back to the home

Gestire correttamente un abiente Active Directory


Sicuramente chi ha avuto modo di lavorare in ambiente windows server, ha potuto accorgersi come una corretta gestione dell'Active Directory (AD) sia essenziale per il corretto funzionamento dell'intera infrastruttura.

Volevo raccontare, in queste poche righe, la metodologia che da anni adotto nella gesione di AD e in particolare nella gestione degli account utenti, spero possa essere utile agli amministratori IT che stanno gestendo faticosamente il loro ambiente o che stanno supportando un'azienda in crescita.

Gli oggetti gestiti in AD sono diversi: server, computer, stampanti, utenti, contatti ed i loro raggruppamenti; l'organizzazione logica funzionale prende forma con la creazione delle Unità Organizzative (OU), il modo di organizzare le OU dipende molto dalla relatà in cui si opera, una corretta gestione delle OU può facilitare l'assegnazione di policy e l'assegnazione di diversi livelli amministrativi dell'AD stessa.

Le OU possono contenere i diversi oggetti, l'accorgimento piu' importante e' quello di tenere conto che un oggetto puo' essere inserito in una sola OU. (Salvo casi particolari, potrebbe essere buona norma inserire all'interno delle OU i gruppi che contengono i diversi oggetti e non gli oggetti stessi, gli oggetti stessi possono essere inseriti in OU che specificano una proprietà immutabile ed univoca dell'oggetto stesso).

Passiamo alla logica adottata per la gestione degli utenti, nella mia esperienza sono proprio gli account utente quelli che richiedono maggiore manuntenzione. La tipologia che adotto richiede un tempo maggiore per essere implementata, ma permette una gestione migliore per far fronte alle diverse varie necessita'. Gestire correttamente gli utenti ed i gruppi di utenze, permette una gestione delle abilitazioni piu' elastica, sia per l'accesso i file, alla gestione del software ecc... .

L'idea che sta alla base di questa organizzazione e' legata alle funzioni aziendali, ogni utente ha una o più funzioni specifiche all'interno dell'organizzazione. In base alla funzione scaturiscono le necessità di accedere a determinate risorse (fatto salvo a esigenze dovute alla posizione dell'utente. es. stampante dell'ufficio al piano1)

Il consiglio quindi e' di creare dei gruppi per le diverse funzioni aziendali presenti all'interno dell'azienda ed associare i relativi utenti, utilizzare poi questi gruppi per l'assegnazione delle risorse e la gestione degli accessi, gli stessi gruppi potranno essere inseriti in gruppi di livello superiore, per raggruppare tutte le funzioni che fanno capo ad un area, reparto, ecc... .

Risulta utile pensare prima alle nomenclature da utilizzate, create uno schema di massima prima di creare i vari oggetti in modo da rendervi conto dell'entita' di oggetti che andrete a gestire, personalmente utilizzo un prefisso nel nome per distinguere la natura e l'ambito del gruppo es. GU Gruppo Utenti, FA Funzioni Aziendali, GP Gruppo PersonalComputer.

Il passo successivo è di collegare la creazione degli utenti e l'associazione ai gruppi al software di gestione del personale, tramite comandi powershell, in modo da standardizzare e automatizzare il processo di gestione di una nuova risorsa. Anche il mantenimento sara' semplificato, si puo' associare una funzione che viene inglobata in un'altra, quando un utente svolge una nuova funziona eredita in automatico le diverse policy e gli accessi in modo da essere subito produttivo.