Mapping dei requisiti di progettazione ai modelli di progettazione della foresta

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

La maggior parte dei gruppi dell'organizzazione può condividere una singola foresta aziendale gestita da un singolo gruppo IT (Information Technology) e che contiene gli account utente e le risorse per tutti i gruppi che condividono la foresta. Questa foresta condivisa, denominata foresta organizzativa iniziale, è alla base del modello di progettazione della foresta per l'organizzazione.

Poiché la foresta organizzativa iniziale può ospitare più gruppi nell'organizzazione, il proprietario della foresta deve stabilire contratti di servizio con ogni gruppo in modo che tutte le parti comprendano ciò che è previsto. In questo modo si proteggono sia i singoli gruppi che il proprietario della foresta stabilendo le aspettative del servizio concordate.

Se non tutti i gruppi dell'organizzazione possono condividere una singola foresta organizzativa, è necessario espandere la progettazione della foresta per soddisfare le esigenze dei diversi gruppi. Ciò comporta l'identificazione dei requisiti di progettazione che si applicano ai gruppi in base alle esigenze di autonomia e isolamento e se dispongono o meno di una rete con connettività limitata e quindi identificando il modello di foresta che è possibile usare per soddisfare tali requisiti. La tabella seguente elenca gli scenari del modello di progettazione delle foreste in base ai fattori di autonomia, isolamento e connettività. Dopo aver identificato lo scenario di progettazione della foresta più adatto alle proprie esigenze, determinare se è necessario prendere decisioni aggiuntive per soddisfare le specifiche di progettazione.

Nota

Se un fattore è elencato come N/D, non è una considerazione perché anche altri requisiti supportano tale fattore.

Scenario Connettività limitata Isolamento dei dati Autonomia dei dati Isolamento del servizio Autonomia del servizio
Scenario 1: Aggiungere una foresta esistente per l'autonomia dei dati No No No No
Scenario 2: Usare una foresta o un dominio aziendale per l'autonomia del servizio No No N/D No
Scenario 3: Usare una foresta aziendale o una foresta di risorse per l'isolamento del servizio No No N/D N/D
Scenario 4: Usare una foresta aziendale o una foresta ad accesso limitato per l'isolamento dei dati N/D N/D N/D N/D
Scenario 5: Usare una foresta aziendale o riconfigurare il firewall per una connettività limitata No N/D No No
Scenario 6: Usare una foresta o un dominio aziendale e riconfigurare il firewall per l'autonomia del servizio con connettività limitata No N/D No
Scenario 7: Usare una foresta di risorse e riconfigurare il firewall per l'isolamento del servizio con connettività limitata No N/D N/D

Scenario 1: Aggiungere una foresta esistente per l'autonomia dei dati

È possibile soddisfare un requisito di autonomia dei dati semplicemente ospitando il gruppo in unità organizzative in una foresta organizzativa esistente. Delegare il controllo sulle unità organizzative agli amministratori dei dati di tale gruppo per ottenere l'autonomia dei dati. Per altre informazioni sulla delega del controllo tramite le unità organizzative, vedere Creazione di una progettazione di unità organizzative.

Scenario 2: Usare una foresta o un dominio aziendale per l'autonomia del servizio

Se un gruppo dell'organizzazione identifica l'autonomia del servizio come requisito, è consigliabile riconsiderare questo requisito. Il raggiungimento dell'autonomia del servizio crea un maggiore sovraccarico di gestione e costi aggiuntivi per l'organizzazione. Assicurarsi che il requisito per l'autonomia del servizio non sia semplicemente per praticità e che sia possibile giustificare i costi coinvolti nel soddisfare questo requisito.

È possibile soddisfare un requisito di autonomia del servizio eseguendo una delle operazioni seguenti:

  • Creazione di una foresta aziendale. Inserire gli utenti, i gruppi e i computer per il gruppo che richiedono l'autonomia del servizio in una foresta organizzativa separata. Assegnare un utente di tale gruppo come proprietario della foresta. Se il gruppo deve accedere o condividere risorse con altre foreste dell'organizzazione, può stabilire un trust tra la foresta aziendale e le altre foreste.

  • Uso di domini aziendali. Inserire utenti, gruppi e computer in un dominio separato in una foresta aziendale esistente. Questo modello garantisce solo l'autonomia del servizio a livello di dominio e non l'autonomia completa del servizio, l'isolamento del servizio o l'isolamento dei dati.

Per altre informazioni sull'uso dei domini aziendali, vedere Using the Organizational Domain Forest Model.

Scenario 3: Usare una foresta aziendale o una foresta di risorse per l'isolamento del servizio

È possibile soddisfare un requisito di isolamento del servizio eseguendo una delle operazioni seguenti:

  • Uso di una foresta aziendale. Inserire gli utenti, i gruppi e i computer per il gruppo che richiedono l'isolamento del servizio in una foresta organizzativa separata. Assegnare un utente di tale gruppo come proprietario della foresta. Se il gruppo deve accedere o condividere risorse con altre foreste dell'organizzazione, può stabilire un trust tra la foresta aziendale e le altre foreste. Tuttavia, questo approccio non è consigliabile perché l'accesso alle risorse tramite gruppi universali è fortemente limitato negli scenari di trust tra foreste.

  • Uso di una foresta di risorse. Inserire le risorse e gli account del servizio in una foresta di risorse separata, mantenendo gli account utente in una foresta aziendale esistente. Se necessario, è possibile creare account alternativi nella foresta di risorse per accedere alle risorse nella foresta di risorse se la foresta aziendale diventa non disponibile. Gli account alternativi devono avere l'autorità necessaria per accedere alla foresta di risorse e mantenere il controllo delle risorse fino a quando la foresta aziendale non torna online.

    Stabilire un trust tra la risorsa e le foreste organizzative, in modo che gli utenti possano accedere alle risorse nella foresta usando gli account utente normali. Questa configurazione consente la gestione centralizzata degli account utente, consentendo allo stesso tempo agli utenti di eseguire il fall back ad account alternativi nella foresta di risorse se la foresta aziendale diventa non disponibile.

Di seguito sono riportate alcune considerazioni sull'isolamento del servizio:

  • Le foreste create per l'isolamento del servizio possono considerare attendibili i domini di altre foreste, ma non devono includere utenti di altre foreste nei gruppi di amministratori del servizio. Se gli utenti di altre foreste sono inclusi in gruppi amministrativi nella foresta isolata, la sicurezza della foresta isolata può essere compromessa perché gli amministratori del servizio nella foresta non hanno il controllo esclusivo.

  • Finché i controller di dominio sono accessibili in una rete, sono soggetti ad attacchi (ad esempio attacchi Denial of Service) da software dannoso in tale rete. È possibile eseguire le operazioni seguenti per proteggersi dalla possibilità di un attacco:

    • Ospitare i controller di dominio solo nelle reti considerate sicure.

    • Limitare l'accesso alla rete o alle reti che ospitano i controller di dominio.

  • L'isolamento del servizio richiede la creazione di una foresta aggiuntiva. Valutare se il costo della gestione dell'infrastruttura per supportare la foresta aggiuntiva supera i costi associati alla perdita di accesso alle risorse a causa della non disponibilità di una foresta organizzativa.

Scenario 4: Usare una foresta aziendale o una foresta ad accesso limitato per l'isolamento dei dati

È possibile ottenere l'isolamento dei dati eseguendo una delle operazioni seguenti:

  • Uso di una foresta aziendale. Inserire gli utenti, i gruppi e i computer per il gruppo che richiedono l'isolamento dei dati in una foresta organizzativa separata. Assegnare un utente di tale gruppo come proprietario della foresta. Se il gruppo deve accedere o condividere risorse con altre foreste dell'organizzazione, stabilire un trust tra la foresta aziendale e le altre foreste. Nella nuova foresta organizzativa sono presenti solo gli utenti che richiedono l'accesso alle informazioni classificate. Gli utenti hanno un account che usano per accedere ai dati classificati nella propria foresta e ai dati non classificati in altre foreste tramite relazioni di trust.

  • Uso di una foresta ad accesso limitato. Si tratta di una foresta separata che contiene i dati con restrizioni e gli account utente usati per accedere a tali dati. Gli account utente separati vengono mantenuti nelle foreste organizzative esistenti usate per accedere alle risorse senza restrizioni nella rete. Non vengono creati trust tra la foresta ad accesso limitato e altre foreste dell'organizzazione. È possibile limitare ulteriormente la foresta distribuendo la foresta in una rete fisica separata, in modo che non possa connettersi ad altre foreste. Se si distribuisce la foresta in una rete separata, gli utenti devono avere due workstation: una per l'accesso alla foresta con restrizioni e una per l'accesso alle aree non limitate della rete.

Di seguito sono riportate alcune considerazioni sulla creazione di foreste per l'isolamento dei dati:

  • Le foreste organizzative create per l'isolamento dei dati possono considerare attendibili i domini di altre foreste, ma gli utenti di altre foreste non devono essere inclusi in uno degli elementi seguenti:

    • Gruppi responsabili della gestione dei servizi o gruppi che possono gestire l'appartenenza ai gruppi di amministratori del servizio

    • Gruppi con controllo amministrativo sui computer che archiviano dati protetti

    • Gruppi che hanno accesso a dati protetti o gruppi responsabili della gestione di oggetti utente o oggetti gruppo che hanno accesso ai dati protetti

      Se gli utenti di un'altra foresta sono inclusi in uno di questi gruppi, una compromissione dell'altra foresta potrebbe comportare una compromissione della foresta isolata e la divulgazione di dati protetti.

  • Altre foreste possono essere configurate in modo da considerare attendibile la foresta organizzativa creata per l'isolamento dei dati in modo che gli utenti nella foresta isolata possano accedere alle risorse in altre foreste. Tuttavia, gli utenti della foresta isolata non devono mai accedere in modo interattivo alle workstation nella foresta trusting. Il computer nella foresta trusting può essere potenzialmente compromesso da software dannoso e può essere usato per acquisire le credenziali di accesso dell'utente.

    Nota

    Per impedire ai server in una foresta trusting di rappresentare gli utenti dalla foresta isolata e quindi di accedere alle risorse nella foresta isolata, il proprietario della foresta può disabilitare l'autenticazione delegata o usare la funzionalità di delega vincolata. Per altre informazioni sull'autenticazione delegata e sulla delega vincolata, vedere Delega dell'autenticazione.

  • Potrebbe essere necessario stabilire un firewall tra la foresta aziendale e le altre foreste dell'organizzazione per limitare l'accesso degli utenti alle informazioni all'esterno della foresta.

  • Anche se la creazione di una foresta separata consente l'isolamento dei dati, purché i controller di dominio nella foresta isolata e i computer che ospitano informazioni protette siano accessibili in una rete, sono soggetti ad attacchi avviati dai computer in tale rete. Le organizzazioni che decidono che il rischio di attacco è troppo elevato o che la conseguenza di un attacco o di una violazione della sicurezza è troppo elevata, è necessario limitare l'accesso alla rete o alle reti che ospitano i controller di dominio e i computer che ospitano dati protetti. La limitazione dell'accesso può essere eseguita usando tecnologie come firewall e IPsec (Internet Protocol Security). In casi estremi, le organizzazioni possono scegliere di mantenere i dati protetti in una rete indipendente che non ha alcuna connessione fisica a qualsiasi altra rete dell'organizzazione.

    Nota

    Se esiste una connettività di rete tra una foresta ad accesso limitato e un'altra rete, esiste la possibilità che i dati nell'area con restrizioni siano trasmessi all'altra rete.

Scenario 5: Usare una foresta aziendale o riconfigurare il firewall per una connettività limitata

Per soddisfare un requisito di connettività limitato, è possibile eseguire una delle operazioni seguenti:

  • Inserire gli utenti in una foresta aziendale esistente e quindi aprire il firewall in modo da consentire il passaggio del traffico di Active Directory.

  • Usare una foresta aziendale. Inserire gli utenti, i gruppi e i computer per il gruppo per cui la connettività è limitata in una foresta organizzativa separata. Assegnare un utente di tale gruppo come proprietario della foresta. La foresta organizzativa fornisce un ambiente separato sull'altro lato del firewall. La foresta include gli account utente e le risorse gestite all'interno della foresta, in modo che gli utenti non devono passare attraverso il firewall per eseguire le attività quotidiane. Utenti o applicazioni specifici potrebbero avere esigenze particolari che richiedono la possibilità di passare attraverso il firewall per contattare altre foreste. È possibile soddisfare queste esigenze singolarmente aprendo le interfacce appropriate nel firewall, incluse quelle necessarie per il funzionamento di qualsiasi trust.

Per altre informazioni sulla configurazione dei firewall per l'uso con Active Directory Domain Services (AD DS), vedere Active Directory in Networks Segmented by Firewalls (Active Directory in Reti segmentate dai firewall).

Scenario 6: Usare una foresta o un dominio aziendale e riconfigurare il firewall per l'autonomia del servizio con connettività limitata

Se un gruppo dell'organizzazione identifica l'autonomia del servizio come requisito, è consigliabile riconsiderare questo requisito. Il raggiungimento dell'autonomia del servizio crea un maggiore sovraccarico di gestione e costi aggiuntivi per l'organizzazione. Assicurarsi che il requisito per l'autonomia del servizio non sia semplicemente per praticità e che sia possibile giustificare i costi coinvolti nel soddisfare questo requisito.

Se la connettività limitata è un problema e si ha un requisito per l'autonomia del servizio, è possibile eseguire una delle operazioni seguenti:

  • Usare una foresta aziendale. Inserire gli utenti, i gruppi e i computer per il gruppo che richiedono l'autonomia del servizio in una foresta organizzativa separata. Assegnare un utente di tale gruppo come proprietario della foresta. La foresta organizzativa fornisce un ambiente separato sull'altro lato del firewall. La foresta include gli account utente e le risorse gestite all'interno della foresta, in modo che gli utenti non devono passare attraverso il firewall per eseguire le attività quotidiane. Utenti o applicazioni specifici potrebbero avere esigenze particolari che richiedono la possibilità di passare attraverso il firewall per contattare altre foreste. È possibile soddisfare queste esigenze singolarmente aprendo le interfacce appropriate nel firewall, incluse quelle necessarie per il funzionamento di qualsiasi trust.

  • Inserire utenti, gruppi e computer in un dominio separato in una foresta aziendale esistente. Questo modello garantisce solo l'autonomia del servizio a livello di dominio e non l'autonomia completa del servizio, l'isolamento del servizio o l'isolamento dei dati. Gli altri gruppi nella foresta devono considerare attendibili gli amministratori del servizio del nuovo dominio allo stesso livello in cui si considera attendibile il proprietario della foresta. Per questo motivo, questo approccio non è consigliabile. Per altre informazioni sull'uso dei domini aziendali, vedere Using the Organizational Domain Forest Model.

È anche necessario aprire il firewall in modo sufficiente per consentire il passaggio del traffico di Active Directory. Per altre informazioni sulla configurazione dei firewall per l'uso con Servizi di dominio Active Directory, vedere Active Directory in Networks Segmented by Firewalls.

Scenario 7: Usare una foresta di risorse e riconfigurare il firewall per l'isolamento del servizio con connettività limitata

Se la connettività limitata è un problema e si ha un requisito per l'isolamento del servizio, è possibile eseguire una delle operazioni seguenti:

  • Usare una foresta aziendale. Inserire gli utenti, i gruppi e i computer per il gruppo che richiedono l'isolamento del servizio in una foresta organizzativa separata. Assegnare un utente di tale gruppo come proprietario della foresta. La foresta organizzativa fornisce un ambiente separato sull'altro lato del firewall. La foresta include gli account utente e le risorse gestite all'interno della foresta, in modo che gli utenti non devono passare attraverso il firewall per eseguire le attività quotidiane. Utenti o applicazioni specifici potrebbero avere esigenze particolari che richiedono la possibilità di passare attraverso il firewall per contattare altre foreste. È possibile soddisfare queste esigenze singolarmente aprendo le interfacce appropriate nel firewall, incluse quelle necessarie per il funzionamento di qualsiasi trust.

  • Usare una foresta di risorse. Inserire le risorse e gli account del servizio in una foresta di risorse separata, mantenendo gli account utente in una foresta aziendale esistente. Potrebbe essere necessario creare alcuni account utente alternativi nella foresta di risorse per mantenere l'accesso alla foresta di risorse se la foresta aziendale diventa non disponibile. Gli account alternativi devono avere l'autorità necessaria per accedere alla foresta di risorse e mantenere il controllo delle risorse fino a quando la foresta aziendale non torna online.

    Stabilire un trust tra la risorsa e le foreste organizzative, in modo che gli utenti possano accedere alle risorse nella foresta usando gli account utente normali. Questa configurazione consente la gestione centralizzata degli account utente, consentendo allo stesso tempo agli utenti di eseguire il fall back ad account alternativi nella foresta di risorse se la foresta aziendale diventa non disponibile.

Di seguito sono riportate alcune considerazioni sull'isolamento del servizio:

  • Le foreste create per l'isolamento del servizio possono considerare attendibili i domini di altre foreste, ma non devono includere utenti di altre foreste nei gruppi di amministratori del servizio. Se gli utenti di altre foreste sono inclusi in gruppi amministrativi nella foresta isolata, la sicurezza della foresta isolata può essere compromessa perché gli amministratori del servizio nella foresta non hanno il controllo esclusivo.

  • Finché i controller di dominio sono accessibili in una rete, sono soggetti ad attacchi (ad esempio attacchi Denial of Service) dai computer in tale rete. È possibile eseguire le operazioni seguenti per proteggersi dalla possibilità di un attacco:

    • Ospitare i controller di dominio solo nelle reti considerate sicure.

    • Limitare l'accesso alla rete o alle reti che ospitano i controller di dominio.

  • L'isolamento del servizio richiede la creazione di una foresta aggiuntiva. Valutare se il costo della gestione dell'infrastruttura per supportare la foresta aggiuntiva supera i costi associati alla perdita di accesso alle risorse a causa della non disponibilità di una foresta organizzativa.

    Utenti o applicazioni specifici potrebbero avere esigenze particolari che richiedono la possibilità di passare attraverso il firewall per contattare altre foreste. È possibile soddisfare queste esigenze singolarmente aprendo le interfacce appropriate nel firewall, incluse quelle necessarie per il funzionamento di qualsiasi trust.

Per altre informazioni sulla configurazione dei firewall per l'uso con Servizi di dominio Active Directory, vedere Active Directory in Networks Segmented by Firewalls.