Active Directory Domain Services (AD DS)

Active Directory Domain Services (AD DS)

La sicurezza informatica è un tema molto dibattuto perché si tratta di tematica delicata e di grande importanza. Tema assolutamente mai passato di moda in quanto i sistemi informatici sono in continua evoluzione, interessano milioni di utenti e meritano tutte le attenzioni del caso. In questa guida, nello specifico, ci occuperemo di spiegare cos’è il ruolo Active Directory Domain Services (AD DS) di Windows Server. Un argomento sicuramente interessante e da conoscere da parte di chi vuole utilizzare i servizi di rete con maggiore coscienza e sicurezza.

Partiamo dal principio che una directory è una struttura gerarchica destinata ad archiviare i dati sugli oggetti sulla rete. In tale logica, un servizio come AD DS fornisce specifici metodi per archiviare le informazioni della directory e renderli disponibili agli amministratori di sistema e agli utenti della rete. AD DS permette agli utenti, regolarmente autorizzati dalla rete stessa, di effettuare l’accesso a questo genere di fondamentali informazioni. In buona sostanza, AD DS archivia i dati relativi agli oggetti sulla rete e facilita le ricerche e l’utilizzo di tali dati da parte di utenti e amministratori di sistema. Per farlo, utilizza una struttura di archivio dati come base per una logica e gerarchica organizzazione delle informazioni di directory.

L’archivio dati usato da AD DS, anche conosciuto quale directory, contiene dati sugli oggetti, comprensivi di risorse condivise, come ad esempio le stampanti. La sicurezza è volutamente integrata con AD DS attraverso un sistema di autenticazione di accesso e di controllo di accesso agli oggetti. Livelli di sicurezza altissimi per garantire i dati agli utenti con la massima protezione. Con un accesso unico alla rete, gli amministratori di sistema hanno la possibilità di gestire le informazioni e l’organizzazione della directory in rete mentre gli utenti regolarmente autorizzati possono effettuare l’accesso alle risorse disponibili in qualunque punto della rete stessa. L’amministrazione fondata su logici criteri facilita la gestione pure in tutti quei casi di reti molto complesse. Un’amministrazione è quindi in grado di soddisfare piccole reti ma anche reti di un’elevata complessità. Si tratta di sistemi altamente tecnologici e funzionali per ogni contesto, chiaramente sistemi da adeguare a ciascuna circostanza in modo logico per ottimizzare i risultati.

Gli elementi che compongono AD DS sono i seguenti:

  • Componenti logici
    • Partitions
    • Schema
    • Domains
    • Domain trees
    • Forests
    • Sites
    • OUs
    • Containers
  • Componenti fisici
    • Domain controllers
    • Data stores
    • Global catalog servers
    • RODCs

La gestione di AD DS si effettua con i seguenti strumenti:

  • Active Directory Administrative Center
  • Active Directory Users and Computers
  • Active Directory Sites and Services
  • Active Directory Domains and Trusts
  • Active Directory Schema snap in
  • Active Directory module for Windows PowerShell

Per poter funzionare AD DS richiede l’utilizzo di un server promosso a Domain Controller o, preferibilmente per ridondanza, due o più server Domain Controller che vengono continuamente sincronizzati. I Domain Controller ospitano il database di AD DS (contenuto nel file C:\Windows\System32\ntds.dit) e una copia del volume di sistema (che si trova nella cartella C:\Windows\SYSVOL\sysvol).

In informatica con il termine Domain Controller ci si riferisce a uno specifico server, che nell’ambito di un determinato dominio, ha la funzione di gestire le richieste degli utenti desiderosi di accedere a precise informazioni o ad aree del dominio in questione. Viste le particolari e delicate funzioni portate avanti dal Domain Controller, implementare tale sistema è molto utile per allontanare alcuni rischi che metterebbero in difficoltà l’operatività di un’attività: copia non autorizzata delle informazioni.

Per riepilogare, nel campo informatico, nelle reti la cui gestione dipende dall’Amministratore di Sistema, un Domain Controller non è altro che un server che, all’interno di un dominio, tramite AD DS, gestisce le richieste di autenticazione: verifica dei permessi, login, etc. Stiamo parlando di controlli indispensabili in termini di protezione dei dati.

Una volta chiarito il concetto, ora passiamo a vedere come funziona un Domain Controller. Partiamo quindi dal presupposto che un Domain Controller, nello specifico, organizza la struttura di un determinato dominio in utenti, gruppi e risorse di reti. Per effettuare l’accesso alle differenti sezioni oppure, generalmente, per fare accesso a specifiche informazioni presenti su un server, gli utenti devono svolgere alcuni obbligatori passaggi. Passi necessari, senza i quali i dati sono preclusi e dunque non possono essere visti in alcun altro modo. Ecco, il Domain Controller ha il compito di gestire le richieste di accesso tramite un sistema di autenticazione fondato su delle login e delle password. Una funzione enormemente importante perché il Domain Controller assicura la sicurezza di chi effettua l’accesso ai dati.

In questa specifica logica, a ciascun utente corrisponde un preciso account e a ciascun account sono collegati dei precisi livelli di profilazione. Vale a dire, livelli privilegiati per accedere a determinate aree e per compiere le operazioni consentite dall’account. In parole semplici, ciascun utente ha l’opportunità di entrare in queste aree senza sconfinare, senza alcuna possibilità di effettuare operazioni non previste dal suo account.

Come visto in precedenza, la gestione delle richieste di autenticazione da parte di un Domain Controller, nelle reti gestite dagli amministratori di sistema, avviene tramite AD DS. Creato con l’arrivo di Windows 2000 Server, Active Directory serve per avere un database con tutti i dati riconducibili agli oggetti dell’infrastruttura: utenti, computer, gruppi e altro ancora. Una maniera per facilitarne l’accesso e lo scambio delle informazioni in modo del tutto sicuro. Tra le caratteristiche principali di AD DS è da segnalare la possibilità di estendere il singolo schema per aggiungere valori, colonne e proprietà. Inoltre, diverse applicazioni, usano AD DS con lo scopo di aggiungere le loro funzionalità e i loro elementi, come ad esempio Exchange Server.

Alla luce di quanto visto finora, AD DS può di molto facilitare la gestione di reti semplici, ma anche di reti di grande complessità. Naturalmente è una buona regola riuscire a trovare l’equilibrio giusto per semplificare le operazioni da fare. A titolo puramente esemplificativo: in caso di una ventina di postazioni in una sola sede, per facilitare la gestione è possibile la creazione di un dominio singolo e magari diverse unità organizzative. Diversamente, di fronte alla presenza di centinaia di postazioni in numerose sedi, la cosa migliore da fare per semplificare la gestione è riconducibile alla creazione di un numero di sottodomini pari al numero di sedi. Tutte strategie utili a ottimizzare i lavori e per sfruttare al meglio le tecnologie messe a disposizione dagli strumenti di Windows Server. AD DS è funzionale per qualsiasi realtà, basta usare gli strumenti opportuni contestualizzandoli alle architetture in questione. Lavorare con la consapevolezza di beneficiare di servizi efficienti, funzionali, veloci e sicuri è possibile solo grazie a sofisticati sistemi come AD DS. Senza tali sistemi e le funzionalità offerte dagli stessi la sicurezza informatica sarebbe seriamente compromessa. Oggi per un’azienda fare a meno di questi fondamentali sistemi è pressoché impossibile.

Info sull'autore

Andrea Masella author