realizzare una propria gerarchia di OU.

È possibile delegare il controllo amministrativo degli oggetti in una OU.

Per delegare il controllo, si assegnano a uno o più gruppi di utenti autorizzazioni specifiche per l'unità organizzativa e gli oggetti che contiene l'unità organizzativa.

È possibile assegnare il pieno controllo su tutti gli oggetti del gruppo, o un controllo limitato.

Catalogo Globale

Il catalogo globale è un archivio di informazioni che contiene un sottoinsieme di attributi di tutti gli oggetti in Active Directory.

Gli attributi che vengono memorizzati nel catalogo globale sono quelli più frequentemente utilizzati nelle consultazioni.

Il catalogo globale contiene le informazioni necessarie per determinare la posizione di qualsiasi oggetto nella directory.

Consente agli utenti di svolgere tre funzioni principali:

  • Trovare le informazioni da Active Directory in tutta la foresta, indipendentemente dai dati.
  • Utilizzare informazioni provenienti da appartenenza a un gruppo universale per l'accesso alla rete.
  • Accedere utilizzando un nome principale utente nella foresta di dominio diversi.

Un server di catalogo globale è un controller di dominio che elabora le query nel catalogo globale.

Il primo controller di dominio creato in Active Directory, diventa automaticamente un server di catalogo globale.

È possibile configurare altri server per bilanciare il traffico di autenticazione e di consultazione.

Il catalogo globale:

  • Rende la struttura di directory di una foresta trasparente per gli utenti che effettuano una ricerca.
  • Esso contiene inoltre le autorizzazioni di accesso per ciascun oggetto e attributo in esso memorizzati.

Struttura Fisica di Active Directory

La struttura fisica di Active Directory definisce dove e quando si presentano la replica del traffico e il login.

È essenziale capire i componenti fisici per ottimizzare il traffico di rete e il processo di accesso.

I controller di dominio e i siti sono la struttura fisica di Active Directory.

Controller di Dominio

Un controller di dominio è un computer che esegue Windows Server che memorizza una replica della directory.

Gestisce le modifiche apportate alle informazioni della directory e replica queste modifiche per altri controller di dominio nello stesso dominio.

Conserva i dati di directory e gestisce il processo di accesso, l'autenticazione e le ricerche directory utente.

Un dominio può avere uno o più controller di dominio.

Il database di Active Directory è diviso in tre partizioni chiamate contesti di nomi:

  • Il contesto dei nomi di dominio
    • Contiene tutti gli oggetti e gli attributi degli oggetti in un dominio.
  • La configurazione del contesto di denominazione
    • Contiene informazioni sui trust forestale.
  • Lo schema di denominazione contesto
    • Definisce tutti gli oggetti e le proprietà che possono essere creati nel database di Active Directory.

I controller di dominio replicano qualsiasi cambiamento nel contesto dei nomi di dominio collegati gli uni agli altri nei suoi domini.

I controller di dominio in una foresta replicano automaticamente le eventuali modifiche allo schema dei nomi di dominio e di contesti tra loro.

La replica garantisce che tutte le informazioni di Active Directory siano disponibili per tutti i controller di dominio e tutti i client attraverso la rete.

Active Directory utilizza un modello di replicazione multi-master.

Nella replica in questo modello, ogni dominio ha uno o più controller di dominio.

Ogni controller memorizza una copia scrivibile del database per il dominio di Active Directory, e gestisce le modifiche e gli aggiornamenti nella tua copia della directory.

Quando un utente o un amministratore esegue un'azione che provoca un aggiornamento, questo viene replicato in tutti i controller di dominio nel dominio.

Tuttavia, i controller possono contenere informazioni diverse per brevi periodi, fino a quando tutti i controller hanno sincronizzato le modifiche ad Active Directory.

Non è pratico apportare alcune modifiche ad Active Directory utilizzando la multi-master replica, così sono assegnate le operazioni di master unico per i controller di dominio specifico.

Siti

Un sito è un insieme di sottoreti internet (uno o più protocolli) che sono collegati da un collegamento ad alta velocità.

Nel definire la topologia, i siti sono configurati per l'applicazione e l'accesso ad Active Directory in modo che i programmi di Windows utilizzino i collegamenti più efficaci e il traffico di accesso e di replica.

I siti vengono creati per due motivi:

  • Per ottimizzare il traffico di replica.
  • Per consentire agli utenti di connettersi a un controller di dominio tramite una connessione di rete affidabile e ben collegata con le funzioni di autenticazione e di accesso.

I siti sono assegnati alla struttura fisica della rete.

I domini sono assegnati alla struttura logica.

Le strutture logiche e fisiche di Active Directory sono indipendenti l'una dall'altra, quindi:

  • Non vi è, necessariamente, correlazione tra la struttura fisica della rete e la sua struttura di dominio.
  • Active Directory consente più domini su un unico sito e più siti in un unico dominio.
  • Non vi è, necessariamente, correlazione tra gli spazi dei nomi di siti e domini.

Caratteristiche del Dominio

Un dominio è un gruppo logico di computer in rete che condividono uno spazio comune per memorizzare le informazioni di sicurezza.

Fornisce un approccio centralizzato alla gestione delle risorse di rete.

Gli utenti di un computer possono accedere alle condivisioni su altri computer nel dominio, a condizione che siano assegnate le autorizzazioni appropriate.

Il concetto di dominio è simile al concetto di gruppo di lavoro, ma fornisce una serie di funzioni utili:

  • Single Sign-On
    • I domini forniscono un processo di accesso che consente agli utenti di accedere a diverse risorse di rete.
    • Tutti gli account utente vengono archiviati in una posizione centrale.
  • Account Utente Singolo
    • Il computer in un dominio ha bisogno di un solo account per accedere alle risorse di diversi team.
  • Gestione Centralizzata
    • I domini forniscono una gestione centralizzata.
    • Tutte le informazioni di account e le risorse possono essere gestite da una singola posizione all'interno del dominio.
  • Stabilità
    • I domini possono scalare per reti di grandi dimensioni.
    • Il modo di accesso alle risorse e come gestirle in reti di grandi dimensioni, è lo stesso in reti di piccole dimensioni.

I vantaggi di un dominio:

  • L'organizzazione degli oggetti
    • Siamo in grado di disporre gli oggetti in unità organizzative di dominio.
    • Sono oggetti che rappresentano i componenti effettivi fisici sulla rete.
    • Sono associate a uno o più domini.
  • Facile da individuare le informazioni
    • Inviare una risorsa significa metterla a disposizione in un elenco di oggetti di dominio, fornendo agli utenti senza ubicazione e l'uso.
  • Accesso semplificato
    • L'attuazione di una politica di gruppo di dominio stabilisce come gli utenti possono accedere, configurare e utilizzare le risorse di dominio, in modo da poter consolidare la gestione delle risorse e la sicurezza.
  • Deleghe
    • Assegnare privilegi consente all'amministratore di gestire gli oggetti in un dominio o una o più unità organizzative.
Karma: -31%
Visite: 0

Voci correlate:

Tag:
utente active directory attributo lingua replica di active directory catalogo globale struttura schema active vantaggi svantaggi dominio figlio nuova foresta struttura logica e fisica di active directory: siti, foreste, alberi e domini. struttura logica active directory domini multimaster classe oggetti active directory POSSONO ESISTERE 2 DNS PRIMARI NELLA STESSA FORESTA configurare siti e domini di active directory stampa gerarchia OU Active directory configurazione risorse active directory nome dominio radice foresta dominio directory database comune name space contiguo windows domain esempio organizzare active directory utente foresta accesso a altro dominio politica di gruppo di dominio schema active directory come organizzare bene active directory esempio struttura active directory rete