• Guide, Sistemi Operativi
• 11 Marzo 2025

Gli Active Directory Domain Services (AD DS) sono un ruolo fondamentale di Windows Server che vi permettono di gestire centralmente utenti, computer e risorse condivise nella vostra rete aziendale.

Tramite AD DS potete effettuare in modo semplice e rapido operazioni essenziali come autenticare e autorizzare gli utenti all’accesso ai dati e alle risorse aziendali. Grazie a questi servizi, avete la possibilità di gestire centralmente tutti gli account degli utenti e le risorse della rete (computer, stampanti, cartelle condivise), rendendo l’amministrazione molto più efficiente.

Inoltre, potete impostare regole generali attraverso le Group Policy (Criteri di gruppo), con cui decidere le impostazioni di sicurezza, configurare automaticamente applicazioni, o personalizzare l’esperienza desktop degli utenti.

Active Directory vi consente anche di strutturare logicamente la vostra rete aziendale in modo gerarchico attraverso domini, alberi, foreste e Unità Organizzative (OU), rendendo la gestione di reti complesse molto più intuitiva e semplice.

Infine, grazie all’integrazione con il servizio DNS interno, Active Directory è in grado di gestire automaticamente la risoluzione dei nomi e degli indirizzi IP dei dispositivi nella vostra rete, garantendo maggiore affidabilità e semplicità di amministrazione.

Installando il ruolo AD DS, il vostro server diventa un Domain Controller, un elemento essenziale che funge da punto centrale per la gestione sicura ed efficace dell’intera infrastruttura aziendale.

Componenti di Active Directory Domain Services

Active Directory Domain Services è formato da componenti logici e componenti fisici.

I componenti logici di Active Directory Domain Services sono strutture che si usano per implementare una progettazione di Active Directory Domain Services appropriata per un’azienda:

• Partition: Una partizione, o contesto dei nomi, è una parte del database di Active Directory Domain Services. Sebbene il database sia costituito da un unico file denominato Ntds.dit, partizioni diverse contengono dati diversi. La partizione dello schema, ad esempio, contiene una copia dello schema di Active Directory. La partizione di configurazione contiene gli oggetti di configurazione per la foresta, mentre la partizione di dominio contiene gli utenti, i computer, i gruppi e altri oggetti specifici del dominio. Active Directory archivia copie delle partizioni in più controller di dominio e le aggiorna tramite la replica di directory.
• Schema: Uno schema è il set di definizioni dei tipi di oggetto e degli attributi che si usano per definire gli oggetti creati in Active Directory Domain Services.
• Dominio: Un dominio è un contenitore amministrativo logico di oggetti, ad esempio utenti e computer. Un dominio corrisponde a una partizione specifica e può essere organizzato con relazioni padre-figlio con altri domini.
• Albero di dominio (tree): Un albero di dominio è una raccolta gerarchica di domini che condividono un dominio radice comune e uno spazio dei nomi DNS (Domain Name System) contiguo.
• Foresta: Una foresta è una raccolta di uno o più domini che hanno una radice Active Directory Domain Services comune, uno schema comune e un catalogo globale comune.
• OU: Un’unità organizzativa (OU) è un oggetto contenitore per utenti, gruppi e computer che fornisce un framework per delegare i diritti amministrativi e l’amministrazione mediante il collegamento di oggetti Criteri di gruppo (Group Policy).
• Contenitore: Un contenitore è un oggetto che fornisce una struttura organizzativa da usare in Active Directory Domain Services. È possibile usare i contenitori predefiniti oppure creare contenitori personalizzati. Non è possibile collegare oggetti Criteri di gruppo ai contenitori.

I componenti fisici in Active Directory Domain Services sono oggetti tangibili:

• Controller di dominio: Un controller di dominio contiene una copia del database di Active Directory Domain Services. Per la maggior parte delle operazioni, ogni controller di dominio può elaborare le modifiche e replicarle in tutti gli altri controller del dominio.
  
• Database: In ogni controller di dominio è presente una copia dell’archivio dati. Il database di Active Directory Domain Services usa la tecnologia di database Microsoft Jet e archivia le informazioni di directory nel file Ntds.dit e nei file di log associati. Per impostazione predefinita, questi file sono archiviati nella cartella C:\Windows\NTDS.
  
• Global catalog: Un server di catalogo globale è un controller di dominio che ospita il catalogo globale, ovvero una copia parziale di sola lettura di tutti gli oggetti in una foresta con più domini. Un catalogo globale accelera le ricerche degli oggetti che potrebbero essere archiviati nei controller di dominio situati in un dominio diverso della foresta.
  
• Controller di dominio di sola lettura (RODC): Un controller di dominio di sola lettura è un’installazione speciale di sola lettura di Active Directory Domain Services. I controller di dominio di sola lettura sono comuni nelle succursali in cui la sicurezza fisica non è ottimale, il supporto IT è meno avanzato rispetto alle sedi principali oppure le applicazioni line-of-business devono essere eseguite in un controller di dominio.
  
• Site: Un sito è un contenitore per gli oggetti Active Directory Domain Services, ad esempio computer e servizi specifici di una posizione fisica. Un dominio è invece la struttura logica degli oggetti, ad esempio utenti e gruppi, oltre che computer.
  
• Subnet: Una subnet è una parte degli indirizzi IP di rete di un’azienda, assegnata ai computer in un sito. Un sito può avere più di una subnet.
  

Cos’è una foresta di Active Directory Domain Services

Una foresta di Active Directory Domain Services (AD DS) è la struttura gerarchica più ampia che potete creare all’interno di Active Directory, composta da uno o più domini collegati fra loro tramite relazioni di fiducia (trust).

Quando installate il primo Domain Controller nella vostra rete, viene automaticamente creata una foresta contenente un unico dominio, chiamato dominio radice della foresta. Successivamente, potete aggiungere altri domini alla foresta, organizzandoli secondo necessità amministrative o geografiche.

In una foresta di Active Directory tutti i domini condividono lo stesso schema, ovvero l’insieme delle definizioni degli oggetti e attributi gestiti da AD DS, e la stessa configurazione globale. Questo vi permette di avere una gestione centralizzata e coerente delle informazioni all’interno della vostra infrastruttura.

La figura seguente mostra Contoso.com come dominio radice della foresta. Sotto sono presenti due domini, Adatum.com in un albero separato e Seattle.Contoso.com come elemento figlio di Contoso.com.

Figura 1: Esempi di foresta, dominio e albero di Active Directory

Che cos’è un dominio di Active Directory Domain Services

Un dominio di Active Directory Domain Services (AD DS) è un gruppo logico di computer, utenti e risorse condivise, gestito centralmente tramite un Domain Controller.

Quando create un dominio, definite un confine amministrativo e di sicurezza ben preciso. All’interno del dominio, potete amministrare facilmente account utenti, applicare impostazioni comuni (tramite le Group Policy) e controllare l’accesso degli utenti alle risorse aziendali.

Il dominio utilizza un sistema di autenticazione unico e centralizzato: una volta che gli utenti si autenticano tramite il Domain Controller, possono accedere rapidamente e facilmente a tutte le risorse autorizzate presenti nel dominio stesso, senza doversi autenticare nuovamente su ciascun computer o servizio.

Ogni dominio ha un nome univoco che segue la struttura dei nomi DNS (es. azienda.local o contoso.com) e rappresenta anche il confine di replica. Ciò significa che tutti i Domain Controller presenti in un dominio replicano le informazioni tra loro, garantendo consistenza e affidabilità nella gestione delle risorse.

La figura seguente mostra un dominio di Active Directory Domain Services. Contiene utenti, computer e gruppi.

Figura 2: Esempio di dominio di Active Directory

Installazione di controller di dominio Active Directory Domain Services

Per installare un controller di dominio Active Directory Domain Services (AD DS) su Windows Server, dovete prima aggiungere il relativo ruolo attraverso Server Manager. Durante questo processo, il vostro server diventerà un Domain Controller, ovvero il punto centrale per la gestione della vostra rete aziendale.

Dopo aver installato il ruolo, è necessario procedere con la configurazione guidata, dove potrete scegliere se creare una nuova foresta e un nuovo dominio, oppure aggiungere il server a un dominio esistente. Sarà inoltre necessario impostare il nome DNS del dominio, definire le password amministrative e selezionare le impostazioni più adatte alla vostra infrastruttura.

Completata questa fase, il server eseguirà automaticamente l’installazione e la configurazione dei servizi AD DS. Al termine dell’operazione, il vostro server funzionerà come un Domain Controller attivo e sarà pronto per gestire centralmente l’autenticazione degli utenti, le risorse condivise e l’applicazione delle politiche aziendali.

Figura 3: Processo di installazione del ruolo Active Directory Domain Services

Qui di seguito vengono mostrati i diversi passaggi per installare i file binari necessari per implementare il ruolo di controller di dominio. Dal Server Manager lanciate il wizard per l’aggiunta di un nuovo ruolo.

Figura 4: Aggiunta di un nuovo ruolo in Windows Server

Figura 5: Scelta di effettuare l’installazione di un ruolo o di una funzionalità

Figura 6: Scelta del server di destinazione dell’installazione del ruolo

Figura 7: Scelta del ruolo da installare e conferma dell’installazione dei prerequisiti obbligatori – Active Directory Domain Services

Figura 8: Scelta del ruolo da installare – Active Directory Domain Services

Figura 9: Aggiunta delle funzionalità

Figura 10: Descrizione dei servizi di Active Directory Domain Services

Figura 11: Conferma delle scelte di installazione

La finestra di dialogo Risultati vi permette di seguire lo stato e l’avanzamento dell’installazione. Anche se chiudete Server Manager, l’installazione del ruolo continuerà normalmente in background. Se chiudete la finestra Risultati prima che l’installazione termini, potrete comunque verificare il completamento tramite l’icona di notifica presente in Server Manager. Inoltre, Server Manager vi segnalerà tramite un messaggio di avviso quei server su cui il ruolo Servizi di dominio Active Directory è stato installato, ma che non sono ancora configurati come controller di dominio.

Una volta conclusa l’installazione dei file necessari per il ruolo di controller di dominio, potrete avviare la seconda fase facendo clic sul link Promote this server to a domain controller, che vi permetterà di completare la configurazione dei Servizi di dominio Active Directory. Durante questo passaggio vi verrà richiesto di inserire alcune informazioni essenziali per la configurazione.

Figura 12: Lancio del wizard di promozione del server a domain controller

Figura 13: Lancio del wizard di configurazione del domain controller se avete chiuso la finestra del wizard precedente

In questa fase della configurazione guidata di Active Directory, potete scegliere il tipo di distribuzione del vostro nuovo controller di dominio.

Avete tre opzioni disponibili:

• Add a domain controller to an existing domain (aggiungere il controller a un dominio già esistente).
• Add a new domain to an existing forest (aggiungere un nuovo dominio in una foresta già esistente).
• Add a new forest (creare una nuova foresta, con un dominio principale).

Nell’esempio mostrato in figura è selezionata l’opzione Add a new forest. Questa opzione è appropriata se state configurando per la prima volta Active Directory nella vostra rete o se desiderate creare un ambiente totalmente separato da quelli già esistenti.

Successivamente, nel campo Root domain name inserite il nome del dominio principale (nell’esempio demo.lab). Il nome inserito sarà il nome DNS completo che utilizzerete per identificare il vostro dominio nella rete.

Dopo aver impostato queste informazioni, cliccate su Next per procedere con la configurazione.

Figura 14: Creazione di una nuova foresta di Active Directory

Nella schermata dovete definire le opzioni principali del vostro nuovo Domain Controller.

La prima cosa da configurare sono i livelli funzionali, che determinano le funzionalità disponibili nella foresta e nel dominio. Nella figura, sia il Forest functional level che il Domain functional level sono impostati su Windows Server 2025, che rappresenta la versione più aggiornata con tutte le nuove funzionalità di Active Directory. Windows Server 2025 supporta anche il livello funzionale di foresta Windows Server 2016. Vi rimando alla lettura dell’articolo Livelli funzionali di Active Directory: a cosa servono ed implicazioni sulla sicurezza – ICT Power per approfondimenti.

Subito sotto trovate alcune opzioni aggiuntive che riguardano i ruoli del Domain Controller:

• Domain Name System (DNS) server (opzione raccomandata): installa automaticamente il ruolo DNS necessario per gestire la risoluzione dei nomi nella rete.
• Global Catalog (GC) (opzione selezionata per impostazione predefinita): rende il vostro Domain Controller in grado di rispondere rapidamente alle richieste di autenticazione e di ricerca degli oggetti AD.
• Read only domain controller (RODC): opzione non selezionata nell’immagine; sceglietela solo se volete installare un Domain Controller che consente solo lettura delle informazioni di AD, utile in sedi remote o meno sicure.

È consigliabile che tutti i controller di dominio forniscano servizi DNS per garantire un’elevata disponibilità negli ambienti distribuiti, ragione per cui l’opzione Domain name System (DNS) server è selezionata per impostazione predefinita quando si installa un controller di dominio in qualsiasi modalità o dominio. Le opzioni del catalogo globale e dei controller di dominio di sola lettura non sono disponibili quando si crea un nuovo dominio radice della foresta. Il primo controller di dominio deve essere un catalogo globale e non può essere un controller di dominio di sola lettura.

Infine, vi viene chiesto di impostare una password per la modalità di ripristino, chiamata Directory Services Restore Mode (DSRM), necessaria per accedere al Domain Controller in caso di emergenza o problemi gravi. Assicuratevi di utilizzare una password sicura e conservarla con attenzione.

Dopo aver inserito queste informazioni, cliccate su Next per continuare con la configurazione.

Figura 15: Opzioni del domain controller

In questa fase della configurazione, vi troverete di fronte alle opzioni DNS per il vostro Domain Controller.

Noterete un messaggio di avviso che indica che non è possibile creare automaticamente una delega DNS perché non è stata trovata una zona padre autorevole o perché questa non utilizza un server DNS Windows. Questo avviso è normale durante la configurazione di un nuovo dominio e può essere ignorato in sicurezza, soprattutto se state creando un ambiente totalmente nuovo o isolato.

In molti mi avete chiesto a lezione c cos’è la DNS delegation e quando usarla. La DNS delegation (delegazione DNS) è un modo per suddividere la gestione di una zona DNS in più parti, affidando il controllo di una sottozona a un altro server DNS.

In parole semplici, immaginate di avere un dominio principale, per esempio azienda.com, gestito da un server DNS centrale. Se volete creare un sottodominio, come vendite.azienda.com, e volete che questo sottodominio sia gestito da un altro server DNS (magari gestito direttamente dal reparto vendite), utilizzerete una DNS delegation.

Con questa operazione, il server DNS principale “indirizzerà” le richieste per il sottodominio al nuovo server DNS dedicato. In questo modo:

• Il server DNS principale gestisce la zona principale (azienda.com).
• Il nuovo server DNS gestisce esclusivamente il sottodominio (vendite.azienda.com).

Utilizzerete la DNS delegation principalmente quando avete una struttura DNS già presente e volete creare un sottodominio con una gestione autonoma o dedicata. In caso contrario, per configurazioni semplici o per un unico dominio gestito centralmente, non sarà necessaria alcuna delegazione DNS.

Figura 16: DNS delegation warning

La pagina Opzioni aggiuntive mostra il nome NetBIOS del dominio e consente di sostituirlo. Per impostazione predefinita, il nome di dominio NetBIOS corrisponde all’etichetta a sinistra del nome di dominio completo. Se, ad esempio, è stato specificato il nome di dominio completo demo.lab, il nome di dominio NetBIOS predefinito è DEMO.

Se il nome non contiene più di 15 caratteri e non è in conflitto con un altro nome NetBIOS, non viene modificato. Se è in conflitto con un altro nome NetBIOS, al nome viene aggiunto un numero. Se il nome contiene più di 15 caratteri, la procedura guidata propone un suggerimento univoco con un nome troncato. In entrambi i casi, la procedura guidata convalida prima se il nome non è già in uso tramite una ricerca WINS e una trasmissione NetBIOS.

È consigliabile che il nome NetBIOS del dominio (DEMO) sia lo stesso del prefisso DNS (demo.lab).

Figura 17: Nome NETBIOS del dominio

Nella schermata Percorsi potete definire i percorsi dove verranno salvati i file principali utilizzati dal Domain Controller. Questi percorsi includono:

• Database folder: la cartella in cui verrà archiviato il database di Active Directory (file NTDS.dit).
• Log files folder: dove verranno memorizzati i file di log delle transazioni effettuate sul database di Active Directory.
• SYSVOL folder: cartella condivisa che conterrà script di avvio, criteri di gruppo e altri file necessari ai Domain Controller.

Per impostazione predefinita, Windows Server salva questi file in percorsi predefiniti (tipicamente all’interno di C:\Windows). Se avete esigenze specifiche (ad esempio prestazioni elevate o spazio limitato sul disco principale), potete cambiare i percorsi predefiniti impostando altri dischi o partizioni.

Nella maggior parte dei casi, potete lasciare i percorsi predefiniti. Se decidete di modificarli, assicuratevi che i nuovi percorsi abbiano spazio sufficiente, buone performance e adeguate politiche di backup.

Una volta verificati o modificati i percorsi, cliccate su Next per procedere alla fase successiva della configurazione.

Figura 18: Percorsi di installazione dei file utilizzati dal domain controller per ospitare Active Directory

La schermata Review Options vi mostra un riepilogo completo delle scelte fatte nelle fasi precedenti. È importante verificare attentamente tutte le impostazioni prima di procedere con la configurazione finale del Domain Controller.

In questa fase avete la possibilità di controllare:

• Il nome del dominio e il corrispondente nome NetBIOS.
• I livelli funzionali del dominio e della foresta.
• Le opzioni aggiuntive selezionate, come Global catalog e DNS Server.
• Le impostazioni DNS (ad esempio, la delega DNS, se attivata o meno).
• I percorsi dei file di database (NTDS), log e SYSVOL.

Windows Server vi permette inoltre di esportare queste impostazioni in uno script di Windows PowerShell cliccando sul pulsante View script, come indicato nell’immagine. Questo script può essere utilizzato per automatizzare l’installazione di altri Domain Controller in modo rapido e consistente, evitando la necessità di ripetere manualmente le stesse configurazioni.

Dopo aver revisionato attentamente le impostazioni e, se necessario, esportato lo script per usi futuri, potete cliccare su Next per procedere con il controllo finale dei prerequisiti.

Figura 19: Controllo delle configurazioni effettuate

Nella schermata sotto il sistema sta effettuando il controllo dei prerequisiti necessari per installare correttamente il ruolo di Domain Controller.

Windows Server verifica automaticamente se sono soddisfatte tutte le condizioni necessarie per procedere con la configurazione di Active Directory Domain Services, come ad esempio la disponibilità delle risorse, la configurazione DNS e altre impostazioni essenziali del server.

Questa verifica è fondamentale per assicurarsi che il Domain Controller possa funzionare correttamente una volta terminata l’installazione. Al termine del controllo, visualizzerete eventuali avvisi o errori da risolvere prima di procedere, oppure un messaggio che conferma che tutti i prerequisiti sono stati soddisfatti.

Figura 20: Controllo dei prerequisiti per l’installazione del domain controller

Dopo il completamento positivo del controllo, potrete cliccare su Install per avviare la configurazione finale del Domain Controller. Al termine dell’operazione, il server si riavvierà automaticamente per applicare le nuove impostazioni.

Figura 21: Controllo dei prerequisiti effettuato

Figura 22: Riavvio del computer a seguito dell’avvenuta promozione a domain controller

Dopo il riavvio (che dura circa 2-3 minuti), in Server Manager potete verificare facilmente che il server (in questo caso chiamato DC01) è correttamente unito al dominio appena creato (demo.lab). Questa informazione è visibile chiaramente nel riquadro delle Properties.

Una volta verificata questa schermata, il vostro server sta già funzionando ufficialmente come Domain Controller, e siete pronti per iniziare a gestire utenti, gruppi e risorse aziendali attraverso Active Directory.

Figura 23: Il server è stato aggiunto ed è il domain controller per il dominio demo.lab

La figura sotto mostra lo strumento Active Directory Users and Computers, che vi permette di gestire utenti, computer e risorse del vostro dominio.

In particolare, qui vedete la cartella Domain Controllers, che contiene tutti i controller di dominio attualmente configurati nella vostra rete. Il vostro server DC01 è visibile chiaramente in questa cartella, confermando che è stato riconosciuto ufficialmente da Active Directory come Domain Controller.

Ora siete pronti per cominciare a creare utenti, gestire gruppi e organizzare le risorse all’interno del dominio demo.lab.

Figura 24: Console Active Directory Users and Computers

La configurazione DNS mostrata nella figura sotto (127.0.0.1) indica che il server sta utilizzando se stesso come server DNS principale.

Questa configurazione è corretta e consigliata per un Domain Controller che ospita anche il servizio DNS, perché il Domain Controller deve essere in grado di risolvere autonomamente i nomi dei computer e servizi all’interno del dominio, inclusi se stesso e i client.

Utilizzare l’indirizzo 127.0.0.1 (localhost) garantisce che il Domain Controller interroghi prima di tutto il proprio servizio DNS, ottimizzando la risoluzione dei nomi nella rete locale e assicurando affidabilità nella comunicazione tra i vari servizi Active Directory e DNS.

In reti più ampie, solitamente si aggiunge un server DNS secondario (Alternate DNS Server) che può essere un altro Domain Controller presente nella stessa rete, per garantire ridondanza e affidabilità.

Figura 25: Configurazione DNS del domain controller

Conclusioni

Avete così completato con successo la promozione del vostro server Windows Server 2025 a Domain Controller. A partire da questo momento, il server svolgerà il ruolo centrale nella gestione degli utenti, delle risorse condivise e delle policy di sicurezza all’interno della vostra rete.

Ora potete sfruttare pienamente le potenzialità offerte da Active Directory Domain Services, che vi consentiranno di amministrare con semplicità e sicurezza l’intera infrastruttura aziendale. Ricordate che la corretta gestione del Domain Controller e del servizio DNS è fondamentale per garantire affidabilità, sicurezza e performance elevate nella vostra rete.

Vi consigliamo inoltre di considerare l’installazione di almeno un secondo Domain Controller, per assicurare continuità operativa e maggiore tolleranza ai guasti.

Buon lavoro con il vostro nuovo ambiente Active Directory su Windows Server 2025!