Active Directory (AD) è un servizio di directory da utilizzare in un ambiente Windows Server. Si tratta di una struttura di database gerarchica e distribuita che condivide informazioni sull'infrastruttura per localizzare, proteggere, gestire e organizzare le risorse del computer e della rete, compresi file, utenti, gruppi, periferiche e dispositivi di rete.
Active Directory è il servizio di directory di Microsoft da utilizzare nelle reti di dominio Windows. IT fornisce funzioni di autenticazione e autorizzazione, oltre a fornire un quadro per altri servizi di questo tipo. La directory stessa è un database LDAPS che contiene oggetti in rete. Active Directory utilizza il sistema operativo Windows Server.
Quando si parla di Active Directory, in genere si intende Active Directory Domain Services, che fornisce servizi di autenticazione e autorizzazione integrati e su larga scala.
Prima di Windows 2000, il modello di autenticazione e autorizzazione di Microsoft richiedeva la suddivisione della rete in domini e il collegamento di questi domini con un complicato e talvolta imprevedibile sistema di trust a una o due vie. Active Directory è stato introdotto in Windows 2000 come un modo per fornire servizi di directory ad ambienti più grandi e complessi.
Nel corso del tempo, Microsoft ha aggiunto altri servizi sotto la bandiera di Active Directory.
Questa versione leggera dei servizi di dominio elimina alcune complessità e funzionalità avanzate per offrire solo le funzionalità di base del servizio di directory, senza l'uso di controller di dominio, foreste o domini. Viene solitamente utilizzata in ambienti di rete piccoli e con un solo ufficio.
Il servizio di certificati offre servizi di certificazione digitale e supporta l'infrastruttura a chiave pubblica (PKI). Questo servizio è in grado di memorizzare, convalidare, creare e revocare le credenziali a chiave pubblica utilizzate per la crittografia, anziché generare chiavi esternamente o localmente.
Fornisce un servizio di autenticazione e autorizzazione single sign-on basato sul web, da utilizzare principalmente tra le organizzazioni. In questo modo, un appaltatore può logarsi sulla propria rete ed essere autorizzato ad accedere anche alla rete del cliente.
Si tratta di un servizio di gestione dei diritti che va oltre il modello di accesso consentito o negato e limita le operazioni che un utente può compiere con determinati file o documenti. I diritti e le restrizioni sono legati al documento piuttosto che all'utente. Questi diritti sono comunemente utilizzati per impedire la stampa, la copia o lo screenshot di un documento.
Gli avvisi personalizzati e la visualizzazione dei dati consentono di identificare e prevenire rapidamente i problemi di salute e di prestazioni della rete.
Una caratteristica fondamentale della struttura di Active Directory è l'autorizzazione delegata e la replica efficiente. Ogni parte della struttura organizzativa di AD limita l'autorizzazione o la replica all'interno di quella particolare sottoparte.
La foresta è il livello più alto della gerarchia organizzativa. Una foresta è un confine di sicurezza all'interno di un'organizzazione. Una foresta consente la segregazione della delega di autorità all'interno di un singolo ambiente. In questo modo un amministratore dispone di diritti e permessi di accesso completi, ma solo a un sottoinsieme specifico di risorse. È possibile utilizzare una sola foresta in una rete. Le informazioni della foresta sono memorizzate su tutti i controller di dominio, in tutti i domini, all'interno della foresta.
Un albero è un gruppo di domini. I domini all'interno di un albero condividono lo stesso spazio dei nomi della radice. Mentre un albero condivide uno spazio dei nomi, gli alberi non hanno limiti di sicurezza o di replica.
Ogni foresta contiene un dominio radice. È possibile utilizzare domini aggiuntivi per creare ulteriori partizioni all'interno di una foresta. Lo scopo di un dominio è quello di suddividere la directory in parti più piccole per controllare la replica. Un dominio limita la replica di Active Directory solo agli altri controller di dominio all'interno dello stesso dominio. Ad esempio, un ufficio di Oakland non deve replicare i dati di AD dall'ufficio di Pittsburg. In questo modo si risparmia larghezza di banda e si limitano i danni di una violazione della sicurezza.
Ogni controller di dominio ha una copia identica del database di Active Directory di quel dominio. Questa viene mantenuta aggiornata tramite una replica costante.
Sebbene i domini fossero utilizzati nel precedente modello basato su Windows-NT e fornissero ancora una barriera di sicurezza, la raccomandazione è di non utilizzare solo i domini per controllare la replica, ma di utilizzare le unità organizzative (UO) per raggruppare e limitare le autorizzazioni di sicurezza.
Un'unità organizzativa consente di raggruppare l'autorità su un sottoinsieme di risorse di un dominio. Un'UO fornisce un limite di sicurezza per i privilegi e le autorizzazioni elevate, ma non limita la replica degli oggetti AD.
Le UO sono utilizzate per delegare il controllo all'interno di gruppi funzionali. Le UO devono essere utilizzate per implementare e limitare la sicurezza e i ruoli tra gruppi, mentre i domini devono essere utilizzati per controllare la replica di Active Directory.
I controller di dominio sono server Windows che contengono il database relazionale di Active Directory ed eseguono le funzioni relative ad Active Directory, tra cui l'autenticazione e l'autorizzazione. Un controller di dominio è un qualsiasi server Windows installato con il ruolo di controller di dominio.
Ogni controller di dominio memorizza una copia del database di Active Directory contenente informazioni su tutti gli oggetti dello stesso dominio. Inoltre, ogni controller di dominio memorizza lo schema dell'intera foresta e tutte le informazioni sulla foresta. Un controller di dominio non memorizzerà una copia dello schema o delle informazioni della foresta di un'altra foresta, anche se si trovano sulla stessa rete.
I ruoli di controller di dominio specializzati sono utilizzati per eseguire funzioni specifiche che non sono disponibili sui controller di dominio standard. Questi ruoli master sono assegnati al primo controller di dominio creato in ogni foresta o dominio. Tuttavia, un amministratore può riassegnare manualmente i ruoli.
Esiste un solo schema master per foresta. Esso contiene la copia master dello schema utilizzato da tutti gli altri controller di dominio. La presenza di una copia master garantisce che tutti gli oggetti siano definiti allo stesso modo.
Esiste un solo master del nome di dominio per foresta. Il master del dominio assicura che tutti i nomi degli oggetti siano unici e, se necessario, effettua riferimenti incrociati agli oggetti memorizzati in altre directory.
Esiste un master dell'infrastruttura per dominio. Il master dell'infrastruttura conserva l'elenco degli oggetti eliminati e tiene traccia dei riferimenti agli oggetti di altri domini.
Esiste un master degli identificatori relativi per dominio. IT tiene traccia dell'assegnazione e della creazione di identificatori di sicurezza (SID) unici in tutto il dominio.
Esiste un solo emulatore di controller di dominio primario (PDC) per dominio. IT esiste per garantire la compatibilità con i vecchi sistemi di dominio basati su Windows NT. Risponde alle richieste fatte a un PDC come avrebbe fatto un vecchio PDC.
L'archiviazione e il recupero dei dati su qualsiasi controller di dominio sono gestiti dall'archivio dati. L'archivio dati è composto da tre livelli. Il livello inferiore è il database stesso. Il livello intermedio è costituito da componenti di servizio, il Directory System Agent (DSA), il livello del database e l'Extensible Storage Engine (ESE). Il livello superiore è costituito dai servizi del directory store, LDAPS (Lightweight Directory Access Protocol), l'interfaccia di replica, l'API di messaggistica (MAPI) e il Security Account Manager (SAM).
Active Directory contiene informazioni sulla posizione degli oggetti memorizzati nel database, tuttavia Active Directory utilizza il Domain Name System (DNS) per localizzare i controller di dominio.
All'interno di Active Directory, ogni dominio ha un nome di dominio DNS e ogni computer collegato ha un nome DNS all'interno dello stesso dominio.
Ogni cosa all'interno di Active Directory è memorizzata come oggetto. La classe può anche essere definita come il "tipo" di un oggetto nello schema. Gli attributi sono i componenti dell'oggetto e gli attributi di un oggetto sono definiti dalla sua classe.
Gli oggetti devono essere definiti nello schema prima che i dati possano essere memorizzati nella directory. Una volta definiti, i dati vengono memorizzati all'interno della Active Directory come singoli oggetti. Ogni oggetto deve essere unico e rappresentare una singola cosa, come un utente, un computer o un gruppo unico di cose (ad esempio, un gruppo di utenti).
I due tipi principali di oggetti sono le risorse e i presidi di sicurezza. Ai presidi di sicurezza vengono assegnati degli identificatori di sicurezza (SID), mentre alle risorse non vengono assegnati.
Notifiche in tempo reale significano una risoluzione più rapida dei problemi, in modo da poter intervenire prima che si verifichino problemi più gravi.
Active Directory utilizza più controller di dominio per molte ragioni, tra cui il bilanciamento del carico e la tolleranza agli errori. Perché questo funzioni, ogni controller di dominio deve avere una copia completa del database di Active Directory del proprio dominio. La replica garantisce che ogni controller abbia una copia aggiornata del database.
La replica è limitata dal dominio. I controller di dominio diversi non si replicano tra loro, nemmeno all'interno della stessa foresta. Ogni controller di dominio è uguale all'altro. Sebbene le versioni precedenti di Windows avessero controller di dominio primari e secondari, in Active Directory non esiste una cosa del genere. A volte si crea un po' di confusione a causa della continuazione del nome "controller di dominio" dal vecchio sistema basato sulla fiducia ad Active Directory.
La replica funziona in base a un sistema pull, ovvero un controller di dominio richiede o "tira" le informazioni da altri controller di dominio piuttosto che ogni controller di dominio invia o "spinge" i dati agli altri. Per impostazione predefinita, i controller di dominio richiedono i dati di replica ogni 15 secondi. Alcuni eventi di alta sicurezza attivano un evento di replica immediato, come il blocco di un account.
Vengono replicate solo le modifiche. Per garantire la fedeltà in un sistema multi-master, ogni controller di dominio tiene traccia delle modifiche e richiede solo gli aggiornamenti dall'ultima replica. Le modifiche vengono replicate in tutto il dominio utilizzando un meccanismo di store-and-forward, in modo che qualsiasi modifica venga replicata quando richiesta, anche se non è stata originata dal controller di dominio che risponde alla richiesta di replica.
In questo modo si evita un eccesso di traffico e si può configurare in modo che ogni controller di dominio richieda i dati di replica dal server più desiderato. Ad esempio, una sede remota con una connessione veloce e una lenta ad altri siti con controller di dominio può impostare un "costo" su ogni connessione. In questo modo, la richiesta di replica verrà effettuata attraverso la connessione più veloce.
