Per chi ha avuto di interfacciarsi con Microsoft Active Directory a partire da Windows 2000 Server in poi, diventa spesso innaturale comprendere cosa è diventato AD oggi (ovvero una suite di componenti estremamente vasta che amplia il concetto originario di Dominio).
Ma andiamo con ordine.
In principio...
In principio Active Directory era identificato principalmente con il servizio di gestione dominio. Consentiva, difatti, di raggruppare oggetti (principalmente utenti, gruppi e computer) sotto un unico "cappello" denominato Dominio AD.
Nel 2000 esisteva un Domain Controller primario ed uno di backup che replicava. La differenza maggiore con l'introduzione di Windows Server 2003 consisteva nell'architettura "multimaster" in grado di rendere tutti i Domain Controller paritetici.
Da Windows Server 2008 vediamo sempre più strutturate le Group Policy (non che prima non lo fossero, ma da qui in poi le possibilità si ampliano esponenzialmente, anche grazie a Windows Vista e 7) e inizia a prendere forma la Suite AD come la conosciamo attualmente.
Lo stato dell'arte
Oggi, da Windows Server 2012 in poi, Active Directory è diventato una suite vera e propria che include staticamente 5 fondamentali strumenti che, seppur separati tra di loro, compongono i ruoli AD.
Servizi di Dominio (AD DS)
Si tratta di tutto il sistema di directory
e gestione utenti, computer e dispositivi. Ovvero Active Directory esattamente come lo conoscevamo prima.
Nel prossimo articolo parleremo meglio di AD DS, di dove salva i file di schema, dei Cataloghi Globali e di Domini, Siti, Alberi e Foreste. E no, se ve lo state chiedendo, non mi è venuto il pollice verde.
Servizi di Federazione (AD FS)
Consente l’accesso alle
risorse esterne mediante meccanismi di autenticazione ibridi. Non aggiunge nulla ad AD DS, ma consente di ampliare l'autenticazione e l'accesso alle risorse oltre i confini del proprio dominio AD.
Gli scenari sono tipicamente dei trust monodirezionali B2B oppure B2U.
La federation Trust è la possibilità di un’organizzazione di fidarsi di un’altra utilizzando, ad esempio, componenti autenticativi.
Servizi di Certificati (AD CS)
Tutta la gestione delle
chiavi, dei certificati e della relativa creazione e revoca. Sostanzialmente AD CS crea una Certification Authority attendibile per il dominio stesso (pur gestendo certificati di terze parti pubblicamente riconosciuti, ad esempio da utilizzarsi su webserver).
Sono molti i servizi che possono utilizzare un certificato interno (seppur self-signed). Servizi di Load Balancing, HA, autenticazione degli utenti, etc...
Il sistema AD CS supporta, inoltre, un meccanismo di enrollment (o reclutamento, in italiano) in grado di generare un certificato al primo accesso.
Lightweight Directory (AD LDS)
AD LDS è un archivio
vuoto simil AD DS, con accesso LDAP, ma senza le restrizioni dello schema AD normale. Tipicamente viene utilizzato per non "sporcare" lo schema AD DS, pur utilizzandolo per altre applicazioni.
Supporta Istanze Multiple, ed ogni istanza contiene 3 partizioni: Schema, Configurazione e Applicazione.
Le porte predefinite 389 e 636 possono essere cambiate in
fase di configurazione. Se il server è anche un controller di dominio, lui proporrà
porte libere, ovvero 50000 e 50001.
Possiede una serie di tools:
Wizard > crea nuove istanze e nuove repliche
ADSIEdit > visualizza e modifica i dati
LDP > come sopra + creazione istanze applicative
Ldifde e Csvde > importa/esporta dati
Dsacls > setta i permessi
AdamSync > sincronizza delle istanze ADDS con ADLSD
ADSchemaAnalyzer > usato nella migrazione dello schema
AD in ADAM
Gestione Diritti (AD RMS)
A mio avviso uno dei servizi più interessanti, dopo l'immancabile AD DS, ovviamente. Gestisce la
sicurezza del dato (utilizzandolo con un software compatibile), estendendone i permessi anche al di fuori del perimetro o del dominio aziendale.
Facciamo qualche esempio:
Word/Excel/PowerPoint: posso impostare un permesso di lettura e di scrittura anche per singolo destinatario ed anche vincolato da un periodo di validità (oltre il quale il file diventa non più utilizzabile). Posso impedire la stampa pur consentendone la visualizzazione a video, ad esempio.
Outlook: Posso impostare il blocco dell'inoltro dell'email o, come sopra, impedirne la stampa ma non la visualizzazione a video.
Affinchè il servizio RMS funzioni correttamente, un server RMS deve essere pubblicato. L'applicativo dell'utente destinatario che aprirà il file riconoscerà la crittografia mediante servizio RMS e saprà, quindi, a quale server pubblico rivolgersi per ricevere i permessi riguardanti le operazioni consentite.
