Qual è la differenza tra un controller di dominio e Active Directory?
Active Directory è il servizio di directory di Microsoft per le reti di dominio Windows. Quando è stato introdotto in Windows 2000 Server, Active Directory è stato utilizzato esclusivamente per gestire la gestione centralizzata del dominio. Tuttavia, con l’avvento di Windows Server 2008, Active Directory è stata trasformata in una suite di servizi di directory, di cui il controller di dominio è solo uno., Altre funzioni di Active Directory includono servizi di directory leggeri, servizi di certificato (per l’infrastruttura di crittografia a chiave pubblica), servizi di federazione (per single sign-on) e Servizi di gestione dei diritti (per la gestione dei diritti di informazione, che controlla l’accesso a dati particolari).
In questo schema, il server che esegue Active Directory è noto come controller di dominio. Un’istanza di Active Directory include sia un database che un codice eseguibile (chiamato Directory System Agent) per l’esecuzione del database e la manutenzione delle richieste degli utenti., Il database è strutturato utilizzando oggetti, organizzati in tre livelli: foreste, alberi e domini.
I controller di dominio Active Directory utilizzano i trust per concedere agli utenti di un dominio l’accesso ad altri. I trust esistono nella foresta del database, che viene creata automaticamente ogni volta che viene creato un dominio., I tipi di fiducia includono un trust unidirezionale (in cui gli utenti di un dominio ha accesso a un altro dominio, ma non viceversa), un trust bidirezionale (dove due domini sono consentiti l’accesso ad ogni altro), un trust transitivo (che può estendersi oltre due domini), un trust esplicito (creato da un amministratore di sistema), un trust (che si applica a un’intera foresta), e un esterno di fiducia (che consente la connessione ai non domini di Active Directory).
Un controller di dominio Active Directory consente agli amministratori di sistema di impostare criteri per garantire un’adeguata complessità delle password., Per motivi di sicurezza, una password di Active Directory non può contenere il nome utente o il nome completo dell’utente. Inoltre, Microsoft consente di richiedere che una password includa caratteri di determinate categorie come lettere maiuscole, lettere minuscole, numeri, simboli (ad esempio,#%%) e Unicode.
Active Directory consente anche di impostare una lunghezza minima della password—più lunga è una password, più difficile è decifrare usando tecniche di forza bruta., Per impostazione predefinita, Windows 10 Active Directory richiede una password per avere caratteri da almeno tre delle categorie menzionate in precedenza e per essere non meno di otto caratteri. Queste specifiche producono 218.340.105.584.896 diverse possibilità totali che gli hacker avrebbero bisogno di provare con metodi di forza bruta. Più sensibili sono le informazioni che stai cercando di proteggere, più robusti dovrebbero essere i requisiti della password.
Di quanti controller di dominio hai bisogno?,
Nella loro implementazione originale di Windows, i controller di dominio erano divisi in due categorie: controller di dominio primario e controller di dominio di backup (DC). Un DC primario è il controller di dominio di prima linea che gestisce le richieste di autenticazione dell’utente. Solo un DC primario può essere designato. Secondo le best practice di sicurezza e affidabilità, il server che ospita il DC primario dovrebbe essere dedicato esclusivamente ai servizi di dominio. A causa della sua importanza centrale per la rete, il server DC primario non deve eseguire file, applicazioni o servizi di stampa, il che potrebbe rallentarlo o rischiare di bloccarlo.,
Un controller di dominio di backup esiste come fail-safe nel caso in cui il controller di dominio primario va giù. Ci possono essere più controller di dominio di backup per la ridondanza. Avere un DC di backup dedicato è una saggia precauzione. Se il DC primario fallisce e non c’è alcun backup, gli utenti non saranno in grado di accedere alla rete. Quando un utente tenta di accedere, il software contatta il DC primario. Se il DC primario non è disponibile, contatta il DC di backup. Il backup può essere promosso al ruolo primario nel caso in cui il primario sia permanentemente fuori servizio., Si noti che gli aggiornamenti del dominio (ad esempio utenti aggiuntivi, nuove password o modifiche ai gruppi di utenti) possono essere apportati solo al DC primario. Vengono quindi propagati nei database DC di backup. Questa è una forma della struttura di replica master-slave, con il DC primario che è il master e il DCS secondario che è lo slave.
Al giorno d’oggi, tuttavia, l’architettura del controller di dominio primario e di backup è stata deprecata. Quando Active Directory è stato introdotto in Windows 2000, è stato progettato con una struttura di replica multimaster., Ciò significa che i privilegi dell’account utente vengono memorizzati in modo ridondante tra un gruppo di controller di dominio e ogni membro del gruppo può aggiornare tutti gli altri. Quando un nuovo utente viene aggiunto a un controller di dominio, ad esempio, multimaster replication invia la modifica agli altri controller. In contrasto con l’architettura master-slave, la replica multimaster offre maggiore affidabilità (il fallimento di un singolo master non è catastrofico), maggiore flessibilità e prestazioni più veloci.,
In sintesi, sia nella sua implementazione primaria / backup originale o nel framework Active Directory di oggi, il controller di dominio rimane una parte critica di una rete contemporanea. Più alto è il numero di controller di dominio che hai, più facile è garantire il tempo di attività per gli utenti che cercano l’accesso alla rete.
Per ulteriori informazioni sui controller di dominio e Active Directory, leggere i nostri articoli di blog correlati.