Articles

Glossario di Active Directory – Termini e concetti fondamentali

Posted on

In questo post, elencherò e spiegherò la terminologia più comunemente usata in Active Directory e nelle tecnologie correlate.

Se sei nuovo di Active Directory, questa sarà una grande risorsa per familiarizzare con le basi di Active Directory e i concetti fondamentali.

Ho raggruppato i termini in diverse sezioni per facilitare la comprensione e la consultazione. Alcuni argomenti possono essere molto tecnici, ho fornito una terminologia breve e facile da capire. Ho poi fornito risorse aggiuntive alla fine di ogni sezione se volete saperne di più.

Tabella dei contenuti:

  • Fondamenti di Active Directory – Inizia qui
  • Servizi di Active Directory
  • Active Directory DNS
  • Active Directory Replication
  • Sicurezza di Active Directory (Autenticazione, Protocolli di sicurezza, Permessi)
  • Console di gestione di Active Directory
  • DHCP
  • Group Policy

Active Directory Basics

Questi sono i termini di base con cui dovreste avere familiarità quando avete a che fare con Active Directory.

Active Directory

Active Directory è un servizio di directory che centralizza la gestione di utenti, computer e altri oggetti in una rete. La sua funzione principale è quella di autenticare e autorizzare utenti e computer in un dominio Windows. Per esempio, quando un utente entra in un computer nel dominio controlla il nome utente e la password che sono stati inviati per verificare l’account. Se si tratta di un nome utente e di una password validi, l’utente viene autenticato ed entra nel computer.

Non confondetevi con i tre termini seguenti, si riferiscono tutti ad Active Directory.

  • AD – Questa è solo un’abbreviazione di Active Directory
  • AD DS – Questo è un server che esegue il ruolo di Active Directory Domain Services
  • Domain Controller – Questo è anche un server che esegue il ruolo di Active Directory Domain Service. Si raccomanda di avere più controller di dominio per ragioni di failover.

Active Directory Web Services (ADWS)

Questo servizio è stato introdotto in Windows Server 2008 R2. Viene installato automaticamente con il ruolo ADDS o ADLDS ed è configurato per essere eseguito automaticamente. Questo servizio fornisce la gestione remota di qualsiasi servizio di directory locale.

Dominio

Il dominio è una struttura logica di contenitori e oggetti all’interno di Active Directory. Un dominio contiene i seguenti componenti:

  • Una struttura gerarchica per utenti, gruppi, computer e altri oggetti
  • Servizi di sicurezza che forniscono autenticazione e autorizzazione alle risorse nel dominio e in altri domini
  • Policies che sono applicate a utenti e computer
  • Un nome DNS per identificare il dominio. Quando si accede a un computer che fa parte di un dominio, si accede al nome di dominio DNS. Il mio dominio DNS è ad.activedirectorypro.com, questo è il modo in cui il mio dominio è identificato.

Albero di dominio

Quando aggiungi un dominio figlio ad un dominio padre crei quello che viene chiamato un albero di dominio. Un albero di dominio è solo una serie di domini collegati insieme in modo gerarchico che usano lo stesso spazio dei nomi DNS. Se activedirectorypro.com aggiungesse un dominio chiamato training, o video, sarebbe chiamato training.activedirectorypro.com e videos.activedirectorypro.com. Questi domini fanno parte dello stesso albero dei domini e una fiducia è automaticamente creata tra i domini padre e figlio.

Livelli funzionali

I livelli funzionali determinano quali capacità sono disponibili nel dominio. I livelli funzionali più alti ti permettono di usare le più recenti e più grandi tecnologie nel tuo dominio Active Directory. Quando possibile usa i livelli funzionali più alti per i tuoi controller di dominio.

Forest

Una foresta è una collezione di alberi di dominio. L’albero di dominio condivide uno schema comune e un contenitore di configurazione. L’albero dei domini è collegato tra loro attraverso un trust transitivo. Quando installi Active Directory per la prima volta e crei un dominio, stai anche creando una foresta.

FQDN – Fully Qualified Domain Name

Fully Qualified Domain name è l’hostname + il dominio, per esempio, il mio dominio è ad.activedirectorypro.com, un computer nel dominio con hostname PC1 quindi l’FQDN sarebbe pc1.ad.activedirectorypro.com

FSMO

Un controller di dominio ha molteplici funzioni che vengono chiamate ruoli FSMO. Questi ruoli sono tutti installati sul primo controller di dominio in una nuova foresta, è possibile spostare i ruoli su più DC per aiutare con le prestazioni e il failover.

  • Schema Master – Lo schema master è un ruolo a livello di foresta che gestisce tutte le modifiche allo schema di Active Directory.
  • Domain Naming Master – Questo è un ruolo a livello di foresta che è il master dei nomi di dominio. Gestisce lo spazio dei nomi e l’aggiunta e la rimozione dei nomi di dominio.
  • Emulatore PDC – Questo ruolo gestisce i cambi di password, il blocco degli utenti, i criteri di gruppo ed è il time server per i client.
  • Master RID – Questo ruolo è responsabile dell’elaborazione delle richieste del pool RID da tutti i DC all’interno del dominio. Quando gli oggetti come gli utenti e i computer vengono creati, viene loro assegnato un SID unico e un ID relativo (RID). Il ruolo RID master assicura che agli oggetti non vengano assegnati gli stessi SID e RID.
  • Master infrastruttura – Questo è un ruolo a livello di dominio usato per fare riferimento a oggetti in altri domini. Se gli utenti del dominio A sono membri di un gruppo di sicurezza nel dominio B, il ruolo master dell’infrastruttura è usato per fare riferimento agli account nel dominio corretto.

Oggetti

Quando si lavora con Active Directory si lavora principalmente con gli oggetti. Gli oggetti sono definiti come un gruppo di attributi che rappresentano una risorsa nel dominio. A questi oggetti viene assegnato un identificatore di sicurezza unico (SID) che viene utilizzato per garantire o negare all’oggetto l’accesso alle risorse nel dominio. I tipi di oggetto predefiniti creati in un nuovo dominio in Active Directory sono:

  • Unità Organizzativa (OU) – Una OU è un oggetto contenitore che può contenere diversi oggetti dello stesso dominio. Userai le OU per memorizzare e organizzare account utente, contatti, computer e gruppi. Collegherai anche gli oggetti dei criteri di gruppo a una OU.
  • Utenti – Gli account utente sono assegnati principalmente agli utenti per ottenere l’accesso alle risorse del dominio. Possono anche essere usati per eseguire programmi o servizi di sistema.
  • Computer – Questo è semplicemente un computer che è unito al dominio.
  • Gruppi – Ci sono due tipi di oggetti, un gruppo di sicurezza e un gruppo di distribuzione. Un gruppo di sicurezza è un raggruppamento di account utente che può essere utilizzato per fornire accesso alle risorse. I gruppi di distribuzione sono usati per le liste di distribuzione delle email.
  • Contatti – Un contatto è usato per scopi e-mail. Non è possibile accedere al dominio come contatto e non può essere utilizzato per garantire le autorizzazioni.
  • Cartella condivisa – Quando si pubblica una cartella condivisa in Active Directory si crea un oggetto. La pubblicazione di cartelle condivise in AD rende più facile per gli utenti trovare file e cartelle condivise all’interno del dominio.
  • Condividi stampante – Proprio come le cartelle condivise è possibile pubblicare stampanti in Active Directory. Questo rende anche più facile per gli utenti trovare e utilizzare le stampanti sul dominio.

LDAP (Lightweight Directory Access Protocol)

LDAP è un protocollo di piattaforma aperta utilizzato per accedere ai servizi di directory. LDAP fornisce il meccanismo di comunicazione per le applicazioni e altri sistemi da utilizzare per interagire con i server di directory. In termini semplici, LDAP è un modo di connettersi e comunicare con Active Directory.

Global Catalog (GC)

Il server del catalogo globale contiene una replica completa di tutti gli oggetti ed è usato per eseguire ricerche in tutta la foresta. Per default il primo controller di dominio in un dominio è designato come server GC, si raccomanda di avere almeno un server GC per ogni sito per migliorare le prestazioni.

Jet Database Engine

Il database di Active Directory è basato sul motore Jet Blue di Microsoft e utilizza l’Extensible Storage Engine (ESE) per lavorare con i dati. Il database è un singolo file chiamato ntds.dit, per default è memorizzato nella cartella %SYSTEMROOT%\NTDS e in ogni controller di dominio.

Cestino

Il cestino di Active Directory permette agli amministratori di recuperare facilmente gli elementi cancellati, questo non è abilitato di default. Come abilitare il cestino passo dopo passo.

Read-Only Domain Controller (RODC)

I server RODC detengono una copia in sola lettura del database di Active Directory e non consentono modifiche ad AD. Il suo scopo principale è per le filiali e le sedi con scarsa sicurezza fisica.

Schema

Lo schema di Active Directory definisce ogni classe di oggetti che può essere creata e usata in una foresta di Active Directory. Definisce anche ogni attributo che può esistere in un oggetto. In altre parole, è uno schema di come i dati possono essere memorizzati in Active Directory. Per esempio, un account utente è un’istanza della classe utente, utilizza gli attributi per memorizzare e fornire informazioni su quell’oggetto. Un account computer è un’altra istanza di una classe che è anche definita dai suoi attributi.

Ci sono molte classi e attributi, a meno che la vostra programmazione o la risoluzione di qualche problema avanzato non sia necessaria per conoscere tutto sullo schema.

SYSVOL

Il sysvol è una cartella molto importante che è condivisa su ogni controller di dominio. La posizione predefinita è %SYSTEMROOT%\SYSVOL\sysvol ed è composta da quanto segue:

  • Group Policy Objects
  • Folders
  • Scripts
  • Junction Points

Tombstone

Tombstone è un oggetto cancellato da AD che non è stato rimosso dal database, l’oggetto tecnicamente rimane nel database per un periodo di tempo. Durante questo periodo di tempo l’oggetto può essere ripristinato.

Attributi del nome dell’oggetto

Quelli che seguono sono alcuni importanti attributi con cui dovresti avere familiarità quando lavori con Active Directory.

  • userPrincipalName (UPN) – Questo è un nome di accesso comune che è nel formato di un indirizzo email. Un UPN assomiglia a questo, [email protected], un UPN può essere usato per accedere a un dominio Windows.
  • objectGUID – Questo attributo è usato per identificare univocamente un account utente. Anche se l’account viene rinominato o spostato, l’objectGUID non cambia mai.
  • sAmAccountName – Questo attributo è l’utente per i logon degli account in un dominio. Era il mezzo principale per accedere a un dominio per le vecchie versioni di Windows, può ancora essere usato sulle versioni moderne di Windows.
  • objectSID – Questo attributo è l’identificatore di sicurezza (SID) dell’utente. Il SID è usato dal server per identificare un utente e la sua appartenenza al gruppo per autorizzare l’accesso degli utenti alle risorse del dominio.
  • sIDHistory – Questo attributo contiene precedenti SID per l’oggetto utente. Questo è necessario solo se un utente si è spostato in un altro dominio.
  • Relative Distinguished Name (RDN) – L’RDN è il primo componente del nome distinto. E’ il nome dell’oggetto in Active Directory relativo alla sua posizione nella struttura gerarchica di AD
  • Distinguished Name (DN) – L’attributo DN individua gli oggetti nella directory. Questo attributo è comunemente utilizzato da servizi e applicazioni per individuare gli oggetti in Active Directory. un DN è costituito dai seguenti componenti:
    • CN – nome comune
    • OU – unità organizzativa
    • DC – componente del dominio

Gruppi

I gruppi sono usati per raccogliere gli account degli utenti, gli oggetti computer e contatti in unità di gestione. La creazione di gruppi rende più facile il controllo dei permessi alle risorse e l’assegnazione di risorse come stampanti e cartelle. Ci sono due tipi di gruppi

  • Distribuzione – I gruppi di distribuzione sono usati dalle applicazioni di posta elettronica per inviare facilmente un’e-mail a un gruppo di utenti.
  • Sicurezza – I gruppi di sicurezza sono un gruppo di account che possono essere utilizzati per assegnare facilmente a una risorsa o richiedere permessi. Per esempio, se volessi bloccare una cartella per il dipartimento HR potrei semplicemente mettere tutti gli impiegati in un gruppo di sicurezza e applicare il gruppo alla cartella invece che ad ogni singolo account.

Scopo del gruppo

Lo scopo del gruppo identifica se il gruppo può essere applicato nel dominio o nella foresta. Ecco i tre ambiti di gruppo:

  • Universale – Può contenere oggetti di altri gruppi universali e qualsiasi dominio nell’albero o nella foresta.
  • Globale – Può contenere oggetti dal dominio ed essere usato in qualsiasi albero di dominio o foresta.
  • Dominio Locale – Può contenere oggetti da qualsiasi dominio ma può essere applicato solo al dominio in cui è stato creato.

Risorse:

Comprendere le pietre tombali, Active Directory, e come proteggerla

Active Directory Schema

Livelli funzionali di foresta e dominio

Active Directory: Concetti Parte 1

Servizi di Active Directory

Active Directory include diversi altri servizi che rientrano nell’Active Directory Domain Services, questi servizi includono:

Active Directory Certificate Services (AD CS)

Questo è un ruolo del server che ti permette di costruire un’infrastruttura a chiave pubblica (PKI) e di fornire certificati digitali alla tua organizzazione. I certificati possono essere usati per crittografare il traffico di rete, il traffico delle applicazioni e per autenticare utenti e computer. Quando vedi https nell’indirizzo di un browser significa che sta usando un certificato per crittografare la comunicazione dal client al server.

Active Directory Domain Services (AD DS)

Vedi la descrizione di Active Directory

Active Directory Federation Services (AD FS)

Il servizio di federazione permette il single sign on a sistemi esterni come siti web e applicazioni. Office 365 è un uso comune per i servizi di federazione. Quando si accede a Office 365, il nome utente e la password vengono reindirizzati attraverso il server di federazione e le credenziali vengono verificate rispetto al proprio Active Directory on-premise. Quindi questo vi permette di fornire l’autenticazione a sistemi esterni utilizzando la vostra Active Directory locale per autenticare il nome utente e la password.

Active Directory Lightweight Directory Services (AD LDS)

Questo servizio fornisce servizi di directory utilizzando il protocollo LDAP senza la necessità di distribuire controller di dominio. È usato principalmente per fornire servizi di directory in modo funzionale alle applicazioni abilitate alle directory. Non sostituisce AD DS.

Active Directory Rights Management Services (AD RMS)

Questo servizio fornisce metodi per proteggere le informazioni sul contenuto digitale. Protegge i documenti definendo chi può aprire, modificare, stampare, inoltrare o compiere altre azioni sui documenti. Puoi anche usare i certificati per criptare i documenti per una maggiore sicurezza.

Active Directory DNS

Domain Name System è un servizio che fornisce la risoluzione dei nomi, più comunemente da hostname a indirizzo IP. In questa sezione, imparerete alcuni dei componenti importanti del DNS.

Resource Records

Un record di risorse è una voce nel sistema DNS che aiuta a localizzare risorse basate su IP o su un nome di dominio. Ci sono molti tipi di record di risorse, sotto c’è una lista di tipi di record comuni:

  • A – mappa un hostname ad un indirizzo IPv4
  • AAAA – mappa un hostname ad un indirizzo IPv6
  • CNAME – mappa un alias ad un hostname
  • MX – usato per localizzare un server di posta
  • NS – specifica un name server per un dominio
  • PTR – mappa un indirizzo IPv4 ad un hostname. Il contrario di un record A.
  • SOA – Contiene informazioni amministrative
  • SRV – Utilizzato per individuare i server che ospitano servizi specifici
  • TXT – Può contenere vari dati. Spesso usato per verificare i domini e per motivi di sicurezza.

Dynamic DNS (DDNS)

Dynamic DNS è un metodo per i client di registrare e aggiornare dinamicamente i loro record di risorse con un server DNS. Questo permette ai client che usano DHCP di aggiornare automaticamente i loro record DNS quando il loro indirizzo IP cambia.

Nome host

Questo è più spesso il record A del DNS, il nome DNS di un dispositivo con cui si può comunicare. Per esempio, un server con il nome di DC1. Se DC1 è stato registrato nel DNS ci si riferisce a questo come hostname.

Zones

Una zona è usata per ospitare i record DNS per un particolare dominio. Il tipo di zona più importante e comunemente usato è quello integrato in Active Directory. Ci sono diverse altre zone con le quali dovreste avere familiarità, copro le altre zone nel mio articolo, Windows DNZ Zones Explained.

DNS Aging e Scavenging

Questa è una funzione che può essere attivata per aiutare ad automatizzare la pulizia dei record DNS stantii. Ho creato un post separato che spiega di più e fornisce istruzioni passo dopo passo per configurare l’invecchiamento e lo scavenging del DNS.

I record SRV usati da Active Directory

In un dominio Windows, i record SRV sono usati dai clienti per localizzare i controller di dominio per Active Directory. Quando si installa il servizio AD DS il processo creerà automaticamente i record SRV per Active Directory.

  • Active Directory crea i suoi record SRV nelle seguenti cartelle, dove Domain_Name è il nome del tuo dominio:
    • Forward Lookup Zones/Domain_Name/_msdcs/dc/_sites/Default-First-Site-Name/_tcp Forward Lookup Zones/Domain_Name/_msdcs/dc/_tcp

Ecco uno screenshot del mio DNS:

Forwarders

I forwarders DNS sono server che risolvono gli hostnames che il vostro server DNS interno non può risolvere, principalmente domini esterni come la navigazione internet. Puoi impostare l’inoltro delle richieste DNS a qualsiasi server di tua scelta, spesso viene utilizzato un ISP.

Root Hints

Il root hint server è un altro metodo per risolvere i nomi host che il vostro server interno non può risolvere. La differenza è che questi server servono come zona root DNS per internet. Sono gestiti da diverse grandi organizzazioni per la sicurezza e la ridondanza. Si possono usare sia i root hints che i forwards per risolvere i nomi esterni.

Risorse:

Elenco completo dei tipi di record di risorse DNS

Come verificare che i record SRV DNS siano stati creati per un controller di dominio

Root Hints vs Forwarders

Migliori pratiche DNS

Replicazione Active Directory

La replicazione è il processo che assicura che i cambiamenti fatti ad un controller di dominio siano replicati agli altri controller di dominio nel dominio.

Oggetti di connessione

L’oggetto di connessione specifica quali controller di dominio replicano tra loro, con quale frequenza e i loro contesti di denominazione.

KCC

Il Knowledge Consistency Checker (KCC) è un processo che viene eseguito su tutti i controller di dominio e genera una topologia di replica basata su siti, sottoreti e oggetti di collegamento.

Subnet

Una subnet è una porzione logica di una rete IP. Le sottoreti sono usate per raggruppare i dispositivi in una rete specifica, spesso per luogo, edificio o piano. Se hai un ambiente multisito, Active Directory ha bisogno di conoscere le tue sottoreti in modo da poter identificare correttamente le risorse più efficienti. Se queste informazioni non vengono fornite, i client possono autenticarsi e utilizzare il controller di dominio sbagliato.

Sito

Un sito è un insieme di sottoreti. I siti di Active Directory aiutano a definire il flusso di replica e la posizione delle risorse per i client come un controller di dominio.

Site link

I site link ti permettono di configurare quali siti sono collegati tra loro.

Site link Bridge

Un site link bridge è una connessione logica tra siti. È un metodo per rappresentare logicamente la connettività transitiva tra i siti.

Topologia del sito

La topologia del sito è una mappa che definisce la connettività di rete per la replica e la posizione delle risorse nella foresta di Active Directory. La topologia del sito è costituita da diversi componenti tra cui siti, sottoreti, collegamenti al sito, ponti di collegamento al sito e oggetti di connessione.

Replicazione intra-sito

Questa è la replica che avviene tra i controller di dominio nello stesso sito.

Replicazione intersito

In un ambiente con più siti, un cambiamento in un sito deve essere replicato nell’altro sito. Questo è chiamato replica inter-sito.

Risorse:

Come funziona la replica di Active Directory

Concetti di replica di Active Directory

Sicurezza di Active Directory (autenticazione, protocolli di sicurezza, permessi)

Kerberos

Kerberos è un protocollo di sicurezza che permette agli utenti di provare la loro identità per accedere alle risorse del dominio.

Key Distribution Center (KDC)

KDC è un servizio che gira sui controller di dominio e fornisce ticket di sessione usati nel protocollo di autenticazione Kerberos.

Service Principal Names (SPN)

SPN è un identificatore unico di un’istanza di servizio.

NTLM

NTLM è un insieme di protocolli di sicurezza usati per autenticare, fornire integrità e riservatezza agli utenti. Kerberos è il protocollo di autenticazione preferito ed è usato nelle moderne versioni di Windows, NTLM è ancora disponibile per i vecchi client e sistemi su un gruppo di lavoro.

Permessi NTFS

I permessi NTFS ti permettono di definire chi è autorizzato ad accedere ad un file o ad una cartella. Sotto c’è una lista dei permessi di base che puoi impostare:

  • Controllo completo – Questo dà agli utenti i diritti di aggiungere, modificare, spostare ed eliminare file e cartelle.
  • Modifica – Dà agli utenti la vista e i diritti di modifica
  • Leggi & Esegui – Dà agli utenti la vista e i diritti di esecuzione
  • Leggi – solo pronti diritti
  • Scrivi – diritto a un file e aggiungere nuove cartelle

Permessi di condivisione

I permessi di condivisione definiscono il livello di accesso alle risorse condivise come una cartella. Ci sono tre permessi condivisi di base:

  • Leggi – Dà agli utenti i diritti di visualizzazione della cartella e delle sottocartelle
  • Cambia – Dà agli utenti i diritti di lettura e modifica
  • Controllo completo – Dà agli utenti i diritti di modifica, cambiamento e lettura.

Lista di controllo di accesso discrezionale (DACL)

Una DACL identifica quale account permette o nega l’accesso ad un oggetto come un file o una cartella.

Access Control Entries (ACE)

DACL contiene ACE, l’ACE definisce quale account e quale livello di accesso deve essere concesso alla risorsa. Se nessun ACE è presente, il sistema nega ogni accesso all’oggetto.

System Access Control List (SACL)

La SACL permette agli amministratori di registrare i tentativi di accesso ad un oggetto di sicurezza.

Politica della password a grana fine

Una caratteristica di Windows 2008 e superiori che permette di definire diverse politiche di blocco delle password e degli account per diversi account. Generalmente, tutti gli account dovrebbero avere la stessa politica, ma potreste avere un account di servizio o un account molto specifico che ha bisogno di una politica diversa. Per esempio, il nostro account wifi ospite continuava ad essere bloccato a causa di cattivi tentativi di password. Ho usato una politica di password garantita per impostare un blocco dell’account più alto rispetto al resto del dominio.

Risorse:

Kerberos per l’amministratore impegnato

Panoramica tecnica sull’autenticazione di Windows

Differenze tra le autorizzazioni Share e NTFS

Liste di controllo dell’accesso

Console di gestione di Active Directory

Questa sezione include le console di gestione che dovrai utilizzare per gestire le varie tecnologie di Active Directory. Dovrai installare il Remote Server Administration Tools (RSAT) per accedere a queste console di gestione.

Active Directory Users and Computers (ADUC)

Questa è la console più comunemente usata per gestire utenti, computer, gruppi e contatti.

Scorciatoia: dsa.msc

Active Directory Administrative Center (ADAC)

A partire dal Server 2008 R2 Microsoft introduce l’ADAC per gestire i propri oggetti del servizio di directory. Questa console può essere utilizzata per creare e gestire account utente, account computer, gruppi e unità organizzative. Fornisce le stesse funzionalità dello strumento Active Directory Users and Computers. A causa dell’interfaccia complicata, preferisco ADUC a questa console.

Active Directory Domains and Trusts

Questa console viene utilizzata per aumentare la modalità di dominio o il livello funzionale di un dominio o foresta. Si usa anche per gestire le relazioni di fiducia.

Scorciatoia: domain.msc

Siti e servizi di Active Directory

Questa è la console principale per gestire la replica. Questa console è usata per gestire gli oggetti della topologia del sito, gli oggetti di connessione, pianificare la replica, forzare manualmente la replica, abilitare il catalogo globale e abilitare il caching del gruppo universale.

Scorciatoia: dssite.msc

ADSI Edit

Active Directory Service Interfaces Editor è uno strumento GUI che può essere utilizzato per gestire oggetti in Active Directory. Questo strumento fornisce l’accesso ai dati degli oggetti che non sono disponibili in Active Directory Users and Computers.

Scorciatoia: adsiedit.msc

Gestione DFS

Questa console è usata per gestire gli spazi dei nomi DFS e la replica DFS.

Scorciatoia: dfsmgmt.msc

DHCP

Questa console è usata per creare ambiti DCHP, visualizzare informazioni di leasing e tutto ciò che riguarda il DHCP.

Scorciatoia: dhcpmgmt.msc

DNS

Questa console è usata per creare zone DNS, record di risorse e gestire tutto il DNS.

Corciatoia: dnsmgmt.msc

Gestione dei criteri di gruppo

Corciatoia: gpmc.msc

PowerShell

Anche se questa non è una console di gestione è lo strumento più potente per automatizzare i compiti amministrativi. PowerShell può velocizzare molti compiti di routine che gli strumenti di gestione della GUI non possono fare.

Risorse:

Dynamic Host Control Protocol (DHCP)

Il protocollo di configurazione dinamica dell’host è un servizio che fornisce un controllo centralizzato dell’indirizzo IP. Quando il tuo computer si connette a una rete cablata o wireless un server DHCP viene contattato per trovare e assegnare un indirizzo IP disponibile.

Scope

Uno scope DHCP è un insieme di impostazioni di indirizzo IP che sono configurate per dispositivi come un computer da utilizzare. È possibile creare più scope per diversi tipi di dispositivi e subnet. Per esempio, ho un ambito per i computer e diversi ambiti per i telefoni IP. Quando si imposta un ambito, è necessario configurare quanto segue:

  • Nome dello scope – Questo è il nome dello scope. Dategli un nome descrittivo in modo che sia facile identificare per quali dispositivi è.
  • Intervallo indirizzi IP – Questo è l’intervallo IP che volete che i dispositivi usino. Per esempio 10.2.2.0/24
  • Esclusioni di indirizzi IP – È possibile specificare di escludere gli indirizzi IP dall’ambito. Questo è utile se si hanno dispositivi sulla subnet che hanno bisogno di un IP statico come un router o un server.
  • Durata del lease – Il lease specifica per quanto tempo un client ha un indirizzo IP prima di restituirlo al pool.
  • Opzioni DHCP – Ci sono diverse opzioni che puoi includere quando DHCP assegna un indirizzo IP. Ulteriori informazioni in merito sono riportate di seguito

Opzioni DHCP

Ci sono molte opzioni DCHP, di seguito le opzioni più comunemente usate in un dominio Windows.

  • 003 router – Il gateway predefinito della sottorete
  • 005 server DNS – L’indirizzo IP del server DNS che i client dovrebbero usare per la risoluzione dei nomi.
  • 015 DNS Domain Name – Il suffisso DNS che il client dovrebbe usare, spesso lo stesso del nome del dominio.

Filtraggio DHCP

Il filtraggio DHCP può essere usato per negare o permettere dispositivi basati sul loro indirizzo MAC. Per esempio, lo uso per bloccare i dispositivi mobili dalla connessione al nostro wifi sicuro.

Superscopi

Un superscopio è un insieme di singoli ambiti DHCP. Questo può essere usato quando si vuole unire degli scope insieme. Onestamente, non l’ho mai usato.

Split Scopes

Questo è un metodo per fornire tolleranza di errore per un ambito DHCP. Usare il failover DHCP non è il metodo preferito per la tolleranza di errore.

DHCP Failover

DCHP failover era una nuova caratteristica a partire dalla versione 2012 del server. Permette a due server DHCP di condividere le informazioni di leasing fornendo alta disponibilità per i servizi DCHP. Se un server diventa indisponibile, l’altro server lo sostituisce.

Risorse:

Parametri DHCP

Criteri di gruppo

I criteri di gruppo permettono di gestire centralmente le impostazioni di utenti e computer. È possibile utilizzare i criteri di gruppo per impostare i criteri delle password, i criteri di controllo, il blocco dello schermo, la mappatura delle unità, la distribuzione del software, un’unità, le impostazioni di Office 365 e molto altro ancora.

Group Policy Objects (GPO)

I GPO sono una raccolta di impostazioni di policy da applicare a computer o utenti.

Frequenza di aggiornamento dei criteri di gruppo

Le stazioni di lavoro client e i server membri aggiornano i loro criteri ogni 90 minuti. Per evitare di sovraccaricare i controller di dominio è stato aggiunto un intervallo di offset casuale per ogni macchina. Questo evita che tutte le macchine richiedano gli aggiornamenti dei criteri di gruppo dal DC allo stesso tempo e potenzialmente lo mandino in crash.

Elaborazione delle politiche

Le politiche di gruppo si applicano nel seguente ordine

  • Locale
  • Sito
  • Dominio
  • Unità Organizzativa (OU)

Blocca l’eredità

Di default, gli oggetti delle politiche di gruppo sono ereditati. Per cambiare questo comportamento puoi usare l’opzione blocca eredità a livello di OU.

No Override

Se vuoi applicare i criteri e impedire che vengano bloccati usa l’opzione no override.

Impostazioni utente

In un GPO ci sono impostazioni utente e computer. Le impostazioni utente si applicano solo agli oggetti utente. Se configuri le impostazioni utente nel GPO, il GPO deve essere applicato agli oggetti utente.

Impostazioni del computer

Le impostazioni del computer in un GPO sono impostazioni che possono essere applicate a un computer. Se configuri le impostazioni del computer il GPO deve essere applicato agli oggetti computer.

Resultant Set of Policy (RsoP)

Resultant Set of Policy è uno strumento Microsoft integrato in Windows 7 e versioni successive. Fornisce agli amministratori un rapporto su quali impostazioni dei criteri di gruppo vengono applicate a utenti e computer. Può anche essere usato per simulare le impostazioni per scopi di pianificazione.

Ho un tutorial completo nel mio articolo Come usare RSoP per controllare e risolvere i problemi delle impostazioni dei criteri di gruppo.

Preferenze dei criteri di gruppo

Le preferenze dei criteri di gruppo sono usate principalmente per configurare le impostazioni che possono poi essere cambiate a livello di client. Le preferenze hanno anche l’opzione di fare alcuni obiettivi avanzati come l’applicazione ad una certa OU, versione di Windows, utenti in un gruppo e così via. Le preferenze sono comunemente usate per configurare quanto segue:

  • Drive Mappings
  • Impostazioni del registro
  • Installare stampanti
  • Schedulare attività
  • Impostare i permessi di file e cartelle
  • Impostare le impostazioni di alimentazione

Template

È possibile installare ulteriori modelli di criteri di gruppo per estendere i GPO di default forniti da Microsoft. Alcuni modelli comuni utilizzati sono Office 365, Chrome, Firefox e quelli forniti da applicazioni di terze parti. I modelli sono file basati su xml di solito in formato ADM o con estensione ADMX.

Risorse:

Architettura dei criteri di gruppo

Panoramica dei criteri di gruppo

Ho dimenticato qualcosa? Hai qualcosa da condividere? Fammi sapere nei commenti qui sotto.

Strumento consigliato: SolarWinds Server & Application Monitor

Questa utility è stata progettata per monitorare Active Directory e altri servizi critici come DNS & DHCP. Individua rapidamente i problemi dei controller di dominio, previene i fallimenti della replica, tiene traccia dei tentativi di logon falliti e molto altro ancora.

Quello che mi piace di più di SAM è la sua dashboard facile da usare e le funzioni di avviso. Ha anche la capacità di monitorare le macchine virtuali e lo storage.

Scarica la tua prova gratuita qui

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *