Funzionalità e Struttura di Active Directory: Un Approfondimento Completo

Funzionalità del Servizio Directory

L'Active Directory fornisce il servizio di directory con funzionalità come un mezzo per organizzare, gestire e controllare centralmente l'accesso alle risorse di rete. Si basa sulla topologia della rete e sui protocolli sottostanti. È organizzato in sezioni che consentono l'archiviazione di un gran numero di oggetti. È possibile estendere l'Active Directory man mano che cresce un'organizzazione. Fornisce controllo centralizzato alle risorse di rete, consentendo agli utenti di accedere una sola volta per avere accesso completo alle risorse.

Oggetti del Servizio Directory

Gli oggetti rappresentano solo l'amministratore della rete. Controllano centralmente le risorse in un database distribuito. Quando si crea un oggetto, le proprietà e gli attributi che lo descrivono sono memorizzati nel directory. È possibile trovare gli oggetti cercando ruoli specifici. Un attributo di alcuni oggetti è quello di contenere altri oggetti.

Schema del Servizio Directory

Lo schema contiene le definizioni di tutti gli oggetti di Windows 2000. I due tipi di definizioni dello schema sono i tipi di attributi e le classi di oggetti che descrivono gli oggetti di directory. Ogni classe può essere creata. Ogni attributo è un insieme di attributi definiti indipendentemente dall'oggetto. Ogni attributo è definito solo una volta e può essere utilizzato in più tipi di oggetti del database di Active Directory. Lo schema è memorizzato in un database, il che significa che è disponibile dinamicamente alle applicazioni degli utenti. Questo permette alle applicazioni di leggere lo schema per scoprire quali oggetti e proprietà sono disponibili e possono essere utilizzati. È dinamicamente aggiornabile, in modo che un'applicazione possa estendere lo schema con nuovi attributi e classi di oggetti. È possibile utilizzare le liste di controllo accesso (DACL) per proteggere tutti i tipi di oggetti e attributi.

Active Directory

La struttura logica di Active Directory è diversa dalla struttura fisica ed è separata da essa. La struttura logica è utilizzata per organizzare le risorse di rete, mentre la struttura fisica viene utilizzata per configurare e gestire il traffico di rete. La struttura fisica definisce dove e quando si verifica il traffico di replica. La struttura logica è flessibile e fornisce un metodo per la progettazione di una gerarchia di componenti directory. Le strutture logiche sono: organizzative, alberi, domini e foreste.

Dominio

Il dominio è l'unità centrale della struttura logica di Active Directory. Comprende una serie di apparecchiature, definite da un amministratore, che condividono un database di directory comune. Un dominio ha un nome univoco e fornisce l'accesso centralizzato agli account utente e ai conti di gruppo del dominio. Un amministratore di rete, il dominio funge da limite di sicurezza, garantendo che un amministratore di dominio disponga delle autorizzazioni necessarie per l'amministrazione solo in quel dominio, a meno che non siano esplicitamente concesse in un dominio aggiuntivo. Ogni dominio ha le proprie politiche di sicurezza e relazioni con altri domini di sicurezza. Le unità di replicazione significano che tutti i controller di dominio ricevono le informazioni di variazione dal proprio dominio, replicando questi cambiamenti in altri controller del dominio. Dopo aver installato Active Directory e stabilito un dominio, il dominio opera in modalità mista, che è la modalità predefinita. È compatibile con tutti i domini. Il driver installato di Active Directory in modalità mista garantisce la compatibilità con i controller di dominio esistenti. Quando tutti i driver sono aggiornati a Windows 2000 o superiore, è possibile convertire le funzioni di dominio da modalità mista a nativa. Alcuni directory attivi richiedono che il dominio non cambi in alcun modo in modalità nativa. La transizione dalla modalità mista a quella nativa è un processo unidirezionale.

Alberi e Foreste

Il primo dominio Windows è chiamato dominio principale della foresta. Il dominio radice della foresta è importante per i seguenti motivi: si fa sempre riferimento alla foresta con il nome del dominio principale. Rinominare Active Directory significa rimuovere tutti i driver del dominio. Se si aggiungono domini aggiuntivi al dominio principale, si forma la struttura degli alberi o delle foreste. Si possono creare pannelli per la gestione di Active Directory solo nel dominio principale della foresta. Nel dominio radice della foresta devono esistere le funzioni di schema master e di operazioni e i nomi di dominio di master. Un albero è una disposizione gerarchica di domini di Windows che condividono uno spazio dei nomi contiguo. Quando si aggiunge un dominio a un albero esistente, il nuovo dominio è un dominio figlio di un dominio esistente. Il nome del dominio secondario DNS è una combinazione del nome del dominio primario e del dominio figlio. Ogni dominio ha un rapporto di fiducia bidirezionale transitivo rispetto al proprio dominio. Una foresta è composta da uno o più alberi. Gli alberi in una foresta non necessariamente condividono uno spazio dei nomi contiguo. Gli alberi in una foresta fanno parte di un piano, un contesto di configurazione e un albero comune. Un catalogo unico che non è correlato a un altro è una foresta di un dominio radice dell'albero. Ogni foresta ha un proprio spazio dei nomi unico.

Rapporto di Fiducia

Il trust è un modo sicuro di collegamento tra domini. Un modo significa che ci sono due percorsi di fiducia che vanno in direzioni opposte tra i due domini. Un trust transitivo significa che il rapporto di fiducia esteso a un dominio è automaticamente esteso a tutti gli altri domini che hanno un rapporto di fiducia con esso. Un trust bidirezionale transitivo è il rapporto di fiducia tra i domini di default nella stessa foresta in Windows. Un trust bidirezionale transitivo è una combinazione di un trust transitivo e di un trust bidirezionale.

Unità Organizzativa (OU)

Un'unità organizzativa è un oggetto che viene utilizzato per organizzare gli oggetti del dominio. Una OU può contenere oggetti o anche altre unità organizzative.