Scopri come i servizi di accesso remoto di NinjaOne ti permettono di gestire gli utenti di Active Directory da remoto e di sfruttare inoltre più funzioni con più flessibilità.
Cos’è l’Active Directory?
Active Directory (AD) di Microsoft è una tecnologia basata su server usata per gestire i computer e altri dispositivi su una rete. Era essenziale per controllare un gran numero di computer Windows su una LAN ed è ancora una caratteristica primaria di Windows Server (un sistema operativo che esegue sia server locali che remoti/cloud). AD fornisce un mezzo per controllare le politiche basate su oggetti per gestire l’hardware di rete, qualsiasi risorsa, comprese quelle virtuali, i permessi degli utenti e molto altro.
Una delle funzioni più importanti dell’AD è l’impostazione dei permessi degli utenti. L’Active Directory permette agli amministratori e ai professionisti IT di creare e gestire domini, utenti e oggetti all’interno di una grande rete. Questo può giocare un ruolo importante nella sicurezza (in particolare il principio del minimo privilegio), in quanto un amministratore può creare un gruppo di utenti e limitare i loro privilegi di accesso strettamente a ciò che è necessario per svolgere il loro lavoro.
Active Directory è spesso preso in considerazione quando una rete cresce e un gran numero di utenti deve essere organizzato in gruppi e sottogruppi, con il controllo di accesso impostato ad ogni livello.
Active Directory e criteri di gruppo
I criteri di gruppo sono un modo semplice per configurare le impostazioni di computer e di utenti sui computer che fanno parte del dominio. Per impostare tali criteri tramite Active Directory, ci deve essere almeno un server con i servizi dominio dell’Active Directory installati. Group Policy è usato dagli amministratori di sistema per centralizzare la gestione dei computer sulla loro rete senza dover configurare fisicamente ogni computer uno per uno. Nel passato, la gestione di una grande rete con Windows unicamente sarebbe stata quasi impossibile senza l’uso di Criteri di gruppo.
Storia dell’Active Directory
All’inizio, l’Active Directory era un sistema operativo di rete costruito a partire da Windows 2000. Il suo design è stato fortemente influenzato dall’emergente Lightweight Directory Access Protocol (LDAP), uno standard aperto per le funzioni NOS che è venuto alla ribalta negli anni ’90.
L’AD è nato dopo “LAN Manager” di Microsoft, dove il concetto di dominio è stato introdotto per la prima volta nella gestione dei server Windows. Windows NT era basato sull’architettura di LAN Manager, che portava con sé alcune limitazioni di scalabilità e di gestione dei gruppi che Microsoft è stata poi in grado di eliminare con l’Active Directory.
Gestione remota di Active Directory
L’Active Directory può essere gestito in remoto usando Remote Server Administration Tools (RSAT) di Microsoft. Con RSAT, gli amministratori IT possono gestire in remoto i ruoli e le funzionalità di Windows Server da qualsiasi PC aggiornato con le edizioni Professional o Enterprise di Windows.
C’è un’interfaccia web per Active Directory?
Windows Server 2008 R2 e successivi includono Active Directory Web Services (ADWS). Questo servizio di Windows fornisce un’interfaccia di servizio web per i domini Active Directory, Active Directory Lightweight Directory Services (AD LDS) e le istanze di Active Directory Database Mounting Tool che sono in esecuzione sullo stesso server di ADWS.
L’Active Directory ospitato nel cloud
Azure Active Directory (Azure AD) è la versione basata sul cloud di Microsoft dell’AD originale. Azure AD ha tutte le caratteristiche previste, compresi i servizi di gestione delle identità e degli accessi. Questa è la caratteristica più importante per la maggior parte degli amministratori, perché permette loro di controllare l’accesso dei dipendenti e gestire il loro accesso alle risorse interne e alle directory.
Ci sono alcuni potenziali vantaggi in termini di prestazioni nell’esecuzione dell’Active Directory nel cloud ospitato da Azure. L’AD tradizionale è spesso impegnativo per l’hardware di rete e Azure AD basato sul cloud richiede meno hardware ai controller di dominio.
Con così tanta attenzione che si sposta dall’hardware al cloud, Azure AD è il tentativo di Microsoft di migliorare la velocità della sua tecnologia di gestione della rete. Discuteremo la decisione di Microsoft di abbandonare le loro obsolete strategie di lock-in tra un momento.
Gestione degli utenti di Azure Active Directory
La transizione di un’azienda al cloud è più complessa del semplice spostamento di server, applicazioni, siti web e dati da un luogo all’altro. I professionisti IT devono pensare a come proteggere queste preziose risorse, gestire e organizzare gli utenti autorizzati e garantire che i privilegi siano adeguatamente limitati. La sicurezza è sempre complessa, anche in un ambiente cloud.
L’accesso deve essere controllato in modo centralizzato e gli amministratori devono fornire un’identità definitiva per ogni utente che utilizzano per ogni servizio. I controlli devono essere in atto per garantire che i dipendenti e i fornitori abbiano accesso per svolgere il loro lavoro e non altro. Quando un dipendente lascia l’azienda, gli amministratori devono assicurarsi che il suo accesso venga rimosso completamente.
Azure Active Directory è destinato ad aiutare con tutte queste attività. Come servizio di gestione dell’identità e dell’accesso, Azure AD offre funzionalità come l’autenticazione unica o a più fattori, che Microsoft considera capace di aiutare a proteggere le aziende contro il 99.9% degli attacchi cybercriminali[in inglese].
Possiamo spostare Active Directory nel cloud?
Questa domanda affiora piuttosto spesso ultimamente a causa dell’aumento dei lavoratori a distanza e di un passaggio a lungo termine (e ancora imprevedibile) a una “nuova normalità” in cui molti dipendenti potrebbero continuare a lavorare da casa regolarmente. La tendenza tecnologica è quella di spostare tutto il possibile nel cloud, il che include anche lo spostamento della capacità di gestire la tecnologia nel cloud.
Detto questo, non è così facile spostare AD nel cloud. Non si tratta certo di farlo in qualche clic, specialmente se ci si aspetta che funzioni correttamente.
Microsoft Active Directory è bloccato in loco perché l’opportunità di usare l’AD come strategia di blocco era troppo bello da lasciarsela sfuggire (questo è anche il motivo della spinta per Azure AD).
Quando AD è entrato in scena, il mondo dell’informatica era già al 90%+ con Microsoft Windows. Office e Exchange hanno reso il quasi monopolio ancora più forte e poi l’Active Directory ha dato il tocco finale alla loro strategia di blocco. La migliore soluzione di mantenere i propri clienti è quello di fare in modo che sia quasi impossibile che se ne vadano.
Anche se Microsoft sta prendendo una strada simile con Azure, pare che abbiano capito che le aziende IT vogliono evitare di essere legate ad una cosa specifica. Questo non significa che i professionisti IT non vedono il valore delle soluzioni Microsoft (vedi Office 365), significa solo che gli amministratori riconoscono la necessità di essere flessibili e agili. Vogliono essere in grado di scegliere ciò che funziona meglio per le loro esigenze, anche se questo non significa Active Directory.
Active Directory: comprare o costruire
Per la maggior parte dei professionisti IT e degli amministratori di rete, questa non è una grande domanda. Si riduce davvero a questo: Hai intenzione di acquistare, costruire e mantenere il tuo sistema di controller di dominio… o preferisci semplicemente investire in Azure?
Va da sé che la piena funzionalità di Azure Active Directory sarebbe costosa da riprodurre, anche se le semplici funzioni di gestione degli account sarebbero abbastanza semplici per molti team IT da mettere insieme in-house. Tuttavia, questo percorso lascia molte caratteristiche non previste.
Come connettersi ad Active Directory da remoto usando NinjaOne
Se stai usando l’AD nel tuo ambiente di rete, sarai felice di sapere che puoi usare i servizi di accesso remoto di NinjaOne per gestirlo in remoto da un’interfaccia basata sul web.
Farlo è semplice: Basta usare NinjaOne per accedere in remoto al proprio server di dominio Active Directory, quindi avviare lo strumento di gestione di Active Directory come faresti normalmente.
Detto questo, è importante notare che Active Directory non ha più il monopolo. Ci sono parecchie soluzioni alternative per realizzare ciò che l’AD si propone di fare, molte delle quali con più flessibilità e più caratteristiche.
Per esempio, NinjaOne stesso offre più funzionalità per alcune delle cose per cui useresti l’AD. Prima di tutto, troverai che gestire un gran numero di computer che non sono basati su Windows è infinitamente più facile. Neanche Azure AD funziona bene con Linux o Apple.
NinjaOne è anche più facile da usare per applicare le patch relative agli aggiornamenti essenziali. Con AD, è possibile impostare un criterio di gruppo per gli aggiornamenti di Windows, ma non per altri software importanti sulla rete. NinjaOne consente di impostare, pianificare ed eseguire gli aggiornamenti per più di 135 popolari applicazioni di terze parti.
AD è anche più adatto per le LAN piuttosto che per le reti distribuite (è quello per cui è stato originariamente costruito). NinjaOne non ha queste limitazioni. Ci sono anche miglioramenti nelle prestazioni da considerare, dato che NinjaOne non ha il sovraccarico delle risorse o i requisiti dei controller di dominio di Active Directory.
Lasciarsi alle spalle l’Active Directory ed esplorare le alternative di gestione moderne
È incredibile pensare che Microsoft abbia introdotto l’AD più di 20 anni fa. Le esigenze di gestione IT sono cambiate radicalmente da allora, eppure molti team IT si affidano ancora ad essa.
Di recente, abbiamo ospitato il nostro summit virtuale Adapt IT come occasione per gli MSP e i professionisti IT di discutere le sfide e le opportunità per andare oltre le soluzioni legacy e abbracciare approcci più moderni alla gestione, alla sicurezza e al supporto IT. La sessione seguente si è concentrata sull’esplorazione delle alternative moderne “senza dominio” ad AD e LDAP, in particolare.
Puoi accedere al resto delle sessioni di Adapt IT su richiesta da qui [in inglese].