Active Directory fornisce sicurezza su più domini attraverso relazioni di trust tra domini. Quando sono presenti relazioni di attendibilità tra domini, il meccanismo di autenticazione per ciascun dominio considera attendibile il meccanismo di autenticazione per tutti gli altri domini attendibili. Se un utente o un’applicazione è autenticato da un dominio, la sua autenticazione viene accettata da tutti gli altri domini che considerano attendibile il dominio di autenticazione.
Gli utenti in un dominio trusted hanno accesso alle risorse nel dominio trusting, soggetti ai controlli di accesso applicati nel dominio trusting.
Nota
“Accesso alle risorse” in qualsiasi discussione sulle relazioni di fiducia presuppone sempre i limiti del controllo dell’accesso. Le relazioni di fiducia consentono agli utenti e ai computer di essere autenticati (verificarne l’identità) da un’autorità di autenticazione. Il controllo dell’accesso consente agli utenti autenticati di utilizzare le risorse (file, cartelle e contenitori virtuali) che sono autorizzati a utilizzare e vieta loro di utilizzare (o addirittura di vedere) risorse che non sono autorizzati a utilizzare. Per ulteriori informazioni sull’autorizzazione delle risorse, vedere “Controllo di accesso” in questo libro.
Fiducia transitiva e non transitiva
In Windows NT 3.51 e Windows NT 4.0, le relazioni di trust devono essere create in modo esplicito in una direzione. Una relazione di fiducia a due vie viene stabilita creando due relazioni di fiducia unidirezionali. I domini possono essere collegati tramite relazioni di fiducia esplicite unidirezionali o bidirezionali allo scopo di consentire l’accesso alle risorse, ma non sono necessariamente correlati in altro modo.
In Windows 2000, i domini possono essere aggiunti a una struttura o a una foresta di domini e ogni dominio figlio dispone di una relazione di trust bidirezionale automatica con il dominio padre. Anche questa relazione di fiducia è transitiva. Trust transitivo significa che la relazione di trust estesa a un dominio viene estesa automaticamente a qualsiasi altro dominio considerato attendibile da quel dominio. L’attendibilità transitiva viene applicata automaticamente a tutti i domini che sono membri della struttura o della foresta di domini. Pertanto, quando viene creato un dominio nipote, la relazione di trust tra i domini padre e figlio viene accettata dal dominio nipote e viceversa. Ad esempio, se un account utente è autenticato dal dominio padre, l’utente ha accesso alle risorse nel dominio nipote. Allo stesso modo, se l’utente è autenticato da un dominio figlio,
L’effetto dell’attendibilità transitiva nei domini Windows 2000 è che esiste una fiducia completa tra tutti i domini in una foresta di Active Directory: ogni dominio ha una relazione di fiducia transitiva con il relativo dominio padre e ogni dominio radice dell’albero ha una relazione di fiducia transitiva con la radice della foresta dominio.
Nota
In Windows 2000, le relazioni di trust transitive sono sempre relazioni di trust bidirezionali.
È possibile creare una relazione di trust non transitiva tra domini Windows 2000 quando una relazione di trust transitiva non è appropriata, ma questa relazione di trust deve essere creata in modo esplicito. Può essere creato, ad esempio, tra due domini Windows 2000 che non si trovano nella stessa foresta.
Una relazione di trust tra un dominio Windows 2000 e un dominio Windows NT 4.0 è sempre una relazione di trust non transitiva. Se uno di questi domini è un dominio account e l’altro è un dominio di risorse, la relazione di fiducia viene in genere creata come relazione di fiducia unidirezionale. Se sono presenti account utente in entrambi i domini, è possibile creare due relazioni di trust unidirezionali tra di essi.
La relazione di trust tra due domini, unidirezionale o bidirezionale, transitiva o non transitiva, viene archiviata come oggetto account di trust tra domini in Active Directory.
Per ulteriori informazioni sulla natura e sulla gestione degli oggetti di fiducia tra domini, vedere “Autenticazione” in questo libro. Per ulteriori informazioni sulle relazioni di trust in modalità mista, vedere “Determinazione delle strategie di migrazione del dominio” nella Guida alla pianificazione della distribuzione .
Direzione della fiducia
Nel descrivere le relazioni di fiducia, le frecce illustrano la direzione della fiducia tra i domini come segue:
- Se B è il dominio attendibile e A è il dominio attendibile, B–>A indica che il dominio B considera attendibile il dominio A. (La stessa relazione di trust può essere illustrata come A<–B, ovvero A è considerato attendibile da B. )
- Quando il dominio B considera attendibile il dominio A (B–>A), gli utenti con account nel dominio A possono essere autenticati per l’accesso alle risorse nel dominio B. Tuttavia, gli utenti con account nel dominio B non sono attendibili per l’accesso alle risorse in dominio A.
Una gerarchia di domini Windows 2000 viene implementata dalle relazioni di trust tra domini. La direzione della relazione di trust tra un dominio padre e il relativo dominio figlio in Active Directory è bidirezionale (A<—->B), ma presenta le seguenti restrizioni:
- La relazione padre-figlio tra due domini in un albero di dominio è definita da una relazione di nome subordinata. Ad esempio, noam.reskit.com è figlio di reskit.com, ma noam.com non è figlio di reskit.com. Una relazione di fiducia padre-figlio richiede sia una relazione padre-figlio che una direzione di fiducia, come segue: il dominio A può essere specificato come padre del dominio B solo se B–>A e B è un nome subordinato di A.
- Quando un nuovo dominio si unisce a un albero di dominio come figlio, viene definita automaticamente una relazione di fiducia padre-figlio che stabilisce una relazione di fiducia transitiva a due vie.
Nota
La configurazione automatica della topologia di replica richiede che tutte le relazioni di trust padre-figlio all’interno della foresta siano bidirezionali e transitive.
L’uso di relazioni di fiducia transitive e bidirezionali riduce i tempi di gestione perché riduce di oltre la metà il numero di relazioni di fiducia che devono essere gestite, come illustra il diagramma nella Figura 1.8.
Figura 1.9 Ambiente misto di due foreste e un dominio Windows NT 4.0
Le seguenti condizioni sono rappresentate nella Figura 1.9:
- A.com e D.com sono le radici di alberi separati nella foresta 1. La fiducia a due vie, transitiva, radice dell’albero tra di loro fornisce fiducia completa tra tutti i domini nei due alberi della foresta 1.
- EDcom utilizza le risorse in CAcom per le operazioni aziendali quotidiane. Per abbreviare il percorso di attendibilità tra i due domini, CAcom si fida direttamente di EDcom. Questa relazione di fiducia ha solo lo scopo di abbreviare il percorso di fiducia per l’autenticazione degli utenti EDcom per l’utilizzo delle risorse in CAcom. Il percorso viene abbreviato tagliando il numero di hop necessari per l’autenticazione da tre (da EDcom a D.com, da D.com a A.com e da A.com a CAcom) a uno (da EDcom a CAcom), il che aumenta la velocità di autenticazione.
- G.com è la radice di un singolo albero che costituisce la foresta 2. La relazione di fiducia transitiva e bidirezionale tra G.com e HGcom consente a entrambi i domini di utilizzare le risorse degli altri.
- Il dominio G.com nella foresta 2 implementa una relazione di trust esterna unidirezionale esplicita con il dominio D.com nella foresta 1; gli utenti nel dominio D.com sono attendibili per l’utilizzo delle risorse nel dominio G.com. Poiché la relazione di trust non è transitiva, nessun altro dominio nella foresta 1 ha accesso alle risorse in G.com e D.com non ha accesso alle risorse in HGcom.
- Il dominio F è un dominio di Windows NT 4.0 che fornisce servizi di supporto agli utenti in EDcom. Questa relazione di trust non transitiva unidirezionale non si estende ad altri domini nella foresta 1.