Category Archives: Active Directory

Active Directory – Il ruolo Infrastructure Master

In Active Directory il domain controller che ha il ruolo Infrastructure Master gestisce i riferimenti a oggetti che si trovano in altri domini, verificando che le informazioni relative agli utenti di altri domini che sono membri di gruppi del dominio siano corrette.

Questo ruolo è importante quando esistono più domini all’interno di una Foresta. Il domain controller che ha il ruolo Infrastructure Master effettua il controllo verificando che le informazioni relative ai membri dei gruppi presenti nel global catalog siano uguali alle informazioni presenti nel dominio.

Se le informazioni sono diverse il domain controller che ha il ruolo Infrastructure Master aggiorna le informazioni. Di default il primo domain controller installato nel dominio ha questo ruolo ma è possibile trasferirlo utilizzando lo snap-in Active Directory Users and Computer o Ntdsutil.

Active Directory – Il Global Catalog

Il global catalog è una replica parziale e in sola lettura di tutte le altre domain partitions nella foresta. La replica è parziale perchè vengono replicati solo alcuni attributi per ogni oggetto.

Gli attributi replicati sono quelli che vengono utilizzati più frequentemente per effettuare le ricerche e quindi il global catalog permette di trovare tutti gli oggetti da un dominio anche se la foresta comprende più domini.

Utilizzando il global catalog le ricerche sono più veloci perchè non è necessario contattare domain controller di altri domini.

I server global catalog vengono anche utilizzati quando vengono processati gli accessi degli utenti.

Ogni volta che un utente effettua un accesso un server global catalog viene contattato perchè solo i server global catalog hanno le informazioni relative ai membri dei gruppi universali.

Il global catalog è archiviato sui domain controller che vengono configurati come server global catalog.

Il primo domain controller che viene installato in una foresta viene automaticamente configurato come global catalog mentre per configurare gli altri domain controller come global catalog è necessario utilizzare lo snap-in Active Directory Sites and Services.

Gli attributi che devono essere inclusi nel global catalog sono identificati nello schema attraverso il partial attribute set che è specificato dall’attributo isMemberOfPartialAttributeSet.

Se questo parametro è impostato true l’attributo è incluso nel global catalog.

Utilizzando lo snap-in Active Directory Schema è possibile specificare gli attributi che devono essere aggiunti nel global catalog.

Introduzione ai Criteri di Gruppo

Criteri di gruppo (Group Policy in inglese) permette di gestire in modo semplificato le impostazioni relative a computer e utenti.
Utilizzando Criteri di gruppo è possibile modificare delle configurazioni relative ai computer in modo centralizzato senza la necessità di accedere a tutti i computer.

Possono essere distinti due gruppi di impostazioni in Criteri di gruppo

Computer Configuration (Configurazione computer) comprende le impostazioni che vengono applicate ai computer.

User Configuration (Configurazione utente) comprende le impostazioni che vengono applicate agli utenti.

L’applicazione iniziale di queste impostazioni si verifica nel modo seguente.
Quando il computer viene avviato, vengono applicate le impostazioni relative a cofigurazione computer e nel file %AllUsersProfile%Ntuser.pol viene registrato l’elenco di settaggi relativi al registro che sono stati applicati.

Quando un utente accede al computer vengono applicate le impostazioni relative a configurazione utente e nel file %UserProfile%Ntuser.pol viene registrato l’elenco di settaggi relativi al registro che sono stati applicati.

Di default le configurazioni relative all’utente hanno la precedenza su quelle relative al computer perchè vengono applicate dopo, quindi se esiste un conflitto le impostazioni relative all’utente vengono applicate

Dopo che sono state applicate, le impostazioni vengono aggiornate periodicamente.
Di default sui domain controller le impostazioni vengono aggiornate ogni cinque minuti mentre sugli altri server e sui client l’aggiornamento avviene in un periodo di tempo compreso tra 90 e 120 minuti.
Questo periodo di tempo è dovuto al fatto che l’intervallo di aggiornamento per gli altri server e i client è di 90 minuti ma viene aggiunto un ulteriore intervallo che può essere fino a 30 minuti per evitare che i domain controller ricevano troppe richieste di aggiornamento contemporaneamente.
Inoltre le impostazioni vengono aggiornate ogni 16 ore indipendentemente dal fatto che siano state fatte delle modifiche.