Active Directory Domain Services (AD DS) non è altro che una funzione centrale di Active Directory di Microsoft, attraverso la quale gli utenti possono costruire una rete Windows centralizzata, ben integrata e scalabile. Questa struttura logica comprende la foresta AD, i suoi domini e le loro rispettive unità organizzative (OU).

Gli amministratori possono gestire in modo efficiente gli utenti e i computer di una rete e organizzarli in un database distribuito. Inoltre, AD DS dispone anche di integrazioni di sicurezza come la limitazione dell’accesso alle risorse della directory, SSO, LDAP, l’autorizzazione dei login, i certificati di sicurezza e la gestione dei diritti.

Per capire meglio AD DS, diamo prima uno sguardo approfondito a IAM (Identity and Access management).

Che cos’è IAM?

Il lancio del protocollo LDAP ha davvero cambiato le carte in tavola per l’industria IAM, in quanto è servito per due giganti:

OpenLDAP e Microsoft Active Directory insieme ad altri più piccoli. Entrambe queste soluzioni sono diventate molto popolari tra le imprese di tutto il mondo come fornitori di identità affidabili.

Cosa fa esattamente un fornitore di identità?

I fornitori di identità fanno il lavoro di creare un negozio centrale ben integrato per gli utenti e i dati di un’organizzazione.

Nell’IdP, tutti gli account utente sono memorizzati in modo sicuro insieme alle informazioni sulle risorse. Le risorse sono collegate alle identità degli utenti che le hanno utilizzate.

Non solo, le risorse come reti, applicazioni, sistemi, ecc. sono anche limitate per un utente specifico in base al suo ruolo.

Per i servizi di dominio Active Directory, questo processo è stato eseguito per le reti e le risorse basate su Windows. Quando un utente accede al suo computer, AD DS fornisce l’accesso alle risorse di cui l’utente ha bisogno ed è autenticato per usarle.

Che cos’è Active Directory?

Active Directory è la tecnologia di Microsoft da utilizzare nello spazio Windows Server. È una struttura di gerarchia logica che è in grado di condividere le informazioni del database per proteggere, gestire e localizzare facilmente il dispositivo e le risorse di rete.

Non solo offre funzioni di base di autorizzazione e autenticazione su larga scala, ma fornisce anche un quadro per numerosi altri servizi. AD fa uso del sistema operativo Windows Servers ed è un database LDAP in sé che contiene elementi in rete.

Per offrire servizi di directory ad ambienti complessi e su larga scala, Active Directory è stato prontamente introdotto in Windows 2000.

Il primo e principale ruolo di AD è di autenticare gli utenti nella rete di dominio. AD memorizza oggetti come computer, gruppi, condivisioni di file, permessi di file, stampanti e politiche di gruppo.

Inoltre, centralizza anche gli elementi di sicurezza in quanto tutti gli account degli utenti e le loro rispettive password sono memorizzati in un unico luogo.

Gli amministratori IT possono creare, limitare o rimuovere utenti, impostare politiche di gruppo e persino consentire agli utenti di cambiare le loro password. Tutte queste funzioni determinano come gli utenti interagiranno nell’ambiente di dominio.

In breve, AD DS è una struttura ben integrata e centralizzata per la gestione del dominio. Ogni dominio diventa un elemento di Active Directory Forest, ma può anche avere più di un dominio sistematicamente organizzato in unità logiche.

Senza AD, gli amministratori dovranno creare utenti locali su ogni computer e reimpostare le password per ognuno di loro sul loro PC.

Tipi di oggetti Active Directory:

Gli oggetti Active Directory possono essere differenziati in due tipi:

  • Oggetti contenitore
    Sono gli oggetti principali che consistono anche di altri oggetti al loro interno come Domini, Foreste, Alberi e Unità Organizzative.
  • Oggetti Foglia
    Questi oggetti non comprendono altri oggetti al loro interno, per esempio, computer, stampanti, periferiche, utenti, ecc.

Elementi chiave dei servizi di dominio Active Directory:

I servizi di dominio Active Directory comprendono:

  • Catalogo globale
    Consiste di informazioni riguardanti gli oggetti della directory. Con questo, gli amministratori di sistema e gli utenti possono trovare facilmente le informazioni della directory, indipendentemente dal dominio in cui sono contenute. Per esempio, i nomi degli utenti, i contatti e così via.
  • Schema
    È un insieme di regole che definiscono le classi di oggetti e le loro proprietà memorizzate nella directory insieme al formato dei loro nomi e ai limiti delle istanze degli oggetti.
  • Meccanismo di query e indici con l’aiuto del quale gli utenti della rete possono facilmente pubblicare o trovare oggetti e i loro attributi nell’AD.
  • Il servizio di replica include la distribuzione dei dati della directory attraverso una rete. Questa replica viene effettuata dai controller di dominio all’interno di un dominio, ognuno dei quali ha una copia dei dati della directory per il proprio dominio. Qualsiasi modifica apportata alle informazioni della directory viene automaticamente replicata ai controller di dominio all’interno di un dominio, quindi hanno lo stesso catalogo e schema. AD fa uso di più controller di dominio per la tolleranza ai guasti, il bilanciamento del carico e altre ragioni cruciali. Per questo, ogni controller di dominio all’interno di un dominio deve avere una copia del suo database AD. È qui che entra in gioco il servizio di replica. Sappiate che i controller di dominio di domini diversi non devono replicarsi l’un l’altro.
  • Siti: Questa è la rappresentazione della topologia di rete di Windows.
  • Lightweight Directory Access Protocol (LDAP): LDAP è un protocollo che permette all’AD di comunicare con altri servizi di directory basati su LDAP all’interno della rete.

Quali servizi sono inclusi in Active Directory Domain Services?

AD DS consiste di vari servizi come:

  • Domain Services:
    Sono servizi di base che gestiscono la centralizzazione dei dati, gestiscono l’autenticazione del login, la funzionalità di ricerca e permettono la comunicazione senza soluzione di continuità tra gli utenti all’interno di un dominio.
  • Lightweight Directory Services:
    Questi servizi forniscono il supporto per le applicazioni abilitate alle directory con l’aiuto del protocollo LDAP.
  • Rights Management:
    Questa caratteristica riguarda i diritti di informazione come la limitazione dell’accesso alle informazioni personali degli utenti e la crittografia dei dati riservati.
  • Directory Federation Services:
    DFS offre funzionalità SSO (Single-Sign-On) agli utenti per un’autenticazione sicura. Questa caratteristica è più utile quando si comunica con più applicazioni web in una singola sessione.
  • Servizi di certificazione:
    Questa caratteristica consente di creare, condividere e gestire i certificati di sicurezza. Questi certificati garantiscono la sicurezza e la privacy criptando i dati inviati attraverso la rete.

Ruolo dei controller di dominio in Active Directory Domain Services:

Fondamentalmente, un controller di dominio (DC) non è altro che un server nella rete Windows che fornisce l’accesso degli utenti alle risorse di dominio. Il suo obiettivo principale è quello di autorizzare e autenticare gli utenti in una rete sulla base dei loro nomi e password.

I controller di dominio ospitano AD DS così come altri servizi come:

  • NetLogon:
    Il suo scopo è quello di autenticare le credenziali di accesso degli utenti nella rete di dominio.
  • KDS:
    Kerberos Key Distribution Center è un servizio utilizzato per emettere, autenticare ed effettuare la crittografia dei biglietti Kerberos. Autenticherà gli utenti quando usano il protocollo Kerberos. Il servizio dispone di TCS (Ticket Granting Server) e di un Authenticating Server.
  • IsmServ (Intersite Messaging):
    Questo servizio assiste lo scambio di dati tra i PC in un ambiente di rete Windows.
  • Servizio W32time:
    Windows time o servizio W32time utilizza NTP (Network Time Protocol) per sincronizzare data e ora per tutti i PC in un dominio in rete. La sincronizzazione dell’orologio sui computer è importante per il corretto funzionamento di Kerberos.

Installazione di Active Directory Domain Services

Vediamo un rapido tutorial su come installare Active Directory Domain Services su Windows Server:

  • Apertura di Server Manager: Premere l’icona “Windows” sulla tastiera e digitare “Server Manager” nella casella di ricerca. L’applicazione si aprirà.
  • Aggiunta di ruoli e funzioni: Nella finestra di Server Manager, cliccate con il tasto destro su “Manage” e selezionate l’opzione “Add Roles and Features”. Una volta che la procedura guidata si apre, clicca su “Next”.
  • Select Installation Type: Cliccando su “Next” si aprirà la finestra Installation Type dove è necessario selezionare l’opzione “Role-based or feature-based installation”. Poi clicca su “Next”.
  • Selezione del server: Qui arriva la “Selezione del server” clicca sul server su cui vuoi installare AD DS e poi clicca su “Avanti”.
  • Ruoli del server: In questa finestra, vedrete molte opzioni “Roles”. Spunta su “Active Directory Domain Services”.
  • Add Features: Subito dopo, si aprirà la procedura guidata “Add Roles and Features”. Clicca sul pulsante “Add Features” e poi premi “Next”.
  • Select Features: Immediatamente si aprirà la sezione “Select Features”. Clicca semplicemente su “Next”.
  • Installazione di AD DS: Ora si apre la finestra principale dell’installazione di AD DS, clicca su “Next”.
  • Finestra di conferma: La finestra di conferma mostra ciò che sarà installato sul server. Una volta letto tutto, clicca su “Install”.
  • Promote to Domain Controller: Dopo l’installazione, vai su “Server Manager” e vedrai un triangolo giallo come icona di notifica proprio accanto alla scheda “Manage”. Cliccate su di essa e scegliete “Promote this server to a domain controller”.
  • Add a New Forest: Questo aprirà AD DS Configuration Wizard. Clicca su “Aggiungi una nuova foresta” e digita il nome del dominio principale della tua azienda e premi “Avanti”.
  • Opzioni controller di dominio: Nella pagina successiva, mantenete tutte le caselle di default selezionate e digitate la vostra password DSRM. Fare clic su “Avanti”.
  • Opzioni DNS: Nella pagina DNS Options, potresti vedere un messaggio di errore in alto. Ignoralo e premi “Next”.
  • NetBIOS domain name: Qui puoi cambiare il nome del dominio o lasciare il nome di default così com’è. Premi “Avanti”.
  • Percorsi: Mantenere i percorsi predefiniti come è, e cliccare “Next”.
  • Review Selections: In questa pagina, controlla tutte le opzioni che hai selezionato finora, e premi “Next”.
  • Prerequisites Check: In questa finestra, tutti i prerequisiti saranno convalidati prima dell’installazione di AD DS. Se appare qualche errore, guarda i passi precedenti e correggili. Clicca su “Install”.
    Una volta fatto, il tuo server si riavvierà e poi sarai in grado di accedere al dominio con l’input della password DSRM che hai impostato nel passo 12.

Wrap Up:

Active Directory Domain Services è una delle migliori terminologie usate per migliorare il server Windows e farlo risaltare nelle imprese.

Si adatta perfettamente alla maggior parte delle soluzioni Microsoft, rendendo più facile per gli utenti fare le loro operazioni. Quando si installa AD DS, è possibile gestirlo facilmente attraverso l’Active Directory Administrative Center. Spero che questa guida sia stata utile da leggere!