Active Directory di Microsoft per le reti Windows può essere usato per gestire cen­tral­men­te le risorse in­for­ma­ti­che interne dell’azienda, mo­di­fi­ca­re permessi e politiche aziendali, oltre che per mo­ni­to­ra­re vari servizi. In questo articolo vi spie­ghia­mo cos’è il servizio di directory e come funziona AD di Windows.

Registra il tuo dominio
  • Domain Connect gratuito per una con­fi­gu­ra­zio­ne facile del DNS
  • Cer­ti­fi­ca­to SSL Wildcard gratuito
  • Pro­te­zio­ne privacy inclusa

Active Directory: de­fi­ni­zio­ne

Active Directory (AD) è un servizio di directory svi­lup­pa­to da Microsoft per le reti Windows. AD gioca un ruolo im­por­tan­te per le aziende aventi delle risorse in­for­ma­ti­che complesse, permessi utente e gruppi di lavoro ge­rar­chi­ci. Fon­da­men­tal­men­te, si può pensare ad Active Directory come una sorta di rubrica, anche se presenta molte più opzioni affinché gli am­mi­ni­stra­to­ri possano gestire, mo­di­fi­ca­re, in­ter­ro­ga­re e strut­tu­ra­re i dati degli utenti e degli oggetti me­mo­riz­za­ti. Con l’aiuto del servizio di directory, la struttura IT di un’or­ga­niz­za­zio­ne può essere divisa nei co­sid­det­ti domini ed essere chia­ra­men­te replicata.

Come funziona Active Directory?

Il modo migliore per spiegare il fun­zio­na­men­to di Active Directory nei server di rete Windows e i compiti che esegue è usare un esempio: im­ma­gi­na­te un’azienda di grandi di­men­sio­ni con 150 di­pen­den­ti. Tutti i di­pen­den­ti dipendono dall’in­fra­strut­tu­ra IT interna dell’azienda, che include account utente, stampanti, scanner e permessi sui computer in diversi gruppi di lavoro. Per evitare di dover gestire le risorse in­for­ma­ti­che in­di­vi­dual­men­te per ogni po­sta­zio­ne di lavoro, Active Directory può mappare le strutture aziendali, me­mo­riz­za­re i dati degli utenti e degli oggetti, oltre che gestire e di­stri­bui­re cen­tral­men­te i permessi necessari.

Ciò permette, ad esempio, di eseguire un cambio di password solo una volta nell’AD di Windows piuttosto che su ogni di­spo­si­ti­vo. Allo stesso modo, anche gli ag­gior­na­men­ti e gli upgrade del sistema possono essere eseguiti cen­tral­men­te. L’am­mi­ni­stra­zio­ne di AD e l’accesso in scrittura alle risorse in­for­ma­ti­che sono nelle mani degli am­mi­ni­stra­to­ri di sistema. I compiti di Active Directory di Microsoft includono:

  • Or­ga­niz­za­zio­ne ge­rar­chi­ca e mappatura delle risorse in­for­ma­ti­che interne, degli utenti e degli oggetti (hardware, software, ruoli utente e com­po­nen­ti/di­spo­si­ti­vi/servizi di rete).
  • Gestione e strut­tu­ra­zio­ne dello spazio di ar­chi­via­zio­ne.
  • Rilascio e blocco dei permessi di accesso e di ap­pli­ca­zio­ne (ad esempio a directory e servizi).
  • Messa in sicurezza e pro­te­zio­ne della rete aziendale.
Immagine: Visualizzazione semplificata di Active Directory
Active Directory di Windows può essere uti­liz­za­to per or­ga­niz­za­re ge­rar­chi­ca­men­te le azioni, gli account utente e le risorse IT.
Consiglio

IONOS vi permette di sfruttate tutti i vantaggi di Active Directory di Windows per la vostra azienda, incluso Microsoft 365 e compresi tutti i servizi di Windows.

Struttura base di AD su reti Windows

Active Directory consiste fon­da­men­tal­men­te di tre com­po­nen­ti centrali: schema, con­fi­gu­ra­zio­ne e domini. Al centro vi sono i domini, che con­ten­go­no tutte le in­for­ma­zio­ni im­por­tan­ti sulle risorse in­for­ma­ti­che e gli utenti e mappano la rete. Al­tret­tan­to im­por­tan­ti per la struttura generale sono il database e i suoi oggetti. Di seguito, diamo un’occhiata ai singoli com­po­nen­ti.

Schema

Come suggerito dal nome, lo schema AD serve come modello per le clas­si­fi­ca­zio­ni richieste e permesse e per i tipi di record di AD. Qui sono inclusi gli oggetti e i loro attributi, le classi e la sintassi degli attributi. Lo schema usa le de­fi­ni­zio­ni per de­ter­mi­na­re quali oggetti sono di­spo­ni­bi­li o possono essere messi a di­spo­si­zio­ne sulla rete.

Con­fi­gu­ra­zio­ne

Mentre lo schema definisce i possibili contenuti, la con­fi­gu­ra­zio­ne AD mappa la struttura di Active Directory e di tutti gli oggetti qui contenuti, i ruoli utente e le azioni. Ciò include i domini esistenti che sud­di­vi­do­no i gruppi di lavoro nella rete di computer. A sua volta, il contenuto e le in­for­ma­zio­ni spe­ci­fi­che del dominio sono di­spo­ni­bi­li solo at­tra­ver­so i con­trol­lo­ri di dominio interni del dominio cor­ri­spon­den­te. I con­trol­lo­ri o con­trol­ler con­ten­go­no infatti un catalogo globale con tutte le in­for­ma­zio­ni im­por­tan­ti e parziali sullo schema, la con­fi­gu­ra­zio­ne e altri domini nella stessa rete. Il catalogo globale può essere usato per cercare e re­cu­pe­ra­re im­por­tan­ti in­for­ma­zio­ni parziali at­tra­ver­so i domini.

Domini

I domini sono la base di Active Directory e sono uti­liz­za­ti nella strut­tu­ra­zio­ne ge­rar­chi­ca di oggetti, gruppi di lavoro e utenti gestiti dagli am­mi­ni­stra­to­ri. Come le directory e le sot­to­di­rec­to­ry, un dominio contiene tutte le in­for­ma­zio­ni sugli oggetti e gli attributi che ri­guar­da­no solo il dominio. Le in­for­ma­zio­ni spe­ci­fi­che dei domini sono ac­ces­si­bi­li da altri domini solo se sono incluse nel catalogo globale. Tutte le altre in­for­ma­zio­ni sono invece di­spo­ni­bi­li solo sul con­trol­ler di dominio interno. Un dominio è quindi un im­por­tan­te elemento di strut­tu­ra­zio­ne che definisce le unità am­mi­ni­stra­ti­ve e di rete in aree, gruppi di lavoro e di­par­ti­men­ti, e suddivide ge­rar­chi­ca­men­te le au­to­riz­za­zio­ni. I nomi dei domini vengono assegnati così come avviene per i classici server DNS.

Database e oggetti

Il database Active Directory è basato sul Microsoft Jet Engine, un motore di database simile a Microsoft Exchange Server. Il database è quindi basato su oggetti e strut­tu­ra­to ge­rar­chi­co. Gli oggetti rap­pre­sen­ta­no i ri­spet­ti­vi record di dati e le politiche di gruppo per le risorse in­for­ma­ti­che. Le loro proprietà sono chiamate attributi e i loro tipi sono definiti di con­se­guen­za. Gli oggetti sono suddivisi in “account” (ad esempio, account relativi a servizi e utenti per di­pen­den­ti, gruppi o di­spo­si­ti­vi) e “risorse” (ad esempio, azioni per ap­pli­ca­zio­ni e servizi).

Gli oggetti sono divisi in “con­te­ni­to­ri”, che con­ten­go­no ulteriori oggetti pre­de­fi­ni­ti o au­to­de­fi­ni­ti, e “non con­te­ni­to­ri”, che non con­ten­go­no ulteriori oggetti e sono chiamati anche nodi finali.

Quattro com­po­nen­ti tecnici fon­da­men­ta­li per AD

Per per­met­te­re una co­mu­ni­ca­zio­ne uniforme tra computer, ap­pli­ca­zio­ni, servizi, directory di AD e domini, vengono uti­liz­za­ti quattro standard centrali:

  • LDAP (Light­weight Directory Access Protocol): pro­to­col­lo per richieste unificate alle directory di Active Directory.
  • Pro­to­col­lo Kerberos: pro­to­col­lo per l’au­ten­ti­ca­zio­ne cen­tra­liz­za­ta e unificata e per i permessi di accesso degli utenti ai server AD.
  • SMB (Server Message Block): pro­to­col­lo per i permessi di accesso come le politiche di gruppo o gli script di accesso ai file nella rete AD e sui server.
  • DNS (Domain Name System): sistema per in­di­riz­za­re uni­for­me­men­te i nomi dei computer e dei domini su Active Directory.

Come funziona la gerarchia su Active Directory?

La struttura generale di AD è anche chiamata foresta e può contenere diversi alberi che partono dal dominio radice e si ra­mi­fi­ca­no nei sot­to­do­mi­ni di uno spazio DNS. I con­te­ni­to­ri or­ga­niz­za­ti in domini sono con­si­de­ra­ti l’unità più bassa. I domini uniti mappano la struttura or­ga­niz­za­ti­va e le risorse dell’impresa ma possono anche essere con­fi­gu­ra­ti in­di­pen­den­te­men­te dalle strutture fisiche e logiche dell’azienda. In questo modo, diverse sedi possono essere unite in un dominio o diversi domini possono essere gestiti in una sede.

Le in­for­ma­zio­ni a cui possono accedere tutti gli utenti AD sono:

  • lo schema,
  • la con­fi­gu­ra­zio­ne
  • e le in­for­ma­zio­ni sul dominio nel catalogo globale.

I dati specifici del dominio, d’altra parte, sono ac­ces­si­bi­li solo at­tra­ver­so i con­trol­ler di dominio interni già men­zio­na­ti. Un dominio di solito dispone di due con­trol­lo­ri che im­pe­di­sco­no la perdita di dati at­tra­ver­so la replica multi-master, ovvero il con­trol­lo­re di backup e le copie AD.

N.B.

I permessi degli utenti, i domini e i con­trol­lo­ri di dominio sono or­ga­niz­za­ti e con­fi­gu­ra­ti dall’am­mi­ni­stra­to­re re­spon­sa­bi­le.

Vantaggi di Active Directory

Di seguito ri­por­tia­mo una pa­no­ra­mi­ca dei vantaggi pre­sen­ta­ti da Active Directory per le reti Windows complesse nelle aziende:

  • Gestione e con­fi­gu­ra­zio­ne cen­tra­liz­za­ta di azioni, permessi e politiche aziendali per utenti, gruppi, servizi e ap­pli­ca­zio­ni.
  • Pro­te­zio­ne contro i guasti e la perdita di dati at­tra­ver­so la replica multi-master all’interno della struttura del dominio.
  • Mappatura e con­fi­gu­ra­zio­ne centrale della struttura or­ga­niz­za­ti­va delle reti di computer Windows.
  • Esten­sio­ne fles­si­bi­le e sca­la­bi­li­tà delle strutture di dominio.
  • Pro­te­zio­ne delle in­for­ma­zio­ni at­tra­ver­so la de­mar­ca­zio­ne ge­rar­chi­ca tra aree, di­par­ti­men­ti e gruppi di lavoro con diversi permessi di accesso.
  • Com­pa­ti­bi­li­tà con altri servizi di directory.
  • Riduzione dei costi e dell’impegno richiesto at­tra­ver­so un’am­mi­ni­stra­zio­ne cen­tra­liz­za­ta.
Vai al menu prin­ci­pa­le