In informatica Microsoft Active Directory è un insieme di servizi di rete, meglio noti come directory services, adottati dai sistemi operativi Microsoft a partire da Windows 2000 Server e gestiti da uno o più domain controller.
Si fonda sui concetti di dominio e di directory (che in inglese sta a significare “elenco telefonico”), ovvero la modalità con cui vengono assegnate agli utenti tutte le risorse della rete attraverso i concetti di: account utente, account computer, cartelle condivise, stampanti ecc…
secondo l’assegnazione da parte dell’amministratore di sistema di Group Policy (GPO) ovvero criteri di gruppo.
L’insieme dei servizi di rete di Active Directory, ed in particolare il servizio di autenticazione Kerberos, realizzano un’altra delle caratteristiche importanti: il Single Sign-On (SSO), meccanismo tramite il quale un utente, una volta entrato nel dominio ed effettuato quindi il login ad esso da una qualsiasi postazione di dominio, può accedere a risorse disponibili in rete (condivisioni, mailbox, siti intranet ecc.) senza dover effettuare nuovamente l’autenticazione. Questo facilita di molto la gestione degli utenti e la vita di questi ultimi a differenza di quanto accade nelle reti peer to peer.
Active Directory è il framework di riferimento, nel mondo della tecnologia IT, per la gestione di un dominio. Si tratta del nome utilizzato da Microsoft per riferirsi alla sua implementazione della sicurezza in una rete distribuita di computer. Utilizza vari protocolli (principalmente LDAP, DNS, DHCP, Kerberos…). In Active Directory LDAP viene usato come una base di dati che memorizza in forma centralizzata tutte le informazioni di un dominio di rete, relativamente ad autenticazioni ed accesso ai servizi, col vantaggio di mantenere tutte queste informazioni sincronizzate tra i vari server di autenticazione di accesso alla rete.
Le reti Active Directory possono variare da una singola installazione con poche centinaia di oggetti a grandi installazioni con milioni di oggetti. Diversamente dai vecchi sistemi di gestione account e server come User manager for domain e Server manager for domain, AD include in un unico sistema di monitoraggio tutti gli oggetti del dominio: risorse (es. stampanti), servizi (es. email) e utenti (account utenti e gruppi). AD fornisce informazioni sugli oggetti, li organizza, controlla gli accessi e imposta le security.
Dalla versione Windows Server 2008r2 Active Directory fu ribattezzata in Active Directory Domain Services.
Struttura di Active Directory
Oggetti
Active Directory è un raggruppamento logico di utenti e computer in un dominio, gestito centralmente da server detti Domain Controllers. Una struttura ‘Active Directory’ è un framework gerarchico di oggetti. Gli oggetti cadono in tre ampie categorie: le risorse (es.: stampanti), i servizi (es: email) e gli utenti (account utente e gruppi).
AD fornisce informazioni sugli oggetti, li organizza, controlla l’accesso e ne imposta la sicurezza. Ciascun oggetto rappresenta una singola entità – magari un utente, un computer, una stampante oppure un gruppo – e i suoi attributi. Alcuni oggetti possono anche essere contenitori di altri oggetti. Un oggetto è identificato univocamente dal suo nome e ha un insieme di attributi — le caratteristiche e l’informazione che l’oggetto può contenere — definiti da uno schema, che determina anche il tipo di oggetti che possono essere immagazzinati in Active Directory. Ciascun oggetto attributo può essere utilizzato in differenti classi d’oggetto di uno schema.
L’oggetto schema esiste per permettere allo schema di essere esteso o modificato quando necessario. Comunque, poiché ogni oggetto schema è esso stesso parte della definizione degli oggetti Active Directory, la disattivazione o la modifica dell’oggetto schema può avere serie conseguenze poiché modificherà in maniera fondamentale la struttura di Active Directory stesso. Un oggetto schema, se modificato, si propagherà automaticamente attraverso Active Directory, e una volta creato potrà soltanto essere disattivato — non cancellato. La modifica di uno schema richiede normalmente una significativa attività di pianificazione.
Siti
Un oggetto Sito (o Site in inglese)in Active Directory rappresenta una locazione geografica fisica che ospita reti.
I Siti contengono oggetti Sottoreti (Subnet. I Siti possono essere usati per assegnare Group Policy ma soprattutto per semplificare l’individuazione delle risorse e dei domain controller più vicini a livello di rete, gestire la replica di active directory tra domain controllers e gestire il traffico di collegamento alla rete. I Siti possono essere collegati ad altri. Agli oggetti di un sito collegato possono essere assegnati costi che rappresentano la velocità, affidabilità, disponibilità o altre proprietà reali di una risorsa fisica, ai Collegamenti ai Siti (Site link) può essere anche assegnata una pianificazione.
Domini, alberi e foreste
La struttura di Active Directory (AD) può essere suddivisa logicamente in tre diverse entità: i domini, gli alberi e le foreste.
Un dominio rappresenta un insieme di macchine connesse fra di loro e che condividono un directory database comune, in cui sono inseriti gli oggetti. I domini sono identificati in base alla struttura del loro nome DNS, il namespace. Un albero è l’insieme di uno o più domini che condividono uno spazio di nomi contiguo. Tali domini sono collegati fra loro in modo gerarchico e i diversi controllori di dominio possono scambiarsi informazioni reciprocamente in quella che viene definita una relazione di fiducia transitiva (trust relationship).
Al livello più alto della struttura viene definita la foresta, ovvero l’insieme di alberi presenti nella directory. Questi alberi condividono fra loro un catalogo globale, uno schema di directory, una struttura logica ed una configurazione. La foresta rappresenta perciò l’area in cui utenti, computer, gruppi ed altri oggetti sono accessibili.
Unità organizzative
Gli oggetti Active Directory presenti all’interno di un dominio possono essere raggruppati fra loro in unità organizzative (Organizational Units – OUs).
Utilizzando queste strutture è possibile formare una gerarchia all’interno del dominio e facilitarne così l’amministrazione, ad esempio suddividendo la struttura in termini geografici. Le unità organizzative sono il livello raccomandato per realizzare politiche di gestione delle policy (GPO), e per la delega di poteri amministrativi. Le unità organizzative rappresentano in ogni caso una semplice astrazione realizzabile per scopi amministrativi e non forniscono perciò un contenitore fisico di oggetti. In questo contesto non è possibile definire ad esempio un account utente con lo stesso nome in due unità organizzative appartenenti allo stesso dominio, poiché la visibilità effettiva è sempre limitata al dominio prescelto e non alle unità organizzative in esso contenute.