Come visto nel precedente articolo, Active Directory è diventata una suite di più servizi di cui il ruolo regina rimane AD DS, ovvero Active Directory Domain Services.
AD DS è in grado di raccogliere account, computer, stampanti, gruppi, etc. e di racchiuderli all'interno di un dominio Active Directory.
Domini, UO e Gruppi
Immaginiamo di avere un'azienda con 20 postazioni e di volerne centralizzare la gestione, l'autenticazione e l'attribuzione di permessi di sicurezza. AD è lo strumento principe in ambienti Microsoft ed il contesto entro il quale racchiuderemo i nostri oggetti viene definito Dominio.
All'interno del Dominio AD possiamo creare delle "Unità Organizzative" (con oggetti coerenti tra di loro) che condividono Group Policy, ovvero gruppi di regole prestabilite. A loro volta possiamo scendere ulteriormente nel dettaglio creando dei gruppi di distribuzione all'interno dell'Unità Organizzativa o del dominio madre.
Questa è una tipica e classica infrastruttura AD DS monodominio, dove le risorse all'interno dell'azienda sono sufficientemente contenute da essere racchiuse entro i limiti logici di un singolo dominio.
Questo, ovviamente, prescinde dallo strato hardware e da quanti Domain Controller avremo.
Siti
Mediante l'introduzione di una politica di Sito, è possibile stabilire che un gruppo di utenti debba autenticarsi su un Domain Controller ed un altro gruppo su un altro, pur rimanendo all'interno dello stesso dominio. Normalmente i Siti sono WAN differenti le cui connessioni non sono affidabili e performanti come quelle di LAN.
Si tratta di una soluzione comoda e relativamente rapida per aziende multisede. I vantaggi sono evidenti: sopravvivenza in caso di problemi di connessione e contenimento del traffico geografico.
Alberi e Foreste
I Domini possono avere "profondità" a piacimento e concettualmente possiamo vederli come dei rami di un albero. Facciamo finta di non aver creato i Siti e, per necessità organizzative, sentire l'esigenza di creare uno o più altri sotto-domini chiamati a loro volta bari.azienda.loc e milano.azienda.loc. A sua volta su milano.azienda.loc potrei voler creare spinoff.milano.azienda.loc.
Ho creato un albero di domini, ognuno con le proprie risorse.
Qualora io decida di creare un nuovo dominio chiamato azienda2.loc ed abbia deciso di creare una relazione di "Trust" tra i due domini, ho creato sostanzialmente una foresta.
Intendiamoci, sono situazioni abbastanza limitate, probabilmente una multinazionale sentirà l'esigenza di strutturare una foresta, ma difficilmente ci troveremo a dover andare oltre il concetto di albero. Nella maggior parte delle installazioni contenute, una gestione accurata di Unità organizzative e Siti risulta più che sufficiente.
Quando utilizzare i siti e le foreste? Bella domanda, probabilmente uno dei motivi principali che ci spinge a creare più domini è l'assegnazione di amministratori di dominio in grado di far tutto, ma entro i limiti del proprio dominio. Ovviamente diversi dagli amministratori dell'intera foresta. Possiamo semplificare dicendo che due domini possono essere amministrati singolarmente da due amministratori e da un terzo (gerarchicamente più importante) in grado di amministrarli entrambi. Ed è già un buon motivo per creare due domini o sottodomini separati.
Ok, anche le Unità Organizzative possono avere amministratori diversi. Ma questa è un'altra storia...
Relazioni di Trust (o di fiducia) tra Domini
Il trust è automatico, bidirezionale e transitivo tra più domini della stessa foresta. Gli Enterprise Admin e gli Schema Admin potranno modificare tutto di tutti, gli amministratori di dominio, invece, solo il singolo dominio.
Per transitivo si intende l'estensione del concetto di fiducia a tutti i domini di cui il dominio in trust si fida. Se A si fida di B, che a sua volta si fida di C, A si fida automaticamente di C.
Viene definito Trusting Domain quello che contiene le risorse (immaginiamo ad un account e le sue relative credenziali) e il Trusted Domain quello che le richiama.
Cataloghi Globali
I server che detengono il ruolo di Catalogo Globale sono adibiti a facilitatori per le query extradominio. Se sono un utente alla ricerca di una stampante in un dominio diverso dal mio (ma all'interno di una foresta ove vige una relazione di Trust), posso contattare N server alla ricerca della stampante oppure posso contattare un Catalogo Globale che detiene l'indice di tutti gli oggetti di tutti i domini, facilitandomi e velocizzandomi il lavoro.
Ovviamente i Cataloghi Globali non hanno senso qualora io abbia un unico Dominio AD.
Conclusioni
I Servizi di Dominio Active Directory possono facilitare la gestione di reti molto semplici o molto complesse. E' bene trovare il giusto equilibrio, altrimenti invece di semplificare le cose, le renderemo più complicate.
Morale della favola: se ho 20 macchine in un'unica sede, semplificherò la gestione creando un singolo dominio e magari più Unità Organizzative. Al tempo stesso se ho 30 sedi con EDP locali, semplificherò la mia gestione creando 30 sottodomini e strutturando magari una foresta.
Ma se ho 20 macchine e creo una foresta con 15 domini, probabilmente ho molto tempo libero e sono consapevole che la gestione diventerà facilmente un incubo. Ad ognuno, il suo.
AD DS si presta ad essere inserito in ogni realtà, dal microbusiness all'enterprise. E' sufficiente utilizzare gli strumenti giusti contestualizzandoli alle dimensioni e alle architetture in essere.
Sembra banale? Eppure è pieno di aziende con un solo dominio pur avendo 300 macchine con IT dipartimentali.
Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione è vietata salvo autorizzazione.
