Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseeBook
Tutorial di Active Directory per Principianti

Tutorial di Active Directory per Principianti

In questo tutorial di Active Directory per principianti, vi mostreremo come installare, come configurare e come utilizzare Active Directory. Potete anche ottenere questo eBook in formato PDF su Active Directory fornendo il vostro indirizzo email e il tutorial su AD vi sarà inviato via email.

Cos'è Active Directory?

Iniziamo questo tutorial su Active Directory definendo cos'è esattamente Active Directory. Microsoft Active Directory (AD) è un componente fondamentale del sistema operativo Server. Si tratta di una directory (database) e di un insieme di servizi che consentono l'accesso sicuro alle risorse in un ambiente Windows in rete. Altri tipi di ambienti utilizzano diversi servizi di directory; per esempio, OpenLDAP viene utilizzato in vari ambienti Unix/Linux.


Vantaggi di Active Directory

Active Directory offre una vasta gamma di vantaggi per organizzazioni di tutte le dimensioni, quindi è un componente fondamentale di molte infrastrutture IT. Di seguito sono elencati alcuni dei principali vantaggi dell'uso di Active Directory:

  • Active Directory fornisce servizi centralizzati di autenticazione e autorizzazione che consentono agli utenti di accedere alla rete e utilizzare le risorse per cui gli amministratori hanno concesso loro i permessi di accesso.
  • Active Directory supporta il single sign-on (SSO), che consente agli utenti di accedere a molteplici risorse nella rete senza dover effettuare l'accesso separatamente per ogni risorsa.
  • AD include Group Policy, che consente agli amministratori di definire e applicare impostazioni di sicurezza, configurazioni e politiche su più computer e utenti all'interno della rete.
  • Active Directory funge da repository centrale per la gestione delle risorse di rete come utenti, gruppi, computer, stampanti e dispositivi di rete.
  • AD memorizza informazioni sugli oggetti di rete come utenti, gruppi, computer e stampanti in un database gerarchico strutturato.
  • Active Directory offre funzionalità di sicurezza come la crittografia, i controlli di accesso e l'auditing per proteggere le informazioni sensibili e garantire la conformità agli standard di sicurezza.
  • Active Directory è progettato per scalare con la crescita di un'organizzazione, supportando migliaia o addirittura milioni di utenti, computer, gruppi e altri oggetti all'interno di una singola directory.
  • Active Directory si integra perfettamente con altri prodotti e servizi Microsoft, come Microsoft Exchange Server, SharePoint, Microsoft 365 (precedentemente Office 365) e i servizi Azure, fornendo una soluzione unificata di gestione delle identità e degli accessi nell'ecosistema Microsoft.


Cosa fa Active Directory?

I servizi che AD fornisce o supporta includono:

  • Autenticazione — Active Directory fornisce l'autenticazione, che è il processo di verifica che gli utenti siano chi affermano di essere. Active Directory supporta il single sign-on, consentendo agli utenti di autenticarsi una volta e poi accedere a molteplici risorse attraverso la rete.
  • Autorizzazione — Active Directory gestisce anche l'autorizzazione, che è il processo di determinare se consentire a un utente di accedere alle risorse richieste utilizzando criteri come i loro ruoli e l'appartenenza a gruppi di sicurezza.
  • Gestione delle risorse — Active Directory funge da repository centrale per la gestione delle risorse di rete come computer, server, stampanti e dispositivi di rete. Consente agli amministratori di organizzare queste risorse in raggruppamenti logici, facilitando la gestione e l'allocazione delle risorse all'interno della rete.
  • Group Policy — AD include Group Policy, che consente agli amministratori di definire e applicare politiche di sicurezza, impostazioni e configurazioni su più computer e utenti all'interno della rete. Questo garantisce coerenza nelle configurazioni e aiuta a far rispettare gli standard di sicurezza.
  • I servizi di directory — Active Directory memorizza informazioni sugli oggetti di rete come utenti, gruppi, computer e stampanti in un database gerarchico strutturato chiamato directory. Questo servizio di directory fornisce un modo scalabile ed efficiente per organizzare e accedere alle informazioni sulle risorse di rete.
  • LDAP — Active Directory supporta il Lightweight Directory Access Protocol (LDAP), che fornisce un metodo standard per accedere e interrogare i dati di directory. LDAP consente alle applicazioni e ai servizi di interagire con la directory per autenticazione, recupero informazioni e altri scopi.
  • DNS — Active Directory si integra con il Domain Name System (DNS) per fornire servizi di risoluzione dei nomi all'interno della rete. DNS consente agli utenti e ai computer di localizzare i controller di dominio e altre risorse di rete utilizzando nomi comprensibili (come i nomi host) piuttosto che indirizzi IP.
  • Le relazioni di fiducia — Active Directory supporta le relazioni di fiducia tra domini per consentire agli utenti e alle risorse di un dominio di accedere alle risorse di un altro dominio. Le relazioni di fiducia sono automaticamente stabilite tra tutti i domini in una foresta, il che permette agli utenti di accedere senza problemi alle risorse attraverso i domini. Gli amministratori possono anche stabilire fiducie esterne per consentire agli utenti di un dominio Active Directory di accedere alle risorse in un altro dominio in una foresta diversa. Le fiducie possono essere unidirezionali o bidirezionali. Con una fiducia unidirezionale, gli utenti di un dominio possono accedere alle risorse in un altro dominio, ma il contrario non è vero. In una fiducia bidirezionale, gli utenti di entrambi i domini possono accedere alle risorse nell'altro dominio. Ad esempio, una fiducia esterna bidirezionale potrebbe essere stabilita tra organizzazioni partner per facilitare la collaborazione. Entrambi i tipi di fiducie possono essere transitivi o non transitivi. Una fiducia non transitiva è limitata ai domini specifici coinvolti. Una fiducia transitiva consente l'accesso alle risorse in altri domini fidati nella stessa foresta. Ad esempio, supponiamo che ci sia una fiducia transitiva tra il Dominio A e il Dominio B. Se il Dominio B si fida del Dominio C, allora anche il Dominio A si fida del Dominio C.
  • La replica — Active Directory utilizza la replica multi-master per garantire che i dati della directory siano sincronizzati su tutti i controller di dominio all'interno del dominio. La replica assicura la coerenza dei dati e la tolleranza ai guasti, consentendo agli utenti di accedere alle informazioni della directory anche se alcuni controller di dominio non sono disponibili.

Struttura di Active Directory

Active Directory ha una struttura gerarchica con i seguenti componenti:

  • Foresta — La foresta è il contenitore di livello più alto in Active Directory ed è un confine di sicurezza. Contiene uno o più domini, che condividono tutti uno schema comune, configurazioni e catalogo globale. Il primo dominio creato nella foresta è il dominio radice della foresta; i domini aggiunti successivamente alla foresta sono chiamati domini figli. Le organizzazioni tipicamente hanno una singola foresta, ma possono averne di più.
  • Albero — Un albero è una struttura gerarchica all'interno di una foresta AD che consiste di uno o più domini disposti in uno spazio dei nomi contiguo. Il dominio radice dell'albero è il primo dominio creato all'interno dell'albero. I sottodomini creati sotto il dominio radice sono chiamati domini figli, e ulteriori domini figli possono essere creati sotto questi domini figli, formando una struttura ad albero gerarchica. I domini all'interno dello stesso albero condividono uno spazio dei nomi contiguo e sono connessi da relazioni di fiducia transitiva, permettendo agli utenti e alle risorse di accedere a risorse attraverso i domini all'interno dello stesso albero.
  • Dominio — Un dominio è un gruppo di utenti, computer e altri oggetti che sono memorizzati in un unico database di Active Directory e possono essere gestiti insieme. Ogni dominio ha le proprie politiche di sicurezza, relazioni di fiducia e controller di dominio. Ad esempio, un'organizzazione potrebbe avere un dominio per ciascuna delle sue sedi, gestito dal team IT locale.
  • Unità organizzativa (OU) — Le unità organizzative sono contenitori all'interno di un dominio che vengono utilizzati per organizzare e gestire sottoinsiemi di oggetti AD in quel dominio. Ad esempio, il dominio per la filiale di San Francisco di un'azienda potrebbe avere OU per ogni dipartimento lì, come Vendite e Finanza.
  • Oggetto AD — Gli oggetti di Active Directory includono account utente, account computer e gruppi di sicurezza e distribuzione. Ogni oggetto AD possiede un insieme di attributi. Ad esempio, gli attributi di un account utente includono il suo nome utente, password, informazioni di contatto, ruoli e gruppi.


Controller di dominio Active Directory

Ogni dominio ha uno o più controller di dominio. I DC sono i server che memorizzano il database di Active Directory e forniscono servizi di directory come autenticazione e autorizzazione. Tutti i controller di dominio eseguono il sistema operativo Windows Server.
Se un dominio ha più DC, le modifiche al database AD su un DC vengono replicate sugli altri. Questa ridondanza fornisce tolleranza ai guasti nel caso in cui un DC incontri problemi.

Come configurare un Domain Controller

Per creare un controller di dominio, è necessario eseguire due passaggi:

  • Installare il ruolo Active Directory Domain Services (AD DS) su una macchina Windows Server.
  • Promuovi il server a controller di dominio.

I passaggi sono dettagliati di seguito.

Installa il ruolo Active Directory Domain Services su un server Windows

  1. Accedi al server Windows utilizzando un account con privilegi amministrativi. Apri Server Manager facendo clic sull'icona di Server Manager nella barra delle applicazioni o cercando "Server Manager" nel menu Start.
  2. Nel menu in alto, clicca su Gestisci e seleziona Aggiungi Ruoli e Funzionalità.
  3. Nella procedura guidata Aggiungi ruoli e funzionalità, selezionare Installazione basata su ruoli o funzionalità e fare clic su Avanti.
  4. Assicurati che sia selezionato il server corretto e fai clic su Avanti.
  5. Nella pagina “Seleziona ruoli server”, clicca su Active Directory Domain Services. Nella finestra pop-up, clicca su Aggiungi funzionalità.
  6. Nella pagina “Seleziona funzionalità”, non selezionare alcuna funzionalità aggiuntiva. Fai clic su Avanti.
  7. Nella pagina “Active Directory Domain Services”, rivedi le informazioni e fai clic su Avanti.
  8. Rivedi le tue selezioni di installazione e clicca su Installa.
  9. Attendere il completamento del processo di installazione, che potrebbe richiedere alcuni minuti. Quindi fare clic su Chiudi per uscire dalla procedura guidata.

Promuovi il Server a Domain Controller

  1. Quando l'installazione è completata, apparirà una notifica nel Server Manager. Nella notifica clicca su Promuovi questo server a controller di dominio.
  2. La procedura guidata di configurazione dei Servizi di dominio di Active Directory si aprirà. Prima, specifica se desideri aggiungere un controller di dominio a un dominio esistente, aggiungere un nuovo dominio a una foresta esistente o aggiungere una nuova foresta. Per questo esempio, seleziona Aggiungi una nuova foresta, inserisci un nome per il dominio radice e fai clic su Avanti.
  3. Seleziona i livelli funzionali per la foresta e il suo dominio radice, aggiungi funzionalità come DNS e imposta la password della Directory Services Restore Mode (DSRM). Clicca su Avanti per continuare.
  4. Se hai selezionato l'opzione DNS, la pagina “Opzioni DNS” potrebbe visualizzare un avviso. Poiché stiamo creando una nuova foresta, possiamo ignorare tranquillamente questo avviso. Clicca su Avanti per continuare.
  5. L'assistente cercherà nella rete sul dominio e assegnerà un nome di dominio NetBIOS automaticamente. Puoi cambiarlo se necessario. Clicca su Avanti per continuare.
  6. Nella pagina “Percorsi”, specificare la posizione del database AD DS, dei file di log e dei file SYSVOL. È possibile modificare la posizione predefinita fornita. In ambienti di grandi dimensioni, si raccomanda di mantenerli su un'unità separata in modo che possano essere utilizzati per ripristinare Active Directory in caso di corruzione del disco di sistema. Cliccare su Avanti per continuare.
  7. Rivedi il riassunto delle tue selezioni e clicca su Avanti.
  8. L'assistente verificherà che il computer soddisfi i prerequisiti. Una volta visualizzata la conferma che il computer ha superato, clicca su Installa.
  9. Una volta completata l'installazione, il server si riavvierà automaticamente. Dopo il riavvio, il server sarà un controller di dominio con i servizi di dominio di Active Directory installati.
  10. Per verificare che la struttura del dominio sia stata creata, aprire Server Manager, fare clic su Strumenti e cliccare su Active Directory Users and Computers.

Come installare gli Strumenti di Amministrazione Remota del Server (RSAT) per la Directory Management

Per gestire Active Directory, è necessario installare strumenti amministrativi su una macchina client. Per installare RSAT su Windows 11, segui questi passaggi:

  1. Apri Impostazioni, clicca su App nella barra laterale sinistra e poi clicca su Funzionalità opzionali.
  2. Clicca su Visualizza funzionalità.
  3. Cerca “RSAT” (o scorri semplicemente verso il basso) e seleziona la casella accanto a RSAT: Active Directory Domain Services and Lightweight Directory Services Tools. Poi clicca su Avanti.
  4. Fare clic sul pulsante Installa per avviare il processo di installazione.
  5. Attendere il completamento dell'installazione. Questo potrebbe richiedere alcuni minuti. Una volta riavviato il computer, è possibile verificare che RSAT sia stato installato cercando uno degli strumenti RSAT, come Active Directory Users and Computers, dal menu Start.

Eventi di Active Directory da Monitorare

Active Directory offre una funzionalità di registrazione per mantenere la sicurezza, l'integrità e le prestazioni del servizio di directory. Monitorare questi eventi utilizzando uno strumento come Windows Event Viewer ti aiuta a rilevare attività sospette in modo da poter risolvere rapidamente i problemi e rispondere alle violazioni della sicurezza. Di seguito sono riportati alcuni eventi comuni da cercare.

Gestione degli Account Utente

  • Creazione account: Event ID 4720
  • Cancellazione account: Event ID 4726
  • Account abilitato/disabilitato: Event IDs 4722, 4725
  • Cambiamenti/reset della password: ID eventi 4723, 4724, 4725
  • Blocco degli account: Event ID 4740


Gestione dei gruppi

  • Creazione/eliminazione di gruppi: ID eventi 4727, 4731
  • Modifiche all'appartenenza di gruppo: Event IDs 4728, 4729, 4732, 4733.


Replica di Active Directory

  • Successo/fallimento della replica: ID eventi 4928, 4929, 4932, 4933


Operazioni del Domain Controller

  • Avvio/arresto del controller di dominio/sistemi: ID eventi 6005,6006,6008,1074
  • Accesso al servizio di Directory: Event IDs 2889, 2887


Autenticazione e Autorizzazione

  • Accessi riusciti: ID eventi 4624,4648,4768
  • Accessi non riusciti: ID evento 4625
  • Accesso privilegiato: Event IDs 4672


Modifiche al servizio di Directory

  • Modifiche LDAP: Event IDs 5136, 5137, 5138
  • Modifiche allo schema: Event ID 5139

Condividi su

Risorse correlate

Approfondisci con le nostre risorse correlate

Resource Center
eBook

Facilitare la prevenzione della perdita di dati con le soluzioni Netwrix

Prevenzione della perdita di dati
eBook

Distribuire software su Windows: doloroso ma non è necessario che lo sia

Endpoint Management