Definire utenti, gruppi e computer

10 minuti

In Active Directory Domain Services è necessario fornire un account utente a tutti coloro che richiedono l'accesso alle risorse di rete. Con questo account, gli utenti possono eseguire l'autenticazione nel dominio di Active Directory Domain Services e accedere alle risorse di rete.

In Windows Server, un account utente è un oggetto che contiene tutte le informazioni che definiscono un utente. L'account utente include:

Il nome utente.
Password utente.
Appartenenza a gruppi.

Un account utente contiene anche le impostazioni che è possibile configurare in base ai requisiti dell'organizzazione.

Screenshot dell'account utente Jane Dow nel Centro di amministrazione di Active Directory.

Il nome utente e la password di un account utente fungono da credenziali di accesso. Un oggetto utente include anche diversi altri attributi che descrivono e gestiscono l'utente. Per creare e gestire oggetti utente in Active Directory Domain Services si possono usare gli strumenti seguenti:

Centro di amministrazione di Active Directory.
Utenti e computer di Active Directory.
Windows Admin Center.
Windows PowerShell.
Lo strumento da riga di comando dsadd.

Cosa sono gli account del servizio gestito?

Molte app contengono servizi installati nel server che ospita il programma. Questi servizi vengono in genere eseguiti all'avvio del server o attivati da altri eventi. I servizi spesso vengono eseguiti in background e non richiedono alcuna interazione da parte dell'utente. Per consentire l'avvio e l'autenticazione di un servizio, si usa un account del servizio. Un account del servizio può essere un account locale del computer, ad esempio gli account predefiniti Servizio locale, Servizio di rete o Sistema locale. È anche possibile configurare un account del servizio per utilizzare un account basato su dominio presente in Active Directory Domain Services.

Per centralizzare l'amministrazione e soddisfare i requisiti di programma, molte organizzazioni scelgono di usare un account basato su dominio per l'esecuzione dei servizi di programma. Anche se questa scelta offre dei vantaggi rispetto all'uso di un account locale, è associata ad alcune problematiche, ad esempio le seguenti:

Per gestire la password dell'account del servizio in modo sicuro può essere necessario un maggiore lavoro amministrativo.
Può essere difficile determinare dove un account basato su dominio venga usato come account del servizio.
Per gestire il nome dell'entità servizio (SPN) può essere necessario un maggiore lavoro amministrativo.

Windows Server supporta un oggetto Active Directory Domain Services denominato account del servizio gestito, che consente di semplificare la gestione degli account del servizio. Un account del servizio gestito è una classe di oggetto di Active Directory Domain Services (AD DS) che consente:

Gestione delle password semplificata.
Gestione SPN semplificata.

Cosa sono gli account del servizio gestito del gruppo?

Gli account del servizio gestito del gruppo consentono di estendere le funzionalità degli account del servizio gestito standard a più di un server nel dominio. Negli scenari di server farm con cluster di Bilanciamento del carico di rete o server IIS, spesso è necessario eseguire servizi di sistema o di programma con lo stesso account di servizio. Gli account del servizio gestito standard non possono fornire funzionalità di account del servizio gestito ai servizi eseguiti in più server. Con gli account del servizio gestito del gruppo, è possibile configurare più server per l'utilizzo dello stesso account del servizio gestito e conservare così i vantaggi offerti dagli account di questo tipo, ad esempio la manutenzione automatica delle password e la gestione semplificata del nome dell'entità servizio.

Per supportare la funzionalità account del servizio gestito del gruppo, è necessario che l'ambiente soddisfi i requisiti seguenti:

È necessario creare una chiave radice KDS su un controller di dominio nel dominio.

Per creare la chiave radice KDS, eseguire il comando seguente dal modulo Active Directory per Windows PowerShell su un controller di dominio Windows Server.

Add-KdsRootKey –EffectiveImmediately

Per creare account del servizio gestito del gruppo, usare il cmdlet New-ADServiceAccount di Windows PowerShell con il parametro –PrinicipalsAllowedToRetrieveManagedPassword.

Ad esempio:

New-ADServiceAccount -Name LondonSQLFarm -PrincipalsAllowedToRetrieveManagedPassword SEA-SQL1, SEA-SQL2, SEA-SQL3

Che cosa sono gli oggetti di gruppo?

Sebbene possa essere utile assegnare autorizzazioni e diritti a singoli account utente nelle piccole reti, questa scelta diventa poco pratica e inefficiente nelle reti aziendali di grandi dimensioni.

Se, ad esempio, più utenti hanno lo stesso livello di accesso a una cartella, è più efficiente creare un gruppo che contenga gli account utente necessari e quindi assegnare le autorizzazioni necessarie al gruppo.

Suggerimento

Come ulteriore vantaggio, è possibile modificare le autorizzazioni degli utenti sui file aggiungendoli o rimuovendoli dai gruppi anziché modificare direttamente le autorizzazioni per i file.

Prima di implementare i gruppi nell'organizzazione, è necessario comprendere l'ambito dei vari tipi di gruppo di Active Directory Domain Services. È inoltre necessario comprendere come usare i tipi di gruppo per gestire l'accesso alle risorse o per assegnare diritti di gestione e responsabilità.

Screenshot della finestra di dialogo di creazione del gruppo Sales Managers in Windows Admin Center.

Tipi di gruppi

In una rete Windows Server Enterprise sono disponibili due tipi di gruppi, descritti nella tabella seguente.

Tipo gruppo	Descrizione
Sicurezza	I gruppi di sicurezza sono abilitati per la sicurezza e si usano per assegnare autorizzazioni a varie risorse. È possibile usare i gruppi di sicurezza nelle autorizzazioni all'interno degli elenchi di controllo di accesso (ACL) per agevolare il controllo della sicurezza per l'accesso alle risorse. Se si desidera usare un gruppo per gestire la sicurezza, è necessario che sia un gruppo di sicurezza.
Distribuzione	Le applicazioni di posta elettronica usano in genere i gruppi di distribuzione, che non sono abilitati per la sicurezza. È anche possibile usare i gruppi di sicurezza come strumento di distribuzione per le applicazioni di posta elettronica.

Tipo gruppo

Descrizione

Sicurezza

I gruppi di sicurezza sono abilitati per la sicurezza e si usano per assegnare autorizzazioni a varie risorse. È possibile usare i gruppi di sicurezza nelle autorizzazioni all'interno degli elenchi di controllo di accesso (ACL) per agevolare il controllo della sicurezza per l'accesso alle risorse. Se si desidera usare un gruppo per gestire la sicurezza, è necessario che sia un gruppo di sicurezza.

Distribuzione

Le applicazioni di posta elettronica usano in genere i gruppi di distribuzione, che non sono abilitati per la sicurezza. È anche possibile usare i gruppi di sicurezza come strumento di distribuzione per le applicazioni di posta elettronica.

Ambiti dei gruppi

Windows Server supporta la definizione dell'ambito dei gruppi. L'ambito di un gruppo determina sia la gamma di capacità o autorizzazioni di un gruppo, sia l'appartenenza a gruppi. Sono disponibili quattro ambiti dei gruppi.

Locale. Questo tipo di gruppo si usa per server autonomi o workstation, in server membri di dominio che non sono controller di dominio oppure in workstation membri di dominio. I gruppi locali sono disponibili solo nel computer in cui esistono. Di seguito sono riportate le caratteristiche più importanti di un gruppo locale:
- È possibile assegnare capacità e autorizzazioni solo per le risorse locali, ovvero per il computer locale.
- I membri possono trovarsi ovunque nella foresta di Active Directory Domain Services.
Locale di dominio. Questo tipo di gruppo si usa principalmente per gestire l'accesso alle risorse o per assegnare responsabilità e diritti di gestione. I gruppi locali di dominio esistono nei controller di dominio in un dominio di Active Directory Domain Services, quindi l'ambito del gruppo è locale del dominio in cui risiede. Di seguito sono riportate le caratteristiche più importanti dei gruppi locali di dominio:
- È possibile assegnare capacità e autorizzazioni per le risorse locali del dominio, ovvero per tutti i computer nel dominio locale.
- I membri possono trovarsi ovunque nella foresta di Active Directory Domain Services.
Globale. Questo gruppo si usa principalmente per consolidare gli utenti con caratteristiche simili. Ad esempio, è possibile usare i gruppi globali per raggruppare gli utenti che fanno parte dello stesso reparto o si trovano nella stessa località geografica. Di seguito sono riportate le caratteristiche più importanti dei gruppi globali:
- È possibile assegnare capacità e autorizzazioni ovunque nella foresta.
- I membri possono provenire solo dal dominio locale e possono includere utenti, computer e gruppi globali del dominio locale.
Universale. Questo tipo di gruppo si usa per lo più nelle reti multidominio, in quanto offre una combinazione delle caratteristiche dei gruppi locali di dominio e dei gruppi globali. Nello specifico, le caratteristiche importanti dei gruppi universali sono:
- È possibile assegnare capacità e autorizzazioni ovunque nella foresta, come per i gruppi globali.
- I membri possono trovarsi ovunque nella foresta di Active Directory Domain Services.

Che cosa sono gli oggetti computer?

I computer, come gli utenti, sono entità di sicurezza, in quanto:

Hanno un account con un nome di accesso e una password che Windows modifica automaticamente a intervalli regolari.
Eseguono l'autenticazione con il dominio.
Possono appartenere a gruppi e avere accesso alle risorse ed è possibile configurarli usando Criteri di gruppo.

Il ciclo di vita di un account computer inizia quando si crea l'oggetto computer e lo si aggiunge al dominio. Dopo aver aggiunto l'account computer al dominio, le attività amministrative quotidiane includono:

Configurazione delle proprietà del computer.
Spostamento del computer tra unità organizzative.
Gestione del computer stesso.
Ridenominazione, ripristino, disabilitazione, abilitazione e infine eliminazione dell'oggetto computer.

Screenshot della finestra di dialogo di creazione del computer SEA-CL5 nel Centro di amministrazione di Active Directory.

Contenitore Computers

Prima di creare un oggetto computer in Active Directory Domain Services, occorre avere una posizione in cui inserirlo. Il contenitore Computers è un contenitore predefinito in un dominio di AD DS (Active Directory Domain Services). Questo contenitore rappresenta la posizione predefinita per gli account computer quando un computer viene aggiunto al dominio.

Questo contenitore non è un'unità organizzativa. Invece, è un oggetto della classe Container. Il suo nome comune è CN=Computers. Tra un contenitore e un'unità organizzativa esistono differenze sottili, ma significative. Non è possibile creare un'unità organizzativa in un contenitore, pertanto non si può suddividere il contenitore Computers. Non è inoltre possibile collegare un oggetto Criteri di gruppo a un contenitore. È quindi consigliabile creare unità organizzative personalizzate in cui ospitare oggetti computer anziché usare il contenitore Computers.

Commenti e suggerimenti

Questa pagina è stata utile?