Sei sulla pagina 1di 25

C APITOLO 1

Panoramica di Active Directory


■ Servizi di directory 3
■ Introduzione ad Active Directory 5
■ Oggetti Active Directory 11
■ Gestione di Active Directory 22

I l successo a lungo termine di un amministratore, indipendentemente dal livello di


esperienza e di nozioni di cui dispone, dipende da quanto approfondita è la sua conoscenza
di Active Directory. Active Directory è un servizio di directory estendibile che consente
una gestione centralizzata delle risorse di rete. Consente inoltre di aggiungere, rimuovere
o riallocare in modo semplice account per utenti, gruppi e computer, oltre ad altri tipi di
risorse. Praticamente tutte le attività amministrative condizionano in qualche modo Active
Directory, che si basa su protocolli Internet standard e presenta un design che consente di
individuare facilmente i componenti fisici e logici di una struttura di rete.

Servizi di directory
Active Directory fornisce l’infrastruttura necessaria per progettare una directory che soddisfi
le esigenze di ogni organizzazione. Una directory consiste in una raccolta di informazioni
memorizzate che riguardano diversi tipi di risorse. In un ambiente di lavoro distribuito, ad
esempio una rete Windows, gli utenti devono essere in grado di individuare e utilizzare le
risorse distribuite e gli amministratori devono poter gestire l’utilizzo di tali risorse. Risulta
quindi evidente il motivo per cui è necessario un servizio di directory.
Tale servizio, infatti, memorizza tutte le informazioni necessarie per utilizzare e gestire
le risorse distribuite in un percorso centralizzato. Esso consente inoltre il funzionamento
in contemporanea di tali risorse, è responsabile dell’autorizzazione degli accessi, della
gestione delle identità e del controllo delle relazioni tra le risorse. Poiché fornisce queste
funzioni fondamentali, un servizio di directory deve essere profondamente integrato con le
funzionalità di protezione e di gestione del sistema operativo di rete.

3
Un servizio di directory fornisce i mezzi per definire e mantenere l’infrastruttura di rete,
svolgere attività di amministrazione del sistema e controllare l’esperienza degli utenti.
Anche se potrebbero non conoscere alla perfezione le risorse di cui hanno bisogno, utenti e
amministratori dovrebbero comunque conoscerne le caratteristiche di base, in modo da poter
utilizzare il servizio di directory per ottenere un elenco di risorse che corrispondono a tali
caratteristiche. Come illustrato nella figura 1-1, il servizio di directory può essere utilizzato per
interrogare la directory e individuare le risorse che presentano determinate caratteristiche. Ad
esempio, gli utenti possono utilizzare la directory per trovare una stampante a colori in una
determinata area dell’organizzazione o una stampante che supporti la funzione di stampa
fronte/retro.

Utente
Server Directory
Printer12
Nome: Printer12
Tipo: HP Laser
? Colore: Sì
Fronte/retro: Sì
Posizione: 4° piano
Nome: Printer36
Tipo: HP Laser
Color: Sì
Printer36 Fronte/retro: No
Posizione: 2° piano
Nome: Server24
OS: Windows Server 2008
Server Tipo: File Server
Directory Condivisioni cartelle: Sì
Posizione: 2° piano
Nome: Server35
OS: Windows Server 2008
Server24 Type: File Server
Condivisioni cartelle: Sì
Posizione: 2° piano

Server35
FIGURA 1-1 Utilizzo dei servizi di directory

Poiché un servizio di directory è uno strumento utile non solo per gli utenti standard, anche
gli amministratori possono utilizzarlo per individuare le risorse. Ad esempio, un amministratore
può individuare i file server sui quali è in esecuzione Windows Server 2008. A mano a mano

4 CAPITOLO 1 Panoramica di Active Directory


che un’organizzazione cresce, si amplia anche la rete, le risorse da gestire si moltiplicano e il
servizio di directory assume sempre più importanza.

Introduzione ad Active Directory


Active Directory è il servizio di directory compreso con Windows Server. Il servizio comprende
sia la directory che memorizza le informazioni sulle risorse distribuite, sia i servizi che rendono
tali informazioni utili e disponibili. Tutte le versioni di Windows Server a partire dalla versione
Windows 2000 supportano Active Directory.

Domini di Active Directory


I domini Windows che utilizzano Active Directory sono definiti domini di Active Directory. In un
dominio Active Directory, i dati si trovano in un unico repository di dati distribuito, che richiede
un livello di gestione minimo e allo stesso tempo consente l’accesso da qualsiasi percorso nella
rete. Utilizzando le strutture logiche e fisiche fornite da Active Directory, è possibile adattare
la directory in modo da soddisfare i requisiti aziendali e di rete anche quando si dispone di
centinaia, migliaia o milioni di risorse.
Active Directory è un servizio progettato per operare con altri servizi di directory e per
accettare le richieste di molti client diversi utilizzando una varietà di interfacce, come mostrato
nella figura 1-2. Il protocollo primario per Active Directory è LDAP (Lightweight Directory
Access Protocol) versione 3, un protocollo standard per i servizi di directory. Quando si
utilizzano altri server Windows, Active Directory supporta la replica tramite l’interfaccia REPL.
Quando si utilizzano i client di messaggistica legacy, Active Directory supporta l’interfaccia
MAPI (Messaging Application Programming Interface). e l’interfaccia SAM (Security Accounts
Manager).
I servizi di autenticazione e di autorizzazione di Active Directory utilizzano Kerberos
versione 5 e altri protocolli standard, in modo da fornire protezione dei dati per impostazione
predefinita e allo stesso tempo massimizzare la flessibilità. Ad esempio, Active Directory
contrassegna e crittografa per impostazione predefinita tutte le comunicazioni che utilizzano
LDAP. La firma di tali comunicazioni garantisce che i dati provengano da una fonte nota e che
non siano stati modificati.
Active Directory è un servizio integrato con la protezione di Windows Server. Come per i
file e le cartelle, è possibile controllare anche l’accesso alle risorse distribuite nella directory
utilizzando un insieme granulare di autorizzazioni. Allo stesso, modo, è possibile controllare
l’accesso alle proprietà delle risorse distribuite. In aggiunta, Active Directory fornisce gruppi di
protezione per gli amministratori a vari livelli nell’organizzazione.
I criteri di gruppo sono utilizzati per definire le azioni e le impostazioni consentite per utenti
e computer e la gestione basata sui criteri semplifica molte attività di amministrazione.
I criteri di gruppo possono essere applicati in molti modi: un modo possibile consiste
nell’utilizzare i modelli di protezione per configurare la protezione iniziale di un computer.

Panoramica di Active Directory CAPITOLO 1 5


Replica con
Client altri server di Client
LDAP, ADSI, directory legacy Client legacy
Outlook (RPC,SMTP IP) Outlook Windows NT4

Interfacce

LDAP REPL MAPI SAM

Directory system agent (DSA)

Livello del database Database


Active
Directory

Extensible storage engine (ESE)

FIGURA 1-2 Active Directory è in grado di operare con i client e altri servizi di directory

Domini DNS
Active Directory utilizza DNS (Domain Name System). DNS è un servizio Internet standard
che organizza i gruppi in una struttura gerarchica. Nonostante siano implementati per motivi
diversi, Active Directory e DNS hanno la stessa struttura gerarchica. La gerarchia DNS è definita
a livello di Internet per le reti pubbliche e a livello aziendale per le reti private. I vari livelli
all’interno della gerarchia DNS identificano i vari computer e le relazioni tra loro. Tali relazioni
sono espresse tramite l’utilizzo di domini. I computer che fanno parte dello stesso dominio
DNS sono strettamente collegati. I domini utilizzati all’interno delle organizzazioni sono domini
organizzativi. I domini che si trovano alla base della gerarchia DNS sono domini radice o di
livello principale.
I client Active Directory utilizzano DNS per individuare le risorse. DNS converte facilmente
i nomi host leggibili in indirizzi IP (Internet Protocol). Ogni computer in un dominio ha un
nome di dominio completo (FQDN), come server34.microsoft.com. In questo esempio,
server34 rappresenta il nome di un singolo computer, microsoft rappresenta il dominio
dell’organizzazione e com è il dominio di livello principale.

6 CAPITOLO 1 Panoramica di Active Directory


I domini di livello principale (Top-Level Domain, TLD) sono alla base della gerarchia DNS. Tali
domini sono organizzati: a livello geografico, utilizzando un codice di due lettere che indica lo
stato, ad esempio CA per Canada; a livello di organizzazione, utilizzando un codice come com
per le organizzazioni commerciali; a livello di funzione, utilizzando un codice come mil per le
organizzazioni militari.
Come i domini di livello principale, anche i domini DNS di un’organizzazione possono essere
strutturati in molti modi. I domini standard, come microsoft.com, sono spesso definiti domini padre,
perché rappresentano il livello principale di una struttura organizzativa. I domini padre possono
essere suddivisi in sottodomini, utilizzabili per diversi uffici, divisioni o aree geografiche. Ad
esempio, il nome di dominio completo per un computer dell’ufficio di Denver di City Power
& Light potrebbe essere workstation11.denver.cpandl.com. In questo esempio, workstation11
è il nome del computer, denver è il sottodominio e cpandl.com è il dominio padre. Un’altra
definizione dei sottodomini è domini figlio.
Gli aggiornamenti a DNS sono gestiti tramite un unico server DNS autorevole. Questo
server viene designato come server DNS primario per un particolare dominio all’interno di un
dominio definito zona. Il server DNS primario memorizza una pagina master dei record DNS
e dei file di configurazione del dominio. I server DNS secondari forniscono servizi aggiuntivi
per un dominio, in modo da consentire il bilanciamento del carico di lavoro. I server secondari
memorizzano copie dei record DNS ottenuti da un server primario tramite un processo definito
trasferimento della zona. I server secondari ottengono le relative informazioni DNS da un server
primario quando vengono avviati e mantengono queste informazioni finché esse non vengono
aggiornate o non scadono.
Nella figura 1-3, il server DNS primario è responsabile dei domini DNS cpandl.com, data.
cpandl.com e recs.cpandl.com. I server DNS secondari nei domini data.cpandl.com e recs.
cpandl.com ottengono le relative informazioni DNS da questo server primario tramite
trasferimenti di zona periodici.
Active Directory dipende talmente tanto da DNS che è opportuno configurarlo nella rete
prima di installare Active Directory oppure installarlo tramite la procedura di installazione
guidata di Active Directory. La configurazione di DNS richiede l’installazione e la configurazione
dei relativi client e server. Tutti i sistemi operativi Windows comprendono i client DNS e
possono essere configurati con nomi host completi. Qualsiasi computer su cui è in esecuzione il
sistema operativo Windows Server può essere configurato come server DNS.
Quando si configura Active Directory nella rete, è possibile installare automaticamente DNS
come parte dell’installazione di Active Directory. Inoltre, è possibile specificare se DNS e Active
Directory debbano essere integrati parzialmente o completamente. Poiché l’integrazione con
Active Directory condiziona il funzionamento di DNS, è molto importante comprendere le
opzioni di integrazione.

Panoramica di Active Directory CAPITOLO 1 7


Zona Zona

DNS DNS
Trasferimento Trasferimento
zona zona

data.cpandl.com recs.cpandl.com

Zona

DNS DNS

cpandl.com

FIGURA 1-3 Un ambiente DNS con le relative zone

Con l’integrazione parziale, il dominio utilizza l’archiviazione di file standard e gli


aggiornamenti a DNS sono gestiti esattamente come descritto prima. Il dominio dispone di un
unico server primario e di uno o più server DNS secondari. I server DNS secondari ottengono le
relative informazioni DNS dal server primario.
Con l’integrazione completa, le informazioni DNS sono memorizzate direttamente in
Active Directory. In questo modo si otterranno tutti i vantaggi di Active Directory e il dominio
utilizzerà Active Directory per aggiornare e mantenere le informazioni DNS.

Controller di dominio
Quando si installa Windows Server su un computer, questo può essere configurato come
server indipendente, server membro o controller di dominio. Un controller di dominio (DC) è un
computer che ospita una directory Active Directory. Se si sta utilizzando Windows Server 2008,
l’installazione di Active Directory avviene in due passaggi. In primo luogo, si aggiunge il ruolo
Servizi di dominio Active Directory al server utilizzando l’Aggiunta guidata ruoli. Quindi, si
esegue l’Installazione guidata Active Directory. Se DNS non è ancora installato, viene richiesto
di installarlo. Se non è presente un dominio, la procedura sarà di supporto nel crearlo e nella
configurazione di Active Directory nel nuovo dominio, oltre a facilitare l’aggiunta di domini
figlio in strutture esistenti.

8 CAPITOLO 1 Panoramica di Active Directory


Come Windows 2000 e Windows Server 2003, Windows Server 2008 non designa nessun
controller di dominio primario o di backup. Supporta invece un modello di replica multimaster.
In questo modello, come mostrato nella figura 1-4, qualsiasi controller di dominio può
elaborare modifiche di directory e replicarle in altri controller di dominio automaticamente.
Questo modello si distingue dal modello di replica a master singolo, in cui il controller di
dominio primario memorizza una copia master e i controller di backup memorizzano copie
di backup del master. Inoltre, la versione Windows NT distribuisce solo il database SAM
(Security Accounts Manager), mentre Windows 2000 e le altre versioni di Windows Server
distribuiscono l’intera directory di informazioni relative alle risorse distribuite.

DC3 DC5

DC1 DC4

DC2 DC7 DC8 DC6


Edificio1 Edificio 3 Edificio 2

FIGURA 1-4 Qualsiasi controller di dominio può replicare le modifiche

ESPERIENZA DIRETTA Poiché non è pratico effettuare determinate modifiche in modalità


multimaster, Active Directory utilizza anche la replica a master singolo. In questo caso, uno o
più controller di dominio, designati come master di operazioni, vengono scelti per effettuare
operazioni che non possono essere effettuate contemporaneamente in altri punti della rete.
Active Directory utilizza un approccio multimaster per fornire diversi vantaggi a livello di
prestazioni e disponibilità. La replica multimaster consente infatti di aggiornare la directory in
qualsiasi controller di dominio. Il controller di dominio a sua volta replica le modifiche in altri
controller di dominio. Dopo aver distribuito diversi controller di dominio, la replica continua
anche se uno di essi dà esito negativo.
Nonostante i domini Active Directory siano in grado di funzionare con un unico controller di
dominio, è possibile e consigliabile configurare più controller di dominio nei domini. In questo
modo, se un controller non funziona, si può contare su un altro per gestire attività fondamentali
come l’autenticazione.

Panoramica di Active Directory CAPITOLO 1 9


I controller di dominio gestiscono tutti gli aspetti dell’interazione dell’utente con i domini
Active Directory. Essi convalidano i tentativi di accesso degli utenti, individuano gli oggetti e molto
altro ancora. All’interno di Active Directory, le informazioni di directory sono suddivise in maniera
logica. Ogni controller di dominio memorizza una copia di tutte le partizioni pertinenti. Le
partizioni pertinenti per un particolare controller di dominio sono determinate dalla posizione
del controller e dalla frequenza con cui è utilizzato.
I controller di dominio gestiscono le modifiche per le informazioni che memorizzano
e le replicano in altri controller, come necessario. A seconda del modo in cui viene svolta
la replica, può verificarsi un conflitto nel caso in cui un attributo viene modificato su un
controller di dominio, perché viene propagata una modifica allo stesso attributo su un altro
controller di dominio. Active Directory risolve simili conflitti confrontando il numero di versione
della proprietà di ogni attributo (un valore inizializzato quando un attributo viene creato e
aggiornato ogni volta che l’attributo subisce una modifica) e replicando l’attributo modificato
con il numero di versione della proprietà più elevato.
Solitamente, è possibile effettuare operazioni di lettura e di scrittura nei controller di dominio.
Comunque, Windows Server 2008 e le versioni successive supportano anche i controller di
dominio di sola lettura. Un controller di dominio di sola lettura (RODC) è un controller di
dominio che ospita una replica di sola lettura di una directory di dominio. Per impostazione
predefinita, i controller di dominio di sola lettura non memorizzano password o credenziali
diverse da quelle utilizzate per il proprio account computer e account krbtgt (Kerberos Target).
Ciò li rende ideali negli uffici secondari in cui non è possibile garantire la protezione a livello
fisico di un controller di dominio.
La figura 1-5 mostra un controller di dominio di sola lettura distribuito in un ufficio
secondario. In questo caso, l’ufficio principale dispone di più controller di dominio scrivibili.
L’ufficio secondario dispone di un controller di dominio di sola lettura con dati di sola lettura,
posizionato nell’ufficio secondario perché non è possibile garantire la protezione a livello fisico
del server.

SUGGERIMENTO A eccezione delle password, i controller di dominio di sola lettura


memorizzano gli stessi oggetti e attributi dei controller di dominio scrivibili. Tali oggetti e
attributi sono replicati tramite la replica unidirezionale da un controller di dominio scrivibile
che funge da partner di replica. Nonostante siano in grado di ottenere informazioni da
controller di dominio che eseguono Windows Server 2003, i controller di dominio di sola
lettura possono ottenere gli aggiornamenti della partizione di dominio solo da un controller
scrivibile che esegue Windows Server 2008 nello stesso dominio.

I controller di dominio di sola lettura ottengono le credenziali di utenti e computer da un


controller di dominio scrivibile che esegue Windows Server 2008. Quindi, se consentito dai
criteri di replica della password imposti sul controller di dominio scrivibile, essi memorizzano
nella cache le credenziali come necessario finché le credenziali non vengono modificate. Poiché
nei controller di dominio di sola lettura sono memorizzati solo dei sottoinsiemi delle credenziali,
i danni possibili sono limitati.

10 CAPITOLO 1 Panoramica di Active Directory


Ufficio principale

DC1 DC2 DC3

Dati
Dati Dati modifi-
modificabili modificabili cabili

Ufficio secondario

Controller di
dominio di sola
lettura
Dati di sola
lettura

FIGURA 1-5 Un controller di dominio distribuito in un ufficio secondario

Oggetti Active Directory


Le risorse da rappresentare in Active Directory sono create e memorizzate come oggetti.
Gli oggetti hanno attributi che definiscono i tipi di informazioni che si intende memorizzare
sulle risorse. Ad esempio, l’oggetto Users in Active Directory ha attributi che consentono di
descrivere gli utenti, come nome, iniziali, cognome e nome visualizzato. L’oggetto Computers
in Active Directory ha attributi che consentono di descrivere il computer, come il nome, la
descrizione, il percorso e l’identificatore di protezione.
Gli oggetti nella directory possono essere oggetti foglia o oggetti contenitore. Gli oggetti
che non possono contenere altri oggetti sono gli oggetti foglia, o foglie. Gli oggetti che
contengono altri oggetti sono definiti oggetti contenitore, o contenitori. La directory stessa è
un contenitore, in quanto comprende altri oggetti e altri contenitori. Nella figura 1-6, l’oggetto
Users è un contenitore che comprende gli oggetti User, l’oggetto Computers è un contenitore
che comprende gli oggetti Computer e l’oggetto Printers è un contenitore che comprende gli
oggetti Printer.

Panoramica di Active Directory CAPITOLO 1 11


Oggetti Active Directory

Attributi
Nome
Iniziale secondo nome
Cognome
Nome visualizzato
Users

Oggetti della classe User

Attributi
Nome
Descrizione
Posizione
Identificatore di
Computers protezione
Oggetti della classe Computer

Attributi
Nome
Descrizione
Posizione
Tipo
Printers
Oggetti della classe Printer
FIGURA 1-6 Oggetti e attributi in Active Directory

Schema di Active Directory


Ogni oggetto creato all’interno della directory appartiene a una particolare classe. Lo schema di
Active Directory definisce le classi di oggetti disponibili e fornisce le regole che determinano
il modo in cui è possibile creare e utilizzare gli oggetti. Le classi di oggetti disponibili
comprendono User, Group, Computer e Printer.
Fondamentalmente, lo schema è un elenco di definizioni che determina le classi di oggetti e
i tipi di informazioni su tali classi che possono essere memorizzate nella directory. Le definizioni
stesse dello schema sono memorizzate come uno di due tipi di oggetti:
■ Oggetti delle classi dello schema, o semplicemente classi dello schema
■ Oggetti degli attributi dello schema, o semplicemente attributi dello schema
Come mostrato nella figura 1-7, gli oggetti delle classi e degli attributi dello schema sono
definiti separatamente nella directory. È possibile fare riferimento ai due insiemi di oggetti
come oggetti dello schema.

12 CAPITOLO 1 Panoramica di Active Directory


Oggetti Oggetti Attributi dello Schema
User
Definizione oggetto classe accountExpires
Nome …
Iniziale secondo nome
Cognome displayName
Nome visualizzato …
Users
firstName

lastName
firstName
Definizione oggetto Attribute …
Descrizione middleInitial
Nome comune
Identificatore di oggetto
Limiti intervalli di sintassi
Computers
...

displayName
Definizione oggetto Attribute
Descrizione
Nome comune
Identificatore di oggetto
Limiti intervalli di sintassi
Printers

FIGURA 1-7 Oggetti di uno schema

Gli oggetti delle classi dello schema descrivono gli oggetti che è possibile creare.
Funzionano come modelli per la creazione di nuovi oggetti. All’interno di una particolare
classe dello schema, gli attributi memorizzano le informazioni che descrivono i relativi oggetti.
Ad esempio, le classi User, Group, Computer e Printer sono composte di molti attributi dello
schema. La classe User contiene attributi che descrivono gli utenti. La classe Group contiene
attributi che descrivono i gruppi di utenti. La classe Computer contiene attributi che descrivono
i computer. La classe Printer contiene attributi che descrivono le stampanti.

SUGGERIMENTO Ogni attributo dello schema è definito solo una volta e può essere
utilizzato in più classi. Ad esempio, l’attributo Description è definito solo una volta nello
schema, ma è utilizzato nelle classi User, Group, Computer e Printer e in altre classi ancora.

In Active Directory è compreso un insieme delle classi e degli attributi di base. Poiché la
directory è estendibile, altri prodotti di server e applicazioni possono estendere dinamicamente
lo schema. Ad esempio, quando si installa Microsoft Exchange Server nell’organizzazione, gli
attributi e le classi di estensione Exchange Server vengono aggiunti alla directory. Qualsiasi
nuova estensione alla directory viene replicata automaticamente come appropriato.

Panoramica di Active Directory CAPITOLO 1 13


NOTA Gli sviluppatori e gli amministratori più esperti possono estendere anche lo schema.
Tuttavia, l’estensione dello schema è una procedura avanzata che dovrebbe essere pianificata
e verificata con attenzione prima di essere implementata. Inoltre, tenere presente che, una
volta definiti, gli attributi e le classi dello schema possono essere disattivati, ma non eliminati.
Non è invece possibile disattivare o eliminare oggetti dello schema che fanno parte dello
schema predefinito compreso in Active Directory.

Componenti di Active Directory


È possibile utilizzare una varietà di componenti Active Directory per definire la struttura della
directory. Questi componenti sono organizzati in livelli fisici e logici. I componenti a livello
fisico controllano il modo in cui le informazioni di directory sono strutturate e memorizzate.
I componenti a livello logico controllano il modo in cui gli utenti e gli amministratori
visualizzano le informazioni nella directory e controllano l’accesso a tali informazioni. I livelli
fisici e logici sono completamente separati.

Componenti fisici
I componenti fisici di Active Directory sono i siti e le subnet. Un sito è la combinazione di una
o più subnet IP connesse da collegamenti estremamente affidabili. Una subnet è un gruppo di
indirizzi IP di rete. I siti e le subnet si utilizzano per creare una struttura di directory che rifletta
la struttura fisica dell’organizzazione.
I siti si utilizzano per eseguire il mapping della struttura fisica della rete. Come mostrato
nella figura 1-8, un sito solitamente presenta gli stessi confini delle LAN (Local Area Network).
Poiché i mapping dei siti sono separati e indipendenti dai componenti logici nella directory, non
esiste nessuna relazione necessaria tra le strutture fisiche della rete e le strutture logiche della
directory.
Mentre i siti possono essere associati a più intervalli di indirizzi IP, ogni subnet dispone di
uno specifico intervallo di indirizzi IP. I nomi della subnet sono visualizzati nella forma rete/
bit-masked, come 10.1.11.0/24. Nell’esempio, l’indirizzo di rete 10.1.11.0 e la network mask
255.255.255.0 sono combinati per creare il nome della subnet 10.1.11.0/24. La figura 1-9 mostra
le relative subnet per diverse LAN. Ogni LAN è associata a due subnet. Ad esempio, la rete St.
Paul è associata alla subnet 10.1.11.0/24 e alla subnet 10.1.12.0/24.

14 CAPITOLO 1 Panoramica di Active Directory


Sito Sito
St.Paul Detroit
Rete Rete
St. Paul Detroit

Sito
Chicago
Rete
Chicago

Sito
St. Louis
Rete
St. Louis

FIGURA 1-8 Mapping dei siti con la struttura di rete

10.1.11.0/24 10.1.31.0/24
10.1.12.0/24 10.1.32.0/24
Rete Rete
St. Paul Detroit

Rete 10.1.1.0/24
Chicago 10.1.2.0/24

Rete
St. Louis
10.1.21.0/24
10.1.22.0/24
FIGURA 1-9 LAN all’interno di una WAN e relative subnet

Idealmente, quando si raggruppano le subnet nei siti, è opportuno assicurarsi che tutte
le subnet siano connesse in modo appropriato. Ciò significa che le subnet devono essere
connesse tramite connessioni affidabili e veloci. Generalmente, si considerano veloci le

Panoramica di Active Directory CAPITOLO 1 15


connessioni di almeno 512 KB al secondo (Kbps). Per essere anche affidabili, le connessioni di
rete devono essere sempre attive e deve essere disponibile sufficiente larghezza di banda per le
comunicazioni di directory oltre al carico di lavoro del normale traffico di rete.
Nella figura 1-10, le reti Detroit e St. Louis sono connesse alla rete Chicago tramite una
connessione di 512 Kbps, quindi sono connesse in modo appropriato. Per questo motivo le tre
reti possono fare parte dello stesso sito. La rete St. Paul, invece, è connessa alla rete Chicago
con una connessione di 256 Kbps e alla rete St. Louis con una connessione di 128 Kbps. Per
questo motivo, la rete St. Paul non è da considerare come connessa in modo appropriato e non
dovrebbe fare parte di un sito che comprende le altre reti.

Rete Rete
St. Paul Detroit

256 Kbps
512 Kbps

Rete
128 Kbps
Chicago

512 Kbps

Rete
St. Louis

FIGURA 1-10 LAN all’interno di una WAN e relative velocità di connessione

Quando si sfoglia Active Directory, vengono visualizzati i componenti logici, non i


componenti fisici. Il motivo di ciò è che i siti e le subnet non fanno parte del normale spazio dei
nomi Active Directory. I siti contengono solo oggetti computer e oggetti di connessione. Tali
oggetti sono utilizzati per configurare la replica tra i siti. I computer sono assegnati ai siti sulla
base della relativa posizione in una subnet o in un insieme di subnet.
Gli amministratori devono creare siti e subnet in modo appropriato secondo le esigenze
dell’organizzazione. I controller di dominio, ad esempio, vanno posizionati all’interno dei siti per
ottimizzare l’autenticazione e la replica.

Componenti logici
I componenti logici di Active Directory sono domini, strutture di dominio, foreste e unità
organizzative (OU). Questi componenti consentono di organizzare le risorse in una struttura
logica, che è quella che viene infine presentata agli utenti.

16 CAPITOLO 1 Panoramica di Active Directory


DOMINI
I domini sono raggruppamenti logici di oggetti che condividono database di directory
comuni. Nella directory, i domini sono rappresentati come oggetti contenitore. All’interno di
un dominio, è possibile creare account per utenti, gruppi e computer, così come per risorse
condivise, come stampanti e cartelle.
Nella figura 1-11, un oggetto di dominio è rappresentato da un ampio triangolo e gli oggetti
in esso contenuti sono rappresentati all’interno del triangolo. Un dominio può memorizzare
milioni di oggetti ed è l’oggetto padre di tutti gli oggetti in esso contenuti. Non va però
dimenticato che un dominio memorizza solo le informazioni sugli oggetti che contiene e che
l’accesso agli oggetti del dominio è controllato dalle autorizzazioni di protezione. Queste
autorizzazioni, che vengono assegnate a un oggetto, determinano quali utenti possono
accedervi e di quale tipo di accesso dispone ogni utente.

User

User User

Computer

Printer Printer

Computer Computer

FIGURA 1-11 Dominio di Active Directory

La directory può contenere uno o più domini. Ogni nome di dominio deve essere unico. Se il
dominio fa parte di una rete privata, il nome assegnato a un nuovo dominio non deve entrare
in conflitto con il nome di un dominio esistente sulla rete privata. Se il dominio fa parte della
rete Internet pubblica, il nome assegnato a un nuovo dominio non deve entrare in conflitto
con il nome di nessun dominio esistente sulla rete pubblica. Per questo motivo è necessario
registrare i nomi di domini pubblici tramite un registro designato prima di utilizzarli. Un elenco
aggiornato dei registri designati è disponibile al sito InterNIC (http://www.internic.net).

Panoramica di Active Directory CAPITOLO 1 17


Poiché un dominio può estendersi a più di un’unica posizione fisica, un dominio può
estendersi a uno o più siti. Anche un unico sito può comprendere risorse provenienti da più
domini. Ogni dominio presenta i propri criteri e le proprie impostazioni di protezione.
Le funzioni di dominio sono limitate e controllate dal livello funzionale del dominio. Sono
disponibili diversi livelli funzionali, compresi i seguenti:
■ Windows 2000 Nativo Supporta i controller di dominio che eseguono Windows 2000 e
versioni successive.
■ Windows Server 2003 Supporta i controller di dominio che eseguono Windows Server
2003 e Windows Server 2008.
■ Windows Server 2008 Supporta i controller di dominio che eseguono Windows Server
2008.
Il livello funzionale si imposta quando si installa il primo controller di dominio in un nuovo
dominio. Questo livello può in seguito essere aumentato, ma non diminuito. Per ulteriori
approfondimenti sui livelli funzionali del dominio, consultare la sezione intitolata “Definizione
dei livelli funzionali” nel capitolo 2, “Installazione di nuove foreste, strutture di dominio e
domini figlio”.

STRUTTURE DI DOMINIO
I domini sono elementi fondamentali nell’implementazione delle strutture Active Directory,
ma non sono gli unici. Un altro tipo di elementi fondamentali sono le strutture di dominio. Le
strutture di dominio sono raggruppamenti logici di domini.

NOTA All’interno della directory, la struttura di dominio rappresenta una gerarchia di


oggetti che mostra le relazioni padre-figlio tra gli oggetti. Il dominio principale della struttura
è il dominio radice. Il dominio radice è il primo a essere creato in una nuova struttura di
directory ed è il dominio padre di tutti gli altri eventuali domini della struttura, che sono
invece definiti domini figlio.

Gli amministratori creano le strutture di dominio in modo da riflettere la struttura di


un’organizzazione. I domini di una struttura condividono uno spazio dei nomi contiguo. Il nome di
dominio di un dominio figlio è il nome accodato al nome del dominio padre. Ad esempio, nella
figura 1-12, cpandl.com è il dominio padre di tech.cpandl.com e sales.cpandl.com. Il dominio
tech.cpandl.com ha a sua volta dei sottodomini: eng.tech.cpandl.com e dev.tech.cpandl.com.
Quindi, tech.cpandl.com è a sua volta il dominio padre dei domini figlio eng.tech.cpandl.com e
dev.tech.cpandl.com.

18 CAPITOLO 1 Panoramica di Active Directory


cpandl.com

tech.cpandl.com

sales.cpandl.com

eng.tech.cpandl.com dev.tech.cpandl.com
FIGURA 1-12 Struttura di dominio

FORESTE
Le foreste sono raggruppamenti logici di strutture di dominio. Le strutture di dominio che
fanno parte di una foresta sono separate e indipendenti, quindi non condividono uno spazio
dei nomi contiguo. Infatti, quando in Active Directory viene aggiunto un nuovo dominio che
fa parte di uno spazio dei nomi diverso, il dominio viene aggiunto come parte di una nuova
struttura della foresta. Ad esempio, se Active Directory presenta un’unica struttura, come
mostrato nella figura 1-12, e alla directory viene aggiunto il dominio adatum.com, quest’ultimo
viene aggiunto come parte di una nuova struttura nella foresta, come mostrato nella figura
1-13, e diventa il dominio radice della nuova struttura.

cpandl.com adatum.com

tech.cpandl.com

sales.cpandl.com

eng.tech.cpandl.comdev.tech.cpandl.com
FIGURA 1-13 Foresta con due strutture di dominio

Panoramica di Active Directory CAPITOLO 1 19


Gli amministratori creano le foreste in modo da riflettere la struttura di un’organizzazione.
I domini di una foresta operano in modo indipendente, ma condividono uno schema comune.
La foresta, infatti, consente la comunicazione tra i vari domini membri. Come le strutture di
dominio, anche le foreste hanno domini radice. Il primo dominio creato in una nuova foresta
diventa automaticamente il dominio radice di quella foresta. Allo stesso modo, il primo dominio
creato in qualsiasi ulteriore struttura all’interno della stessa foresta diventa il dominio radice
solo per la struttura in questione. Nella figura 1-14, cpandl.com e adatum.com sono i domini
radice delle rispettive strutture di dominio, ma cpanld.com è anche il dominio radice della
foresta, perché è stato creato per primo.

cpandl.com adatum.com

tech.cpandl.com us.adatum.com

sales.cpandl.com

eng.tech.cpandl.comdev.tech.cpandl.com west.us.adatum.comeast.us.adatum.com
FIGURA 1-14 Ambiente di dominio esteso

SUGGERIMENTO I domini di una foresta sono connessi tramite trust transitivi bidirezionali
impliciti. Un trust è un collegamento tra due domini, dove un dominio (definito dominio
trusting) rispetta l’autenticazione di accesso di un altro dominio (definito dominio trusted).
I trust collegano domini padre e figlio della stessa struttura di dominio e collegano i domini
radice di strutture diverse. Il protocollo predefinito utilizzato per i trust è Kerberos versione 5.
Per ulteriori informazioni, consultare il capitolo 8, “Gestione di trust e autenticazione”.

Le funzioni delle foreste sono limitate e controllate dal livello funzionale della foresta. Sono
disponibili diversi livelli funzionali delle foreste, tra cui:
■ Windows 2000 Supporta i controller di dominio che eseguono Windows NT 4.0 e
versioni successive di Windows Server. Tuttavia, non è possibile utilizzare i controller
di dominio Windows NT 4.0 con Windows Server 2008, né i controller di dominio
Windows Server 2008 con Windows NT 4.0.
■ Windows Server 2003 Supporta i controller di dominio che eseguono Windows Server
2003 e Windows Server 2008. Quando tutti i domini all’interno di una foresta operano
in questo modo, si riscontrano miglioramenti sia a livello di replica di catalogo globale
che a livello di efficacia della replica per i dati Active Directory. Poiché vengono replicati
i valori dei collegamenti, è possibile riscontrare anche miglioramenti a livello di replica

20 CAPITOLO 1 Panoramica di Active Directory


tra siti. È possibile disattivare gli oggetti e gli attributi delle classi dello schema, utilizzare
classi ausiliarie dinamiche, rinominare domini e creare trust di foreste unidirezionali,
bidirezionali e transitivi.
■ Windows Server 2008 R2 Supporta i controller di dominio che eseguono Windows
Server 2008. Quando tutti i domini di una foresta operano in questo modo,
si riscontrano miglioramenti a livello di replica tra siti e all’interno di un sito
nell’organizzazione. I controller di dominio possono utilizzare anche DFS (Distributed
File System) per la replica, al posto di FRS (File Replication Service). Inoltre, le entità
di protezione Windows Server 2008 non vengono create finché Windows Server
2008 non viene eseguito dal master operazioni per l’emulatore PDC (Primary Domain
Controller) nel dominio padre della foresta. Questo requisito è simile al requisito di
Windows Server 2003.

NOTA Attualmente, quando si distribuisce Windows Server 2008 Release 2 (R2), è


disponibile il livello funzionale della foresta di Windows Server 2008 R2. Questo livello
funzionale supporta i controller di dominio che eseguono Windows Server 2008 Release
2 (R2). Quando una foresta opera a questo livello e utilizza i controller di dominio
che eseguono Windows Server 2008 R2, i controller di dominio supportano diverse
implementazioni a livello di prestazioni e funzionalità rispetto alla versione R2, tra cui
Cestino per Active Directory, Funzionalità di verifica dell’autenticazione e Aggiunta al
dominio offline.

UNITÀ ORGANIZZATIVE
Le unità organizzative (OU) sono contenitori logici utilizzati per organizzare gli oggetti
all’interno di un dominio. Essendo l’ambito più piccolo al quale è possibile delegare autorità,
le OU possono essere utilizzate per facilitare l’amministrazione di account per utenti, gruppi e
computer e di altre risorse come stampanti e cartelle condivise.
Aggiungendo OU ad altre OU, è possibile creare una gerarchia all’interno di un dominio.
Ogni dominio di una foresta ha la propria gerarchia di OU, che è quindi indipendente dalle
gerarchie degli altri domini.
In teoria, le OU vengono create per semplificare le attività amministrative. Possono infatti
essere utilizzate per:
■ Riflettere il modo in cui vengono gestiti account e risorse.
■ Riflettere la struttura di un determinato dipartimento dell’organizzazione.
■ Riflettere le posizioni geografiche delle business unit.
■ Riflettere i centri di costo all’interno dell’organizzazione.
Su questa base, è possibile creare le OU per ogni divisione o business unit di
un’organizzazione. Ciò consente di delegare autorità agli amministratori a livello di unità,
concedendo loro le autorizzazioni per gestire gli account e le risorse solo all’interno di una
determinata business unit. Se un amministratore a livello di unità necessita di autorizzazioni in
un’altra business unit, è possibile garantirgli le autorizzazioni appropriate per la OU aggiuntiva.

Panoramica di Active Directory CAPITOLO 1 21


Per impostazione predefinita, tutte le OU secondarie ereditano le autorizzazioni dalle OU
principali. Quindi, un amministratore che dispone di autorizzazioni per una OU padre può
gestire anche gli account e le risorse delle OU figlio in essa contenute. Ad esempio, se il Nord
America è la OU padre e Stati Uniti e Canada sono le OU figlio, un amministratore che dispone
di autorizzazioni per il Nord America dispone anche automaticamente delle autorizzazioni per
Stati Uniti e Canada.
Nella figura 1-15, il dominio cpandl.com utilizza l’organizzazione di un’azienda di vendite e
servizi con operazioni globali in Nord America, Europa e Sud America. Vendite e Servizi sono
OU di livello principale. La OU Vendite contiene tre OU nidificate: NA, Europa e SA. La OU
Servizi contiene tre OU nidificate: NA, Europa e SA. In questo ambiente, gli amministratori
possono avere diversi livelli di responsabilità. Gli amministratori di dominio dispongono delle
autorizzazioni per il dominio e per tutte le OU. Gli amministratori della OU Vendite dispongono
di autorizzazioni per la OU Vendite e per le relative OU nidificate, ma non per il dominio, la OU
Servizi e le relative OU nidificate. All’interno della OU Vendite, gli amministratori secondari delle
singole OU nidificate dispongono solo delle autorizzazioni per ogni singola OU.

CPANDL.COM

VENDITE SERVIZI

NA EUROPA SA NA EUROPA SA

FIGURA 1-15 Unità organizzative all’interno di un dominio

Gestione di Active Directory


La gestione di Active Directory è un’attività molto dispendiosa in termini di tempo per gli
amministratori. In questa sezione, vengono descritti gli strumenti e le tecniche di base per
questo tipo di amministrazione. La parte II, “Gestione dell’infrastruttura di Active Directory”,
fornisce un’analisi approfondita di Active Directory.

22 CAPITOLO 1 Panoramica di Active Directory


Utilizzo di Active Directory
Quando si stabiliscono domini e foreste installando i controller di dominio, Active Directory
crea account utente e gruppi predefiniti per facilitare la gestione della directory e configurare i
controlli dell’accesso. I gruppi e gli utenti predefiniti più importanti comprendono:
■ Administrator Un account utente predefinito con accesso e privilegi a livello dell’intero
dominio. Per impostazione predefinita, questo account di un dominio è membro dei
gruppi seguenti: Administrators, Domain Admins, Domain Users, Enterprise Admins,
Group Policy Creator Owners e Schema Admins.
■ Administrators Un gruppo locale che fornisce accesso completo a un singolo computer
o dominio, a seconda della relativa posizione. Poiché questo gruppo gode di un accesso
completo, è opportuno scegliere accuratamente gli utenti da aggiungere ad esso. Per
rendere un utente amministratore per un computer o dominio locale, è sufficiente
rendere l’utente membro di questo gruppo. Solo i membri del gruppo Administrators
possono modificare questo account. I membri predefiniti del gruppo comprendono
Administrator, Domain Admins ed Enterprise Admins.
■ Domain Admins Un gruppo globale designato per facilitare l’amministrazione di tutti i
computer in un dominio. I membri di questo gruppo dispongono del controllo a livello
amministrativo su tutti i computer di un dominio, perché sono membri del gruppo
Administrators per impostazione predefinita. Per rendere un utente amministratore di un
dominio, è necessario farlo diventare membro di questo gruppo.
■ Enterprise Admins Un gruppo globale o universale designato per facilitare
l’amministrazione di tutti i computer in una struttura di dominio o in una foresta. I
membri di questo gruppo dispongono del controllo a livello amministrativo su tutti i
computer di un’organizzazione, perché sono membri del gruppo Administrators per
impostazione predefinita. Per rendere un utente amministratore di un dominio, è
necessario farlo diventare membro di questo gruppo.
■ Group Policy Creator Owners Un gruppo globale progettato per facilitare
l’amministrazione dei criteri di gruppo. I membri di questo gruppo dispongono del
controllo a livello amministrativo sui Criteri di gruppo.
■ Schema Admins Un gruppo globale progettato per facilitare l’amministrazione dello
schema di Active Directory. I membri di questo gruppo dispongono del controllo a livello
amministrativo sullo schema.
Ogni volta che si utilizza Active Directory, assicurarsi di utilizzare un account utente che sia
membro del gruppo o dei gruppi appropriati.

Strumenti di amministrazione di Active Directory


Per gestire Active Directory, è possibile utilizzare sia gli strumenti di amministrazione grafici
che gli strumenti da riga di comando. Gli strumenti grafici sono i più semplici da utilizzare;
tuttavia, se si impara a utilizzare gli strumenti da riga di comando, sarà possibile svolgere più
rapidamente le varie attività. Quando si utilizzano gli strumenti da riga di comando con l’Utilità
di pianificazione, è addirittura possibile automatizzare le attività di routine.

Panoramica di Active Directory CAPITOLO 1 23


Strumenti di amministrazione grafici
Gli strumenti di amministrazione grafici per utilizzare Active Directory sono forniti come snap-
in per la MMC (Microsoft Management Console). È possibile accedere a questi strumenti
direttamente dal menu Strumenti di amministrazione o aggiungerli a qualsiasi MMC che può
essere aggiornata. Se si sta utilizzando un altro computer con l’accesso a uno dominio, gli
strumenti non saranno disponibili finché non verranno installati. Una tecnica per installarli
consiste nell’utilizzare l’Aggiunta guidata funzionalità.
Gli strumenti grafici che possono essere utilizzati per gestire Active Directory comprendono:
■ Domini e trust di Active Directory Utilizzato per gestire e mantenere i domini, le strutture
di dominio e le foreste. Vedere la figura 1-16.

FIGURA 1-16 Domini e trust di Active Directory

■ Siti e servizi di Active Directory Utilizzato per gestire e mantenere siti e subnet. Vedere
la figura 1-17.

FIGURA 1-17 Siti e servizi di Active Directory

■ Utenti e computer di Active Directory Utilizzato per gestire e mantenere account per
utenti, gruppi e computer, oltre che per gestire e mantenere le OU. Vedere la figura 1-18.

24 CAPITOLO 1 Panoramica di Active Directory


FIGURA 1-18 Utenti e computer di Active Directory

■ Schema di Active Directory Utilizzato per visualizzare e gestire lo schema in Active


Directory. Le classi e gli attributi di oggetti si utilizzano separatamente. Vedere la figura 1-19.

FIGURA 1-19 Schema di Active Directory

■ Modifica ADSI Utilizzato per modificare ADSI (Active Directory Service Interfaces).
Questo editor di basso livello consente di modificare direttamente gli oggetti e i relativi
attributi. Vedere la figura 1-20.

Panoramica di Active Directory CAPITOLO 1 25


FIGURA 1-20 Modifica ADSI

Attualmente, Windows Server 2008 R2 comprende il Centro di amministrazione di Active


Directory. Questo centro consente di svolgere attività amministrative comuni di Active Directory
utilizzando una console integrata. In pratica, la console utilizza i cmdlet PowerShell 2.0 per
gestire tali attività. Gli stessi cmdlet che la console utilizza sono disponibili per essere utilizzati
in un prompt dei comandi PowerShell 2.0.
Anche se ogni strumento ha il proprio scopo specifico, alcune attività di modifica comuni
possono essere svolte utilizzando delle tecniche simili. È ad esempio possibile:
■ Trascinare le risorse in nuovi percorsi selezionando gli oggetti che si intende
spostare, quindi tenendo premuto il pulsante sinistro del mouse e muovendo
contemporaneamente il mouse stesso.
■ Modificare e impostare le proprietà di più risorse selezionando gli oggetti che si
intende utilizzare, facendo clic con il pulsante destro del mouse e quindi selezionando
l’operazione, come Aggiungi a gruppo, Disabilita account o Proprietà.
■ Selezionare una serie di risorse contemporaneamente tenendo premuto il tasto MAIUSC,
selezionando il primo oggetto e quindi l’ultimo.
■ Selezionare più risorse singolarmente tenendo premuto il pulsante CTRL, quindi
selezionando con il pulsante sinistro del mouse ogni oggetto che si intende selezionare.

SUGGERIMENTO Windows Firewall può condizionare l’amministrazione remota con alcuni


strumenti della MMC. Se Windows Firewall è attivato in un computer remoto e si riceve un
messaggio di errore che indica che non si dispone dei privilegi appropriati, che il percorso di
rete non viene trovato o che l’accesso viene negato, potrebbe essere necessario configurare
un’eccezione sul computer remoto per aprire la porta TCP (Transmission Control Protocol)
455. Per risolvere il problema, attivare l’impostazione dei Criteri di gruppo Windows Firewall:
consenti eccezione per amministrazione remota all’interno di Configurazione computer\
Modelli amministrativi\Rete\Connessioni di rete\Windows Firewall\Profilo di dominio. Per
maggiori informazioni, consultare l’articolo 840634 della Knowledge Base Microsoft (http://
support.microsoft.com/default.aspx?scid=kb;en-us;840634, informazioni in lingua inglese).

26 CAPITOLO 1 Panoramica di Active Directory


Strumenti da riga di comando
È inoltre possibile gestire Active Directory dalla riga di comando. Gli strumenti da riga di
comando che è possibile utilizzare comprendono:
■ ADPREP Utilizzato per preparare una foresta o un dominio per l’installazione di
controller di dominio. Utilizzare rispettivamente adprep /forestprep e adprep /
domainprep per preparare una foresta o un dominio. Utilizzare adprep /domainprep
/gpprep per preparare i Criteri di gruppo per il dominio.
■ DSADD Utilizzato per aggiungere computer, contatti, gruppi, unità organizzative
e utenti in Active Directory. Digitare dsadd objectname /? nella riga di comando
per visualizzare le informazioni della Guida sull’utilizzo del comando, come dsadd
-computer /?.
■ DSGET Utilizzato per visualizzare le proprietà di computer, contatti, gruppi, unità
organizzative, utenti, siti, subnet e server registrati in Active Directory. Digitare dsget
objectname /? nella riga di comando per visualizzare le informazioni della Guida
sull’utilizzo del comando, come dsget subnet /?.
■ DSMOD Utilizzato per modificare le proprietà di computer, contatti, gruppi, unità
organizzative, utenti e server già esistenti in Active Directory. Digitare dsmod
objectname /? nella riga di comando per visualizzare le informazioni della Guida
sull’utilizzo del comando, come dsmod server /?.
■ DSMOVE Utilizzato per spostare un unico oggetto in un nuovo percorso all’interno di
un singolo dominio o per rinominare l’oggetto senza spostarlo. Digitare dsmove /? alla
riga di comando per visualizzare informazioni della Guida sull’utilizzo del comando.
■ DSQUERY Utilizzato per trovare computer, contatti, gruppi, unità organizzative, utenti,
siti, subnet e server registrati in Active Directory tramite criteri di ricerca. Digitare
dsquery /? alla riga di comando per visualizzare informazioni della Guida sull’utilizzo del
comando.
■ DSRM Utilizzato per rimuovere oggetti da Active Directory. Digitare dsrm /? alla riga di
comando per visualizzare informazioni della Guida sull’utilizzo del comando.
■ NETDOM Utilizzato per gestire relazioni trust e domini dalla riga di comando.
■ NTDSUTIL Utilizzato per visualizzare informazioni su siti, domini e server, gestire master
operazioni e svolgere attività di manutenzione di Active Directory. Digitare ntdsutil /?
alla riga di comando per visualizzare informazioni della Guida sull’utilizzo del comando.
■ REPADMIN Utilizzato per gestire e monitorare la replica utilizzando la riga di comando.

Panoramica di Active Directory CAPITOLO 1 27

Potrebbero piacerti anche