# Active Directory Active Directory è un sistema server centralizzato, cuore di Windows Server, che si fonda sui concetti di dominio e di directory. E' un insieme di servizi di rete, meglio noti come directory service, gestiti da un domain controller Permette una gestione unica e centralizzata di oggetti (pc e utenti) ### Dominio E' una rete client-server in cui l'utente può accedere da qualsiasi dispositivo dell'ufficio registrato all'interno del dominio. L'amministrazione dei dispositivi è centralizzata. Comodo perchè da un solo database all'interno dell'azienda si possono gestire tutti i computer. E' fatto per trasferire dati tramite internet ma sempre all'interno dell'azienda. E' preferito per aziende di medie e grandi dimensioni che hanno tanti dati e soprattutto tanti dispositivi da gestire. **Dominio Web**: identifica un sito web **Dominio di rete locale**: identifica una macchina all'interno di una rete locale Es: nomeazienda.local Anche i domini locali hanno dei record DNS, non quelli pubblici, ma quelli locali, ovvero i DNS Server locali sulle macchine. ### Workgroup E' una rete di computer Windows peer to peer in cui gli utenti possono utilizzare le proprie credenziali di accesso solo sul proprio sistema e non su altri. L'amministrazione delle macchine è ditribuita e ogni macchina è gestita da se, in modo indipendente. E' opposto all'organizzazione tramite dominio Active Directory, perche non è centralizzato. Non ci sono regole comuni che regolano il lavoro insieme. ## Cosa si può fare con Active Directory? Creazione di una infrastruttura scalabile, sicura e gestibile - Ricerca di Utenti, Computer, Stampanti, Share di Rete, Servizi distribuiti, Indirizzi Email - Autenticazione - Autorizzazione all’accesso alle risorse - Auditing (LOG) - Regole per la gestione e la configurazione dei PC (Policy) - Installazione di software Quendo si va a disegnare una nuova AD si deve disegnare in modo future-proof ## Oggetti di Active Directory Active Directory è uni sistema centralizzato per la gestione di oggetti, è un framework gerarchico di oggetti. ### Oggetti Singola entità (utente, computer, stampante, gruppo, regole...) e i suoi attributi. Un oggetto è sempre identificato univocamente dal suo ObjectID, che cambia se elimino e ricreo l'oggetto con le stesse caratteristiche e lo stesso nome. Ogni oggetto ha un insieme di attributi. Tipi di Oggetti: - Utenti: icona della persona, insiemi di utenti, contenitori di altri gruppi, un gruppo può essere contenuto in un altro gruppo. Tutte le volte che ne creo uno me la mette in questa cartella, se non è stato messo in un gruppo specifico - Computer/Server: icona del computer. Tutte le volte che ne creo uno me la mette in una cartella di default (Computers), se non è stata messa in un gruppo specifico - Domain Controller: se è creato, viene messo come oggetto a parte, perchè ha permessi Differenti ### Attributi di un oggetto L'LDAP, AD etc usano la struttura gerarchica che è all'interno del Relative Distinguished Name Ha tutte le info della gerarchia Poi c'è CN (Canonical Name), che è il nome dell'utente. Sono le caratteristiche e le informazioni che un oggetto può avere. Gli attributi determinano anche il tipo di oggetti che possono essere immagazzinati in Active Directory Gli oggetti possono anche essere *contenitori di altri oggetti.* Attributi: - CN: Canonical Name (Dominio.dom/OrganizationalUnit/ComputerAccount) - RDN: Relative Distinguished Name (CN=mycomputer) é un attributo che però ha vari attributi sull'utente - DN: Distinguished Name (CN=mycomputer, OU=OrganizationalUnit, DC=dominio, DC=com) - DC: Domain Component Esempio: CN=Losco Nicola Francesco,OU=Utenti,OU=GruppoReti,DC=gruppo,DC=reti... Esempio: slide Oggetti e Attributi Gli attributi di un oggetto si possono modificare all'interno della console di gestione degli Oggetti, oltre che poter modificare gli oggetti stessi All'interno della console di gestione gli oggetti vanno differenziati e organizzati per gruppi e oggetti. BuiltIn (varie cose fra cui Administrator) Ci sono le cartelle di default (BuiltIn...) e quelle personalizzate. Per gestire tutto al meglio usare le cartelle personalizzate. ## Componenti di Active Directory Active directory è suddivisa in tre componenti logici fondamentali: - **Domini**: Un dominio è un insieme di macchine connesse fra di loro e che condividono un directory database comune, in cui sono inseriti gli oggetti. - **Alberi**: Un albero è l'insieme di uno o più domini che condividono uno spazio di nomi contiguo. - **Foreste**: l'insieme di alberi presenti nella directory. La foresta rappresenta perciò l'area in cui utenti, computer, gruppi ed altri oggetti sono accessibili. componenti fisici: Domain Controller Operation master: 5 ruoli Console di Gestione: MMC, Active Directory User & Computer ## Servizi di Active Directory ### Servizi di dominio (Domain Services) Cuore di AD, memorizza i dati centralizzati (oggetti) e gestisce la comunicazione tra utenti e domini; include l'autenticazione di accesso e la funzionalità di ricerca Serve per organizzare tutto, comunicazione fra utenti e domini. funzionalità: - Riconoscimento del match fra utente e password per accordare l'accesso. - Funzionalità di ricerca della macchina all'interno dell'azienda. Questo è la funzionaità principale per convincere la gente a migrare su un sistema di dominio. ### Servizi Certificati (Certificate Services) Genera, gestisce e condivide certificati (es: SSL, TLS ...) per i siti interni all'azienda, per garantire scambi di informazioni sicuri e crittografati. Gestito da un ruolo di un server Windows Server. Non si possono certificare con quelli esterni. ### Servizi di directory leggeri Supporta le applicazioni abilitate alla directory utilizzando il protocollo aperto (LDAP). WTF? Permette di gestire servizi aziendali Per integrare i servizi e gli account, Esempio: devo far parlare un firewall, per delle VPN, Per gestire la vpn con gli utenti interni ad AD, devo far parlare il firewall con Active Directory. Al firewall dico: vai a leggere il db all'interno di AD, e poi abilita questi tot account E' un protocollo di ricerca, di comunicazione, per gli accessi. poi il kerberos fa l'accesso, e verifica i gruppi, diritti, password, utente. Slide 27 ### Directory Federation Services Fornisce Single Sign-On (SSO) per autenticare un utente in più applicazioni Web in una singola sessione. **Autenticazione Base**: Funzionamento: 1. Applicazione dell'utente comunica con Active Directory Authenication Library e digita le credenziali 2. Active Directory autentica la richiesta di accesso e manda indietro il token dell'autenticazione 3. Il token di autenticazione passa al servizio richiesto per la sessione continuata Differente dai federation Services Slide 21 **Kerberos**: Protocollo di rete per l'autenticazione che permette a diversi terminali di comunicare su una rete informatica insicura privando la propria identità tramite crittografia simmetrica Previene l'intercettazione dei dati e assicura la loro integrità **Single Sign-On (SSO)**: Un utente, dopo che ha effettuato il login nel dominio da una qualsiasi postazione, può accedere a risorse disponibili in rete interna (condivisioni, mailbox, siti intranet ecc.) senza dover effettuare nuovamente l'autenticazione. Autenticazione Unica, comoda per fare il sign-in ed essere poi dentro a tutto Serve avere la MFA Slide 24 ### Gestione dei diritti Controlla i diritti e la gestione delle informazioni. ### Cos'è un servizio di Directory? Servizio che aiuta a tracciare e individuare gli oggetti in rete. Gli oggetti sono contenuti in un database comune (DIT) Tutto il sistema di Active directory viene gestito da una console di gestione apposita # Creazione di un Dominio Active Directory ## Domain Name Il cuore dell'AD, è la prima cosa che dobbiamo scegliere con cura. Se si deve rifare un nome a dominio, bisogna buttare via il AD corrente per farne uno nuovo. La maggior parte dei domini sono monodomini e monoforesta. Alberatura singola. **Child Domain Name**: Sono sottodomini, entità logiche separate dal dominio principale ogni dominio, compresi i subdomain necessitano di un Domain Controller (anzi, 2 per ridondanza) Tra tutti i server, per potersi parlare e scambiare informazioni di sicurezza ci deve essere una relazione di Trust, di fiducia. Esiste uno SnapIn AD Domains and Trust ## Dominio Active Directory dominio.dom contiene un Gruppo di Oggetti, coincide con il dominio DNS e ha un unico database Slide 3 L'AD è molto scalabile Il dominio Active Directory, che altro non è che un gruppo di oggetti con un unico database corrisponde al **dominio DNS**. Può condividere la stessa struttura gerarchica dei nomi e AD si basa sul DNS. Per ogni nuovo dominio server almeno un server DNS al suo interno. Cosa influenza la geografia di un dominio? Velocità di Rete e Numero degli Utenti ### Raccomandazioni sul design del Dominio Minimizzare il numero dei domini Minimizzare la profondità della gerarchia dei domini Scegliere un modello che eviti la riorganizzazione continua. Il modello si evolve, ma non si resetta. Creare almeno due Domain Controller (DNS) per ciascun dominio Definire a priori i modelli Autorizzativi, profilativi ed Organizzazione delle OU (Organizationals Units) ### Albero Insieme di domini o singolo dominio all'interno di una foresta che condividono lo stesso spazio dei nomi. Slide 7: albero comprende testerlab.local, marketing.testerlab.local, sales.testerlab.local Slide 8: Indicato chiaramente Tra Alberi della stessa foresta ci sono relazioni dette di "Trust", ovvero relazioni certificate ### Foresta Insieme di alberi Ovvero insieme di domini AD Comprende: - Dominio di ROOT, che ha - Dominio - Dominio PADRE che a sua volta ha dei - Domini Figli Slide foresta: AD multidominio monoforesta. Slide 9: 1 foresta, 2 Alberi, 6 Domini. Tra i domini nella stessa foresta ci sono relazioni di Trust E' un confine di sicurezza per l'organizzazione e un confine di gestione per gli amministratori. Le group policy di una foresta sono limitate a quello foresta, non escono, è un confine. In una foresta multidominio c'è sempre un root domain che gestisce le policy. ### Componenti aggiuntivi Foresta Contiene: - Insieme di alberi di domini - Schema e configurazione comune - Global Catalog Comune - Sicurezza Kerberos #### Global Catalog Ruolo di Windows Server Replica in sola lettura delle domain partitions della foresta Contiene tutte le informazioni di tutti i domini. Se un dominio figlio vuole informazioni su un altro dominio figlio deve chiedere al Global Catalog, che è memorizzato nel domain controller. In questo modo ci sono 2 domain controller, ma gli altri domain controller non hanno il Global Catalog Sono gli attributi che si usano di più, viene aggiornato spesso Definizione di Windows: > Il catalogo globale contiene una replica parziale di oggetto nella directory. Contiene anche i contesti di denominazione dello schema e della configurazione. Ciò significa che GC contiene una replica di ogni oggetto nella directory, ma con solo un numero ridotto di attributi. I controller di dominio con la funzionalità di catalogo globale abilitata sono indicati come server di catalogo globale e possono eseguire diverse funzioni particolarmente importanti in un ambiente di foresta multidominio: - **Autenticazione**: Durante un accesso interattivo al dominio, un controller di dominio elaborerà la richiesta di autenticazione e fornirà le informazioni di autorizzazione relative a tutti i gruppi di cui l'account utente è membro per l'inclusione nel token di accesso utente generato. - **Ricerca di oggetti**. Il catalogo globale rende la struttura della directory all'interno di una foresta trasparente per gli utenti che eseguono una ricerca. Uno dei due domain controller di un dominio ha il global catalog Il global catalog ha le informazioni base di anche gli altri domini, è in ogni dominio, quello di root avrà un po' più di info #### Schema condiviso Contiene le definizioni formali di ogni classe di oggetti che possono essere creati in quella foresta di Active Directory, inclusi gli attibuti degli oggetti stessi. Lo schema è comune a tutta la foresta di AD e una volta creato non si può più modificare. Schema condiviso fra tutti gli utenti, racchiude tutte le informazioni su tutti gli attributi del dominio AD. E' l'intera planimetria di AD, contiene tutte le informazioni degli oggetti, e i loro attributi ###### Slide 7 mono foresta, tanti domini. il server sopra ha tutte le info dei server dotto, mentre al server sotto non interessa. I database dei domain controller devono essere replicati all'interno dei server, in continuazione in modo che siano sempre aggiornato slide la foresta in AD schema di AD Global Catalog sales ha il suo database, replicato fra i due domain controller, ma le info di sales vengono scritte solo li ### Organizational Units Parola molto importante, è l'elemento più piccolo a cui si può assegnare una policy di dominio ---- **Enterprise Root Domain**: Primo dominio che viene creato nella struttura