domenica 23 luglio 2023

Windows Server 2022: Preparazione alla creazione di un dominio

Una fase importante nella creazione di un dominio che viene spesso ignorata o trascurata (a dire il vero capita anche per le altre attività) è la pianificazione. Dedicare del tempo per pianificare in anticipo l'installazione e la configurazione di un dominio potrà sembrare una perdita di tempo ma si rivelerà fondamentale per ottenere un risultato migliore e agevolare modifiche future o ulteriori implementazioni. In questo modo si evita anche di dover reinstallare/riconfigurare il tutto a causa di una configurazione errata o non adeguata alle proprie esigenze.

Per iniziare, è fondamentale definire con chiarezza quali sono gli obiettivi e le azioni che si desidera intraprendere: Aggiungere un nuovo controller di dominio ad un'infrastruttura già esistente o creare da zero l'infrastruttura Active Directory.

Aggiungere un nuovo controller di dominio ad un'infrastruttura già esistente

In questo caso ci ritroveremo dinanzi ad un ambiente Active Directory esistente ed è fondamentale verificare quanto segue:
  • Capire se il controller di dominio che andremo ad aggiungere dovrà ospitare uno o più ruoli FSMO e, in caso affermativo, individuare quali.
  • Individuare se il domain controller che stiamo aggiungendo andrà a sostituire uno meno recente o se verrà semplicemente aggiunto all'infrastruttura.
  • Individuare l'attuale livello funzionale della foresta e del dominio.

Creare da zero l'infrastruttura Active Directory

Se stiamo creando da zero la nostra infrastruttura, è necessario:
  • Decidere se l'infrastruttura Active Directory avrà più domini e progettare la sua struttura.
  • Stabilire il tipo si struttura da utilizzare per le UO
La decisione su quanti domini creare dipenderà dalle esigenze specifiche dell'organizzazione. La scelta tra un singolo dominio o una struttura multi-dominio può essere influenzata da fattori come la dimensione dell'organizzazione, la geografia, le politiche di sicurezza e la complessità delle relazioni aziendali.

Un singolo dominio può essere adeguato per organizzazioni di piccole o medie dimensioni con una struttura organizzativa semplice e requisiti di sicurezza relativamente lineari. In questo caso, tutti gli utenti, i gruppi e gli oggetti di dominio sarebbero inclusi nello stesso dominio, semplificando la gestione e l'amministrazione.

Tuttavia, per organizzazioni più grandi o complesse, potrebbe essere preferibile una struttura multi-dominio. Ciò consente di suddividere l'organizzazione in domini più piccoli, in modo da ottenere una maggiore flessibilità nella gestione, nella delega delle autorizzazioni e nell'isolamento dei problemi. Ad esempio, si potrebbero creare domini separati per le diverse unità aziendali, le filiali geografiche o i team specifici. Ogni dominio avrebbe il proprio set di controlli di sicurezza e di amministrazione indipendente.

Per quanto riguarda la struttura delle Unità Organizzative (OU), dipenderà dalle esigenze dell'organizzazione e dalla logica di organizzazione dei suoi oggetti di dominio. Le OU sono contenitori logici all'interno di un dominio che consentono di organizzare e gestire gli oggetti di dominio in modo gerarchico. La struttura delle OU dovrebbe essere progettata in base alle esigenze di gestione, amministrazione e delega delle autorizzazioni.

Un'approccio comune consiste nell'organizzare le OU in modo che riflettano la struttura organizzativa dell'azienda. Ad esempio, si potrebbero creare OU per i dipartimenti, le funzioni aziendali o le sedi geografiche. All'interno di queste OU principali, potrebbero essere create ulteriori OU per suddividere gli oggetti di dominio in base a criteri specifici, come i gruppi di utenti, i ruoli o le posizioni.



Una volta pianificata la struttura di Active Directory è possibile proseguire nella creazione del Domain Controller ma non prima di aver installato Windows Server 2022 e tutti gli aggiornamenti del sistema operativo, in particolare quelli di sicurezza, e aver valutato l'installazione di un buon antivirus aggiornato. 


Livelli funzionali

I livelli funzionali sono utilizzati per indicare ai controller di dominio quali funzioni possono essere abilitate a livello di foresta o di dominio. Con ogni nuova versione di Active Directory, vengono aggiunte nuove funzionalità. Se si sta creando una nuova installazione di Active Directory, è opportuno utilizzare il livello funzionale più alto disponibile. I livelli funzionali possono impedire a un server di diventare un controller di dominio se il suo livello funzionale è troppo basso. I livelli funzionali possono essere impostati a livello di foresta o di dominio. I domini possono funzionare con un livello funzionale superiore a quello della foresta in cui si trovano, ma non possono funzionare con un livello funzionale inferiore a quello della foresta.
Quando si aumenta il livello funzionale, non è possibile aggiungere controller di dominio impostati su un livello funzionale inferiore. È importante notare che il livello funzionale del dominio può essere uguale o superiore al livello funzionale della foresta, ma non può essere inferiore.

Nei sistemi operativi server più vecchi, l'aumento del livello funzionale era un'operazione una tantum. Non c'era un modo semplice per annullare la modifica se questa causava problemi. Oggi non è più così. È possibile tornare a una versione precedente con PowerShell, a condizione che il rollback sia supportato e che non sia stata attivata nessuna delle nuove funzionalità che richiedono il nuovo livello funzionale. Se sono state abilitate, è necessario disabilitarle prima di poter eseguire il rollback.



Rolling back del livello funzionale della foresta

Per impostare il livello funzionale della foresta (o eseguire il rollback) da PowerSHell si utilizza il cmdlet Set-AdForestMode
Set-ADForestMode –ForestMode <livello_funzionale_desiderato>
I valori accettati per il parametro ForestMode sono
  • Windows2000Forest o 0 (Windows Server 2000)
  • Windows2003InterimForest o 1 (Windows Server 2003 Interim Forest)
  • Windows2003Forest o 2 (Windows Server 2003)
  • Windows2008Forest o 3 (Windows Server 2008)
  • Windows2008R2Forest o 4 (Windows Server 2008 R2)
  • Windows2012Forest o 5 (Windows Server 2012)
  • Windows2012R2Forest o 6 (Windows Server 2012 R2)
  • Windows2016Forest o 7 (Windows Server 2016)


Rolling back del livello funzionale del dominio

Per impostare il livello funzionale del dominio (o eseguire il rollback) da PowerSHell si utilizza il cmdlet Set-ADDomainMode
Set-ADDomainMode –DomainMode <livello_funzionale_desiderato>
I valori accettati per il parametro ForestMode sono
  • Windows2000Domain o 0 (Windows Server 2000)
  • Windows2003InterimDomain o 1 (Windows Server 2003 Interim Domain)
  • Windows2003Domain o 2 (Windows Server 2003)
  • Windows2008Domain o 3 (Windows Server 2008)
  • Windows2008R2Domain o 4 (Windows Server 2008 R2)
  • Windows2012Domain o 5 (Windows Server 2012)
  • Windows2012R2Domain o 6 (Windows Server 2012 R2)
  • Windows2016Domain o 7 (Windows Server 2016)



Livello funzionale della foresta

Per aumentare il livello funzionale della foresta, è necessario essere membri del gruppo Enterprise Admin. È necessario aumentare il livello funzionale della foresta dal controller di dominio che gestisce il ruolo Schema Master. Non è possibile farlo dagli altri controller di dominio.
Per verificare il livello funzionale attuale della foresta, aprire PowerShell ed eseguire il comando
Get-ADForest

Livello funzionale Foresta
FIG 1 - Livello funzionale Foresta


Livello funzionale del dominio

Per aumentare il livello funzionale del dominio, è necessario essere membri del gruppo Domain Admin. È necessario aumentare il livello funzionale del dominio sul controller di dominio che esegue il ruolo PDC Emulator. Non è possibile farlo dagli altri controller di dominio.
Per verificare il livello funzionale di dominio attuale, aprire PowerShell ed eseguire il comando
Get-ADDomain

Livello funzionale Dominio
FIG 2 - Livello funzionale Dominio




Nessun commento:

Posta un commento

I messaggi sono soggetti a moderazione da parte dell'amministratore prima della loro pubblicazione.