Definizione della struttura di Active Directory

  

Le Unità Organizzative

 Il primo procedimento da attuare e definire la struttura di Active Directory. Active Directory è un contenitore di oggetti, ovvero utenti, gruppi, computer, server, stampanti, unità organizzative.

Con Active Directory è possibile definire degli insiemi, dei contenitori, chiamati, appunto, Unità Organizzative (UO) ai quali assegnare dei criteri di gruppo.

Ogni Unità organizzativa può contenere, tra gli altri oggetti, altre UO, definite child, che erediteranno i criteri delle UO parent. Qualora nelle UO child fossero attivi dei criteri di gruppo in contrasto con quelli definiti per le UO parent, i primi avranno il sopravvento.

I criteri di gruppo possono interessare due diversi oggetti: i computer e gli utenti. Anzi, per meglio dire, nel criterio di gruppo sono presenti le voci relative a computer ed utenti, ma queste avranno valore, rispettivamente, solo se nella UO relativa ci sono computer, utenti o entrambi.

Ecco un esempio, di UO così organizzata:

  • UO Laboratori (parent)

    • UO Docenti (child di primo livello)

    • UO Alunni (child di primo livello)

      • UO prima A (child di secondo livello)

    • UO Lab1 (child di primo livello)

    • UO Lab2 (child di primo livello)

Unità organizzativa Oggetti Criterio di gruppo Applicazione Note
UO Laboratori Computer e utenti Computer e utenti A computer ed utenti Si applica a meno che un criterio di UO child  contrasti.
UO Docenti utenti Utenti Agli utenti Si applica il criterio utente e si eredita quella per computer
UO Alunni utenti Computer Non si applica Perchè  l'UO è di soli utenti, mentre il criterio è per computer.
UO Lab1 Computer Utenti Non si applica Perchè  l'UO è di soli computer, mentre il criterio è per utenti.
UO Lab2 Computer e utenti Computer e utenti Si applicano entrambi Si applicano entrambi. Se il criterio contrasta con quello di UO Laboratori, prevale quello di UO Lab2
UO Alunni utenti Utenti Agli utenti Si applica il criterio computer di UO Laboratori. In caso di contrasto tra i criteri utenti, prevale quello di UO Alunni.
UO Prima A Utenti Utenti Agli utenti Si applica il criterio computer di UO Laboratori. In caso di contrasto tra i criteri utenti, prevale quello di UO Prima A

Come vedremo in seguito, ciascun criterio può essere attivato, disattivato o non configurato. Il contrasto tra criteri di gruppo di livello differente può esistere solo se lo stesso criterio è attivato in un livello e disattivato in un altro. Se in uno non è configurato, prevale sempre l'altro, in un senso o nell'altro. Se lo stesso criterio a tutti i livelli non è configurato è come se non esistesse.

Passiamo ora alla pratica. Il nostro modello non è particolarmente complesso, ma si riferisce ad un caso standard: dominio unico, due laboratori, utenti docenti ed utenti alunni, questi suddivisi in classi.

Creazione di Unità Organizzative

Lo strumento per la creazione e la gestione di UO, gruppi, utenti e computer si trova in Windows 2000/2003 server negli "Strumenti di amministrazione", e l'applet si chiama "Utenti e Computer di Active Directory". Per attivarlo, basta utilizzare i menu "Start":

oppure, passando per la finestra di "Strumenti di amministrazione":

Aprendo la console "Utenti e computer di Active Directory" apparirà questa finestra:

in cui sono presenti i gruppi e gli utenti predefiniti. La prima voce del menu di sinistra è quella riferita al dominio, nel caso in esempio roberto.local, seguono i contenitori predefiniti.

Incominciamo a creare la prima UO, quella di più alto livello che chiameremo "Laboratori". Basta posizionarsi sul dominio, cliccare col tasto destro e scegliere Nuova Unità organizzativa:

Si assegna il nome prescelto ed esso che apparirà nell'albero:

In modo uguale potremo creare le UO child. Per fare questo sarà sufficiente posizionarsi sull'UO parent e col tasto destro compiere l'operazione. Il risultato sarà:

Come si vede è stata creata una UO Computer. Essa è destinata a contenere i computer dei laboratori. Di default tutti i computer della rete, dopo il primo accesso, vengono registrati, dal DNS, nella cartella Computers che, però, non è una OU e, quindi ad essa non sono applicabili criteri di gruppo. Se si vogliono implementare criteri di gruppo per computers è necessario spostarli, con l'apposito comando che si attiva col tasto destro del mouse, in una UO. Nel nostro caso, poiché alla maggior parte dei computer si intende assegnare identici criteri, ho creato un'unica UO.

L'UO Alunni contiene delle UO di classe, nell'esempio 1ALTC, 2ALTC, etc.. Questo in quanto si presume che classi diverse, ad esempio le quinte, per il loro lavoro abbiano necessità di permessi più elevati. Assegnando questi permessi attraverso un criterio di gruppo di classe, questi prevarranno, come già detto, su eventuali restrizioni previste da un criterio superiore.

L'UO Docenti è unica, in quanto si ritiene di assegnare a tutto il personale uguali diritti.

Sono previste anche due UO per i laboratori, Lab1 e Lab2. La loro funzione potrebbe essere quella di contenere eventuali stampanti di rete, oppure computer che abbiano permesse diversi da quelli generici (ad esempio il computer del docente), oppure utenti specifici per quel laboratorio (ad esempio perchè lì frequentano un corso).

A questo punto la struttura è completa. Bisogna però creare anche dei gruppi di utenti e poi inserire gli utenti stessi.

Indice Argomento
  

Aggiornato il: 18/11/2005 17.13.48

Istituto e Liceo Tecnico Statale di Chiavari - Dipartimento di ICT
 Via Castagnola 15A - Chiavari (Genova - Italia) 
tel. +390185324590  fax. +390185370106

 Informazioni legali