Domain Controller e Active Directory
18 Feb 2020 - Informatica, Software
Proteggere i dati aziendali è di vitale importanza. Perdite di informazioni potrebbero tradursi in grossi problemi.
Prevenire è sempre meglio che curare e, nonostante secondo il mio punto di vista è sempre l’utente finale a giocare sempre un ruolo centrale nella sicurezza informatica, un Domain Controller (DC) è quello che viene in nostro aiuto.
In ambienti Microsoft e in particolare in un Dominio Windows Server è un compito assolto da Active Directory.
Indice
Domain Controller e Active Directory : andiamo per gradi!
Sembra opportuno specificare inizialmente cosa sia un dominio prima di chiarire cosa sia il controller di dominio, o appunto domain controller.
Un dominio : “un insieme di computer che condividono un database di risorse di rete e che vengono amministrati come un’unità con regole e procedure comuni.” (fonte: Wikipedia)
Un DC è sostanzialmente un server. Lavora nell’ambito di un dominio e gestisce le richieste degli utenti che utilizzano determinati servizi o informazioni in aree specifiche dello stesso dominio.
Agli albori l’espressione era utilizzata esclusivamente a reti gestite da server Microsoft. In seguito a iniziato a riferirsi anche a sistemi Linux.
Come funziona un Domain Controller
Un DC essenzialmente funziona strutturando un dominio in Utenti, Gruppi e Risorse di rete.
Per l’accesso a determinate informazioni il DC gestisce il tutto attraverso un sistema di autenticazione nome utente / password.
Ad ogni account corrisponde un utente e ogni utente ha il suo livello di “privilegio”.
Ossia ogni utente ha la possibilità di entrare in determinate aree del sistema e non sconfinare.
Vi mostro qui sotto la schermata di accesso a Windows 7 di una macchina che ha effettuato il Joint al dominio (termine gergale per indicare quando un sistema è “agganciato” ad un dominio).
Cos’è Active Directory
Active Directory (AC) è un database che funge da DC. Consente di catalogare e gestire in modo centralizzato risorse di vario genere come utenti, stampanti, cartelle condivise, gruppi di lavoro.
E’ un database di tipo gerarchico che sostanzialmente indica un sistema di database costituito da “contenitori” che racchiudono oggetti o altri contenitori.
Per AC utenti, gruppi, stampanti, risorse, ecc. sono dei contenitori di oggetti.
E’ possibile definire degli insiemi, dei contenitori, chiamati, appunto, Unità Organizzative (UO) ai quali assegnare dei criteri di gruppo (GPO).
Ciascun oggetto rappresenta una singola entità e i suoi attributi. Alcuni oggetti possono anche essere contenitori di altri oggetti.
Proprio come un DC, Active Directory centralizza tutte le risorse di sistema e ne determina gli accessi.
In particolare utilizza il sistema di autenticazione Kerberos che basa l’autenticazione sulla crittografia. Interessante questo sistema perchè fornisce “mutua autenticazione” ossia entrmabi host e server possono verificare l’uno l’identità dell’altro.
Struttura Active Directory
La struttura di AC può essere divisa logicamente in domini, alberi e foreste.
Un dominio rappresenta un insieme di macchine connesse che condividono un directory database comune in cui sono inseriti gli oggetti.
Un albero è un insieme di domini che sono collegati tra loro in modo gerarchico i diversi DC si scambiano informazioni reciprocamente.
Tecnicamente viene definita relazione di fiducia transitiva (transitive trust relationship).
L’insieme di tutti gli alberi viene definita foresta (ovviamente!!!). Ovvero la foresta rappresenta l’insieme di tutti gli alberi della directory.
In una foresta composta da più domini il server che esegue la struttura di AD principale, cioè quella di più alto livello, viene chiamato Controller di Dominio Primario (Primary Domain Controller).
