Presentazione di PowerPoint - IIS "Crocetti
Transcript
Presentazione di PowerPoint - IIS "Crocetti
PROF. Filippo CAPUANI Amministrazione di una rete con Active Directory Sommario Gli oggetti di Active Directory Utenti e User Account Diritti utente e permessi Tipi di User Account in un dominio Organizzazione degli utenti: gruppi Gruppi locali, globali e universali Unità Organizzative Delega dell’amministrazione alle OU Gli oggetti di Active Directory organizza la rete con Active Directory uno schema logico ad oggetti Gli amministratori di una rete possono gestire le risorse hardware/software mediante oggetti. Active Directory Dobbiamo però distinguere gli oggetti: di base quali: i gruppi, gli utenti e i computer; contenitori quali Domini e Organizational Unit (OU), che contengono al loro interno gli oggetti di base. Gli oggetti di Gli Active Directory oggetti principali di Active Directory sono… I gruppi Gli utenti Active Directory I computer amministrati all’interno di oggetti contenitori: Domini OU OU OU Gli utenti Ogni utente (User) di un dominio è individuato in modo univoco mediante uno user account Uno User Account definisce le credenziali di un utente che lo autorizzano ad entrare (log on) nella rete. Le credenziali principali di uno user sono: Nome utente Password (parola riservata di accesso) Nome del dominio (in cui l’utente dispone di uno user account). Active Directory Gli utenti Processo di log on Il log on è il processo di ingresso in un dominio. Durante il log on: 1. Un utente introduce le proprie credenziali (nome utente, password e scelta del dominio). 2. Un domain controller del dominio richiesto verifica la correttezza delle credenziali in Active Directory, autorizzando l’ingresso nel dominio soltanto se Nome Utente e Password sono corrette. Il processo di uscita di un utente da un dominio è quindi denominato Log off. Amministratori Il processo Durante il log on in un di log on dominio Windows 2000… Utente Dominio User name: CAPUA Password: *********** Domain: CERULLI No Active Directory Domain Controller Credenziali corrette? Sì Log on autorizzato User Rights Ogni user account è individuato da un e insieme di User rights e Permission Permission Le user rights (diritti utente) definiscono un insieme di autorizzazioni, predefinite in Active Directory, che possono essere assegnate ad un account utente in un dominio. Esempi di user rights sono: Log on locally uno user può effettuare il log on in un server; Shut down the system un utente può spegnere il server (shut down); Change the system time un utente dispone dell’autorizzazione per la modifica dell’ora in un server. Active Directory User Rights Ogni user account è individuato da un e insieme di User rights e Permission Permission Le permission (permessi) definiscono i tipi di accesso alle risorse HW/SW che è possibile assegnare ad un utente. Le permission sono diverse e dipendono dal tipo di risorsa. Esempi di permessi sono: Read permesso di lettura per le risorse file e cartelle; Execute permesso di eseguire un programma in una cartella; Le permission (permessi) definiscono leperiferica azioni che Print permesso per stampare su una un utente può svolgere sulle risorse della rete. fisica di stampa. Active Directory Gli User Account di un dominio possono essere di due tipi: Built-in oppure User-defined Gli account utente predefiniti (built-in) principali sono: Administrator l’amministratore dispone di tutte le user rights e tutte le permission sugli oggetti di Active Directory; Guest l’ospite dispone di user rights molto limitate e di nessun permesso predefinito. Tipi di User Account Gli user-defined domain account sono creati appositamente dagli amministratori del dominio. Amministratori Per ogni account utente creato, gli amministratori si devono preoccupare di assegnare i diritti utente e i permessi necessari per una corretta attività dell’utente nel dominio. Creiamo un account Creiamo un nuovo User Account in Active Directory continua… Creiamo un account Creiamo un nuovo User Account in Active Directory Creiamo un Dopo aver creato un nuovo user account account, è possibile modificarne le sue proprietà in qualsiasi istante… Creiamo un Un account in Active Directory dispone account di numerose proprietà, tra cui ricordiamo… Limitazione ore di accesso Limitazione di accesso alla rete solo da alcuni PC client Creiamo un Un account in Active Directory dispone account di numerose proprietà, tra cui ricordiamo… Definizione di un profilo utente bloccato Definizione di un percorso per la home folder dell’utente I gruppi Un gruppo (Group) di un dominio contiene un insieme di utenti Un gruppo è un insieme di user account e quindi di singoli utenti (che ogni account rappresenta). Le autorizzazioni e i permessi assegnati ad un gruppo, sono automaticamente propagati in tutti gli user account inclusi nel gruppo stesso. Per gli amministratori, l’utilizzo dei gruppi è essenziale, perché consente di gestire un numero elevato di utenti con un’unica azione amministrativa. Amministratori Active Directory I gruppi I gruppi possono essere di tipo diverso: Gruppo locale al dominio (DLG: Domain Local Group); Gruppo globale (GG: Global Group); Gruppo universale (UG: Universal Group). Ogni tipo di gruppo si differenzia per: la provenienza degli utenti, che può contenere; l’utilizzo, nell’assegnazione di autorizzazioni e permessi di accesso alle risorse. Active Directory I gruppi I gruppi possono essere predefiniti nel dominio oppure creati dagli amministratori I Gruppi predefiniti nello schema logico di Active Directory dispongono di… Gruppi User rights e permission Tutte: amministrano le rete Limitate: assegnate agli utenti ospiti Limitate alla gestione dei domain controller, in particolare, per la creazione di nuovi account Limitate alla gestione del processo di backup e ripristino dei dati sul server Limitate alla gestione dei server di stampa nella rete Tipi di gruppi I tipi di gruppi si differenziano per la provenienza degli utenti definiti nei diversi domini della foresta Può contenere solo membri del dominio a cui appartiene maxwell.local uffici.local GG: Gruppo Globale multimediale fisica UG: Gruppo Universale DLG: Gruppo Locale al Dominio Possono contenere membri provenienti da tutti i domini della foresta Tipi di gruppi I tipi di gruppi si differenziano per l’utilizzo nell’assegnazione di autorizzazioni di accesso alle risorse… Si possono assegnare autorizzazioni all’uso di tutte le risorse dei domini nella foresta UG: Gruppo Universale maxwell.local uffici.local GG: Gruppo Globale multimediale fisica DLG: Gruppo Locale al Dominio Si possono assegnare autorizzazioni esclusivamente all’uso delle risorse del dominio dello stesso DLG Organizziamo Organizziamo in gruppi gli utenti della i gruppi nostra scuola… nostra scuola… Dopo aver definito gli account per tutti gli utenti, possiamo creare i GG (gruppi globali): GGstudenti, con gli account: di tutti i singoli studenti delle singole classi (1A, 2A, 3A, 4A, 5A, ecc.) GGdocenti, con gli account dei docenti GGuffici, con gli user account del personale della segreteria Amministratori I DLG (gruppi locali del dominio) sono invece utilizzati per definire i permessi di accesso alle risorse. Definiamo un nuovo gruppo Creiamo un gruppo in un dominio con Active Directory Definiamo un nuovo gruppo Dopo aver creato un nuovo gruppo, si devono inserire i suoi membri… I computer Ogni computer del dominio dispone di un Account Computer Un Account Computer rappresenta le credenziali di un computer in un dominio. Le credenziali sono inserite una sola volta, quando si aggiunge il computer ad un dominio gi à esistente. Active Directory I computer Un account computer può essere aggiunto: Direttamente in Active Directory nel domain controller: Nel computer client: Unità Le Unità Organizzative sono i Organizzative contenitori logici privilegiati degli oggetti del dominio Le Unità Organizzative permettono di realizzare uno schema logico gerarchico della nostra rete. A tal fine, una OU può includere altre OU interne. Le unità organizzative: Sono completamente indipendenti dallo schema fisico di Active Directory, in Siti e Link Permettono di delegare l’amministrazione ai gruppi responsabili degli oggetti contenuti nella stessa OU Active Directory Unità Creiamo una nuova Unità Organizzativa Organizzative Creiamo la OU del laboratorio Multimediale In Active Directory Unità Organizzative Dopo avere creato una nuova Unit à Organizzativa, si deve popolarla inserendo i suoi oggetti, quali… gli account computer: continua… Unità Organizzative Dopo avere creato una nuova Unit à Organizzativa, si deve popolarla inserendo i suoi oggetti, quali… gruppi e utenti: continua… Unità Organizzative Dopo avere creato una nuova Unit à Organizzativa, si deve popolarla inserendo i suoi oggetti… GG dei docenti amministratori del laboratorio Unità Delega dell’amministrazione di una OU Organizzative Deleghiamo l’amministrazione del laboratorio Multimediale al gruppo del docenti