Panoramica di Servizi di dominio Active Directory
Si applica a: Windows Server 2012
.jpeg "All_Symbols_Cloud")
|
Non tutti sanno che Microsoft Azure offre funzionalità simili nel cloud. Altre informazioni sulle soluzioni di gestione delle identità di Microsoft Azure. Creare una soluzione ibrida di gestione delle identità in Microsoft Azure: |
Il ruolo del server Servizi di dominio Active Directory® consente di creare un'infrastruttura scalabile, sicura e gestibile per la gestione di utenti e risorse e di garantire il supporto per le applicazioni abilitate all'uso di directory, ad esempio Microsoft® Exchange Server.
Il resto del presente argomento costituisce una panoramica di alto livello sul ruolo del server Servizi di dominio Active Directory. Per altre informazioni sulle nuove funzionalità di Servizi di dominio Active Directory disponibili in Windows Server 2012, vedere Novità di Servizi di dominio Active Directory (AD DS).
Servizi di dominio Active Directory fornisce un database distribuito che consente di archiviare e gestire informazioni sulle risorse di rete e dati specifici delle applicazioni provenienti da applicazioni abilitate all'uso di directory. Un server che esegue Servizi di dominio Active Directory viene definito controller di dominio. Gli amministratori possono utilizzare Servizi di dominio Active Directory per organizzare gli elementi di una rete, ad esempio utenti, computer e altri dispositivi, in una struttura di contenimento gerarchica. Tale struttura include la foresta di Active Directory, i domini della foresta e le unità organizzative (OU, Organizational Unit) di ogni dominio.
L'organizzazione degli elementi della rete in una struttura di contenimento gerarchica offre numerosi vantaggi:
La foresta funge da confine di sicurezza per l'organizzazione e definisce l'ambito di autorità degli amministratori. Per impostazione predefinita, una foresta contiene un unico dominio, denominato dominio radice della foresta.
All'interno della foresta è possibile creare domini aggiuntivi per implementare il partizionamento dei dati di Servizi di dominio Active Directory, che consente alle organizzazioni di eseguire la replica di dati solo dove è necessario. Questa operazione offre la scalabilità globale di Servizi di dominio Active Directory all'interno di reti con una larghezza di banda disponibile limitata. Un dominio di Active Directory supporta inoltre una serie di altre funzionalità principali correlate all'amministrazione, tra cui identità utente, autenticazione e relazioni di trust a livello di rete.
Le unità organizzative semplificano la delega dell'autorità, per agevolare la gestione di un numero elevato di oggetti. Mediante la delega, i proprietari possono trasferire un'autorità completa o limitata sugli oggetti ad altri utenti o gruppi. L'importanza della delega risiede nel fatto che consente di distribuire la gestione di grandi quantità di oggetti a più persone considerate attendibili per l'esecuzione di attività di gestione.
In Servizi di dominio Active Directory la sicurezza è integrata mediante l'autenticazione di accesso e il controllo dell'accesso alle risorse presenti nella directory. Con un unico accesso in rete, gli amministratori possono gestire i dati e l'organizzazione della directory nell'intera rete. Gli utenti di rete autorizzati possono inoltre utilizzare un unico accesso in rete per accedere a risorse che si trovano in qualsiasi punto della rete. L'amministrazione basata su criteri semplifica la gestione anche nel caso di reti di grande complessità.
Di seguito sono elencate alcune funzionalità aggiuntive di Servizi di dominio Active Directory:
Un insieme di regole, denominato schema, che definisce le classi degli oggetti e degli attributi contenuti nella directory, i vincoli e le limitazioni poste sulle istanze di tali oggetti e il formato dei relativi nomi.
Un catalogo globale contenente informazioni su tutti gli oggetti della directory. Utenti e amministratori possono utilizzare il catalogo globale per reperire informazioni di directory, indipendentemente dal dominio della directory che contiene effettivamente i dati.
Un meccanismo di query e indicizzazione, mediante il quale utenti della rete o applicazioni possono pubblicare e reperire gli oggetti e le relative proprietà.
Un servizio di replica che distribuisce i dati di directory in rete. Tutti i controller di dominio scrivibili di un dominio partecipano alla replica e contengono una copia completa di tutte le informazioni di directory per il rispettivo dominio. Qualunque modifica ai dati di directory viene replicata in tutti i controller di dominio del dominio.
Ruoli di master operazioni, noti anche come FSMO, Flexible Single Master Operation. Controller di dominio che detengono ruoli di master operazioni vengono designati per l'esecuzione di attività specifiche, destinate a garantire la coerenza all'interno della directory ed eliminare le voci in conflitto.
Requisiti per l'esecuzione di Servizi di dominio Active Directory
Informazioni sui componenti hardware e software o sulle configurazioni di impostazioni necessari per l'esecuzione di questa funzionalità. Prerequisiti per l'esecuzione del ruolo. Requisiti speciali a livello di hardware per questo ruolo o funzionalità.
Requisito |
Descrizione |
|---|---|
TCP/IP |
Configurare gli indirizzi appropriati per TCP/IP e server DNS (Domain Name System). |
NTFS |
Le unità in cui sono archiviati il database, i file di registro e la cartella SYSVOL per Servizi di dominio Active Directory devono essere posizionati in un volume fisso locale. SYSVOL deve trovarsi in un volume formattato con il file system NTFS. Per motivi di sicurezza, è consigliabile inserire il database e i file di registro di Active Directory in un volume formattato con NTFS. |
Credenziali |
Per installare una nuova foresta di Servizi di dominio Active Directory è necessario disporre delle credenziali di amministratore locale nel server. Per installare un controller di dominio aggiuntivo in un dominio esistente, è necessario essere membri del gruppo Domain Admins. |
Infrastruttura DNS (Domain Name System) |
Verificare che sia disponibile un'infrastruttura DNS. Quando si installa Servizi di dominio Active Directory, se necessario è possibile includere l'installazione del server DNS. Quando si crea un nuovo dominio, durante il processo di installazione viene automaticamente creata una delega DNS. Per la creazione della delega DNS sono necessarie credenziali con le autorizzazioni per l'aggiornamento delle zone DNS padre. Per altre informazioni, vedere la pagina della procedura guidata Opzioni DNS. |
Adprep |
Per aggiungere il primo controller di dominio che esegue Windows Server 2012 in un ambiente Active Directory esistente, i comandi adprep.exe vengono eseguiti automaticamente in base alle necessità. Per questi comandi esistono requisiti aggiuntivi a livello di credenziali e connettività. Per altre informazioni, vedere Esecuzione di Adprep.exe. |
Controller di dominio di sola lettura |
Requisiti aggiuntivi per l'installazione di controller di dominio di sola lettura:
Per altre informazioni, vedere Prerequisiti per la distribuzione di un controller di dominio di sola lettura. |
Nota
Con l'eccezione del server DNS, i controller di dominio non dovrebbero in genere ospitare altri ruoli del server.
Esecuzione di Servizi di dominio Active Directory
Come distribuire e configurare questo ruolo utilizzando Windows PowerShell
Per istruzioni dettagliate sull'installazione e la configurazione di Servizi di dominio Active Directory mediante il modulo ADDSDeployment per l'interfaccia della riga di comando di Windows PowerShell®, vedere la guida alla distribuzione di Servizi di dominio Active Directory (https://go.microsoft.com/fwlink/?LinkId=222597).
Come distribuire e configurare questo ruolo in un ambiente multiserver
Servizi di dominio Active Directory è un servizio distribuito progettato per essere eseguito in più controller di dominio. Per istruzioni dettagliate sull'installazione e la configurazione di Servizi di dominio Active Directory in più controller di dominio, vedere la guida alla distribuzione di Servizi di dominio Active Directory (https://go.microsoft.com/fwlink/?LinkId=222597).
Come eseguire questo ruolo in macchine virtuali
Servizi di dominio Active Directory in Windows Server 2012 include protezioni per l'esecuzione in macchine virtuali allo scopo di assicurare la sicurezza e la coerenza degli ambienti Servizi di dominio Active Directory virtualizzati. Per altre informazioni su come eseguire Servizi di dominio Active Directory in macchine virtuali, vedere Esecuzione di controller di dominio in Hyper-V (https://go.microsoft.com/fwlink/?LinkID=213293).
Considerazioni sulla sicurezza per l'esecuzione di questo ruolo
Dopo l'installazione, Servizi di dominio Active Directory è progettato per essere sicuro per impostazione predefinita. Per altre informazioni sulle impostazioni di sicurezza predefinite per i controller di dominio, sui rischi e su come usare i controller di dominio in modo sicuro, vedere la guida alle procedure consigliate per la sicurezza delle installazioni Active Directory.
Considerazioni speciali per la gestione del ruolo in modalità remota
Per gestire Servizi di dominio Active Directory in modalità remota, installare Strumenti di amministrazione remota del server. Strumenti di amministrazione remota del server è disponibile in due versioni, a 32 bit e a 64 bit. Per altre informazioni, vedere Strumenti di amministrazione remota del server (https://go.microsoft.com/fwlink/?LinkId=222628).
Considerazioni speciali per la gestione del ruolo nell'opzione di installazione dei componenti di base del server
AD DS può essere installato su un'installazione dei componenti di base del server o in un server con un'interfaccia server minima ed è consigliato nei casi in cui è particolarmente utile ridurre l'ingombro dell'installazione del sistema operativo, ad esempio per un ruolo server dedicato in un data center, per gli utenti guest di virtualizzazione o per i controller di dominio di sola lettura in sedi remote. A partire da Windows Server 2012, un controller di dominio in esecuzione su un'installazione dei componenti di base del server può essere convertito in un'installazione server con GUI (detta anche installazione completa) e viceversa.
È supportato l'aggiornamento da un'installazione dei componenti di base del server in esecuzione su una versione precedente di Windows Server, ma non è possibile eseguire l'aggiornamento diretto da un'installazione dei componenti di base del server di una versione precedente di Windows Server a un'installazione server con GUI o da un'installazione server con GUI a un'installazione dei componenti di base del server. In questo caso, è necessario eseguire direttamente l'aggiornamento allo stesso tipo di installazione in Windows Server 2012 e quindi convertire in un'installazione diversa dopo l'aggiornamento in base alle esigenze.
Per altre informazioni, vedere le opzioni per l'installazione di Windows Server.
Servizi ruolo per Servizi di dominio Active Directory
Identity Management for UNIX è un servizio ruolo di Servizi di dominio Active Directory che è possibile installare solo nei controller di dominio. Due tecnologie Identity Management for UNIX, ovvero Server per NIS e Sincronizzazione password, semplificano l'integrazione di computer che eseguono Windows® nell'ambiente aziendale UNIX esistente. Gli amministratori di Servizi di dominio Active Directory possono utilizzare Server per NIS per gestire i domini NIS (Network Information Service). Sincronizzazione password sincronizza automaticamente le password tra i sistemi operativi Windows e UNIX.
Tecnologie del servizio ruolo |
Descrizione del servizio ruolo |
|---|---|
Server per NIS |
Consente a un controller di dominio Active Directory basato su Microsoft Windows di amministrare reti NIS (Network Information Service) UNIX. Per altre informazioni, vedere Panoramica di Server per NIS (https://go.microsoft.com/fwlink/?LinkId=222677). |
Sincronizzazione password |
Agevola l'integrazione di reti Windows e UNIX semplificando il processo di gestione di password sicure in entrambi gli ambienti. Per altre informazioni, vedere Panoramica di Sincronizzazione password (https://go.microsoft.com/fwlink/?LinkId=222676). |