IBM Cloud Docs
Panoramica di Active Directory

Panoramica di Active Directory

Active Directory™ (AD) utilizzano i servizi di risoluzione dei nomi DNS per individuare i controller di dominio e per far comunicare tra loro i controller di dominio che ospitano il servizio di directory. AD ha una struttura di contenimento gerarchica logica, in cui il contenitore di primo livello è l'insieme di strutture. All'interno degli insiemi di strutture ci sono i domini e all'interno dei domini ci sono le unità organizzative. Questo modello logico è indipendente dagli aspetti fisici della distribuzione.

Terminologia di Active Directory

AD utilizza la seguente terminologia:

  • Insieme di strutture - Una raccolta di uno o più domini che condividono una struttura logica, uno schema di directory, una configurazione di directory e un catalogo globale comuni. I domini nello stesso insieme di strutture vengono automaticamente collegati con relazioni di trust transitive bidirezionali.
  • Dominio - Un dominio è una partizione in un insieme di strutture. Il partizionamento dei dati consente alle organizzazioni di replicare i dati solo dove è necessario. In questo modo, la directory può scalare globalmente su una rete che ha una larghezza di banda limitata. L'area di una rete è coperta da un singolo database di autenticazione.
  • Schema - Una serie di regole che definiscono le classi di oggetti e gli attributi contenuti nella directory, i vincoli e i limiti sulle istanze di questi oggetti e il formato dei loro nomi.
  • Controller di dominio - I controller di dominio forniscono l'archiviazione fisica per il database di Active Directory Domain Services, oltre a fornire i servizi e i dati che consentono alle aziende di gestire efficacemente i propri server, le proprie workstation, i propri utenti e le proprie applicazioni. Rendete sicuri i controller di dominio per evitare di compromettere i dati di Active Directory.
  • Dominio root - Il dominio root contiene i gruppi Enterprise Admins e Schema Admins. Questi gruppi di amministratori del servizio vengono utilizzati per gestire le operazioni a livello di insieme di strutture, come l'aggiunta e la rimozione di domini e l'implementazione di modifiche allo schema.
  • Dominio padre - Diversi domini possono essere collegati tra loro per formare una struttura ad albero. Nella gerarchia, il dominio di livello più alto è noto come dominio padre e ha uno o più domini figli che sono collegati ad esso.
  • Domini figlio - Questi domini si collegano a un dominio padre ed ereditano lo spazio di indirizzi del padre, quindi il figlio è un dominio secondario. Un figlio di un dominio può anche essere il padre di altri domini. Un nome di dominio figlio include sempre il nome del dominio padre completo. I domini figlio e genitore condividono una fiducia transitiva bidirezionale.
  • Catalogo globale - Un server di catalogo globale è un controller di dominio che memorizza copie parziali di tutti gli oggetti Active Directory nell'insieme di strutture. Memorizza una copia completa di tutti gli oggetti nella directory del dominio e una copia parziale di tutti gli oggetti di tutti gli altri domini dell'insieme di strutture. Gli utenti e gli amministratori possono trovare le informazioni della directory indipendentemente dal dominio della directory che contiene i dati. Viene effettuata una replica su ogni controller di dominio che è membro di quell'insieme di strutture.
  • Siti AD - In AD, un sito rappresenta un'entità fisica o logica definita sul controller di dominio. Ogni sito è associato a un dominio. Inoltre, ogni sito ha delle definizioni IP di quali indirizzi o intervalli IP appartengono a quel sito. I controller di dominio utilizzano le informazioni sul sito per informare i client AD sui controller di dominio presenti all'interno del sito più vicino al client.
  • Collegamenti di sito - I collegamenti di sito vengono utilizzati per stabilire collegamenti tra i siti AD. Configurando le proprietà del collegamento di sito, come pianificazione, costo di replica e intervallo, è possibile gestire la replica tra i siti.
  • Trust - Una relazione di trust è una relazione logica che viene stabilita tra i domini per consentire l'autenticazione e l'autorizzazione alle risorse condivise. Il processo di autenticazione verifica l'identità dell'utente e il processo di autorizzazione determina ciò che l'utente è autorizzato a fare su un sistema di computer o su una rete.
  • Directory - AD utilizza un archivio dati strutturato come base per un'organizzazione logica e gerarchica delle informazioni della directory. Questo archivio dati, noto anche come directory, contiene informazioni sugli oggetti AD. Questi oggetti in genere includono risorse condivise come server, volumi, stampanti e account utente e computer di rete.
  • Replica - Un servizio che distribuisce i dati della directory su una rete. Tutti i controller di dominio in un dominio partecipano alla replica e contengono una copia completa di tutte le informazioni della directory per il proprio dominio. Qualsiasi modifica ai dati della directory viene replicata in tutti i controller di dominio nel dominio.
  • Unità organizzative - Le unità organizzative possono essere utilizzate per formare una gerarchia di contenitori all'interno di un dominio. Le unità organizzative vengono utilizzate per raggruppare oggetti a scopi amministrativi quali l'applicazione della politica del gruppo o la delega di autorità. Il controllo (su un'unità organizzativa e gli oggetti al suo interno) è determinato dagli ACL (access control list) sull'unità organizzativa e sugli oggetti in tale unità. Per facilitare la gestione di un gran numero di oggetti, i servizi di dominio Active Directory supportano il concetto di delega di autorità. Utilizzando la delega, i proprietari possono trasferire il controllo amministrativo completo o limitato sugli oggetti ad altri utenti o gruppi. La delega è importante perché aiuta a distribuire la gestione di un gran numero di oggetti tra un certo numero di persone fidate per completare i compiti di gestione.
  • Livelli funzionali - I livelli funzionali determinano le capacità disponibili di Active Directory Domain Services nel dominio o nella foresta e i sistemi operativi Windows® Server che è possibile eseguire sui controller di dominio nel dominio o nella foresta. Tuttavia, i livelli funzionali non influiscono su quali sistemi operativi puoi eseguire sulle workstation e sui server membri che sono uniti al dominio o all'insieme di strutture.

Modelli di dominio

Esaminare i modelli di dominio tipici disponibili per i clienti quando designano i loro domini in sede o nel IBM Cloud®.

  • Modello a singolo insieme di strutture e singolo dominio
  • Modello a foresta singola, domini multipli
  • Modello a foreste multiple

Per ulteriori informazioni sui modelli di foresta e di dominio, vedere Progettazione della struttura logica.

Modello a singolo insieme di strutture e singolo dominio

Il modello a singolo insieme di strutture e singolo dominio è il più semplice da amministrare e gestire. La progettazione è costituita da un insieme di strutture che contiene un singolo dominio. Essendo l'unico dominio, è il dominio radice della foresta e contiene tutti gli account degli utenti e dei gruppi della foresta e gli oggetti risorsa. Per alcune aziende, questo modello è tutto ciò che serve. Tuttavia, le imprese più complesse non possono utilizzare questo modello.

Modello a foresta singola, domini multipli

Il modello a foresta singola e domini multipli è utilizzato dalle grandi aziende in cui la foresta comprende molti utenti distribuiti in diverse località geografiche o in diverse unità aziendali. Se ogni ubicazione ha il suo proprio dominio, il traffico di replica tra le ubicazioni viene ridotto. La facilità di gestione è spesso il caso di utilizzo per i domini utilizzati per le diverse unità di business. Questo modello di dominio è costituito da un dominio root dell'insieme di strutture e da uno o più domini regionali. Spesso il dominio radice della foresta è limitato ai soli gruppi Enterprise Admins e Schema Admins. Questi gruppi vengono utilizzati per gestire le operazioni a livello di foresta, come l'aggiunta e la rimozione di domini e l'implementazione di modifiche allo schema.

La creazione di una progettazione del modello a più domini implica l'identificazione di quale dominio è il dominio root dell'insieme di strutture e la determinazione del numero di domini aggiuntivi richiesti per soddisfare i tuoi requisiti di replica. Questi domini possono essere domini padre o figli, a seconda di come la struttura del dominio deve riflettere la struttura organizzativa. In genere, è meglio avere il minor numero possibile di domini da gestire. Per ridurre la complessità, l'azienda deve bilanciare la complessità con la separazione delle risorse in diversi domini e sottodomini, con vantaggi per la sicurezza.

Modello a più insiemi di strutture

Se l'azienda include gruppi che richiedono l'isolamento dei dati o l'isolamento dei servizi dagli altri gruppi nell'azienda, è possibile utilizzare il modello a più insiemi di strutture per creare un insieme di strutture separato per questi gruppi. I domini non forniscono isolamento dei dati o isolamento dei servizi. Gli amministratori del servizio forestale hanno pieno accesso a tutte le risorse della foresta. L'accesso non può essere impedito, quindi se si dispone di risorse a cui questo gruppo non deve avere accesso, queste risorse devono essere collocate in una foresta diversa.

Il modello a foresta multipla si riscontra anche quando le aziende si sono fuse e le due aziende hanno due strutture diverse di Active Directory Domain Services.

Esaminare i tre modelli forestali seguenti.

  • Modello di insieme di strutture organizzativo – gli account utente e le risorse sono contenuti in entrambi gli insiemi di strutture ma gestiti in modo indipendente. Questo modello può fornire autonomia e isolamento, se l'insieme di strutture è configurato per impedire l'accesso a chiunque si trovi al di fuori dell'insieme. Se gli utenti di un insieme di strutture organizzativo devono accedere alle risorse in altri insiemi di strutture o viceversa, è possibile stabilire relazioni di trust tra un insieme di strutture organizzativo e gli altri insiemi di strutture.
  • Modello di insieme di strutture di risorse – In questo modello, viene utilizzato un insieme di strutture separato per gestire le risorse e questi insiemi di strutture contengono solo gli account utente degli amministratori del servizio. Vengono stabiliti dei trust tra gli insiemi di strutture in modo tale che gli utenti di altri insiemi di strutture possano accedere alle risorse contenute nell'insieme di strutture di risorse. Questo modello fornisce l'isolamento dei servizi.
  • Modello di foresta ad accesso limitato - In questo modello, viene creata una foresta separata per contenere gli account utente e le risorse che devono essere isolate dal resto dell'azienda. Agli utenti di un insieme di strutture non è concesso l'accesso all'altro insieme di strutture poiché non esiste alcun trust tra gli insiemi di strutture. Ad esempio, questo modello è spesso adottato dai provider di servizi che possono fornire servizi di gestione dell'infrastruttura. In questo modello, se gli utenti devono accedere alle risorse in entrambi gli insiemi di strutture, gli utenti hanno un account in un insieme di strutture e un account utente separato nell'altro insieme di strutture. Questo modello fornisce l'isolamento dei dati. Il modello di foresta ad accesso limitato viene creato quando si effettua il provisioning di un'istanza VMware Cloud Foundation for Classic - Automated.