Informazioni sul modello logico di Active Directory

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

La progettazione della struttura logica per Active Directory Domain Services (AD DS) comporta la definizione delle relazioni tra i contenitori nella directory. Queste relazioni possono essere basate su requisiti amministrativi, ad esempio la delega dell'autorità, oppure possono essere definite dai requisiti operativi, ad esempio la necessità di controllare la replica.

Prima di progettare la struttura logica di Active Directory, è importante comprendere il modello logico di Active Directory. AD DS è un database distribuito che consente di archiviare e gestire informazioni sulle risorse di rete, così come dati specifici delle applicazioni provenienti da applicazioni abilitate all'uso di directory. AD DS consente agli amministratori di organizzare gli elementi di una rete, ad esempio utenti, computer e dispositivi, in una struttura di contenimento gerarchica. Il contenitore di primo livello è la foresta. Le foreste sono domini e all'interno dei domini sono unità organizzative. Questo modello è denominato modello logico perché è indipendente dagli aspetti fisici della distribuzione, ad esempio il numero di controller di dominio necessari all'interno di ogni dominio e topologia di rete.

Foresta Active Directory

Una foresta è una raccolta di uno o più domini di Active Directory che condividono una struttura logica comune, uno schema di directory (definizioni di classi e attributi), la configurazione della directory (informazioni sul sito e la replica) e il catalogo globale (funzionalità di ricerca a livello di foresta). I domini nella stessa foresta vengono collegati automaticamente con relazioni di trust transitive bidirezionali.

Dominio di Active Directory

Un dominio è una partizione in una foresta Active Directory. Il partizionamento dei dati consente alle organizzazioni di replicare i dati solo in base alle esigenze. In questo modo, la directory può essere ridimensionata a livello globale su una rete con larghezza di banda disponibile limitata. Inoltre, il dominio supporta diverse altre funzioni di base correlate all'amministrazione, tra cui:

  • Identità utente a livello di rete. I domini consentono di creare identità utente una sola volta e farvi riferimento in qualsiasi computer aggiunto alla foresta in cui si trova il dominio. I controller di dominio che costituiscono un dominio vengono usati per archiviare in modo sicuro gli account utente e le credenziali utente (ad esempio password o certificati).

  • Autenticazione. I controller di dominio forniscono servizi di autenticazione per gli utenti e dati di autorizzazione aggiuntivi, ad esempio le appartenenze ai gruppi di utenti, che possono essere usati per controllare l'accesso alle risorse nella rete.

  • Relazioni di trust I domini possono estendere i servizi di autenticazione agli utenti in domini esterni alla propria foresta tramite trust.

  • Replica. Il dominio definisce una partizione della directory che contiene dati sufficienti per fornire servizi di dominio e quindi la replica tra i controller di dominio. In questo modo, tutti i controller di dominio sono peer in un dominio e vengono gestiti come unità.

Unità organizzative Active Directory

Le unità organizzative possono essere usate per formare una gerarchia di contenitori all'interno di un dominio. Le unità organizzative vengono usate per raggruppare gli oggetti per scopi amministrativi, ad esempio l'applicazione di Criteri di gruppo o la delega dell'autorità. Il controllo (su un'unità organizzativa e gli oggetti al suo interno) è determinato dagli elenchi di controllo di accesso (ACL) nell'unità organizzativa e dagli oggetti nell'unità organizzativa. Per facilitare la gestione di un numero elevato di oggetti, AD DS supporta il concetto di delega dell'autorità. Tramite la delega, i proprietari possono trasferire il controllo amministrativo completo o limitato sugli oggetti ad altri utenti o gruppi. L'importanza della delega risiede nel fatto che consente di distribuire la gestione di grandi quantità di oggetti a più persone considerate attendibili per l'esecuzione di attività di gestione.