Funzionalità IO: gestione dell'identità e degli accessi - dal livello Standard al livello Razionale

  • Articolo
In questa pagina

Introduzione Introduzione
Requisito: configurazione e protezione centralizzate basate sulle directory Requisito: configurazione e protezione centralizzate basate sulle directory

Introduzione

La gestione dell'identità e degli accessi è una funzionalità relativa all'ottimizzazione dell'infrastruttura principale e costituisce la base per l'implementazione di molte funzionalità nel modello di ottimizzazione dell'infrastruttura.

Nella seguente tabella vengono elencate le sfide più impegnative, le soluzioni applicabili e i vantaggi del passaggio al livello Razionale nella gestione dell'identità e degli accessi.

Sfide

Soluzioni

Vantaggi

Sfide aziendali

Difficoltà nell'applicazione dei criteri IT richiesti dall'organizzazione o dalle normative

Impossibilità di attivare uno stato noto, stabile e protetto per i PC client

Sfide IT

Il controllo dei criteri centralizzato non è disponibile per la gestione dell'identità e degli accessi. L'implementazione di modifiche estese ai criteri richiede la modifica delle singole identità

Le identità sono amministrate centralmente, ma la gestione degli utenti, nonché delle impostazioni e delle configurazioni delle risorse è complessa

Progetti

Identificazione e definizione degli standard di configurazione che richiedono l'applicazione

Implementazione di una soluzione centralizzata di criteri basati su directory per l'amministrazione di desktop, server, configurazione e protezione

Vantaggi per l'azienda

Stato attivato e conosciuto dell'ambiente

Esperienza utente coerente nei vari PC basata sui ruoli aziendali

Semplificazione dei processi di modifica al sistema e di aggiunta di funzionalità

Riduzione delle operazioni e dei costi per il supporto dei desktop

Riduzione del tempo di inattività dell'utente e delle interruzioni

Vantaggi IT

Riduzione del carico di lavoro grazie all'introduzione dell'amministrazione basata su ruoli e Criteri di gruppo

Maggiore protezione grazie all'implementazione della gestione delle patch basata sui criteri e del blocco di protezione

La gestione dei profili consente il recupero dei dati e del sistema dell'utente

La gestione continua dell'identità e degli accessi si basa sulle seguenti funzionalità illustrate in Microsoft Identity and Access Management Series:

Tenere presente che le funzionalità illustrate precedentemente sono tutte parti chiave del servizio di gestione dell'identità e degli accessi di una qualsiasi organizzazione. Per ulteriori informazioni, vedere il sito Web Microsoft Identity and Access Management Series (in inglese).

Il livello Razionale della gestione dell'identità e degli accessi nel modello di ottimizzazione dell'infrastruttura si riferisce all'esigenza di disporre del controllo centralizzato delle configurazioni e della protezione.

Requisito: configurazione e protezione centralizzate basate sulle directory

Target

È necessario leggere questa sezione se non si dispone di uno strumento basato su directory per l'amministrazione centralizzata delle configurazioni e della protezione in almeno l'80% dei desktop.

Panoramica

Gli amministratori devono confrontarsi sempre più con problemi particolarmente complessi relativi alla gestione delle infrastrutture IT. È necessario fornire e mantenere configurazioni desktop personalizzate per molti tipi di collaboratori, inclusi gli utenti mobili, gli information worker o altri addetti ad attività specifiche, ad esempio l'immissione di dati. Modifiche alle immagini standard del sistema operativo possono essere richieste a intervalli regolari. Le impostazioni e gli aggiornamenti per la protezione devono essere distribuiti in modo efficace a tutti i computer e ai dispositivi dell'organizzazione. I nuovi utenti devono diventare subito produttivi, senza dover seguire costosi corsi di formazione. In caso di errori o emergenze legate al funzionamento dei computer, il servizio deve essere ripristinato in modo da garantire il più basso livello possibile in termini di perdita di dati e interruzione del lavoro.

Fase 1: valutazione

L'obiettivo principale della fase di valutazione consiste nell'esaminare gli strumenti e le procedure disponibili per il mantenimento di un livello di protezione standard e delle configurazioni utente. I criteri attuali possono essere gestiti manualmente oppure essere automatizzati grazie alla gestione delle patch, all'installazione di software richiesto o all'inclusione delle configurazioni necessarie nelle immagini disco standard. Con queste e altre attività al livello Standard, l'organizzazione riesce a mantenere una base standard. L'implementazione del controllo delle configurazioni consente invece di passare al livello Razionale dell'ottimizzazione dell'infrastruttura.

Fase 2: identificazione

Nella fase di identificazione, vengono esaminati gli standard attuali di configurazione così come vengono eseguiti tramite i criteri di gestione della configurazione, le patch e le procedure di acquisizione immagini del disco. È poi possibile superare le procedure correnti per identificare il numero totale di controlli per la protezione e per la configurazione da applicare. Le configurazioni possono includere:

  • Componenti richiesti per i PC, ad esempio patch, Service Pack o applicazioni.

  • Servizi o applicazioni necessari per l'esecuzione sui PC, ad esempio firewall desktop o applicazioni antivirus.

  • Regole di accesso e trasferimento dei dati, ad esempio il blocco dei trasferimenti di file nelle applicazioni di messaggistica immediata.

La definizione della configurazione e delle impostazioni come candidati per il controllo dei criteri rappresenta la fase iniziale della gestione della configurazione. La gestione della configurazione viene trattata anche nella Guida alle risorse del responsabile dell'implementazione per l'ottimizzazione dell'infrastruttura principale: dal livello Base al livello Standard. Ulteriori informazioni su Gestione della configurazione in Microsoft Operations Framework.

Fase 3: stima e pianificazione

L'obiettivo, nella fase di stima e pianificazione, consiste nel determinare il livello di controllo per la configurazione e le impostazioni di protezione identificate. Il livello di controllo può variare dal semplice monitoraggio di una configurazione non conforme alla capacità di automatizzare attivamente l'applicazione delle normative di conformità.

Gli strumenti di monitoraggio della configurazione sono disponibili per fornire report su configurazioni non conformi. In molti casi, l'organizzazione reputa utile creare dei report su casi di non conformità allo scopo di determinare le procedure più corrette per ripristinare la conformità del PC. Ad esempio, se si desidera installare un'applicazione in tutti i PC, ma tale applicazione richiede driver che non sono disponibili per alcuni tipi di hardware presenti nell'ambiente desktop, potrebbe essere opportuno monitorare le istanze non conformi al fine di individuare la soluzione più efficace per ogni singolo caso. Per il livello Razionale dell'ottimizzazione dell'infrastruttura principale, viene richiesta l'implementazione di un'infrastruttura per la gestione della configurazione basata su directory tramite Criteri di gruppo. Inoltre, si consiglia di disporre di strumenti di monitoraggio della configurazione autonomi.

Strumenti di monitoraggio della configurazione

Microsoft fornisce due tipi di strumenti per il monitoraggio della conformità della configurazione. Il primo tipo, chiamato BPA (Analizzatore procedure consigliate, Best Practice Analyzer), contiene impostazioni e report predefiniti di procedure consigliate Microsoft. Per i prodotti server Microsoft, sono disponibili download gratuiti degli strumenti BPA: Microsoft Exchange Server, Microsoft Internet Security and Acceleration Server e Microsoft SQL Server. Il secondo tipo di strumento di monitoraggio della configurazione consente di definire le regole o le impostazioni di configurazione desiderate specifiche per la conformità dell'organizzazione e del monitoraggio. Anche questo strumento, Systems Management Server 2003 Desired Configuration Monitoring, è disponibile gratuitamente per il download e consente di definire standard di configurazione personalizzati per desktop e server. Systems Management Server 2003 Desired Configuration Monitoring può essere utilizzato per eseguire controlli di conformità e i report incorporati segnalano all'utente casi specifici di non conformità. Oltre a questi strumenti, sono disponibili numerose applicazioni software dai partner Microsoft per definire e gestire la configurazione standard.

Criteri di gruppo in Windows Server

Il passaggio successivo del controllo consiste nell'applicazione della configurazione automatica. Gran parte delle impostazioni di configurazione e di protezione può essere definita tramite criteri standard. Tramite Criteri di gruppo è possibile automatizzare le operazioni per ripristinare la conformità di numerose istanze non conformi.

Criteri di gruppo è un'infrastruttura utilizzata per distribuire e applicare una o più impostazioni dei criteri o configurazioni desiderate a un insieme di utenti e computer di destinazione all'interno di un ambiente Active Directory. Questa infrastruttura è formata da un motore Criteri di gruppo e da più estensioni lato client responsabili della scrittura di specifiche impostazioni dei criteri nei computer client di destinazione.

Criteri di gruppo e Active Directory

Gli amministratori utilizzano Criteri di gruppo per definire configurazioni specifiche per gruppi di utenti e di computer mediante la creazione di impostazioni di Criteri di gruppo. Queste impostazioni vengono specificate tramite lo strumento Editor oggetti Criteri di gruppo e sono contenute in un oggetto Criteri di gruppo (GPO, Group Policy object) che, a sua volta, è collegato ai contenitori Active Directory. Le impostazioni Criteri di gruppo vengono applicate agli utenti e ai computer dei contenitori Active Directory specificati. Gli amministratori possono configurare una sola volta l'ambiente di lavoro degli utenti e affidarsi al sistema per applicare i criteri precedentemente definiti.

Active Directory organizza gli oggetti per sito, dominio e unità organizzativa (OU, Organizational Unit). I domini e le OU vengono organizzati gerarchicamente per consentire una gestione più semplice dei contenitori e degli oggetti in essi contenuti. Le impostazioni definite in un GPO possono essere applicate solo quando il GPO è collegato a uno o più contenitori.

Collegando i GPO ai siti, ai domini e alle OU, è possibile implementare le impostazioni di Criteri di gruppo in una parte di qualsiasi dimensione dell'organizzazione. I collegamenti GPO interessano gli utenti e i computer nei seguenti modi:

  • Un GPO collegato a un sito si applica a tutti gli utenti e i computer del sito.

  • Un GPO collegato a un dominio si applica direttamente a tutti gli utenti e i computer del dominio e, per ereditarietà, a tutti gli utenti e computer delle OU figlie. Si noti che i criteri non vengono ereditati tra domini.

  • Un GPO collegato a una OU si applica direttamente a tutti gli utenti e i computer della OU e, per ereditarietà, a tutti gli utenti e computer delle OU figlie.

La figura riportata di seguito mostra le modalità di applicazione dei GPO ai siti, ai domini e alle OU sottostanti.

Figura 3. Applicazione dei GPO

Figura 3. Applicazione dei GPO

Funzionalità di Criteri di gruppo

Tramite Criteri di gruppo, gli amministratori definiscono i criteri che determinano in che modo le applicazioni e i sistemi operativi vengono configurati e mantengono protetti gli utenti e i sistemi. Le seguenti sezioni descrivono le funzionalità principali di Criteri di gruppo.

Criteri basati sui registri

Il modo più diffuso e semplice per fornire i criteri a un'applicazione o a un componente di un sistema operativo è implementare i criteri basati sui registri. Con Criteri di gruppo, è possibile definire le impostazioni dei criteri basati sui registri per le applicazioni, il sistema operativo e i relativi componenti.

Impostazioni di protezione

Criteri di gruppo fornisce agli amministratori le opzioni per impostare le funzionalità di protezione per i computer e gli utenti nell'ambito di un GPO. È possibile specificare le impostazioni di protezione per i computer locali, il dominio e la rete. Per ulteriori informazioni sulle impostazioni e la protezione di Criteri di gruppo, vedere le guide Windows Server 2003 Security Guide, Windows XP Security Guide, Windows Vista Security Guide e Threats and Countermeasures Guide (in inglese).

Restrizioni software

Per proteggersi da virus, applicazioni indesiderate e attacchi nei computer con Windows XP, Windows Vista e Windows Server 2003, Criteri di gruppo include dei criteri di restrizione software.

Installazione e distribuzione software

Criteri di gruppo consente di gestire centralmente l'installazione, l'aggiornamento e la rimozione di applicazioni.

Script utente e computer

Gli amministratori possono utilizzare gli script per automatizzare le attività all'avvio e all'arresto del computer, nonché le operazioni di accesso e disconnessione degli utenti.

Profili utente mobili e cartelle reindirizzate

I profili utente mobili consentono di memorizzare centralmente i profili utente in un server e caricarli quando un utente effettua l'accesso. Di conseguenza, gli utenti hanno sempre a disposizione un ambiente uniforme, indipendentemente dal computer utilizzato.

Cartelle fuori rete

Se una rete non è disponibile, la funzionalità Cartelle fuori rete fornisce l'accesso ai file e alle cartelle di rete da un disco locale.

Manutenzione di Internet Explorer

Gli amministratori possono gestire e personalizzare la configurazione di Microsoft Internet Explorer® nei computer che supportano Criteri di gruppo.

Fase 4: distribuzione

La fase di distribuzione è dedicata principalmente alla definizione degli oggetti Criteri di gruppo tramite l'Editor oggetti. I GPO devono rispecchiare quanto è stato identificato durante le fasi di valutazione e identificazione. A questa funzionalità sono state aggiunte ulteriori operazioni che consentono di concentrarsi sulla Console Gestione Criteri di gruppo e sulle operazioni continue.

Prima di implementare Criteri di gruppo nell'organizzazione, si consiglia di leggere i concetti principali relativi a Criteri di gruppo, come utilizzare l'Editor oggetti Criteri di gruppo e come configurare le impostazioni di Criteri di gruppo. Per ulteriori informazioni sulle seguenti attività di Criteri di gruppo, vedere Group Policy Overview (in inglese):

Operazioni

Le operazioni di Criteri di gruppo sono caratterizzate da tutte le attività eseguite tramite l'interfaccia utente Console Gestione Criteri di gruppo (GPMC, Group Policy Management Console). L'elenco riportato di seguito contiene i collegamenti alle informazioni sull'utilizzo della Console Gestione Criteri di gruppo:

Ulteriori informazioni

Per ulteriori informazioni su Criteri di gruppo, andare alla pagina Microsoft TechNet ed effettuare una ricerca su Criteri di gruppo.

Per informazioni su come Microsoft gestisce Criteri di gruppo, andare all'indirizzo https://www.microsoft.com/technet/itshowcase/content/grppolobjectmgmt.mspx.

Checkpoint: configurazione e protezione centralizzate basate sulle directory

Requisiti

 

Identificate le configurazioni che devono essere monitorate o applicate.

 

Selezionati gli strumenti per il monitoraggio e l'applicazione della conformità della configurazione.

 

Definiti gli oggetti Criteri di gruppo per le impostazioni gestite tramite Criteri di gruppo.

 

Implementata Console Gestione Criteri di gruppo per gestire gli oggetti Criteri di gruppo.

 

Applicato Criteri di gruppo ad almeno l'80% dei desktop.

Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Razionale per le funzionalità di configurazione e protezione centralizzate basate sulle directory del modello di ottimizzazione dell'infrastruttura. Si consiglia di seguire le indicazioni fornite dalle ulteriori risorse delle procedure consigliate per la gestione della configurazione e della protezione.

Passare alla domanda di autovalutazione successiva.