Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Servizi di directory
Active Directory fornisce l’infrastruttura necessaria per progettare una directory che soddisfi
le esigenze di ogni organizzazione. Una directory consiste in una raccolta di informazioni
memorizzate che riguardano diversi tipi di risorse. In un ambiente di lavoro distribuito, ad
esempio una rete Windows, gli utenti devono essere in grado di individuare e utilizzare le
risorse distribuite e gli amministratori devono poter gestire l’utilizzo di tali risorse. Risulta
quindi evidente il motivo per cui è necessario un servizio di directory.
Tale servizio, infatti, memorizza tutte le informazioni necessarie per utilizzare e gestire
le risorse distribuite in un percorso centralizzato. Esso consente inoltre il funzionamento
in contemporanea di tali risorse, è responsabile dell’autorizzazione degli accessi, della
gestione delle identità e del controllo delle relazioni tra le risorse. Poiché fornisce queste
funzioni fondamentali, un servizio di directory deve essere profondamente integrato con le
funzionalità di protezione e di gestione del sistema operativo di rete.
3
Un servizio di directory fornisce i mezzi per definire e mantenere l’infrastruttura di rete,
svolgere attività di amministrazione del sistema e controllare l’esperienza degli utenti.
Anche se potrebbero non conoscere alla perfezione le risorse di cui hanno bisogno, utenti e
amministratori dovrebbero comunque conoscerne le caratteristiche di base, in modo da poter
utilizzare il servizio di directory per ottenere un elenco di risorse che corrispondono a tali
caratteristiche. Come illustrato nella figura 1-1, il servizio di directory può essere utilizzato per
interrogare la directory e individuare le risorse che presentano determinate caratteristiche. Ad
esempio, gli utenti possono utilizzare la directory per trovare una stampante a colori in una
determinata area dell’organizzazione o una stampante che supporti la funzione di stampa
fronte/retro.
Utente
Server Directory
Printer12
Nome: Printer12
Tipo: HP Laser
? Colore: Sì
Fronte/retro: Sì
Posizione: 4° piano
Nome: Printer36
Tipo: HP Laser
Color: Sì
Printer36 Fronte/retro: No
Posizione: 2° piano
Nome: Server24
OS: Windows Server 2008
Server Tipo: File Server
Directory Condivisioni cartelle: Sì
Posizione: 2° piano
Nome: Server35
OS: Windows Server 2008
Server24 Type: File Server
Condivisioni cartelle: Sì
Posizione: 2° piano
Server35
FIGURA 1-1 Utilizzo dei servizi di directory
Poiché un servizio di directory è uno strumento utile non solo per gli utenti standard, anche
gli amministratori possono utilizzarlo per individuare le risorse. Ad esempio, un amministratore
può individuare i file server sui quali è in esecuzione Windows Server 2008. A mano a mano
Interfacce
FIGURA 1-2 Active Directory è in grado di operare con i client e altri servizi di directory
Domini DNS
Active Directory utilizza DNS (Domain Name System). DNS è un servizio Internet standard
che organizza i gruppi in una struttura gerarchica. Nonostante siano implementati per motivi
diversi, Active Directory e DNS hanno la stessa struttura gerarchica. La gerarchia DNS è definita
a livello di Internet per le reti pubbliche e a livello aziendale per le reti private. I vari livelli
all’interno della gerarchia DNS identificano i vari computer e le relazioni tra loro. Tali relazioni
sono espresse tramite l’utilizzo di domini. I computer che fanno parte dello stesso dominio
DNS sono strettamente collegati. I domini utilizzati all’interno delle organizzazioni sono domini
organizzativi. I domini che si trovano alla base della gerarchia DNS sono domini radice o di
livello principale.
I client Active Directory utilizzano DNS per individuare le risorse. DNS converte facilmente
i nomi host leggibili in indirizzi IP (Internet Protocol). Ogni computer in un dominio ha un
nome di dominio completo (FQDN), come server34.microsoft.com. In questo esempio,
server34 rappresenta il nome di un singolo computer, microsoft rappresenta il dominio
dell’organizzazione e com è il dominio di livello principale.
DNS DNS
Trasferimento Trasferimento
zona zona
data.cpandl.com recs.cpandl.com
Zona
DNS DNS
cpandl.com
Controller di dominio
Quando si installa Windows Server su un computer, questo può essere configurato come
server indipendente, server membro o controller di dominio. Un controller di dominio (DC) è un
computer che ospita una directory Active Directory. Se si sta utilizzando Windows Server 2008,
l’installazione di Active Directory avviene in due passaggi. In primo luogo, si aggiunge il ruolo
Servizi di dominio Active Directory al server utilizzando l’Aggiunta guidata ruoli. Quindi, si
esegue l’Installazione guidata Active Directory. Se DNS non è ancora installato, viene richiesto
di installarlo. Se non è presente un dominio, la procedura sarà di supporto nel crearlo e nella
configurazione di Active Directory nel nuovo dominio, oltre a facilitare l’aggiunta di domini
figlio in strutture esistenti.
DC3 DC5
DC1 DC4
Dati
Dati Dati modifi-
modificabili modificabili cabili
Ufficio secondario
Controller di
dominio di sola
lettura
Dati di sola
lettura
Attributi
Nome
Iniziale secondo nome
Cognome
Nome visualizzato
Users
Attributi
Nome
Descrizione
Posizione
Identificatore di
Computers protezione
Oggetti della classe Computer
Attributi
Nome
Descrizione
Posizione
Tipo
Printers
Oggetti della classe Printer
FIGURA 1-6 Oggetti e attributi in Active Directory
displayName
Definizione oggetto Attribute
Descrizione
Nome comune
Identificatore di oggetto
Limiti intervalli di sintassi
Printers
Gli oggetti delle classi dello schema descrivono gli oggetti che è possibile creare.
Funzionano come modelli per la creazione di nuovi oggetti. All’interno di una particolare
classe dello schema, gli attributi memorizzano le informazioni che descrivono i relativi oggetti.
Ad esempio, le classi User, Group, Computer e Printer sono composte di molti attributi dello
schema. La classe User contiene attributi che descrivono gli utenti. La classe Group contiene
attributi che descrivono i gruppi di utenti. La classe Computer contiene attributi che descrivono
i computer. La classe Printer contiene attributi che descrivono le stampanti.
SUGGERIMENTO Ogni attributo dello schema è definito solo una volta e può essere
utilizzato in più classi. Ad esempio, l’attributo Description è definito solo una volta nello
schema, ma è utilizzato nelle classi User, Group, Computer e Printer e in altre classi ancora.
In Active Directory è compreso un insieme delle classi e degli attributi di base. Poiché la
directory è estendibile, altri prodotti di server e applicazioni possono estendere dinamicamente
lo schema. Ad esempio, quando si installa Microsoft Exchange Server nell’organizzazione, gli
attributi e le classi di estensione Exchange Server vengono aggiunti alla directory. Qualsiasi
nuova estensione alla directory viene replicata automaticamente come appropriato.
Componenti fisici
I componenti fisici di Active Directory sono i siti e le subnet. Un sito è la combinazione di una
o più subnet IP connesse da collegamenti estremamente affidabili. Una subnet è un gruppo di
indirizzi IP di rete. I siti e le subnet si utilizzano per creare una struttura di directory che rifletta
la struttura fisica dell’organizzazione.
I siti si utilizzano per eseguire il mapping della struttura fisica della rete. Come mostrato
nella figura 1-8, un sito solitamente presenta gli stessi confini delle LAN (Local Area Network).
Poiché i mapping dei siti sono separati e indipendenti dai componenti logici nella directory, non
esiste nessuna relazione necessaria tra le strutture fisiche della rete e le strutture logiche della
directory.
Mentre i siti possono essere associati a più intervalli di indirizzi IP, ogni subnet dispone di
uno specifico intervallo di indirizzi IP. I nomi della subnet sono visualizzati nella forma rete/
bit-masked, come 10.1.11.0/24. Nell’esempio, l’indirizzo di rete 10.1.11.0 e la network mask
255.255.255.0 sono combinati per creare il nome della subnet 10.1.11.0/24. La figura 1-9 mostra
le relative subnet per diverse LAN. Ogni LAN è associata a due subnet. Ad esempio, la rete St.
Paul è associata alla subnet 10.1.11.0/24 e alla subnet 10.1.12.0/24.
Sito
Chicago
Rete
Chicago
Sito
St. Louis
Rete
St. Louis
10.1.11.0/24 10.1.31.0/24
10.1.12.0/24 10.1.32.0/24
Rete Rete
St. Paul Detroit
Rete 10.1.1.0/24
Chicago 10.1.2.0/24
Rete
St. Louis
10.1.21.0/24
10.1.22.0/24
FIGURA 1-9 LAN all’interno di una WAN e relative subnet
Idealmente, quando si raggruppano le subnet nei siti, è opportuno assicurarsi che tutte
le subnet siano connesse in modo appropriato. Ciò significa che le subnet devono essere
connesse tramite connessioni affidabili e veloci. Generalmente, si considerano veloci le
Rete Rete
St. Paul Detroit
256 Kbps
512 Kbps
Rete
128 Kbps
Chicago
512 Kbps
Rete
St. Louis
Componenti logici
I componenti logici di Active Directory sono domini, strutture di dominio, foreste e unità
organizzative (OU). Questi componenti consentono di organizzare le risorse in una struttura
logica, che è quella che viene infine presentata agli utenti.
User
User User
Computer
Printer Printer
Computer Computer
La directory può contenere uno o più domini. Ogni nome di dominio deve essere unico. Se il
dominio fa parte di una rete privata, il nome assegnato a un nuovo dominio non deve entrare
in conflitto con il nome di un dominio esistente sulla rete privata. Se il dominio fa parte della
rete Internet pubblica, il nome assegnato a un nuovo dominio non deve entrare in conflitto
con il nome di nessun dominio esistente sulla rete pubblica. Per questo motivo è necessario
registrare i nomi di domini pubblici tramite un registro designato prima di utilizzarli. Un elenco
aggiornato dei registri designati è disponibile al sito InterNIC (http://www.internic.net).
STRUTTURE DI DOMINIO
I domini sono elementi fondamentali nell’implementazione delle strutture Active Directory,
ma non sono gli unici. Un altro tipo di elementi fondamentali sono le strutture di dominio. Le
strutture di dominio sono raggruppamenti logici di domini.
tech.cpandl.com
sales.cpandl.com
eng.tech.cpandl.com dev.tech.cpandl.com
FIGURA 1-12 Struttura di dominio
FORESTE
Le foreste sono raggruppamenti logici di strutture di dominio. Le strutture di dominio che
fanno parte di una foresta sono separate e indipendenti, quindi non condividono uno spazio
dei nomi contiguo. Infatti, quando in Active Directory viene aggiunto un nuovo dominio che
fa parte di uno spazio dei nomi diverso, il dominio viene aggiunto come parte di una nuova
struttura della foresta. Ad esempio, se Active Directory presenta un’unica struttura, come
mostrato nella figura 1-12, e alla directory viene aggiunto il dominio adatum.com, quest’ultimo
viene aggiunto come parte di una nuova struttura nella foresta, come mostrato nella figura
1-13, e diventa il dominio radice della nuova struttura.
cpandl.com adatum.com
tech.cpandl.com
sales.cpandl.com
eng.tech.cpandl.comdev.tech.cpandl.com
FIGURA 1-13 Foresta con due strutture di dominio
cpandl.com adatum.com
tech.cpandl.com us.adatum.com
sales.cpandl.com
eng.tech.cpandl.comdev.tech.cpandl.com west.us.adatum.comeast.us.adatum.com
FIGURA 1-14 Ambiente di dominio esteso
SUGGERIMENTO I domini di una foresta sono connessi tramite trust transitivi bidirezionali
impliciti. Un trust è un collegamento tra due domini, dove un dominio (definito dominio
trusting) rispetta l’autenticazione di accesso di un altro dominio (definito dominio trusted).
I trust collegano domini padre e figlio della stessa struttura di dominio e collegano i domini
radice di strutture diverse. Il protocollo predefinito utilizzato per i trust è Kerberos versione 5.
Per ulteriori informazioni, consultare il capitolo 8, “Gestione di trust e autenticazione”.
Le funzioni delle foreste sono limitate e controllate dal livello funzionale della foresta. Sono
disponibili diversi livelli funzionali delle foreste, tra cui:
■ Windows 2000 Supporta i controller di dominio che eseguono Windows NT 4.0 e
versioni successive di Windows Server. Tuttavia, non è possibile utilizzare i controller
di dominio Windows NT 4.0 con Windows Server 2008, né i controller di dominio
Windows Server 2008 con Windows NT 4.0.
■ Windows Server 2003 Supporta i controller di dominio che eseguono Windows Server
2003 e Windows Server 2008. Quando tutti i domini all’interno di una foresta operano
in questo modo, si riscontrano miglioramenti sia a livello di replica di catalogo globale
che a livello di efficacia della replica per i dati Active Directory. Poiché vengono replicati
i valori dei collegamenti, è possibile riscontrare anche miglioramenti a livello di replica
UNITÀ ORGANIZZATIVE
Le unità organizzative (OU) sono contenitori logici utilizzati per organizzare gli oggetti
all’interno di un dominio. Essendo l’ambito più piccolo al quale è possibile delegare autorità,
le OU possono essere utilizzate per facilitare l’amministrazione di account per utenti, gruppi e
computer e di altre risorse come stampanti e cartelle condivise.
Aggiungendo OU ad altre OU, è possibile creare una gerarchia all’interno di un dominio.
Ogni dominio di una foresta ha la propria gerarchia di OU, che è quindi indipendente dalle
gerarchie degli altri domini.
In teoria, le OU vengono create per semplificare le attività amministrative. Possono infatti
essere utilizzate per:
■ Riflettere il modo in cui vengono gestiti account e risorse.
■ Riflettere la struttura di un determinato dipartimento dell’organizzazione.
■ Riflettere le posizioni geografiche delle business unit.
■ Riflettere i centri di costo all’interno dell’organizzazione.
Su questa base, è possibile creare le OU per ogni divisione o business unit di
un’organizzazione. Ciò consente di delegare autorità agli amministratori a livello di unità,
concedendo loro le autorizzazioni per gestire gli account e le risorse solo all’interno di una
determinata business unit. Se un amministratore a livello di unità necessita di autorizzazioni in
un’altra business unit, è possibile garantirgli le autorizzazioni appropriate per la OU aggiuntiva.
CPANDL.COM
VENDITE SERVIZI
NA EUROPA SA NA EUROPA SA
■ Siti e servizi di Active Directory Utilizzato per gestire e mantenere siti e subnet. Vedere
la figura 1-17.
■ Utenti e computer di Active Directory Utilizzato per gestire e mantenere account per
utenti, gruppi e computer, oltre che per gestire e mantenere le OU. Vedere la figura 1-18.
■ Modifica ADSI Utilizzato per modificare ADSI (Active Directory Service Interfaces).
Questo editor di basso livello consente di modificare direttamente gli oggetti e i relativi
attributi. Vedere la figura 1-20.