Servizi di dominio Active Directory
Ultima modifica dell'argomento: 2012-10-15
Servizi di dominio Active Directory offre le funzionalità di servizio directory per le reti Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2. Servizi di dominio Active Directory rappresenta anche le fondamenta su cui viene realizzata l'infrastruttura di sicurezza di Microsoft Lync Server 2010. Lo scopo di questa sezione è descrivere come viene utilizzato Servizi di dominio Active Directory in Lync Server 2010 per creare un ambiente affidabile per la messaggistica istantanea, le conferenze Web, nonché servizi multimediali e vocali. Per informazioni dettagliate sulle estensioni di Lync Server per Servizi di dominio Active Directory e sulla preparazione dell'ambiente per Servizi di dominio Active Directory, vedere Preparazione di Servizi di dominio Active Directory per Lync Server 2010 nella documentazione relativa alla distribuzione. Per informazioni dettagliate sul ruolo di Servizi di dominio Active Directory nelle reti Windows Server, vedere la documentazione per la versione del sistema operativo in uso.
In Lync Server 2010, Servizi di dominio Active Directory viene utilizzato per archiviare:
Impostazioni globali necessarie per tutti i server che eseguono Lync Server 2010 in una foresta.
Informazioni sui servizi che identificano i ruoli di tutti i server che eseguono Lync Server 2010 in una foresta.
Alcune impostazioni utente.
Infrastruttura di Active Directory
I requisiti di infrastruttura per Active Directory includono i seguenti:
Requisiti del sistema operativo per i controller di dominio
Requisiti per il livello funzionale di foresta e dominio
Requisiti di dominio per il catalogo globale
Per informazioni dettagliate, vedere Requisiti dell'infrastruttura di Active Directory nella documentazione relativa alla distribuzione.
Preparativi per Servizi di dominio Active Directory
Nota
È consigliabile distribuire le impostazioni globali nel contenitore della configurazione anziché nel contenitore di sistema. Ciò non consente miglioramenti della sicurezza, ma può consentire miglioramenti della scalabilità per alcune topologie di Servizi di dominio Active Directory. Se si esegue la migrazione da Microsoft Office Communications Server 2007 ed è stato utilizzato il contenitore di sistema ma si prevede di utilizzare il contenitore di configurazione, è NECESSARIO spostare le impostazioni nel contenitore di sistema PRIMA di eseguire qualsiasi preparativo per l'aggiornamento. Per eseguire la migrazione delle impostazioni del contenitore di sistema nel contenitore di configurazione, vedere lo strumento di migrazione delle impostazioni globali di Office Communications Server 2007 all'indirizzo https://go.microsoft.com/fwlink/?linkid=145236&clcid=0x410.
Per la distribuzione di Lync Server 2010, il primo passaggio consiste nel preparare Servizi di dominio Active Directory per Lync Server 2010, operazione che prevede i tre passaggi seguenti:
Prepara schema. Questa attività consente di estendere lo schema in Servizi di dominio Active Directory per includere classi e attributi specifici di Lync Server 2010. Per informazioni dettagliate sulla preparazione dello schema, vedere Esecuzione della preparazione dello schema nella documentazione relativa alla distribuzione. Per informazioni dettagliate sullo schema, vedere Guida di riferimento di Servizi di dominio Active Directory nella documentazione relativa alla distribuzione.
Prepara foresta Questa attività consente di creare le impostazioni globali e gli oggetti nel dominio radice della foresta, insieme ai gruppi amministrativi e di servizi universali che regolano l'accesso a queste impostazioni e oggetti. Per informazioni dettagliate sulla preparazione della foresta, vedere Esecuzione della preparazione della foresta nella documentazione relativa alla distribuzione.
Prepara dominio. Questa attività consente di aggiungere le voci di controllo di accesso (ACE, Access Control Entry) necessarie ai gruppi universali che concedono le autorizzazioni per ospitare e gestire gli utenti nel dominio. L'attività deve essere completata in tutti i domini in cui si desidera distribuire i server che eseguono Lync Server 2010 e qualsiasi dominio in cui risiedono gli utenti di Lync Server. Per informazioni dettagliate sulla preparazione del dominio, vedere Esecuzione della preparazione del dominio nella documentazione relativa alla distribuzione.
Per una panoramica del processo completo per la preparazione di Active Directory e dei diritti e delle autorizzazioni necessari per eseguire ogni passaggio, vedere Requisiti dell'infrastruttura di Active Directory nella documentazione relativa alla distribuzione.
Gruppi universali
Durante la preparazione della foresta, in Lync Server 2010 vengono creati vari gruppi universali in Servizi di dominio Active Directory con autorizzazioni per l'accesso e la gestione delle impostazioni globali e dei servizi. Questi gruppi universali includono:
Gruppi amministrativi. Questi gruppi definiscono i ruoli di amministratore fondamentali per una rete Lync Server. Durante la preparazione della foresta, questi gruppi di amministratore vengono aggiunti ai gruppi dell'infrastruttura di Lync Server.
Gruppi di servizi. Questi gruppi sono account di servizio necessari per accedere a diversi servizi forniti da Lync Server.
Gruppi di infrastrutture. Questi gruppi forniscono l'autorizzazione ad accedere ad aree specifiche dell'infrastruttura di Lync Server. Fungono da componenti dei gruppi amministrativi ed è consigliabile non modificarli o aggiungervi direttamente utenti. Durante la preparazione della foresta vengono aggiunti gruppi amministrativi e di servizi specifici ai gruppi dell'infrastruttura appropriati.
Per informazioni dettagliate sugli specifici gruppi universali creati durante preparazione di Active Directory per Lync Server, nonché sui gruppi amministrativi e di servizi che vengono aggiunti ai gruppi dell'infrastruttura, vedere Modifiche apportate durante la preparazione della foresta nella documentazione relativa alla distribuzione.
Nota
Lync Server 2010 supporta i gruppi universali nei sistemi operativi Windows Server 2008 R2 e Windows Server 2008 per i server che eseguono Lync Server 2010, nonché Windows Server 2003 per i controller di dominio. Ai membri dei gruppi universali, che possono includere altri gruppi e account di qualsiasi dominio della foresta o dell'albero di dominio, è possibile assegnare autorizzazioni in qualsiasi dominio della foresta o dell'albero di dominio. Il supporto dei gruppi universali, insieme alla delega dell'amministratore, semplifica la gestione di una distribuzione di Lync Server. Non è più necessario, ad esempio, aggiungere un dominio a un altro per consentire a un amministratore di gestirli entrambi.
Controllo di accesso basato sui ruoli
Oltre a creare gruppi amministrativi e di servizi universali e aggiungere tali gruppi ai gruppi universali appropriati, durante la preparazione della foresta è necessario creare anche gruppi di controllo di accesso basato sui ruoli. Per informazioni dettagliate sui gruppi di controllo di accesso basato sui ruoli specifici creati durante la preparazione della foresta, vedere Modifiche apportate durante la preparazione della foresta nella documentazione relativa alla distribuzione. Per ulteriori informazioni sui gruppi di controllo di accesso basato sui ruoli, vedere Controllo di accesso basato sui ruoli.
Voci di controllo di accesso ed ereditarietà
Il processo di preparazione della foresta prevede la creazione sia di voci di controllo di accesso pubbliche che private e l'aggiunta delle voci di controllo di accesso per i gruppi universali creati. Vengono create voci di controllo di accesso private specifiche nel contenitore delle impostazioni globali utilizzato da Lync Server. Questo contenitore viene utilizzato solo da Lync Server ed è disponibile nel contenitore di configurazione o nel contenitore di sistema nel dominio radice, a seconda della posizione di archiviazione delle impostazioni globali.
Questa operazione comporta l'aggiunta delle voci di controllo di accesso necessarie ai gruppi universali che concedono autorizzazioni per ospitare e gestire gli utenti nell'ambito del dominio. Con la preparazione del dominio vengono create voci di controllo di accesso nella radice del dominio e tre contenitori predefiniti per utenti, computer e controller di dominio.
Per informazioni dettagliate sulle voci di controllo di accesso pubbliche create e aggiunte dai processi di preparazione della foresta e del dominio, vedere Modifiche apportate durante la preparazione della foresta e Modifiche apportate durante la preparazione del dominio nella documentazione relativa alla distribuzione.
Le organizzazioni scelgono spesso di bloccare Servizi di dominio Active Directory per ridurre i rischi per la sicurezza. Un ambiente Active Directory bloccato, tuttavia, può limitare le autorizzazioni richieste da Lync Server 2010. Ciò può includere la rimozione delle voci di controllo di accesso dai contenitori e dalle unità organizzative, nonché la disabilitazione dell'ereditarietà delle autorizzazioni negli oggetti User, Contact, InetOrgPerson o Computer. In un ambiente Active Directory bloccato, le autorizzazioni devono essere impostate manualmente nei contenitori e nelle unità organizzative per cui sono necessarie. Per informazioni dettagliate, vedere Preparazione di un ambiente Servizi di dominio Active Directory bloccato nella documentazione relativa alla distribuzione.
Informazioni sui server
Durante l'attivazione, Lync Server 2010 pubblica le informazioni sui server nelle tre posizioni seguenti in Servizi di dominio Active Directory:
Un punto di connessione del servizio (SCP, Service Connection Point) in ogni oggetto computer Active Directory corrispondente a un computer fisico in cui è installato Lync Server 2010.
Oggetti server creati nel contenitore della classe msRTCSIP-Pools.
Server trusted specificati in Generatore di topologie.
Punti di connessione del servizio
Ogni oggetto Lync Server 2010 in Servizi di dominio Active Directory dispone di un punto SCP denominato RTC Services, che contiene a sua volta alcuni attributi che identificano ogni computer e specificano i servizi forniti. serviceDNSName, serviceDNSNameType, serviceClassname e serviceBindingInformation sono alcuni degli attributi SCP più importanti. Le applicazioni di terze parti per la gestione delle risorse possono recuperare le informazioni sui server in una distribuzione eseguendo una query a fronte di questi e altri attributi SCP.
Oggetti server Active Directory
A ogni ruolo del server di Lync Server 2010 corrisponde un oggetto Active Directory i cui attributi definiscono i servizi forniti da tale ruolo. Quando viene attivato un server Standard Edition, inoltre, oppure quando viene creato un pool Enterprise Edition, in Lync Server 2010 viene creato un nuovo oggetto msRTCSIP-Pool nel contenitore msRTCSIP-Pools. La classe msRTCSIP-Pool specifica il nome di dominio completo (FQDN) del pool, insieme all'associazione tra i componenti front-end e back-end del pool. Un server Standard Edition viene considerato un pool logico i cui componenti front-end e back-end sono collocati in un solo computer.
Server trusted
In Lync Server 2010, i server trusted sono quelli specificati quando si esegue Generatore di topologie e si pubblica la topologia. La topologia pubblicata, incluse tutte le informazioni del server, viene archiviata nell'archivio di gestione centrale. Solo i server definiti nell'archivio di gestione centrale sono trusted. In Lync Server 2010, un server trusted è un server che soddisfa i criteri seguenti:
Il nome FQDN del server compare nella topologia archiviata nell'archivio di gestione centrale.
Il server presenta un certificato valido da un'autorità di certificazione attendibile. Per informazioni dettagliate, vedere Certificati per Lync Server 2010.
Se uno di questi criteri non risulta soddisfatto, il server non è trusted e la connessione viene rifiutata. Questo duplice requisito impedisce un possibile, anche se improbabile, attacco in cui un server non autorizzato tenta di prendere il controllo del nome FQDN di un server valido.
Per abilitare le distribuzioni di Microsoft Office Communications Server 2007 R2 e Microsoft Office Communications Server 2007 per le comunicazioni con i server Lync Server 2010, Lync Server 2010 create contenitori durante la preparazione della foresta per memorizzare gli elenchi dei server trusted per le versioni precedenti, Nella tabella seguente vengono descritti i contenitori creati per consentire la compatibilità con le distribuzioni precedenti.
Elenchi di server trusted e contenitori Active Directory corrispondenti per la compatibilità con le versioni precedenti
| Elenco di server trusted | Contenitore di Active Directory |
|---|---|
Server Standard Edtion e Front End Server del pool Enterprise |
RTC Service/Global Settings |
Conferencing Server |
RTC Service/Trusted MCUs |
Web Components Server |
RTC Service/TrustedWebComponentsServers |
Mediation Server e Communicator Web Access Server, server applicazioni, funzione di registrazione con QoE, servizio A/V Conferencing (anche server SIP di terze parti) |
RTC Service/Trusted Services |
Server proxy |
Lync Server 2010 non supporta la compatibilità con le versioni precedenti per i server proxy |
Per informazioni dettagliate sui server trusted in versioni precedenti, vedere la documentazione relativa alla sicurezza di Office Communications Server 2007 R2 all'indirizzo https://go.microsoft.com/fwlink/?linkid=154162&clcid=0x410 e la documentazione relativa alla sicurezza di Office Communications Server 2007 all'indirizzo https://go.microsoft.com/fwlink/?linkid=213307&clcid=0x410. Per supportare i server trusted di versioni precedenti, è necessario eseguire lo strumento di compatibilità con le versioni precedenti. Per informazioni dettagliate sull'esecuzione dello strumento di compatibilità con le versioni precedenti, vedere l'argomento relativo alla migrazione da Office Communications Server 2007 R2 a Lync Server 2010 all'indirizzo https://go.microsoft.com/fwlink/?linkid=205475&clcid=0x410 e per la migrazione da Office Communications Server 2007 a Lync Server 2010 all'indirizzo https://go.microsoft.com/fwlink/?linkid=205476&clcid=0x410.