Mapping dei requisiti di progettazione ai modelli di progettazione di foreste
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
La maggior parte dei gruppi dell'organizzazione può condividere una singola foresta organizzativa, gestita da un unico team IT, che contiene gli account utente e le risorse per tutti i gruppi che condividono la foresta. Questa foresta condivisa, chiamata foresta organizzativa iniziale, è la base del modello di progettazione della foresta per l'organizzazione.
Dato che la foresta organizzativa iniziale può ospitare vari gruppi dell'organizzazione, il proprietario della foresta deve stabilire accordi sul livello di servizio con ciascun gruppo, in modo da assicurare che tutte le parti coinvolte comprendano chiaramente le aspettative. Ciò tutela sia i singoli gruppi che il proprietario della foresta, stabilendo aspettative di servizio condivise.
Nel caso in cui non tutti i gruppi dell'organizzazione possano condividere un'unica foresta organizzativa, è necessario espandere la progettazione della foresta per soddisfare le esigenze dei diversi gruppi. Ciò comporta l'identificazione dei requisiti di progettazione che si applicano ai gruppi in base alle loro esigenze di autonomia e isolamento e alla presenza o meno di una rete a connettività limitata, e quindi l'identificazione del modello di foresta da utilizzare per soddisfare tali requisiti. La tabella seguente elenca gli scenari del modello di progettazione di foresta in base ai fattori di autonomia, isolamento e connettività. Dopo aver identificato lo scenario di progettazione della foresta più adatto alle proprie esigenze, è necessario determinare se occorre prendere altre decisioni per soddisfare le specifiche di progettazione.
Nota
Se un fattore è elencato come N/A, non è una considerazione perché anche altri requisiti soddisfano tale fattore.
| Scenario | Connettività limitata | Isolamento dei dati | Autonomia dei dati | Isolamento del servizio | Autonomia del servizio |
|---|---|---|---|---|---|
| Scenario 1: Unire una foresta esistente per l'autonomia dei dati | No | No | Sì | No | No |
| Scenario 2: Utilizzare una foresta o un dominio organizzativo per l'autonomia del servizio | No | No | N/D | No | Sì |
| Scenario 3: Utilizzare una foresta organizzativa o una foresta di risorse per l'isolamento dei servizi | No | No | N/D | Sì | N/A |
| Scenario 4: Utilizzare una foresta organizzativa o una foresta ad accesso limitato per l'isolamento dei dati | N/D | Sì | N/D | N/D | N/D |
| Scenario 5: Utilizzare una foresta organizzativa o riconfigurare il firewall per una connettività limitata | Sì | No | N/D | No | No |
| Scenario 6: Utilizzare una foresta o un dominio organizzativo e riconfigurare il firewall per l'autonomia del servizio con connettività limitata | Sì | No | N/D | No | Sì |
| Scenario 7: Utilizzare una foresta di risorse e riconfigurare il firewall per l'isolamento dei servizi con connettività limitata. | Sì | No | N/D | Sì | N/A |
Scenario 1: Unire una foresta esistente per l'autonomia dei dati
Un requisito di autonomia dei dati può essere soddisfatto ospitando il gruppo in unità organizzative all'interno di una foresta organizzativa esistente. Delegare il controllo delle unità organizzative agli amministratori dei dati di quel gruppo per ottenere l'autonomia dei dati. Per altre informazioni sulla delega del controllo tramite le unità organizzative, vedere Creazione di un progetto di unità organizzativa .
Scenario 2: Utilizzare una foresta o un dominio organizzativo per l'autonomia del servizio
Se un gruppo dell'organizzazione ritiene che l'autonomia del servizio sia un requisito, è consigliabile riconsiderare questo requisito. Il raggiungimento dell'autonomia del servizio crea maggiori spese di gestione e costi aggiuntivi per l'organizzazione. È necessario assicurarsi che il requisito dell'autonomia del servizio non sia dettato da una questione di comodità e che i costi necessari per soddisfarlo possano essere giustificati.
È possibile soddisfare un requisito di autonomia del servizio eseguendo una delle seguenti operazioni:
Creare una foresta organizzativa. Collocare gli utenti, i gruppi e i computer per il gruppo che richiede l'autonomia del servizio in una foresta organizzativa separata. Assegnare un individuo di quel gruppo come proprietario della foresta. Se il gruppo deve accedere o condividere risorse con altre foreste dell'organizzazione, può stabilire un rapporto di fiducia tra la propria foresta organizzativa e le altre foreste.
Utilizzo di domini organizzativi. Collocare gli utenti, i gruppi e i computer in un dominio separato in una foresta organizzativa esistente. Questo modello assicura l'autonomia del servizio soltanto a livello di dominio, senza garantire una totale autonomia del servizio o l'isolamento di servizio e dati.
Per altre informazioni sull'utilizzo dei domini organizzativi, vedere Utilizzo del modello di foresta del dominio organizzativo.
Scenario 3: Utilizzare una foresta organizzativa o una foresta di risorse per l'isolamento dei servizi
È possibile soddisfare un requisito di isolamento dei servizi eseguendo una delle seguenti operazioni:
Utilizzo di una foresta organizzativa. Collocare gli utenti, i gruppi e i computer per il gruppo che richiede l'isolamento dei servizi in una foresta organizzativa separata. Assegnare un individuo di quel gruppo come proprietario della foresta. Se il gruppo deve accedere o condividere risorse con altre foreste dell'organizzazione, può stabilire un rapporto di fiducia tra la propria foresta organizzativa e le altre foreste. Tuttavia, non consigliamo questo approccio perché l'accesso alle risorse attraverso gruppi universali è fortemente limitato negli scenari di attendibilità delle foreste.
Utilizzo di una foresta di risorse. Collocare gli account delle risorse e dei servizi in una foresta di risorse separata, mantenendo gli account degli utenti in una foresta organizzativa esistente. Se necessario, è possibile creare account alternativi nella foresta delle risorse per accedere alle risorse al suo interno, nel caso in cui la foresta organizzativa non sia più disponibile. Gli account alternativi devono avere l'autorità necessaria per accedere alla foresta delle risorse e mantenere il controllo delle risorse fino a quando la foresta organizzativa non è di nuovo online.
Stabilire una relazione di trust tra la foresta delle risorse e quella organizzativa, in modo che gli utenti possano accedere alle risorse della foresta delle risorse utilizzando i loro account utente standard. Questa configurazione consente la gestione centralizzata degli account utente e permette agli utenti di passare ad account alternativi nella foresta di risorse se la foresta organizzativa non è disponibile.
Le considerazioni per l'isolamento dei servizi includono quanto segue:
Le foreste create per l'isolamento dei servizi possono considerare attendibili i domini di altre foreste, ma non devono includere utenti di altre foreste nei gruppi di amministratori dei servizi. Se gli utenti di altre foreste sono inclusi nei gruppi amministrativi della foresta isolata, la sicurezza della foresta isolata può essere potenzialmente compromessa perché gli amministratori del servizio nella foresta non hanno il controllo esclusivo.
Finché i controller di dominio sono accessibili in una rete, sono soggetti ad attacchi (come gli attacchi denial of service) da parte di software dannosi in quella rete. Per proteggersi da un attacco, è possibile procedere come segue:
Ospitare i controller di dominio solo in reti considerate sicure.
Limitare l'accesso alla rete o alle reti che ospitano i controller di dominio.
L'isolamento dei servizi richiede la creazione di una foresta aggiuntiva. Valutare se il costo di manutenzione dell'infrastruttura per supportare la foresta aggiuntiva supera i costi associati alla perdita di accesso alle risorse a causa dell'indisponibilità di una foresta organizzativa.
Scenario 4: Utilizzare una foresta organizzativa o una foresta ad accesso limitato per l'isolamento dei dati
È possibile ottenere l'isolamento dei dati eseguendo una delle seguenti operazioni:
Utilizzo di una foresta organizzativa. Collocare gli utenti, i gruppi e i computer per il gruppo che richiede l'isolamento dei dati in una foresta organizzativa separata. Assegnare un individuo di quel gruppo come proprietario della foresta. Se il gruppo deve accedere o condividere risorse con altre foreste dell'organizzazione, può stabilire un rapporto di fiducia tra la propria foresta organizzativa e le altre foreste. Nella nuova foresta organizzativa sono presenti solo gli utenti che devono accedere alle informazioni classificate. Gli utenti hanno un account che utilizzano per accedere sia ai dati classificati nella propria foresta, sia ai dati non classificati in altre foreste attraverso relazioni di fiducia.
Utilizzo di una foresta ad accesso limitato. Si tratta di una foresta separata che contiene i dati riservati e gli account utente utilizzati per accedere a tali dati. Nelle foreste organizzative esistenti vengono mantenuti account utente separati, utilizzati per accedere alle risorse illimitate della rete. Non vengono creati trust tra la foresta ad accesso limitato e altre foreste dell'azienda. È possibile limitare ulteriormente la foresta distribuendola in una rete fisica separata, in modo che non possa connettersi ad altre foreste. Se si distribuisce la foresta in una rete separata, gli utenti devono disporre di due workstation: una per l'accesso alla foresta riservata e una per l'accesso alle aree non riservate della rete.
Le considerazioni per la creazione di foreste per l'isolamento dei dati includono quanto segue:
Le foreste organizzative create per l'isolamento dei dati possono considerare attendibili i domini di altre foreste, ma gli utenti di altre foreste non devono essere inclusi in nessuno dei seguenti casi:
Gruppi responsabili della gestione del servizio o gruppi che possono gestire l'appartenenza a gruppi di amministratori di servizi
Gruppi che hanno il controllo amministrativo sui computer che archiviano dati protetti
Gruppi che hanno accesso a dati protetti o gruppi responsabili della gestione di oggetti utente o oggetti gruppo che hanno accesso a dati protetti
Se gli utenti di un'altra foresta sono inclusi in uno di questi gruppi, una compromissione dell'altra foresta potrebbe comportare la compromissione della foresta isolata e la divulgazione dei dati tutelati.
È possibile configurare altre foreste in modo che riconoscano come attendibile la foresta organizzativa creata per l'isolamento dei dati, permettendo così agli utenti nella foresta isolata di accedere alle risorse presenti in altre foreste. Tuttavia, gli utenti della foresta isolata non devono mai accedere in modo interattivo alle workstation nella foresta attendibile. Il computer nella foresta attendibile può potenzialmente essere compromesso da software dannosi e può essere utilizzato per acquisire le credenziali di accesso dell'utente.
Nota
Per evitare che i server di una foresta attendibile impersonino gli utenti della foresta isolata e quindi accedano alle risorse di quest'ultima, il proprietario della foresta può disabilitare l'autenticazione delegata o utilizzare la funzionalità di delega vincolata. Per altre informazioni sull'autenticazione delegata e sulla delega vincolata, vedere Delega dell'autenticazione.
Potrebbe essere necessario stabilire un firewall tra la foresta organizzativa e le altre foreste dell'organizzazione per limitare l'accesso degli utenti alle informazioni al di fuori della loro foresta.
Sebbene la creazione di una foresta separata consenta l'isolamento dei dati, finché i controller di dominio nella foresta isolata e i computer che ospitano le informazioni protette sono accessibili in una rete, sono soggetti ad attacchi lanciati dai computer in quella rete. Le organizzazioni che decidono che il rischio di attacco è troppo elevato o che le conseguenze di un attacco o di una violazione della sicurezza sono troppo elevate devono limitare l'accesso alla rete o alle reti che ospitano i controller di dominio e i computer che ospitano i dati protetti. Per limitare l'accesso è possibile utilizzare tecnologie come i firewall e la sicurezza del protocollo Internet (IPsec). In casi estremi, le organizzazioni possono scegliere di mantenere i dati protetti in una rete indipendente che non ha alcun collegamento fisico con altre reti dell'organizzazione.
Nota
Se tra una foresta ad accesso limitato e un'altra rete esiste una connettività di rete, è possibile che i dati dell'area riservata vengano trasmessi all'altra rete.
Scenario 5: Utilizzare una foresta organizzativa o riconfigurare il firewall per una connettività limitata
Per soddisfare un requisito di connettività limitato, è possibile effettuare una delle seguenti operazioni:
Posizionare gli utenti in una foresta organizzativa esistente e quindi aprire il firewall a sufficienza per consentire il passaggio del traffico di Active Directory.
Usare una foresta organizzativa. Collocare gli utenti, i gruppi e i computer per il gruppo per il quale la connettività è limitata in una foresta organizzativa separata. Assegnare un individuo di quel gruppo come proprietario della foresta. La foresta organizzativa fornisce un ambiente separato dall'altra parte del firewall. La foresta include account utente e risorse gestite all'interno della foresta, in modo che gli utenti non debbano passare attraverso il firewall per svolgere le loro attività quotidiane. Utenti o applicazioni specifiche potrebbero presentare esigenze tali da richiedere la capacità di attraversare il firewall per interagire con altre foreste. È possibile rispondere a queste esigenze in maniera individuale aprendo le interfacce appropriate nel firewall, comprese quelle necessarie per il funzionamento dei trust.
Per altre informazioni sulla configurazione dei firewall per l'utilizzo con Active Directory Domain Services (AD DS), vedere Active Directory nelle reti segmentate da firewall.
Scenario 6: Utilizzare una foresta o un dominio organizzativo e riconfigurare il firewall per l'autonomia del servizio con connettività limitata
Se un gruppo dell'organizzazione ritiene che l'autonomia del servizio sia un requisito, è consigliabile riconsiderare questo requisito. Il raggiungimento dell'autonomia del servizio crea maggiori spese di gestione e costi aggiuntivi per l'organizzazione. È necessario assicurarsi che il requisito dell'autonomia del servizio non sia dettato da una questione di comodità e che i costi necessari per soddisfarlo possano essere giustificati.
Se la connettività limitata è un problema ed è necessario garantire l'autonomia del servizio, è possibile adottare una delle seguenti soluzioni:
Usare una foresta organizzativa. Collocare gli utenti, i gruppi e i computer per il gruppo che richiede l'autonomia del servizio in una foresta organizzativa separata. Assegnare un individuo di quel gruppo come proprietario della foresta. La foresta organizzativa fornisce un ambiente separato dall'altra parte del firewall. La foresta include account utente e risorse gestite all'interno della foresta, in modo che gli utenti non debbano passare attraverso il firewall per svolgere le loro attività quotidiane. Utenti o applicazioni specifiche potrebbero presentare esigenze tali da richiedere la capacità di attraversare il firewall per interagire con altre foreste. È possibile rispondere a queste esigenze in maniera individuale aprendo le interfacce appropriate nel firewall, comprese quelle necessarie per il funzionamento dei trust.
Collocare gli utenti, i gruppi e i computer in un dominio separato in una foresta organizzativa esistente. Questo modello assicura l'autonomia del servizio soltanto a livello di dominio, senza garantire una totale autonomia del servizio o l'isolamento di servizio e dati. Altri gruppi nella foresta devono considerare attendibile gli amministratori del servizio del nuovo dominio nella stessa misura in cui considerano attendibile il proprietario della foresta. Per questo motivo, non raccomandiamo questo approccio. Per altre informazioni sull'utilizzo dei domini organizzativi, vedere Utilizzo del modello di foresta del dominio organizzativo.
Inoltre. È necessario aprire il firewall a sufficienza per consentire il passaggio del traffico di Active Directory. Per altre informazioni sulla configurazione dei firewall per l'utilizzo con AD DS vedere Active Directory nelle reti segmentate da firewall.
Scenario 7: Utilizzare una foresta di risorse e riconfigurare il firewall per l'isolamento dei servizi con connettività limitata
Se la connettività limitata è un problema ed è necessario garantire l’isolamento dei servizi, è possibile adottare una delle seguenti soluzioni:
Usare una foresta organizzativa. Collocare gli utenti, i gruppi e i computer per il gruppo che richiede l'isolamento dei servizi in una foresta organizzativa separata. Assegnare un individuo di quel gruppo come proprietario della foresta. La foresta organizzativa fornisce un ambiente separato dall'altra parte del firewall. La foresta include account utente e risorse gestite all'interno della foresta, in modo che gli utenti non debbano passare attraverso il firewall per svolgere le loro attività quotidiane. Utenti o applicazioni specifiche potrebbero presentare esigenze tali da richiedere la capacità di attraversare il firewall per interagire con altre foreste. È possibile rispondere a queste esigenze in maniera individuale aprendo le interfacce appropriate nel firewall, comprese quelle necessarie per il funzionamento dei trust.
Usare una foresta di risorse. Collocare gli account delle risorse e dei servizi in una foresta di risorse separata, mantenendo gli account degli utenti in una foresta organizzativa esistente. Potrebbe essere necessario creare alcuni account utente alternativi nella foresta delle risorse per mantenere l'accesso alla stessa, nel caso in cui la foresta organizzativa non sia più disponibile. Gli account alternativi devono avere l'autorità necessaria per accedere alla foresta delle risorse e mantenere il controllo delle risorse fino a quando la foresta organizzativa non è di nuovo online.
Stabilire una relazione di trust tra la foresta delle risorse e quella organizzativa, in modo che gli utenti possano accedere alle risorse della foresta delle risorse utilizzando i loro account utente standard. Questa configurazione consente la gestione centralizzata degli account utente e permette agli utenti di passare ad account alternativi nella foresta di risorse se la foresta organizzativa non è disponibile.
Le considerazioni per l'isolamento dei servizi includono quanto segue:
Le foreste create per l'isolamento dei servizi possono considerare attendibili i domini di altre foreste, ma non devono includere utenti di altre foreste nei gruppi di amministratori dei servizi. Se gli utenti di altre foreste sono inclusi nei gruppi amministrativi della foresta isolata, la sicurezza della foresta isolata può essere potenzialmente compromessa perché gli amministratori del servizio nella foresta non hanno il controllo esclusivo.
Finché i controller di dominio sono accessibili in una rete, sono soggetti ad attacchi (come gli attacchi denial of service) da parte di computer in quella rete. Per proteggersi da un attacco, è possibile procedere come segue:
Ospitare i controller di dominio solo in reti considerate sicure.
Limitare l'accesso alla rete o alle reti che ospitano i controller di dominio.
L'isolamento dei servizi richiede la creazione di una foresta aggiuntiva. Valutare se il costo di manutenzione dell'infrastruttura per supportare la foresta aggiuntiva supera i costi associati alla perdita di accesso alle risorse a causa dell'indisponibilità di una foresta organizzativa.
Utenti o applicazioni specifiche potrebbero presentare esigenze tali da richiedere la capacità di attraversare il firewall per interagire con altre foreste. È possibile rispondere a queste esigenze in maniera individuale aprendo le interfacce appropriate nel firewall, comprese quelle necessarie per il funzionamento dei trust.
Per altre informazioni sulla configurazione dei firewall per l'utilizzo con AD DS vedere Active Directory nelle reti segmentate da firewall.