• Guide, Sistemi Operativi
• 23 Novembre 2022

Active Directory Domain Services e i servizi correlati rappresentano le fondamenta delle reti aziendali che eseguono sistemi operativi Windows. Il database di Active Directory Domain Services è l’archivio centrale di tutti gli oggetti del dominio, ad esempio account utente, account computer e gruppi.

Active Directory Domain Services (AD DS) fornisce una directory gerarchica disponibile per la ricerca, oltre che un metodo per applicare le impostazioni di configurazione e sicurezza per gli oggetti di un’azienda.

L’insieme dei servizi di rete di Active Directory, ed in particolare il servizio di autenticazione Kerberos, realizzano un’altra delle caratteristiche importanti: il Single Sign-On (SSO). Tramite tale meccanismo un utente, una volta entrato nel dominio ed effettuato quindi il login ad esso da una qualsiasi delle macchine di dominio, può accedere a risorse disponibili in rete (condivisioni, mailbox, intranet ecc.) senza dover rieffettuare l’autenticazione. Questo facilita di molto la gestione degli utenti e la vita di questi ultimi a differenza di quanto accade nelle reti in workgroup.

Componenti di Active Directory Domain Services

Active Directory Domain Services è formato da compomenti logici e componenti fisici.

I componenti logici di Active Directory Domain Services sono strutture che si usano per implementare una progettazione di Active Directory Domain Services appropriata per un’azienda:

• Partition: Una partizione, o contesto dei nomi, è una parte del database di Active Directory Domain Services. Sebbene il database sia costituito da un unico file denominato Ntds.dit, partizioni diverse contengono dati diversi. La partizione dello schema, ad esempio, contiene una copia dello schema di Active Directory. La partizione di configurazione contiene gli oggetti di configurazione per la foresta, mentre la partizione di dominio contiene gli utenti, i computer, i gruppi e altri oggetti specifici del dominio. Active Directory archivia copie delle partizioni in più controller di dominio e le aggiorna tramite la replica di directory.
• Schema: Uno schema è il set di definizioni dei tipi di oggetto e degli attributi che si usano per definire gli oggetti creati in Active Directory Domain Services.
• Dominio: Un dominio è un contenitore amministrativo logico di oggetti, ad esempio utenti e computer. Un dominio corrisponde a una partizione specifica e può essere organizzato con relazioni padre-figlio con altri domini.
• Albero di dominio (tree): Un albero di dominio è una raccolta gerarchica di domini che condividono un dominio radice comune e uno spazio dei nomi DNS (Domain Name System) contiguo.
• Foresta: Una foresta è una raccolta di uno o più domini che hanno una radice Active Directory Domain Services comune, uno schema comune e un catalogo globale comune.
• OU: Un’unità organizzativa (OU) è un oggetto contenitore per utenti, gruppi e computer che fornisce un framework per delegare i diritti amministrativi e l’amministrazione mediante il collegamento di oggetti Criteri di gruppo (Group Policy).
• Contenitore: Un contenitore è un oggetto che fornisce una struttura organizzativa da usare in Active Directory Domain Services. È possibile usare i contenitori predefiniti oppure creare contenitori personalizzati. Non è possibile collegare oggetti Criteri di gruppo ai contenitori.

I componenti fisici in Active Directory Domain Services sono oggetti tangibili:

• Controller di dominio: Un controller di dominio contiene una copia del database di Active Directory Domain Services. Per la maggior parte delle operazioni, ogni controller di dominio può elaborare le modifiche e replicarle in tutti gli altri controller del dominio.
  
• Database: In ogni controller di dominio è presente una copia dell’archivio dati. Il database di Active Directory Domain Services usa la tecnologia di database Microsoft Jet e archivia le informazioni di directory nel file Ntds.dit e nei file di log associati. Per impostazione predefinita, questi file sono archiviati nella cartella C:\Windows\NTDS.
  
• Global catalog: Un server di catalogo globale è un controller di dominio che ospita il catalogo globale, ovvero una copia parziale di sola lettura di tutti gli oggetti in una foresta con più domini. Un catalogo globale accelera le ricerche degli oggetti che potrebbero essere archiviati nei controller di dominio situati in un dominio diverso della foresta.
  
• Controller di dominio di sola lettura (RODC): Un controller di dominio di sola lettura è un’installazione speciale di sola lettura di Active Directory Domain Services. I controller di dominio di sola lettura sono comuni nelle succursali in cui la sicurezza fisica non è ottimale, il supporto IT è meno avanzato rispetto alle sedi principali oppure le applicazioni line-of-business devono essere eseguite in un controller di dominio.
  
• Site: Un sito è un contenitore per gli oggetti Active Directory Domain Services, ad esempio computer e servizi specifici di una posizione fisica. Un dominio è invece la struttura logica degli oggetti, ad esempio utenti e gruppi, oltre che computer.
  
• Subnet: Una subnet è una parte degli indirizzi IP di rete di un’azienda, assegnata ai computer in un sito. Un sito può avere più di una subnet.
  

Cos’è una foresta di Active Directory Domain Services

In Active Directory Domain Services una foresta è un contenitore di primo livello. Ogni foresta è una raccolta di uno o più alberi di dominio che condividono uno schema di directory comune e un catalogo globale. Un albero di dominio è una raccolta di uno o più domini che condividono uno spazio dei nomi contiguo. Il dominio radice della foresta è il primo dominio creato nella foresta.

Il dominio radice della foresta contiene oggetti che non esistono in altri domini della foresta. Poiché si creano sempre questi oggetti nel primo controller di dominio, una foresta può essere costituita da un solo dominio con un unico controller di dominio oppure da diversi domini in più alberi di dominio.

La figura seguente mostra Contoso.com come dominio radice della foresta. Sotto sono presenti due domini, Adatum.com in un albero separato e Seattle.Contoso.com come elemento figlio di Contoso.com.

Figura 1: Esempi di foresta, dominio e albero di Active Directory

Che cos’è un dominio di Active Directory Domain Services

Un dominio di Active Directory Domain Services è un contenitore logico per la gestione di utenti, computer, gruppi e altri oggetti. Nel database di Active Directory Domain Services sono archiviati tutti gli oggetti di dominio e in ogni controller di dominio è archiviata una copia del database.

Un singolo dominio di Active Directory Domain Services può contenere quasi due miliardi di oggetti. Ciò significa che alla maggior parte delle aziende basterà distribuire un unico dominio.

La figura seguente mostra un dominio di Active Directory Domain Services. Contiene utenti, computer e gruppi.

Figura 2: Esempio di dominio di Active Directory

Un dominio di Active Directory Domain Services fornisce:

• Autenticazione. Ogni volta che un computer aggiunto a un dominio si avvia o che un utente accede a un computer aggiunto a un dominio, Active Directory Domain Services lo autentica. L’autenticazione consente di accertare che il computer o l’utente disponga dell’identità appropriata in Active Directory Domain Services, attraverso la verifica delle credenziali.
• Autorizzazione. Windows usa tecnologie di autorizzazione e controllo di accesso per determinare se consentire agli utenti autenticati di accedere alle risorse.

Distribuire controller di dominio Active Directory Domain Services

I controller di dominio consentono di autenticare tutti gli utenti e i computer presenti in un dominio. È quindi essenziale verificare che sia presente un numero ottimale e un posizionamento corretto dei controller di dominio in qualsiasi ambiente Active Directory Domain Services, soprattutto in ambienti distribuiti di grandi dimensioni.

Il processo di distribuzione dei controller di dominio si articola in due passaggi:

1. lnstallazione dei file binari necessari per implementare il ruolo di controller di dominio. A questo scopo, è possibile usare Windows Admin Center o Server Manager. Al termine del processo di installazione iniziale, sono stati installati i file di Active Directory Domain Services, ma Active Directory Domain Services non è ancora stato configurato sul server.
2. Configurazione del ruolo di Active Directory Domain Services. Il modo più semplice per eseguire questa configurazione è quello di usare la Configurazione guidata Active Directory Domain Services.

Figura 3: Processo di installazione del ruolo Active Directory Domain Services

Qui di seguito vengono mostrati i diversi passaggi per installare i file binari necessari per implementare il ruolo di controller di dominio. Dal Server Manager lanciate il wizard per l’aggiunta di un nuovo ruolo.

Figura 4: Aggiunta di un nuovo ruolo in Windows Server

Figura 5: Scelta di effettuare l’installazione di un ruolo o di una funzionalità

Figura 6: Scelta del server di destinazione dell’installazione del ruolo

Figura 7: Scelta del ruolo da installare – Active Directory Domain Services

Figura 8: Aggiunta delle funzionalità

Figura 9: Descrizione dei servizi di Active Directory Domain Services

Figura 10: Conferma delle scelte di installazione

La finestra di dialogo Risultati mostra l’avanzamento e lo stato dell’installazione. L’installazione del ruolo continua indipendentemente dal fatto che Server Manager venga chiuso o meno. Se si chiude la finestra di dialogo Risultati prima del completamento dell’installazione, è possibile controllare i risultati con il contrassegno di notifica di Server Manager. Server Manager mostra anche un messaggio di avviso per i server in cui è installato il ruolo Servizi di dominio Active Directory, ma che non sono stati ulteriormente configurati come controller di dominio.

Terminata l’installazione dei file binari necessari per implementare il ruolo di controller di dominio, lanciate la seconda fase cliccando sul link Promote this server to a domain controller, che permetterà di configurare il ruolo di Active Directory Domain Services.

Durante la configurazione del ruolo di Active Directory Domain Services, è necessario fornire delle informazioni.

Figura 11: Lancio del wizard di promozione del server a domain controller

Nella prima schermata indicate se state installando una nuova foresta, un nuovo albero o un controller di dominio aggiuntivo per un dominio esistente. Quando si crea il primo controller di dominio per una foresta, è necessario specificare il nome di foresta completo, che poi coinciderà con il nome del primo dominio. Quando invece si aggiunge un controller di dominio a un dominio o a una foresta esistente, si usa il nome del dominio esistente.

Trattandosi del primo domain controller della foresta, scegliete Add a new forest.

Figura 12: Creazione di una nuova foresta di Active Directory

Nella schermata delle opzioni per il domain controller scegliete il livello funzionale della foresta, del dominio e se il controller di dominio sarà anche un server DNS (scelta consigliata).

Il livello funzionale della foresta determina le funzionalità disponibili nella foresta e il sistema operativo supportato dal controller di dominio. Il livello funzionale del dominio determina le funzionalità disponibili nel dominio e i sistemi operativi supportati dal controller di dominio. Vi rimando alla lettura dell’articolo Livelli funzionali di Active Directory: a cosa servono ed implicazioni sulla sicurezza – ICT Power per approfondimenti.

È consigliabile che tutti i controller di dominio forniscano servizi DNS per garantire un’elevata disponibilità negli ambienti distribuiti, ragione per cui l’opzione Domain name System (DNS) server è selezionata per impostazione predefinita quando si installa un controller di dominio in qualsiasi modalità o dominio. Le opzioni del catalogo globale e dei controller di dominio di sola lettura non sono disponibili quando si crea un nuovo dominio radice della foresta. Il primo controller di dominio deve essere un catalogo globale e non può essere un controller di dominio di sola lettura.

Inserite anche una password necessaria per ripristinare da un backup oggetti di un database di Active Directory Domain Services. La Password modalità ripristino servizi directory specificata deve soddisfare i criteri password applicati al server, che per impostazione predefinita richiedono una password complessa. Scegliere sempre una password di difficile individuazione o preferibilmente una passphrase.

Figura 13: Opzioni del domain controller

La pagina Opzioni DNS consente di configurare la delega DNS e di specificare le credenziali amministrative DNS.

Non è possibile configurare le opzioni o la delega DNS nella Configurazione guidata Servizi di dominio Active Directory quando si installa un nuovo dominio radice della foresta Active Directory in cui si è selezionato il server DNS nella pagina Opzioni controller di dominio. L’opzione Crea delega DNS è disponibile quando si crea una nuova zona DNS radice della foresta in un’infrastruttura di server DNS esistente.

Potete quindi tranquillamente ignorare il messaggio di avviso, visto che state installando il primo domain controller del dominio.

Figura 14: DNS delegation warning

La pagina Opzioni aggiuntive mostra il nome NetBIOS del dominio e consente di sostituirlo. Per impostazione predefinita, il nome di dominio NetBIOS corrisponde all’etichetta a sinistra del nome di dominio completo. Se, ad esempio, è stato specificato il nome di dominio completo demo.lab, il nome di dominio NetBIOS predefinito è DEMO.

Se il nome non contiene più di 15 caratteri e non è in conflitto con un altro nome NetBIOS, non viene modificato. Se è in conflitto con un altro nome NetBIOS, al nome viene aggiunto un numero. Se il nome contiene più di 15 caratteri, la procedura guidata propone un suggerimento univoco con un nome troncato. In entrambi i casi, la procedura guidata convalida prima se il nome non è già in uso tramite una ricerca WINS e una trasmissione NetBIOS.

È consigliabile che il nome NetBIOS del dominio (DEMO) sia lo stesso del prefisso DNS (demo.lab).

Figura 15: Nome NETBIOS del dominio

Nella pagina Percorsi è possibile sostituire i percorsi predefiniti delle cartelle per il database di Servizi di dominio Active Directory, i registri delle transazioni del database e la condivisione SYSVOL. Le posizioni predefinite sono sempre in sottodirectory di %systemroot% (ad esempio, C:\Windows).

Figura 16: Active Directory path

Nella pagina Verifica opzioni è possibile convalidare le impostazioni e accertarsi se soddisfano i requisiti prima di iniziare l’installazione. La pagina Verifica opzioni di Server Manager include inoltre un pulsante opzionale Visualizza script, che consente di creare un file di testo Unicode contenente la configurazione ADDSDeployment corrente come singolo script di Windows PowerShell. Potete quindi utilizzare la Configurazione guidata Servizi di dominio Active Directory per configurare le opzioni, esportare la configurazione e annullare la procedura guidata.

Figura 17: Controllo delle configurazioni effettuate

La pagina Controllo dei prerequisiti convalida che la configurazione scelta sia in grado di supportare una nuova foresta Servizi di dominio Active Directory. Cliccate quindi su Install e attendete il riavvio della macchina.

Figura 18: Verifica dei prerequisiti per la promozione del server a domain controller

Dopo il riavvio potrete controllare dalla console Active Directory Users and Computers che il domain controller sia funzionante.

Figura 19: Console Active Directory Users and Computers

Conclusioni

Active Directory rappresenta ormai da più di 20 anni, con l’introduzione di Windows 2000 Server, le fondamenta delle reti aziendali che eseguono sistemi operativi Windows. Il database di Active Directory Domain Services è l’archivio centrale di tutti gli oggetti del dominio e fornisce una directory gerarchica disponibile per la ricerca, oltre che un metodo per applicare le impostazioni di configurazione e sicurezza per gli oggetti di un’azienda.