Active Directory (AD) è il servizio di gestione delle directory e delle identità di Microsoft per le reti di domini Windows. È stato introdotto in Windows 2000, è incluso nella maggior parte dei sistemi operativi MS Windows Server ed è utilizzato da una varietà di soluzioni Microsoft come Exchange Server e SharePoint Server, nonché applicazioni e servizi di terze parti.
AD è costituito da una serie di diversi servizi di directory, tra cui:
- Active Directory Domain Services (AD DS) – il servizio di base di Active Directory utilizzato per gestire utenti e risorse.
- Active Directory Lightweight Directory Services (AD LDS)-una versione a basso sovraccarico di AD DS per applicazioni abilitate alla directory.
- Active Directory Certificate Services (AD CS) – per l’emissione e la gestione di certificati di sicurezza digitali.
- Active Directory Federation Services – AD FS) – per la condivisione delle informazioni di identità e gestione degli accessi tra organizzazioni e aziende.
- Active Directory Rights Management Services (AD RMS – – per la gestione dei diritti di informazione (controllo delle autorizzazioni di accesso a documenti,cartelle di lavoro, presentazioni, ecc.)
Le funzionalità e le funzionalità degli annunci fondamentali includono:
- Uno schema che definisce le classi di oggetti e attributi contenuti nella directory.
- Un catalogo globale che contiene informazioni dettagliate su ogni oggetto nella directory.
- Un meccanismo di query e indice che consente agli utenti, agli amministratori e alle applicazioni di trovare in modo efficiente le informazioni sulla directory.
- Un servizio di replica che diffonde i dati delle directory attraverso la rete.
Lo schema di Active Directory supporta vari tipi di oggetti come Utente, Gruppo, Contatto, Computer, cartella condivisa, stampante e Unità organizzativa, insieme a una serie di attributi descrittivi per ciascun oggetto. Ad esempio, gli attributi dell’oggetto utente includono informazioni come il nome, l’indirizzo e il numero di telefono dell’utente.
Active Directory utilizza altri protocolli di sicurezza e di rete tra cui LDAP (Lightweight Directory Access Protocol), DNS (Domain Name System) e la versione Microsoft del protocollo di autenticazione Kerberos.
Panoramica dei servizi di dominio AD
Active Directory Domain Services è il servizio primario di Active Directory. Viene utilizzato per autenticare gli utenti e controllare l’accesso alle risorse di rete. Un server che esegue AD DS è chiamato controller di dominio. La maggior parte delle reti di dominio Windows dispone di due o più controller di dominio; un controller di dominio primario e uno o più controller di dominio di backup per la resilienza. Durante l’accesso, gli utenti si autenticano a un controller di dominio e hanno accesso a risorse specifiche in base a criteri definiti amministrativamente.
Strutture dati AD
Active Directory memorizza informazioni sugli utenti della rete(nomi, numeri di telefono, password, ecc.) e risorse (server, volumi di archiviazione, stampanti, ecc.) in una struttura gerarchica composta da domini, alberi e foreste.
- Un dominio è una raccolta di oggetti (ad es. utenti, dispositivi) che condividono lo stesso database di Active Directory. Un dominio è identificato da un nome DNS come company.com.
- Un albero è un insieme di uno o più domini con un contiguo spazio dei nomi (che hanno una comune radice DNS nome come marketing.company.com, engineering.company.com e sales.company.com).
- Una foresta è un insieme di uno o più alberi che condividono lo stesso schema, catalogo globale, e la directory di configurazione, ma non sono parte di un contiguo spazio dei nomi. La foresta in genere funge da limite di sicurezza per una rete aziendale.
Gli oggetti all’interno di un dominio possono essere raggruppati in unità organizzative (OU) per semplificare l’amministrazione e la gestione dei criteri. Gli amministratori possono creare unità organizzative arbitrarie per rispecchiare strutture funzionali, geografiche o aziendali e quindi applicare criteri di gruppo a OU per semplificare l’amministrazione. Inoltre, è più semplice delegare il controllo delle risorse a vari amministratori.
Vantaggi AD
Active Directory offre una varietà di vantaggi funzionali e aziendali, tra cui:
- Sicurezza – Active Directory aiuta le aziende a migliorare la sicurezza controllando l’accesso alle risorse di rete.
- Estensibilità-le aziende possono facilmente organizzare i dati di Active Directory per allinearsi con la loro struttura organizzativa e le esigenze aziendali.
- Semplicità: gli amministratori possono gestire centralmente le identità degli utenti e i privilegi di accesso in tutta l’azienda, aiutando le aziende a semplificare la gestione e ridurre le spese operative.
- Resilienza-Active Directory supporta componenti ridondanti e la replica dei dati per consentire elevata disponibilità e business continuity.
Relazione con Azure Active Directory
Azure Active Directory è la soluzione di gestione delle identità basata su cloud di nuova generazione di Microsoft utilizzata per controllare l’accesso a soluzioni SaaS come Microsoft 365 (Office 365), app cloud sviluppate internamente in esecuzione su Azure, nonché applicazioni aziendali tradizionali e altre risorse locali. Aggiunge il supporto per i controlli di accesso just-in-time, l’autenticazione a più fattori e le tecnologie senza password, la gestione nativa dei dispositivi mobili e gli standard di federazione delle identità come SAML e Oauth2, tra le altre funzionalità.
CyberArk Identity si integra con Active Directory e Azure AD e consente di fornire funzionalità di Single Sign-On, autenticazione a più fattori e gestione del ciclo di vita per gli utenti archiviati in queste directory.