Servizi Active Directory e domini Windows 2000 o Windows Server 2003 (parte 2)

Sommario

Le informazioni contenute in questo articolo sono fornite in parte da: .

Il presente articolo è la seconda parte di una serie di due articoli dedicati ai servizi Active Directory e ai domini Windows 2000 o Windows Server 2003. Per vedere la prima parte, scegliere il seguente collegamento:

Servizi Active Directory e domini Windows 2000 o Windows Server 2003 (parte 1) In questa seconda parte vengono affrontati i seguenti argomenti:

  • Limiti amministrativi

    • Domini

    • Unità organizzative

  • Interazione con Active Directory

    • Emulazione della gerarchia dei domini

    • Catalogazione del dominio (partizione directory)

    • Partizionamento della directory

    • Acquisizione di informazioni sugli oggetti di un altro dominio

      • Distribuzione della directory

      • Replica della directory

    • Catalogazione dell'impresa (catalogo globale)

  • Conclusioni

Le informazioni di questo articolo sono tratte da Microsoft Windows 2000 Servizi Active Directory - Guida Tecnica , capitolo 3. "Servizi Active Directory e domini Windows 2000". Ulteriori informazioni sul
(informazioni in lingua inglese). Il sito è stato aggiornato con informazioni relative a Microsoft Windows Server 2003.

Informazioni

Limiti amministrativi

La riduzione del numero di relazioni di trust da gestire è un importante miglioramento introdotto in Windows 2000 e in Windows Server 2003. Era tuttavia necessario apportare anche un altro miglioramento relativo ai limiti amministrativi. In Microsoft Windows NT 4.0 e nelle versioni precedenti agli amministratori che dovevano amministrare sottoinsiemi di utenti o gruppi all'interno di un dato dominio Windows NT dovevano essere assegnate autorizzazioni amministrative generali a livello di dominio e ciò anche quando i rispettivi diritti amministrativi non comprendevano l'intero dominio. In Windows 2000 e Windows Server 2003 con l'avvento delle unità organizzative, le cose sono cambiate.

Domini

Il dominio Windows 2000 o Windows Server 2003 è un limite amministrativo. I diritti amministrativi non valicano i limiti di dominio né in senso trasversale né in senso verticale all'interno di un albero di dominio Windows 2000 o Windows Server 2003. Ad esempio, se esiste un albero di dominio contenente i domini A, B e C, dove A è il dominio padre di B e B è il dominio padre di C, gli utenti con diritti amministrativi per il dominio A non disporranno di diritti amministrativi anche per il dominio B e lo stesso vale per gli utenti con diritti amministrativi per il dominio B nei confronti del dominio C. Per disporre di privilegi amministrativi per un dato dominio, è necessario ottenerli da un'autorità superiore. Questo non significa, tuttavia, che un amministratore non possa disporre di diritti amministrativi per più domini, ma semplicemente che tutti i diritti devono essere definiti esplicitamente.

Unità organizzative

Le unità organizzative consentono agli amministratori di creare limiti amministrativi all'interno di un dominio. Mediante le unità organizzative gli amministratori possono delegare compiti amministrativi ad amministratori subordinati senza bisogno di dover garantire loro privilegi amministrativi generali a livello di dominio.

Verrà ora riportato un esempio per spiegare il motivo per cui le unità organizzative si rivelano tanto utili. La struttura di vendita di un'organizzazione dispone di propri amministratori di rete e di proprie risorse di rete, tra cui stampanti e server, finanziati tutti da capitale interno della struttura di vendita. Gli amministratori di rete della struttura di vendita vogliono il controllo su risorse, criteri e altri elementi amministrativi all'interno del gruppo di vendita, ma questo gruppo fa parte del dominio aziendale.

Se l'azienda utilizzasse una rete Windows NT 4, gli amministratori della struttura di vendita dovrebbero essere aggiunti al gruppo degli amministratori di dominio per ottenere i privilegi amministrativi necessari per amministrare la struttura di vendita. Ma l'appartenenza al gruppo degli amministratori di dominio assegnerebbe loro il controllo anche sull'intero dominio aziendale e non sulla sola struttura di vendita. Tale controllo amministrativo generale per quanto non appropriato sarebbe l'unico modo per assegnare loro un controllo amministrativo sulle risorse e sui criteri della struttura di vendita.


Con Windows 2000 o Windows Server 2003 e l'avvento delle unità organizzative, questa situazione è cambiata. In una rete Windows 2000 o Windows Server 2003 gli amministratori di rete supervisori possono creare all'interno della struttura dei domini delle unità amministrative, compresa un'unità amministrativa per la rete di vendita, definendo in tal modo nuovi limiti amministrativi più circoscritti.

La soluzione per l'esempio in questione potrebbe consistere nel creare un'unità amministrativa per la struttura di vendita assegnando agli amministratori di vendita privilegi amministrativi completi solo per tale unità amministrativa e non per l'intera area del dominio aziendale. Con la creazione di unità amministrative, l'appartenenza al gruppo degli amministratori di dominio (che assegna privilegi amministrativi per l'intero dominio e per le varie unità amministrative del dominio) può essere riservata solo a quegli amministratori con responsabilità a livello di intero dominio. In questo modo si otterrà una rete più sicura e meglio gestita.

Nel caso fosse necessario creare delle sottounità organizzative all'interno delle unità organizzative, sarebbe comunque possibile nidificare le unità organizzative , sebbene esistano considerazioni di prestazioni che è bene tenere presente. È infatti possibile nidificare le unità organizzative, ma le prestazioni diventeranno un problema a partire dal quindicesimo livello di unità organizzative nidificate. Esistono poi altri problemi da considerare quando si decide se nidificare o meno le unità organizzative o addirittura se farvi ricorso, che saranno affrontati nel dettaglio nel capitolo 7 dedicato alla pianificazione di una distribuzione Active Directory.

Interazione con Active Directory

Si vedrà ora il ruolo svolto dai servizi Active Directory in tutto questo e perché sia assolutamente necessario conoscere il funzionamento di domini e strutture di domini per poter capire i requisiti di pianificazione dei servizi Active Directory. Active Directory è intimamente legata alla struttura di domini di una distribuzione Windows 2000 o Windows Server 2003.

Emulazione della gerarchia dei domini

Come noto, più domini Windows 2000 e Windows Server 2003 formano una gerarchia di domini e una o più gerarchie di domini possono formare una foresta. La directory, come unità completa, è semplicemente l'insieme di tutti gli oggetti della foresta. Per garantire tuttavia la scalabilità dei servizi Active Directory a milioni di oggetti in una singola directory, è stato necessario adottare una strategia per scomporre la directory in varie sottoparti, in quanto una singola directory di dimensione immensa non partizionata non avrebbe potuto garantire la scalabilità richiesta. La soluzione è stata quella di partizionare la directory, in modo da poter garantire maggiore scalabilità e migliori prestazioni.

Lo schema di partizionamento di Active Directory emula la gerarchia dei domini Windows 2000 o Windows Server 2003. L'unità di partizione per i servizi Active Directory è il dominio.

Questa emulazione della gerarchia dei domini soddisfa una serie di obiettivi:

  • Garanzia di scalabilità

  • Massimizzazione delle prestazioni

  • Minimizzazione dell'overhead di replica

Nella sezione che segue viene spiegato nel dettaglio in che modo lo schema di partizionamento di Active Directory emuli la gerarchia dei domini e perché ciò consenta di ottimizzare la scalabilità e le prestazioni e di ridurre l'overhead di replica.

Catalogazione del dominio (partizione directory)

L'obiettivo principale dei servizi Active Directory è creare un catalogo di oggetti presenti nella foresta. Naturalmente questo catalogo non sarebbe molto utile se raggiungesse una dimensione tale da renderlo troppo lento e ingombrante. Un parallelo calzante potrebbe essere quello di un pulmino sufficientemente capiente da contenere tutti gli amici con cui si desidera andare a sciare, che tuttavia si rivela poco maneggevole da guidare lungo le strade di montagna, lento nel salire al valico o troppo ingombrante da parcheggiare. Un approccio migliore sarebbe organizzarsi con una serie di macchine, ciascuna delle quali potrebbe passare a prendere gli amici che vivono nelle vicinanze. In questo caso si eviterà la lenta salita al passo, si troverà più facilmente parcheggio, ma soprattutto, ogni macchina potrebbe occuparsi di riportare a casa i suoi occupanti, in modo che gli sciatori stanchi dalla lunga giornata sugli sci potrebbero arrivare a casa prima di quanto non sarebbe possibile con un solo pulmino.

Se vogliamo spingerci oltre nel confronto, si possono immaginare i problemi che potrebbero presentarsi qualora aumentasse il numero di amici amanti dello sci tanto da non poterli accogliere tutti sul pulmino. In questo caso, bisognerebbe procurarsi un pullman più grande, che risulterebbe ancora più ingombrante del precedente, considerato inoltre che sarebbe necessario sempre più tempo per riportare a casa tutti i partecipanti alla gita. Utilizzando delle auto, basterebbe invece aggiungere altri veicoli al convoglio, senza alcun inconveniente per gli sciatori esistenti, né tempi più lunghi per riportare a casa tutti. I servizi Active Directory hanno lo scopo di evitare di ritrovarsi su un pullman sovraccarico. Infatti, la directory viene suddivisa in sottocomponenti, esattamente come nel caso del convoglio di vetture, e i vantaggi di questo approccio sono simili per natura a quelli offerti da un convoglio di macchine, sebbene di portata molto più ampia.

Partizionamento della directory

Per comprendere meglio in che modo i servizi Active Directory vengono partizionati all'interno di una foresta si prenda in considerazione una foresta molto semplice. Nella figura 3-5 sono illustrati una foresta e il relativo albero di dominio.


Figura 3-5. Gerarchia dei domini A, B, C, D, E e F

La foresta è composta da tutti i domini illustrati nella figura 3-5, mentre l'intera directory da tutti gli oggetti presenti nei domini della foresta. Tuttavia, per aumentare la scalabilità e le prestazioni, è necessario suddividere la directory in più parti, la cui aggregazione crea la directory completa.

È importante ricordare che in Windows 2000 e Windows Server 2003 l'unità di partizionamento è il dominio, pertanto, dando un altro sguardo all'esempio di gerarchia di domini, è possibile fare un parallelo tra la gerarchia logica dei domini e lo schema di partizionamento della directory. Nella figura 36 vengono messi a confronto la gerarchia dei domini e il catalogo della directory. Come si può notare, la directory non è altro che l'aggregazione della partizione di ciascun dominio.


Figura 3-6. Relazione tra gerarchia di domini e schema di partizionamento della directory

È importante ricordare che gli alberi non contigui appartenenti alla stessa foresta formano comunque una directory. Attenzione a non confondere gli alberi con le foreste, così come i limiti dell'azienda (la foresta) con la natura contigua di un dato albero di dominio all'interno della foresta (l'albero). La maggior parte delle organizzazioni, è auspicabile, sarà in grado di pianificare e distribuire un singolo albero, corrispondente a un singolo spazio dei nomi, che costituisca l'intera foresta. Questo è il tipo di distribuzione più semplice da pianificare, gestire e mantenere, ma le distribuzioni non sono sempre così razionali e spesso nuove acquisizioni di aziende complicano le cose, pertanto è bene tenere sempre presente questa equazione logica:

Una foresta = uno schema = un catalogo di directory È importante poi rendersi conto che un singolo dominio costituisce anche una foresta. Se si è sufficientemente fortunati da poter progettare la struttura di domini Windows 2000 o Windows Server 2003 con dominio singolo, ci si renderà conto che il singolo dominio personale costituisce la foresta. Ciò significa che l'intero catalogo di directory si troverà in un'unità non partizionata (poiché il dominio è l'unità di partizionamento, un dominio corrisponde a una partizione).

Uno dei vantaggi più importanti del partizionamento del catalogo di directory è probabilmente la scalabilità del catalogo, in termini di aggiunta di un dominio all'albero di dominio o di aggiunta di un intero albero di dominio alla foresta. L'aggiunta di un dominio o di un albero di dominio non comporta alcun aumento del carico amministrativo o di replica per la gerarchia di domini e la struttura amministrativa. Grazie al partizionamento della directory e al fatto che ciascun controller di dominio di ogni dominio contiene solo le informazioni del catalogo di directory relative al proprio dominio, l'aggiunta di un dominio o di un albero di dominio alla foresta non influisce sulle prestazioni di rete e sulla sua scalabilità. Se combinato con le nuove relazioni di trust transitivo stabilite tra i domini della stessa foresta, questo partizionamento delle informazioni del catalogo di directory garantisce una scalabilità a distribuzioni aziendali di grandissime dimensioni basate su Windows 2000 o Windows Server 2003 e sui servizi Active Directory.

Acquisizione di informazioni sugli oggetti di un altro dominio

Con tutto questo gran parlare di partizionamento del catalogo di directory ci si potrebbe chiedere in che modo gli utenti di un dominio possono accedere alle informazioni provenienti da un'altra partizione di dominio. Dopo tutto, se i controller di dominio di un dominio contengono le informazioni relative solo agli oggetti del dominio, che accade quando gli utenti devono ottenere informazioni relative a oggetti presenti in un altro dominio? Ottima domanda. Fortunatamente la risposta è molto semplice: i servizi Active Directory utilizzano le ricerche e le query DNS per risolvere le varie interrogazioni, esattamente come Internet.

Sebbene i servizi Active Directory e Windows 2000 o Windows Server 2003 utilizzino DNS per il proprio servizio di ricerca, si avvalgono entrambi di una speciale voce SRV (Special Service) di tipo RR (record risorsa) che designa una determinata voce DNS come controller di dominio. I controller di dominio a loro volta determinano se sono in grado di risolvere una query, ad esempio una query relativa a un oggetto presente nel dominio locale. In caso contrario, la richiesta viene inviata a un controller di dominio in grado di risolverla o di indirizzare il controller di dominio al server logico successivo a cui dovrebbe essere rivolta la richiesta. Alla fine, il controller di dominio che è in grado di risolvere la query viene trovato (o non viene trovato), per cui il client viene indirizzato a tale server per proseguire il processo di interrogazione.

Le query DNS sono spiegate in maggiore dettaglio nel capitolo 6 dedicato ai servizi Active Directory e alla tecnologia DNS.

Distribuzione della directory

A questo punto è necessario spiegare in che modo la directory partizionata viene distribuita e come interagisce con il modello di dominio Windows 2000 o Windows Server 2003. In Windows 2000 e Windows Server 2003 ogni controller di dominio di un dato dominio contiene una copia della partizione di directory relativa al proprio dominio. Questo consente a ciascun controller di dominio di risolvere localmente le query relative a informazioni sugli oggetti presenti nel proprio dominio.

Questo approccio si basa sul fatto che in molti casi gli utenti, o le altre entità che utilizzano i servizi Active Directory, utilizzano maggiormente le risorse di rete del dominio locale rispetto a quelle presenti in un dominio remoto. La distribuzione di una copia leggibile e scrivibile della partizione di dominio a ciascun controller di dominio del dominio comporta i seguenti miglioramenti:

  • Miglioramento delle prestazioni, in quanto ogni controller di dominio è in grado di eseguire ricerche locali di oggetti presenti nel proprio dominio.

  • Miglioramento della scalabilità, in quanto ogni controller di dominio contiene una copia master leggibile e scrivibile della partizione del catalogo di directory.

  • Il miglioramento della scalabilità è attribuibile altresì al fatto che nessun computer deve sobbarcarsi tutto il lavoro degli aggiornamenti della directory.

Questo approccio si rivela particolarmente utile quando nella topologia della rete sono presenti filiali e siti remoti. Dotando ciascun sito remoto di un controller di dominio, che per definizione contiene una copia della partizione del catalogo di directory, è possibile risolvere localmente le query degli utenti. Questo significa ridurre al minimo il ricorso a risorse WAN (Wide Area Network) costose o limitate. Il vantaggio di dotare un ufficio di filiale o un sito remoto di un controller di dominio non è limitato solo al risparmio delle risorse WAN, bensì riguarda anche il miglioramento delle prestazioni delle query derivante dal fatto di avere il controller di dominio e la partizione del catalogo di directory disponibili sulla LAN del sito remoto.

Replica della directory

Il fatto che ciascun controller di dominio sia dotato di una copia master scrivibile della partizione Active Directory del proprio dominio consente di apportare modifiche alla partizione di un dominio su ciascun controller di dominio disponibile. Quando si apportano modifiche su un controller di dominio deve essere disponibile un metodo per poter replicare tali modifiche agli altri controller di dominio. Questo processo di distribuzione delle informazioni aggiornate ai controller di dominio appropriati è detto replica.

In Windows 2000 e Windows Server 2003 l'unità di replica è la partizione di dominio. Tuttavia, vengono replicate agli altri controller di dominio solo le modifiche apportate a livello di attributi di un dato oggetto anziché l'intero oggetto. Questo consente di ridurre significativamente il traffico di replica e tanto più si riduce il traffico di rete operativo tanto più valida è la soluzione.

La priorità di aggiornamento è determinata mediante l'impiego di numeri di sequenza di aggiornamento (USN, Update Sequence Number). Anziché confrontare i valori degli attributi degli oggetti, i servizi Active Directory utilizzano un numero USN per determinare se è necessario effettuare una replica e in caso affermativo quali valori di attributo oggetto devono essere trasmessi. Per ulteriori informazioni sui numeri USN, vedere la sezione relativa alla replica nel capitolo 4, dedicato all'architettura scalabile di Active Directory. Questa implementazione dei numeri USN è un altro vantaggio offerto dall'utilizzo del dominio come unità di partizionamento. Essa limita il traffico di replica, già ridotto per altro alle singole modifiche degli attributi, ai confini del dominio in cui sono state apportate le modifiche.

Catalogazione dell'impresa (catalogo globale)

Infine deve essere disponibile un metodo che consenta ai servizi Active Directory di rispondere rapidamente alle query degli utenti. Sebbene molte query utente riguardino il dominio a cui l'utente appartiene, molte altre non sono specifiche di un dato dominio e possono riguardare l'intera struttura aziendale, ad esempio, le query dei nomi di posta elettronica. Un servizio directory veramente efficace a livello di intera struttura aziendale e attento alle prestazioni deve essere in grado di servire query frequenti e globali senza generare inutile traffico di rete e senza dover passare attraverso più riferimenti di query. La soluzione è un catalogo di directory che contenga un sottoinsieme di attributi per ciascun oggetto presente nella struttura aziendale. In sostanza, deve trattarsi di un catalogo degli attributi oggetto che interessano la struttura aziendale nel suo complesso. Per i servizi Active Directory la risposta è il catalogo globale, ovvero una raccolta di attributi selezionati di ciascun oggetto presente nella struttura aziendale. In questo modo, attributi selezionati di ogni oggetto della foresta sono disponibili per le query del dominio locale. Esattamente come Microsoft ha creato un insieme predefinito di oggetti nello schema, gli attributi predefiniti di ciascun oggetto schema vengono contrassegnati per essere inclusi nel catalogo globale (magari non sarà mai necessario modificarli, ma è comunque possibile) La maggior parte degli oggetti possiede 15 attributi circa, sette dei quali sono contrassegnati per essere inclusi nel catalogo globale.

Il catalogo globale si trova su controller di dominio selezionati all'interno di ciascun dominio e viene utilizzato per query relative a ricerche globali. Quando un utente invia una query globale basata su un attributo di oggetto contrassegnato per l'inclusione nel catalogo globale, la query può essere risolta da un controller di dominio sul dominio locale configurato per tenere una copia del catalogo globale. Poiché in ogni dominio esiste almeno un controller di dominio che ospita il catalogo globale, le query relative a ricerche globali possono essere eseguite e risolte rapidamente. Gli attributi inclusi nel catalogo globale, in base all'impostazione predefinita, sono quelli che cambiano con minore frequenza. L'utilizzo di informazioni statiche nel catalogo globale riduce il traffico di replica. Del resto, quando cambia l'attributo di un oggetto contrassegnato per l'inclusione nel catalogo globale, tale modifica deve essere replicata a tutti i controller di dominio di catalogo globale all'interno dell'intera struttura aziendale. Oltre a ridurre il traffico di replica, le informazioni statiche sono generalmente più appropriate per le ricerche globali.

Conclusioni

I domini Windows 2000 o Windows Server 2003 e i servizi Active Directory sono due aspetti della stessa medaglia, i domini rappresentano i limiti amministrativi, oltre che i limiti di partizionamento e di replica per i servizi Active Directory. Proprio come la foresta Windows 2000 o Windows Server 2003 rappresenta la struttura organizzativa globale per i domini Windows 2000 e Windows Server 2003, la foresta Windows 2000 o Windows Server 2003 è la struttura globale che contiene tutti gli oggetti per i servizi Active Directory, oltre che la struttura entro cui tutti gli oggetti vengono definiti da un singolo schema. In breve, la struttura dei domini è la struttura dei servizi Active Directory. Se non si capiscono i domini Windows 2000 o Windows Server 2003 sarà impossibile comprendere il funzionamento dei servizi Active Directory, ragione per cui ai domini è stata dedicata particolare attenzione in questo libro.

La scalabilità è raggiunta in Windows 2000 e Windows Server 2003 in quanto i domini non richiedono più relazioni di trust bidirezionale esaustive, ora infatti le relazioni di trust vengono create implicitamente e perfezionate quando un dominio Windows 2000 o Windows Server 2003 deve interagire con domini di livello inferiore o quando le relazioni di trust devono essere stabilite con domini di foreste esterni. La scalabilità è ottenuta anche grazie al fatto che lo schema di partizionamento a livello di dominio dei servizi Active Directory riduce l'impatto derivante dall'aggiunta di domini. Questo consente di scalare i servizi Active Directory fino a reti delle dimensioni di Internet.

Nonostante il partizionamento dei servizi Active Directory e il modello di dominio Windows 2000 o Windows Server 2003, la coesione di un ambiente di rete Windows 2000 e Windows Server 2003 è garantita dal catalogo globale. Riunendo attributi selezionati di oggetti in un catalogo che abbraccia l'intera struttura aziendale, gli attributi di oggetto più frequentemente ricercati risultano immediatamente accessibili, indipendentemente dal punto in cui ha avuto origine la query o da dove risiede l'oggetto di destinazione all'interno dell'organizzazione.

Naturalmente, mantenere sempre coerente la terminologia di dominio Windows 2000 o Windows Server 2003 può rivelarsi difficile, come anche capire perché siano stati creati originariamente contenitori organizzativi e gerarchici, quali foreste, domini e unità organizzative. Può aiutare il considerare le seguenti ampie associazioni tra la terminologia di dominio Windows 2000 o Windows Server 2003 e il modo in cui una grande organizzazione potrebbe applicare la struttura al proprio ambiente:

  • Limiti di impresa - foreste

  • Limiti di società - alberi

  • Limiti di divisione - domini

  • Limiti di reparto - unità organizzative

E se la struttura organizzativa fosse diversa? Che cosa accadrebbe se l'azienda non fosse organizzata in varie società o non avesse limiti di reparto? In tal caso si tratta di associazioni molto ampie che intendono fornire solo delle linee guida per fornire un'idea del modo in cui foreste, alberi, domini e unità organizzative possano soddisfare le esigenze e le richieste di organizzazioni grandi e piccole. Magari non sarà necessario creare delle unità organizzative o magari sarà sufficiente crearne una sola (cosa che sarà possibile determinare una volta letto il capitolo 7 dedicato alla pianificazione di una distribuzione Active Directory). Indipendentemente da tutto, è bene tenere presente un aspetto durante tutto il processo di pianificazione, distribuzione e gestione.

La semplicità è importante.

Domini, directory e reti sono già sufficientemente complessi senza bisogno di aggiungervi un piano di distribuzione particolarmente intricato. Ma funzionerà con un dominio o solo con qualche unità organizzativa? Allora utilizzare solo un dominio e qualche unità organizzativa. Questo richiamo alla semplicità sarà onnipresente nella seconda parte di questo libro, in quanto la semplicità funziona sempre: mantenere le cose semplici per gestirle, amministrarle e utilizzarle in modo più semplice. In fondo, l'obiettivo è proprio questo.

Riferimenti

Le informazioni riportate in questo articolo sono tratte da
Microsoft Windows 2000 Servizi Active Directory - Guida Tecnica, pubblicato da Microsoft Press:



Ulteriori informazioni sul
(informazioni in lingua inglese)

Per ulteriori informazioni su questa pubblicazione e su altri volumi Microsoft Press, visitare il seguente sito Web Microsoft
.

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×