Reti Windows

Windows offre 3 modi per organizzare e gestire i dispositivi di rete HomeGroup, WorkGroup e Gruppo di Dominio

Architettura P2P - Reti paritetiche

HomeGroup

Un Home Group (Gruppo domestico) è una funzione, di Windows, che permette di collegare in maniera semplice tutti i computer domestici. Permettendo agli utenti di accedere ai dati presenti su tutti i computer come se risiedessero sulla propria macchina. Dopo aver impostato il primo computer in modo da utilizzare HomeGroup come Home Network (Rete domestica), è possibile creare un gruppo domestico. Gli utenti successivi potranno quindi partecipare all’HomeGroup creato. Per la partecipazione al gruppo creato sarà necessaria una password da inserire nel proprio PC. Realizzando una sorta di login condiviso tra i vari PC, non necessita di amministratori o altro. Questa funzione è disponibile solo tra computer che eseguono Windows 7, 8 o 10. Qualora un computer esegua una versione di Windows precedente alla versione 7, il computer non sarà in grado di creare o partecipare a un HomeGroup. Il Gruppo Home è stato rimosso dagli ultimi aggiornamenti di Windows 10. Il gruppo Home si basa sullo scambio di una singola password (che può essere anche vuota), rendendolo molto insicuro.

WorkGroup

Ogni computer ha, al proprio interno, gli utenti (username e password) e i dati. è possibile accedere ai dati di altri computer conoscendo l’username e la password di un utente su quel computer, in quanto su ogni PC c’è un elenco di utenti e computer e quindi tutti gli utente e le password sono locali. Se l’utente necessita di cambiare la password essa è da modificare un tutti i PC. Non esiste un’archivio centralizzato, né una lista degli utenti condivisa. Un PC per poter funzionare all’interno di un WorkGroup deve avere un IP diverso, un nome del Computer diverso e lo stesso nome del WorkGroup. Viene utilizzata in ambiti SOHO (small office - home office), con meno di 10 utenti e/o PC.

Architettura Client/Server

Nessuno ci vieta di configurare tramite un’architettura a WorkGroup una rete Client/Server: +Prova pratica 1: Utilizzo dei Workgroup in Windows con emulazione Client Server Ma questo utilizzo ha numerosi problemi di sicurezza, per questo è consigliato l’uso di una vera architettura Client/Server. L’architettura Client/Server di Windows è complessa in quanto permette numerose personalizzazioni e differenze di impostazioni. I servizi di Windows che rendono possibile tutto ciò vengono detti “Active Directory”. L’Active Directory è un servizio di AAA oltre che un ruolo dei S.O. Windows Server, basato sull'esistenza di un database di oggetti che gestisce con i suoi servizi l’intera organizzazione in maniera centralizzata, esso è quindi un sistema di controllo, gestione ed autenticazione degli utenti e del loro relativo spazio di archiviazione, dove c’è un server ed dei client. Gestisce anche risorse condivise e computer.

Esso organizza la rete in modo logico in base ad oggetti. Memorizza le informazioni della rete in cartelle protette dei domain controller. La suddetta gestione si basa su alcune entità:

  • Dominio: rappresenta un insieme di macchine connesse fra di loro e che condividono un directory database comune, in cui sono inseriti gli oggetti. I domini sono identificati in base alla struttura del loro nome DNS, il namespace. L’insieme di PC e server collegati condivide il SAM (database Accounts Manager)
  • Domain controller: esso è un server che gestisce le richieste di autenticazione per la sicurezza (login, controllo dei permessi, ecc.) e organizza la struttura del dominio in termini di utenti, gruppi e risorse di rete. Solo nei Domain Controller vengono installati i servizi di Active Directory.

  • Albero: i vari domini possono condividere una parte della struttura del nome DNS. L'insieme di uno o più domini che condividono uno spazio di nomi contiguo. Tali domini sono collegati fra loro in modo gerarchico e i diversi controllori di dominio possono scambiarsi informazioni reciprocamente in quella che viene definita una relazione di fiducia transitiva (transitive trust relationship).

  • Foresta: è l'insieme di alberi presenti nella directory. Questi alberi condividono fra loro un catalogo globale, uno schema di directory, una struttura logica ed una configurazione. La foresta rappresenta perciò l'area in cui utenti, computer, gruppi ed altri oggetti sono accessibili. In una foresta composta da più domini, il server che esegue il dominio su cui è stata installata la struttura di AD principale (ovvero quella di più alto livello) viene chiamato controller di dominio primario.

    • Gruppo di alberi logicamente connessi attraverso una relazione di transitive trust
    • Ogni albero nella foresta possiede un namespace distinto

In una struttura a foresta ci sono almeno due domini non hanno un hanno un genitore in comune. Inoltre è richiesto un servizio DNS per ogni root domain.

Per una maggiore separazione è possibile utilizzare le foreste per separare unità logiche diverse all’interno della struttura.

L’Active Directory funziona grazie agli utenti ed i computer. Gli utenti possono essere organizzati in gruppi. Gli oggetti sono organizzati all'interno di Domini e Unità organizzative (OU). Domini, OU, computer, user e group sono memorizzati in uno schema logico, gestito dal servizio di Directory dei domain controller.

L’organizzazione tramite Gruppi è diversa da quella di sottodomini in quanto nello schema con più domini, sono necessari almeno cinque Domain Controller (e quindi 5 server) uno per ogni dominio (bortoperilsociale.edu, uffici più tre laboratori), mentre nello schema con OU il server della rete è unico (un solo dominio).

L’Active Directory quindi è un libro mastro contenete utenti e computer e risorse condivise.

Composizione di un rete con AD:

  • Domain Controller Server Windows con l'AD installato
  • Member Server (server membro): è un computer Windows Server che svolge uno oppure più servizi dedicati (File server, Print server, Application server, RAS server, Web Server, ecc.).
  • Client: è un computer con un sistema operativo desktop che utilizza i servizi presenti nel dominio.

Come qualunque tipo di database, Active Directory necessita di un protocollo, un linguaggio che consenta al generico client d’interrogarlo o modificarne il contenuto. Il protocollo LDAP (Lightweight Directory Access Protocol) è unostandard aperto per l’erogazione di servizi di directory tramite una re-te Intranet o Internet. è basato sullo standard X.500 e sul protocollo TCP/IP e rappresenta un’evoluzione del protocollo DAP.

In un server l’amministratore deve sempre controllare, pianificare, configurare e controllare:

  • Account;
  • Password;
  • Sicurezza della rete;
  • Licenze;
  • Dare un nome al computer;
  • Crearsi schemi logici e fisici della suddetta rete.

Gli utenti

Le credenziali principali di uno user sono:

  • Nome utente
  • Password (parola riservata di accesso)
  • Nome del dominio (in cui l’utente dispone di uno user account).

Active Directory ha 4 tipi di utenti:

  • Profilo utente locale (Local user profile)- Creato alla prima autenticazione dell'utente sul computer, il profilo utente locale è memorizzato sull'hard disk del computer. Ogni modifica del profilo locale viene riportata solo ed esclusivamente sull'hard disk del computer su cui si è autenticato l'utente. Se l'utente si sposta su un altro computer, su quest'ultimo verrà creato un nuovo profilo non correlato a quello presente sul computer su cui si era precedentemente autenticato.
  • Profilo utente comune o volante (Roaming user profile) - Una copia del profilo locale viene copiata e memorizzata su una cartella condivisa sul server. È proprio il profilo memorizzato sul server che viene scaricato sul computer su cui si autentica l'utente, quale che sia il computer stesso: ogni modifica fatta sul profilo comune viene riportata sulla cartella condivisa sul server durante la disconnessione dell'utente. In altri termini, indipendentemente dal computer su cui l'utente si valida, egli ritrova l'ambiente così come l'aveva lasciato l'ultima volta che si era disconnesso: si può anche dire che il profilo segue l'utente che si sposta da un computer all'altro. I profili roaming sono incompatibili tra le varie versioni del S.O. E per questo ci sono vari suffissi da mettere (tipo V2, V3, V5, V5 e V6)
  • Profilo utente bloccato (Mandatory user profile)- È un tipo di profilo che gli amministratori usano per specificare impostazioni particolari per gli utenti. Solo gli amministratori di sistema possono effettuare modifiche ai profili bloccati, che vengono poi effettivamente scritte sull'hard disk. Per contro, le modifiche al profilo effettuate dall'utente vengono perse quando l'utente si disconnette: alla prossima autenticazione, l'utente non ritroverà l'ambiente che aveva lasciato alla disconnessione ma quello che aveva trovato al momento della precedente autenticazione. In altri termini, ad ogni autenticazione l'utente ritrova sempre lo stesso profilo e le modifiche da lui fatte valgono solo per quella sessione, ma esse non vengono scritte sull'hard disk.
  • Profilo utente temporaneo (Temporary User Profile) - Un profilo temporaneo viene creato ogni volta che un utente si connette ma un errore impedisce che il suo profilo venga caricato. I profili temporanei vengono cancellati alla fine della sessione: le modifiche fatte dall'utente si perdono quindi alla disconnessione.

Gestione permessi

Windows Server offre due possibilità per gestire gli utenti AGDLP e AGUDLP. Sono strategie basate sui ruoli per la gestione flessibile delle risorse attraverso i gruppi. noi utilizziamo AGDLP. Troviamo:

  • Domain local groups: hanno validità solo all’interno del dominio, e ad essi si può consentire l’accesso solo a risorse dello stesso dominio. Vengono utilizzati per assegnare le risorse, e sono divisi in base a ciò che possono fare.
  • Global groups: i membri possono essere inseriti solo se appartengono al dominio in cui il gruppo globale è definito, ma possono essere assegnati permessi di accesso alle risorse di tutta la foresta. Vengono utilizzati per definire ciò che sono e non quello che possono fare.

Schema

Definisce il tipo, l’organizzazione e la struttura degli oggetti contenuti nel database di Active Directory

  • È condiviso tra tutti i domain controller di una foresta
  • È suddiviso in:
    • Classi – tipi di oggetti memorizzati nell’Active Directory (es. utenti, computer, ..)
    • Attributi – informazioni memorizzate per ogni oggetto (es. nome, cognome, ..)

results matching ""

    No results matching ""