Presentazione di PowerPoint - IIS "Crocetti

PROF. Filippo CAPUANI
Amministrazione
di una rete con
Active Directory
Sommario








Gli oggetti di Active Directory
Utenti e User Account
Diritti utente e permessi
Tipi di User Account in un dominio
Organizzazione degli utenti: gruppi
Gruppi locali, globali e universali
Unità Organizzative
Delega dell’amministrazione alle OU
Gli oggetti di Active Directory organizza la rete con
Active Directory
uno schema logico ad oggetti
Gli amministratori di una rete possono gestire le
risorse hardware/software mediante oggetti.
Active
Directory
Dobbiamo però distinguere gli oggetti:
 di base quali: i gruppi, gli utenti e i
computer;
 contenitori quali Domini e Organizational
Unit (OU), che contengono al loro interno gli
oggetti di base.
Gli oggetti di Gli
Active Directory
oggetti principali di Active
Directory sono…
I gruppi
Gli utenti
Active Directory
I computer
amministrati all’interno di oggetti contenitori:
Domini
OU
OU
OU
Gli utenti
Ogni utente (User) di un dominio è
individuato in modo univoco mediante
uno user account
Uno User Account definisce le credenziali di un
utente che lo autorizzano ad entrare (log on) nella
rete.
Le credenziali principali di uno user sono:
 Nome utente
 Password (parola riservata di accesso)
 Nome del dominio (in cui l’utente dispone di uno
user account).
Active
Directory
Gli utenti
Processo di log on
Il log on è il processo di ingresso in un dominio.
Durante il log on:
1. Un utente introduce le proprie credenziali (nome
utente, password e scelta del dominio).
2. Un domain controller del dominio richiesto
verifica la correttezza delle credenziali in Active
Directory, autorizzando l’ingresso nel dominio
soltanto se Nome Utente e Password sono corrette.
Il processo di uscita di un utente da
un dominio è quindi denominato
Log off.
Amministratori
Il processo Durante il log on in un
di log on dominio Windows 2000…
Utente
Dominio
User name: CAPUA
Password: ***********
Domain: CERULLI
No
Active Directory
Domain
Controller
Credenziali
corrette?
Sì
Log on
autorizzato
User Rights Ogni user account è individuato da un
e
insieme di User rights e Permission
Permission
Le user rights (diritti utente) definiscono un
insieme di autorizzazioni, predefinite in Active
Directory, che possono essere assegnate ad un
account utente in un dominio.
Esempi di user rights sono:
 Log on locally  uno user può effettuare il log on in un
server;
 Shut down the system  un utente può spegnere il server
(shut down);
 Change the system time  un utente dispone
dell’autorizzazione per la modifica dell’ora in un server.
Active
Directory
User Rights Ogni user account è individuato da un
e
insieme di User rights e Permission
Permission
Le permission (permessi) definiscono i tipi di
accesso alle risorse HW/SW che è possibile
assegnare ad un utente. Le permission sono
diverse e dipendono dal tipo di risorsa.
Esempi di permessi sono:
Read  permesso di lettura per le risorse file e
cartelle;
Execute  permesso di eseguire un programma in
una cartella;
Le
permission
(permessi)
definiscono
leperiferica
azioni che
Print
 permesso
per stampare
su una
un utente può svolgere
sulle risorse della rete.
fisica di stampa.
Active
Directory
Gli User Account di un dominio
possono essere di due tipi: Built-in
oppure User-defined
Gli account utente predefiniti (built-in) principali
sono:
 Administrator  l’amministratore dispone di
tutte le user rights e tutte le permission sugli
oggetti di Active Directory;
 Guest  l’ospite dispone di user rights molto
limitate e di nessun permesso predefinito.
Tipi di User
Account
Gli user-defined domain account sono creati
appositamente dagli amministratori del dominio.
Amministratori
Per ogni account utente creato, gli
amministratori si devono preoccupare di
assegnare i diritti utente e i permessi necessari
per una corretta attività dell’utente nel dominio.
Creiamo un
account
Creiamo un nuovo User Account in
Active Directory
continua…
Creiamo un
account
Creiamo un nuovo User Account in
Active Directory
Creiamo un
Dopo aver creato un nuovo user
account account, è possibile modificarne le sue
proprietà in qualsiasi istante…
Creiamo un Un account in Active Directory dispone
account
di numerose proprietà, tra cui
ricordiamo…
Limitazione ore di
accesso
Limitazione di
accesso alla rete
solo da alcuni PC
client
Creiamo un Un account in Active Directory dispone
account
di numerose proprietà, tra cui
ricordiamo…
Definizione di un
profilo utente
bloccato
Definizione di un percorso
per la home folder
dell’utente
I gruppi
Un gruppo (Group) di un dominio
contiene un insieme di utenti
Un gruppo è un insieme di user account e quindi di
singoli utenti (che ogni account rappresenta).
Le autorizzazioni e i permessi assegnati ad un
gruppo, sono automaticamente propagati in tutti gli
user account inclusi nel gruppo stesso.
Per gli amministratori, l’utilizzo dei gruppi è
essenziale, perché consente di gestire un
numero elevato di utenti con un’unica
azione amministrativa.
Amministratori
Active
Directory
I gruppi I gruppi possono essere di tipo
diverso:
 Gruppo locale al dominio (DLG: Domain Local
Group);
 Gruppo globale (GG: Global Group);
 Gruppo universale (UG: Universal Group).
Ogni tipo di gruppo si differenzia per:
 la provenienza degli utenti, che può contenere;
 l’utilizzo, nell’assegnazione di autorizzazioni e
permessi di accesso alle risorse.
Active
Directory
I gruppi
I gruppi possono essere predefiniti nel
dominio oppure creati dagli
amministratori
I Gruppi predefiniti nello schema logico di Active Directory
dispongono di…
Gruppi
User rights e permission
Tutte: amministrano le rete
Limitate: assegnate agli utenti ospiti
Limitate alla gestione dei domain controller, in
particolare, per la creazione di nuovi account
Limitate alla gestione del processo di
backup e ripristino dei dati sul server
Limitate alla gestione dei server di
stampa nella rete
Tipi di
gruppi
I tipi di gruppi si differenziano per la
provenienza degli utenti definiti nei diversi
domini della foresta
Può contenere solo
membri del dominio a
cui appartiene
maxwell.local
uffici.local
GG: Gruppo
Globale
multimediale
fisica
UG: Gruppo
Universale
DLG: Gruppo
Locale al
Dominio
Possono contenere
membri provenienti da
tutti i domini della foresta
Tipi di
gruppi
I tipi di gruppi si differenziano per l’utilizzo
nell’assegnazione di autorizzazioni di accesso
alle risorse…
Si possono assegnare
autorizzazioni all’uso di tutte le
risorse dei domini nella foresta
UG: Gruppo
Universale
maxwell.local
uffici.local
GG:
Gruppo
Globale
multimediale
fisica
DLG: Gruppo
Locale al
Dominio
Si possono assegnare autorizzazioni esclusivamente
all’uso delle risorse del dominio dello stesso DLG
Organizziamo Organizziamo in gruppi gli utenti della
i gruppi
nostra scuola…
nostra scuola…
Dopo aver definito gli account per tutti gli utenti,
possiamo creare i GG (gruppi globali):
 GGstudenti, con gli account:
 di tutti i singoli studenti
 delle singole classi (1A, 2A, 3A, 4A, 5A, ecc.)
 GGdocenti, con gli account dei docenti
 GGuffici, con gli user account del personale
della segreteria
Amministratori
I DLG (gruppi locali del
dominio) sono invece utilizzati
per definire i permessi di
accesso alle risorse.
Definiamo
un nuovo
gruppo
Creiamo un gruppo in un dominio con
Active Directory
Definiamo
un nuovo
gruppo
Dopo aver creato un nuovo gruppo, si
devono inserire i suoi membri…
I computer Ogni computer del dominio dispone di
un Account Computer
Un Account Computer rappresenta le credenziali di
un computer in un dominio.
Le credenziali sono inserite una sola volta, quando
si aggiunge il computer ad un dominio gi à
esistente.
Active
Directory
I computer
Un account computer può essere
aggiunto:
Direttamente in Active
Directory nel domain
controller:
Nel computer client:
Unità
Le Unità Organizzative sono i
Organizzative contenitori logici privilegiati degli
oggetti del dominio
Le Unità Organizzative permettono di realizzare
uno schema logico gerarchico della nostra rete. A
tal fine, una OU può includere altre OU interne.
Le unità organizzative:
 Sono completamente indipendenti dallo schema
fisico di Active Directory, in Siti e Link
 Permettono di delegare l’amministrazione ai
gruppi responsabili degli oggetti contenuti nella
stessa OU
Active
Directory
Unità
Creiamo una nuova Unità Organizzativa
Organizzative
Creiamo la OU del
laboratorio Multimediale
In Active Directory
Unità
Organizzative
Dopo avere creato una nuova Unit à
Organizzativa, si deve popolarla
inserendo i suoi oggetti, quali…
gli account computer:
continua…
Unità
Organizzative
Dopo avere creato una nuova Unit à
Organizzativa, si deve popolarla
inserendo i suoi oggetti, quali…
gruppi e utenti:
continua…
Unità
Organizzative
Dopo avere creato una nuova Unit à
Organizzativa, si deve popolarla
inserendo i suoi oggetti…
GG dei docenti
amministratori del laboratorio
Unità
Delega dell’amministrazione di una OU
Organizzative
Deleghiamo l’amministrazione del
laboratorio Multimediale al gruppo
del docenti