BlogTutorialActive Directory: i primi 5 consigli

Active Directory: i primi 5 consigli

active directory

Le Active Directory di Microsoft sono uno strumento molto importante per la gestione delle risorse e delle identità nelle reti informatiche basate su Windows. L’importanza di questo strumento è rappresentato dai molti benefici che offre a coloro che hanno deciso di adottare questo strumento informatico tra i quali l’autenticazione, l’autorizzazione e le politiche di gruppo.

Non bisogna inoltre dimenticare che permette di creare una struttura gerarchica in grado di gestire in modo efficiente tutte le risorse del sistema. In ambiente Windows inoltre sono molto importanti per garantire un certo livello di sicurezza. Questo corso nasce per offrire una serie di conoscenze necessarie per poter operare in tutta tranquillità e con professionalità in una tra le applicazioni più importanti per Windows in ambito aziendale.

Il corso verterà su una serie di argomenti tecnici anche un po’ ostici ma verranno spiegati con molta semplicità in modo che non saranno di difficile comprensione anche a chi si approccia a questo argomento per la prima volta. Queste sono le tematiche principali che verranno trattate:

  • introduzione alle active directory: verrà effettuata una panoramica completa di AD compresi concetti principali e la sua importanza strategica all’interno di un’organizzazione;
  • installazione e configurazione: è necessario che sia molto ben chiaro tutto il processo di installazione prima e configurazione in un secondo momento in modo da poter iniziare a lavorare;
  • la gestione degli utenti e dei gruppi: una tra le principali caratteristiche di Active Directory è la possibilità di creare e gestire utenti e gruppi utente in modo da poter gestire le varie autorizzazioni;
  • le politiche di gruppo: le politiche di gruppo per standardizzare le configurazioni e le impostazioni in tutta l’organizzazione;
  • la struttura logica e la topologia: organizzazione e strutturazione dei domini, gli alberi e le foreste delle Active Directory;
  • la sicurezza informatica e la protezione dalle intrusioni: il controllo estremamente sofisticato permette di assicurare al sistema un ottimo livello di sicurezza potendo tenere sotto stretto controllo tutti gli accessi.

La storia delle Active Directory

Le Active Directory nascono ufficialmente nel 1993 con il rilascio di Windows NT che aveva tra i suoi servizi anche il Windows NT Directory Services che era in grado di fornire una sorta di gestione centralizzata degli utenti e delle risorse. Ancora il prodotto aveva una serie di limitazioni. Sette anni dopo viene introdotto sul mercato Windows 2000 Server che segnò la nascita delle Active Directory con funzionalità più avanzate. Vengono introdotti i domini, gli alberi e le foreste cosa che da una parte implementavano la scalabilità della piattafotma dall’altra la sicurezza informatica.

active directory MSP In Cloud

Tre anni dopo viene introdotto Windows Server 2003 che portò nuovi aggiornamenti come l’inserimento del misto nativo che facilitava la migrazione dalle versioni precedenti. Windows Server 2008, successivamente la versione aggiornata Windows Server 2008 R2, aumentò la facilità nella migrazione e la sicurezza informatica ma soprattutto introdusse la virtualizzazione. Per avere il tuffo nel mare del cloud bisogna attendere Windows Server 2012 che introdusse le Azure Active Directory.

In questo modo molte delle funzionalità di AD passarono nel cloud andando a rendere tutto il processo molto più veloce offrendo inoltre la possibilità di poterle adoperare anche da remoto o da altra sede. Windows Server 2016 portò ad alcuni miglioramenti alla sicurezza mentre Windows Server 2019 ha portato ad una serie di importanti novità come una più rafforzata protezione delle credenziali, la gestione dei privilegi amministrativi ed altri miglioramenti soprattutto in ambito della sicurezza.

Concetti di base: oggetti, domini, alberi, foreste

Prima di entrare nello specifico in questo particolare argomento è necessario conoscere i concetti basilari per riuscire a procedere con lo studio delle Active Directory:

  • oggetto: con l’oggetto in Active Directory viene rappresentato un singolo elemento come un utente oppure un computer all’interno della directory. Ad ogni oggetto vengono associati una serie di attributi che ne caratterizzano il comportamento. La loro importanza sta nel fatto che tutti gli oggetti vanno a creare la base della Directory;
  • dominio: è un unità di organizzazione logica all’interno di una rete basata su Windows. La sua funzione principale è quella di raggruppare utenti ed oggetti all’interno di una directory. Oltre alla grande importanza in termini di organizzazione delle risorse questa logica è molto importante anche per offrire una maggiore sicurezza informatica;
  • albero: più domini collegati in una struttura logica creano un albero. Questa organizzazione permette di ottenere un condiviso schema e directory. In sostanza si ha la possibilità di ottenere da una parte la separazione di tutte le unità organizzative dall’altra la condivisione di risorse e dell’autenticazione all’interno di una foresta;
  • foresta: questa struttura si compone di alberi di domini collegati. Si potrebbe affermare che una foresta comprenda tutti gli elementi di una AD che sono stati spiegati in precedenza poiché include il catalogo globale, lo schema e le configurazioni comuni. Queste permettono di amministrare un ampio numero di organizzazioni in modo indipendente ottenendo un buon livello di sicurezza ed una condivisione di informazioni in modo più efficiente.

In conclusione si può dire che le Active Directory è un sistema in grado di organizzare tutte le risorse in una struttura gerarchica favorendo una struttura in grado di favorire la flessibilità e la scalabilità.

active directory azure MSP In Cloud

Installazione e prima configurazione di Active Directory

In questa sezione scoprirai come installare tutti i componenti necessari per avere le AD perfettamente funzionanti. Vi sono naturalmente una serie di operazioni che devono essere eseguite in modo da poter ottenere un lavoro all’altezza delle aspettative.

Cos’è necessario per poter installare le AD?

Vi sono una serie di requisiti che devono essere soddisfatti per poter installare il software. Naturalmente ciò è importante quindi divideremo il processo in requisiti di sistema necessari per Active Directory e l’installazione delle Active Directory.

Requisiti di Sistema per Active Directory

Vediamo quali sono i requisiti software ed hardware:

  • il sistema operativo: è molto importante installare il giusto sistema operativo poiché si parla della base della nostra operazione. Per avere un ottimo risultato è necessario avere nella propria macchina almeno Windows Server 2016, meglio Windows Server 2019 ma è comunque consigliabile aggiornare il sistema operativo in modo da poter ottenere il massimo da AD;
  • l’hardware: non si può creare praticamente nulla se non si possiede l’hardware necessario per far partire ed operare in modo opportuno è necessario che le risorse siano sufficienti per fare in modo che non si arrivi ad interruzioni di servizio che per un soprattutto per un server sarebbe una vera catastrofe. È necessario quindi fare molta attenzione agli aspetti consueti di un server: i processori, i banchi RAM e lo spazio sul disco;
  • la rete: potrà sembrare una banalità ma è sempre necessario ricordare che un server per funzionare correttamente ha bisogno di una rete estremamente stabile in modo da poter ricevere ed inviare dati in tempo reale o quasi. Naturalmente il Domain Name Server, chiamato più comunemente DNS, è un altro elemento necessario per l’individuazione e la risoluzione dei nomi dei server;
  • il nome di dominio: quando decisi di installare le AD è necessario pianificare alcuni elementi come per esempio la scelta di un dominio. È importante che questo sia conforme con le regole e soprattutto che sia univoco. Sarà inoltre importante decidere se servirsi di uni un dominio radice o di un sottodominio.

Consigli utili per operare in modo più semplice con le politiche di gruppo

Quando si effettua questa operazione potrebbe essere molto interessante operare su alcuni elementi altrettanto importanti partendo dalla sicurezza come l’adozione di password difficili da trovare oppure l’uso di certificati di sicurezza per la comunicazione sicura. Non dimenticare mai di installare gli aggiornamenti e le patch del sistema in modo da poter ottenere un sistema più stabile e senza bug.

Un elemento importante è l’uso della ridondanza per i controller in modo tale da mantenere il server operativo anche in caso di catastrofe stessa cosa deve essere presa in considerazione per i backup che dovrebbero essere creati in modo abbastanza regolari in modo da non perdere il lavoro effettuato.

Quando si crea la rete è necessario fare in modo che tutti i server del dominio abbiano una connessione stabile ed a bassa latenza . È importante adoperare degli strumenti per il controllo ed il logging in modo tale da poter tenere sotto controllo tutti gli aspetti dell’attività del server.

Procedura di installazione delle Active Directory

Dopo esserti accertato che il tuo sistema rispecchia almeno il minimo dei requisiti di sistema comincia la parte davvero divertente: l’installazione del software. Vi sono alcuni passaggi molto importanti che devono essere seguiti in modo che le AD possano funzionare al meglio:

  • apertura del Server Manager: questo strumento è molto importante perché permette di gestire vari aspetti del server come la creazione ed amministrazione dei ruoli e le funzionalità ed altri servizi internet. Per aprire il Server Manager è necessario accedere al server con i privilegi di amministratore quindi dovrebbe apparire l’icona nella schermata di “Start” oppure nella barra delle applicazioni. Se l’icona non dovesse apparire è possibile procedere attraverso la barra delle applicazioni o la schermata start. Nel primo caso potresti trovare l’icona di questa applicazione nell’apposita barra posta nella parte inferiore dello schermo. Se non è presente nemmeno nella barra puoi cliccare sul tasto Windows dal quale scaturirà la schermata di Start quindi non dovrai fare altro che scrivere il nome dell’applicazione ed essa apparirà, per chi usa Windows normalmente su un computer questo metodo dovrebbe essere molto familiare;
  • la selezione dei ruoli: una volta fatta partire l’installazione avrai a disposizione la procedura guidata. È necessario procedere con la configurazione del ruolo “Servizi di dominio per Active Directory”. La cosa importante della procedura guidata sta nel fatto che è possibile aggiungere le funzionalità man mano che l’installazione va avanti;
  • la Configurazione di Funzionalità Aggiuntive: parlando di funzionalità aggiuntive è necessario prendere in considerazione soprattutto quelle essenziali. Per esempio è consigliabile controllare se sono installati i DNS, Domain Name System, e nel caso non lo fossero è necessario procedere con l’installazione;
  • la Configurazione del Tipo di Servizio di Dominio: anche in questo caso è importante fare attenzione ad installare tutti i componenti necessari durante la procedura guidata. In questo caso sarà necessario decidere se installare un nuovo dominio del server oppure aggiungere il server ad un dominio già esistente. La seconda opzione viene adoperata di solito per creare un controller di dominio su uno già esistente;
  • la Configurazione dei Dettagli del Dominio: a questo punto si può dire che l’installazione è quasi completata quindi l’unica cosa da fare è inserire le informazioni del dominio. È vero la parte grossa è finita ma non si deve fare molta attenzione alle informazioni che verranno immesse. Questo perché non si devono inserire solo i dettagli del dominio ma tutte le password di AD. Per esempio la password di DSRM, Directory Services Restore Mode, uno strumento molto importante per il ripristino delle Active Directory nel caso di un evento più o meno catastrofico. Il consiglio è prestare la massima attenzione durante questa operazione poiché una dimenticanza o un errore potrebbe risultare estremamente grave;
  • il Riepilogo dell’Installazione: prima della fine dell’installazione è necessario fare attenzione al riepilogo in modo da poter appurare che tutti i componenti siano stati installati in modo corretto. Fare molta attenzione anche alle informazioni.

Terminata l’installazione il lavoro non sarà certamente concluso perché sarà necessario procedere con la configurazione. Cionondimeno il server diventerà il controller del dominio.

Configurazione Iniziale dei Servizi di Dominio

Dopo aver installato le Active Directory è necessario procedere con la configurazione in modo che tutto possa funzionare al meglio. Anche in questo caso è importante ricordare che bisogna fare molta attenzione in fase di configurazione per non ritrovarsi con errori e quindi problemi di funzionamento del sistema:perché questo lavoro non farà altro che preparare il sistema:

  • la creazione degli account di utenti e dei gruppi: il primo passo è necessario perché permette di creare tutti gli account che andranno ad operare sul dominio;
  • la creazione delle politiche dei gruppi: non è possibile inserire nuovi gruppi se non si creano regole precise soprattutto in termini di sicurezza garantendo le restrinzioni all’interno del dominio;
  • la configurazione del DNS: bisogna avere la certezza che questo servizio sia attivo in modo da poter risolvere i nomi dei computer e dei server all’interno del dominio;
  • la creazione di un piano di disaster recovery: il backup ed il ripristino sono due elementi essenziali per recuperare e reinstallare tutti i componenti nel caso dovesse succedere qualsiasi evento che sia catastrofico o meno;
  • la gestione della sicurezza informatica: poter garantire agli utenti un certo livello di sicurezza permette di proteggere l’ambiente delle Active Directory e gli oggetti in esso contenuti.

Certo si parla di una serie di operazioni molto abbastanza lunghe ma queste sono importanti per poter avere un sistema funzionante e nello stesso momento con un elevato livello di sicurezza. È comunque importante tenere presente che nella sicurezza informatica il comportamento degli utenti ha un ruolo fondamentale.

active directory azure 1 MSP In Cloud

Gestione degli utenti in Active Directory

Un altro elemento importante è rappresentato dalla gestione degli utenti perché riuscire ad ottenere un buon livello di sicurezza è imperativo per mantenere una struttura online in perfetto funzionamento. In questa sezione del corso andremo ad analizzare non solo la possibilità di aggiungere o eliminare gli utenti ma anche fare in modo che non vi siano problemi inerenti la sicurezza. La creazione di un account e la gestione dei privilegi è un punto fondamentale della gestione di un dominio ma questa operazione può essere riassunta in tre fasi:

Fase Uno: Apertura dello “Gestione utenti e computer di Active Directory”

  • prima di tutto è necessario accedere ad un server Windows con la presenza di Active Directory;
  • accedere alla “Gestione Utenti” presente nelle applicazioni o nella schermata Start. È necessario aprire Gestione utenti e computer di Active Directory. Per far ciò è possibile procedere cliccando su Gestione utenti e computer di Active Directory nel Server Manager presente all’interno del menu “Strumenti”. Oltre a questo c’è un altro metodo decisamente più veloce che consiste nel inserire in Esegui il comando “dsa.msc” e premere Ok.

Fase Due: Navigazione nell’albero di Active Directory

La Gestione utenti e computer di Active Directory è molto utile per mostrare la struttura gerarchica dei domini, degli alberi e delle foreste all’interno dell’ambiente. Per ottenere questo risultato è sufficiente eseguire queste semplici operazioni:

  • espandi la radice dell’albero che rappresenta il dominio;
  • selezione l’Unità Organizzativa o il dominio in cui vuoi creare il nuovo account e fare click col tasto destro del mouse dell’UO o sul dominio. Questa operazione provocherà l’apertura della procedura di un menu dal quale si dovrà selezionare prima “Nuovo” poi “Utente”;
  • a questo punto si dovrà seguire la procedura guidata.

Fase Tre: Inserimento dei vari elementi di un utente

Ora che abbiamo quasi terminato la procedura la creazione di una nuova utenza è necessario inserire tutti i dati dell’utente, queste sono le principali:

  • il nome ed il cognome dell’utente;
  • il nome utente che sarà molto importante per effettuare il login al server;
  • la password: anche in questo caso si parla di un elemento importante per l’accesso al server. La scelta migliore è quella di crearne una temporanea per poi modificarla dall’utente al primo accesso;
  • le opzioni principali: non bisogna dimenticare di creare di settare le opzioni in modo da rendere la propria versione il più possibile personalizzata. Si può per esempio ottenere la possibilità di modificare l’account utente oppure decidere in che lasso di tempo scadrà la password.

Vi sono poi altre scelte da prendere ma sono in sostanza queste sono le principali.

Fase Quattro: la revisione e la conferma dei dati

Una volta completata l’operazione è necessario prendere in considerazione la revisione. È possibile infatti che possano esserci refusi dovuti alla fretta oppure alla distrazione. Naturalmente gli errori non possono che portare ad una serie di errori di sistema anche abbastanza gravi. Quindi prima di tutto è necessario compulsare i dati immessi in precedenza in modo da trovare eventuali problemi. Una volta completata questa operazione sarà sufficiente cliccare su “Fine”.

La creazione e la gestione dei gruppi

Quando si parla di Active Directory i gruppi devono avere un ruolo molto importante per riuscire a gestire in modo opportuno gli utenti, rendere più semplice la gestione delle autorizzazioni, cosa necessaria per garantire un buon livello di sicurezza, una gestione più semplificata delle autorizzazioni presenti all’interno del dominio e l’organizzazione degli utenti.

active directory 1 MSP In Cloud

Come si crea un gruppo?

Non è molto complicato creare un gruppo in Active Directory perché è possibile adoperare la creazione guidata:

  • in primo luogo è necessario aprire “Gestione utenti e computer di Active Directory”;
  • ora devi navigare l’albero di Active Directory fino a quando appare il dominio che deve essere modificato;
  • ora è necessario cliccare col tasto destro sul dominio quindi su “Nuovo” ed infine “Gruppo”;
  • si aprirà la finestra di creazione del gruppo inserisci il nome e la tipologia.

Quali e quanti sono i tipi di gruppo in Active Directory?

Esistono ben due tipologie distinte di gruppo che hanno delle specifiche molto importanti e che portano delle specifiche molto importanti per il corretto funzionamento delle Active Directory: Gruppo di Sicurezza ed il Gruppo di Distribuzione. Ecco le loro specifiche:

  • Gruppo di Sicurezza: sono stati concepiti per semplificare molto la sicurezza del server. In questo modo è possibile rendere molto più semplice l’amministrazione delle autorizzazione e con essa anche la sicurezza di tutta la struttura;
  • Gruppo di Distribuzione: sono importanti per la distribuzione dei messaggi di posta elettronica ad un determinato gruppo.

Per completare tutta la procedura è necessario cliccare su OK.

Come si aggiungono gli utenti o altri gruppi ad un gruppo?

Un altro elemento estremamente importante è inserimento di utenti ad un gruppo in modo che questi siano realmente utili. Quando si procede con la creazione di un gruppo è necessario tenere presente alcuni elementi molto importanti tra i quali c’è la sicurezza informatica. Anche in questo caso è possibile operare in modo abbastanza semplice:

  • in primo luogo, se non lo hai già fatto, devi creare il gruppo;
  • quindi dopo aver trovato il gruppo devi cliccare col tasto destro e cliccare su “Proprietà”;
  • quindi procedere sulla scheda “Sicurezza” o “Autorizzazioni”, la denominazione può variare in base alla versione di Windows Server adoperata;
  • a questo punto è possibile selezionare “Modifica” o “Aggiungi” per aggiungere il gruppo desiderato;
  • per concludere l’operazione è ora sufficiente scegliere i diritti e le autorizzazioni da concedere e cliccare su OK.

Consigli utili per operare in modo più semplice con i gruppi

In primo luogo è consigliabile adoperare una struttura gerarchica dei gruppi perché questa scelta può rendere più semplice la gestione. Per eliminare qualsiasi tipo di confusione è consigliabile limitare i gruppi di appartenenza per gli utenti. Per concludere è bene ricordare che in fase di creazione dei vari elementi di Active Directory è consigliabile adoperare nomi descrittivi in modo tale, soprattutto per i primi momenti, si potrà intervenire immediatamente nel caso ci fosse un problema tecnico che altrimenti sarebbe di difficile soluzione.

Le politiche di gruppo di Active Directory

Le politiche di gruppo, chiamato anche Group Policies o GPO, in Active Directory sono un elemento molto importante per garantire un certo livello di sicurezza al sistema. In effetti mediante questo strumento è possibile gestire molto bene tutte le impostazioni di sicurezza non solo per i computer ma anche degli utenti in ambiente Windows. Nello specifico riesce a fornire una metodologia centralizzata tale da poter amministrare, esaminare e configurare tutte le impostazioni presenti all0interno di un determinato dominio.

Analizziamo meglio cosa sono le politiche di gruppo

Le politiche di gruppo, come abbiamo visto in precedenza, sono molto importanti per assicurare un certo livello di sicurezza agli oggetti,di una directory. Permettono agli amministratori di controllare e tipizzare la configurazione di sistemi in modo che questi possano essere coerenti e sicuri garantendo stabilità all’ambiente.

Come funzionano le politiche di gruppo?

Le politiche di gruppo sono applicate in modo gerarchico e seguono la tipica struttura di ereditarietà, questa è la gerarchia:

  • Local Group Policy: sono presenti tutte le impostazioni che vengono definite in un computer locale;
  • Site Group Policy: queste vanno ad interessare tutte le informazioni all’interno del sito di Active Directory;
  • Domain Group Policy: le impostazioni in questo caso vendono prese in considerazione per tutto il dominio
  • Organizational Unit (OU) Group Policy: queste impostazioni sono invece associate ad una singola unità operativa.

È bene tenere in considerazione che le politiche di gruppo vengono ereditate dai livelli inferiori a quelli superiori in modo da poter garantire una maggiore sicurezza. Se comunque ci dovesse essere la necessità è possibile sovrascrivere o modificare queste informazioni nei livelli inferiori.

Configurazioni Comuni con le Politiche di Gruppo

Vi sono una serie di possibilità per configurazioni per le politiche di gruppo anche se è necessario prendere in considerazione quelle più comuni in modo da poter offrire una panoramica completa ma allo stesso tempo cercando di mantenere il discorso il più possibile comprensibile:

  • Configurazione delle impostazioni di sicurezza: è molto utile per assegnare le impostazioni di sicurezza per gli utenti ed i computer;
  • Installazione di software: gestione, distribuzione ed installazione di software all’interno dei computer;
  • Configurazione delle impostazioni del desktop: è possibile modificare il menu di start e la scrivania per personalizzare questi elementi come lo si desidera;
  • Configurazione delle impostazioni di rete: è possibile modificare le impostazioni di rete inclusi i proxy ed il mapping dell’unità di rete;
  • Gestione delle stampanti: è possibile gestire le stampanti di rete e gestire le impostazioni di preferenze di stampa.
  • Controllo del registro di sistema: è possibile modificare le chiavi del registro di sistema con un sistema centralizzato;

Strumenti per la Gestione delle Politiche di Gruppo

In Active Directory sono presenti una serie di strumenti nati per gestire in modo veloce ed ottimizzato la politiche di gruppo. Non sono molte in realtà:

  • Editor delle Politiche di Gruppo: è stato creato per modificare le politiche di gruppo ma la cosa ancora più interessante è rappresentato dal fatto che può essere richiamato semplicemente digitando il comando “gpedit.msc” nei computer dei client;
  • Gestione Politiche di Gruppo: è molto importante per gestire le politiche di gruppo su un determinato controller di dominio. Anche questo strumento può essere adoperato digitando il comando “gpmc.msc.”.

Consigli utili per operare in modo più semplice con le politiche di gruppo

In primo luogo è necessario documentare le Politiche di Gruppo in modo chiaro indicando anche le configurazioni e tutti gli effetti previsti. In realtà non si parla di una pratica obbligatoria però è consigliabile in modo da poter offrire a tutti gli utenti la massima chiarezza in modo tale che le operazioni non incontrino problemi di alcun tipo.

Un altro elemento da tenere in grande attenzione è la fase di test. Questa operazione dovrebbe essere effettuata ogni volta che ci si appresta ad apportare delle novità. Prima di renderle attive per tutto il server è consigliabile testarle in un ambiente controllato in modo da non rischiare di creare un danno sistemico alla piattaforma.

Come ultimo consiglio c’è la necessità di adattare le politiche di gruppo alle esigenze organizzative in modo da non creare dei problemi al sistema. Sarà quindi necessario applicare le specifiche configurazioni per determinati gruppi di utenti o di computer.

Perché continuare a studiare questo corso?

Nella prima parte di questo corso abbiamo analizzato alcune tra le principali caratteristiche per la gestione delle Active Directory dall’installazione fino alla gestione dei gruppi. Nelle prossime sezioni del corso andremo ad analizzare la struttura logica e le varie opzioni di sicurezza di questa architettura del server.

Si deve quindi prendere in considerazione il fatto che tutti gli elementi di base che compongono le AD sono estremamente importanti non solo per riuscire ad ottenere un sistema molto utile per l’organizzazione ma che riesca anche ad offrire un alto grado di sicurezza Procedere con lo studio di questo potente strumento offrirà la possibilità di poter addentrarsi in tutti i meandri di questo strumento.

Anche la guida su Google Ads è molto interessante da studiare.