Un gruppo è un insieme di account utente, account computer, contatti e altri gruppi che possono essere gestiti come una singola unità. Gli utenti e i computer appartenenti a un determinato gruppo vengono definiti membri del gruppo.
I gruppi in Servizi di dominio Active Directory sono oggetti directory che risiedono in un dominio e in oggetti contenitore unità organizzativa. Servizi di dominio Active Directory offre un insieme di gruppi predefiniti al momento dell'installazione e un'opzione per creare gruppi.
È possibile utilizzare i gruppi in Servizi di dominio Active Directory per eseguire le operazioni seguenti:
-
Semplificare l'amministrazione assegnando le autorizzazioni per una risorsa condivisa a un gruppo anziché ai singoli utenti. L'assegnazione di autorizzazioni a un gruppo consente di concedere lo stesso accesso alla risorsa a tutti i membri del gruppo.
-
Delegare l'amministrazione assegnando una sola volta i diritti utente a un gruppo tramite i Criteri di gruppo. È quindi possibile aggiungere al gruppo i membri che si desidera dispongano degli stessi diritti del gruppo.
-
Creare liste di distribuzione per posta elettronica.
I gruppi sono caratterizzati dai relativi ambito e tipo. L'ambito di un gruppo determina il campo di applicazione del gruppo in un dominio o in una foresta. Il tipo di gruppo determina se è possibile utilizzare un gruppo per assegnare autorizzazioni da una risorsa condivisa (gruppi di sicurezza) o solo per liste di distribuzione per posta elettronica (gruppi di distribuzione).
Esistono anche gruppi di cui non è possibile modificare né visualizzare le appartenenze. Questi gruppi sono definiti identità speciali e rappresentano utenti diversi in momenti diversi, a seconda delle circostanze. Il gruppo Everyone, ad esempio, è un'identità speciale che rappresenta tutti gli utenti della rete correnti, inclusi i membri del gruppo Guests e gli utenti di altri domini.
Nelle sezioni seguenti vengono fornite ulteriori informazioni sugli account di gruppo di Servizi di dominio Active Directory.
Gruppi predefiniti
I gruppi predefiniti, ad esempio il gruppo Domain Admins, sono gruppi di sicurezza creati automaticamente durante la creazione di un dominio Active Directory. È possibile utilizzare questi gruppi predefiniti per controllare l'accesso a risorse condivise e per delegare ruoli amministrativi specifici a livello di dominio.
A molti gruppi predefiniti viene assegnato automaticamente un insieme di diritti utente che autorizzano i membri del gruppo a eseguire azioni specifiche in un dominio, ad esempio l'accesso a un sistema locale o il backup di file e cartelle. Un membro del gruppo Backup Operators ha ad esempio il diritto di eseguire operazioni di backup per tutti i controller di dominio nel dominio.
Quando si aggiunge un utente a un gruppo, l'utente riceve quanto segue:
-
Tutti i diritti utente assegnati al gruppo
-
Tutte le autorizzazioni assegnate al gruppo per le risorse condivise
I gruppi predefiniti si trovano nei contenitori Builtin e Users. L'ambito dei gruppi predefiniti nel contenitore Builtin corrisponde a Locale incorporato. L'ambito e il tipo di questi gruppi non può essere modificato. Il contenitore Users include gruppi definiti con un ambito globale e gruppi definiti con un ambito locale di dominio. È possibile spostare i gruppi che si trovano in questi contenitori in altri gruppi o in altre unità organizzative all'interno del dominio, ma non è possibile spostarli in altri domini.
Per ulteriori informazioni sui gruppi predefiniti, vedere la pagina relativa (
Ambito dei gruppi
I gruppi sono caratterizzati da un ambito che identifica il campo di applicazione del gruppo in un albero di dominio o in una foresta. Sono disponibili tre ambiti dei gruppi, ovvero locale di dominio, globale e universale.
Gruppi locali di dominio
I membri dei gruppi locali di dominio possono includere altri gruppi e account appartenenti a domini di Windows NT, Windows 2000, Windows 2003, Windows Server 2008 e Windows Server 2008 R2. Ai membri di tali gruppi possono essere assegnate autorizzazioni solo all'interno di un dominio.
I gruppi con ambito locale di dominio consentono di definire e gestire l'accesso alle risorse all'interno di un singolo dominio. Questi gruppi possono avere come membri le entità seguenti:
-
Account di qualsiasi dominio
-
Gruppi locali di qualsiasi dominio
-
Gruppi universali di qualsiasi dominio
-
Gruppi locali di dominio, ma solo dello stesso dominio del gruppo locale di dominio padre
-
Una combinazione qualsiasi delle entità sopra elencate
Per consentire a cinque utenti di accedere a una determinata stampante, è ad esempio possibile aggiungere tutti e cinque gli account utente all'elenco di autorizzazioni per la stampante. Se in un secondo momento si desidera tuttavia concedere ai cinque utenti l'accesso a una nuova stampante, sarà necessario specificare di nuovo tutti e cinque gli account nell'elenco di autorizzazioni per la nuova stampante.
Con un minimo di pianificazione, è possibile semplificare questa attività di amministrazione di routine creando un gruppo con ambito locale di dominio e assegnandovi l'autorizzazione per accedere alla stampante. Inserire i cinque account utente in un gruppo con ambito globale e aggiungere questo gruppo al gruppo con ambito locale di dominio. Quando si desidera concedere ai cinque utenti l'accesso a una nuova stampante, assegnare al gruppo con ambito locale di dominio l'autorizzazione per accedere alla nuova stampante. Tutti i membri del gruppo con ambito globale otterranno automaticamente l'accesso alla nuova stampante.
Gruppi globali
I membri di un gruppo globale possono includere account appartenenti allo stesso dominio del gruppo globale padre e gruppi globali appartenenti allo stesso dominio del gruppo globale padre. Ai membri di tali gruppi possono essere assegnate autorizzazioni in qualunque dominio della foresta.
È possibile utilizzare i gruppi con ambito globale per gestire oggetti directory che richiedono una manutenzione giornaliera, ad esempio account utente e computer. Poiché i gruppi con ambito globale non vengono replicati all'esterno del proprio dominio, è possibile modificare frequentemente gli account di un gruppo con ambito globale senza generare traffico di replica nel catalogo globale.
Nonostante i diritti e le autorizzazioni siano validi sono all'interno del dominio in cui vengono assegnati, l'applicazione uniforme di gruppi con ambito globale nei domini appropriati consente di consolidare i riferimenti agli account con scopi simili. La gestione dei gruppi a livello di dominio viene in tal modo semplificata e razionalizzata. Si supponga che una rete contenga due domini, Europa e StatiUniti. Se il dominio StatiUniti include un gruppo con ambito globale denominato GLAccounting, tale gruppo dovrà esistere anche nel dominio Europa, a meno che la funzione di accounting non esista nel dominio Europa.
 | Importante |
|
Quando si specificano autorizzazioni relative a oggetti directory di dominio replicati nel catalogo globale, è consigliabile utilizzare gruppi globali o universali anziché gruppi locali di dominio. |
Gruppi universali
I gruppi universali possono avere come membri le entità seguenti:
- Account di qualsiasi dominio all'interno della foresta in cui risiede il gruppo universale
- Gruppi globali di qualsiasi dominio all'interno della foresta in cui risiede il gruppo universale
- Gruppi universali di qualsiasi dominio all'interno della foresta in cui risiede il gruppo universale
Ai membri di tali gruppi possono essere assegnate autorizzazioni in qualsiasi dominio dell'albero di dominio o della foresta. Utilizzare i gruppi con ambito universale per consolidare i gruppi che si estendono su più domini. A tale scopo, aggiungere gli account ai gruppi con ambito globale e nidificare tali gruppi nei gruppi con ambito universale. Quando si utilizza questa strategia, qualsiasi modifica dell'appartenenza apportata ai gruppi con ambito globale non ha effetto sui gruppi con ambito universale.
Si supponga che una rete contenga due domini, Europa e StatiUniti, e che ogni dominio includa un gruppo con ambito globale denominato GLAccounting. Creare un gruppo con ambito universale denominato UAccounting che abbia come membri i due gruppi GLAccounting, ovvero StatiUniti\GLAccounting ed Europa\GLAccounting. Il gruppo UAccounting potrà essere utilizzato ovunque all'interno dell'organizzazione. Le modifiche all'appartenenza dei singoli gruppi GLAccounting non determineranno la replica del gruppo UAccounting.
È consigliabile non modificare frequentemente l'appartenenza di un gruppo con ambito universale. Qualsiasi modifica apportata all'appartenenza di questo tipo di gruppo causa la replica dell'intera appartenenza del gruppo in ogni catalogo globale della foresta.
Tipi di gruppi
In Servizi di dominio Active Directory esistono due tipi di gruppi, ovvero gruppi di distribuzione e gruppi di sicurezza. È possibile utilizzare i gruppi di distribuzione per creare liste di distribuzione per posta elettronica. È possibile utilizzare i gruppi di sicurezza per assegnare autorizzazioni a una risorsa condivisa.
È possibile utilizzare i gruppi di distribuzione solo con applicazioni di posta elettronica, ad esempio Microsoft Exchange Server 2007, per inviare posta elettronica a gruppi di utenti. I gruppi di distribuzione non sono dotati di funzioni di sicurezza e pertanto non possono essere inclusi negli elenchi di controllo di accesso discrezionali (DACL). Se è necessario disporre di un gruppo per il controllo dell'accesso a risorse condivise, creare un gruppo di sicurezza.
Se utilizzati con attenzione, i gruppi di sicurezza rappresentano un modo efficiente per concedere l'accesso alle risorse in rete. È possibile utilizzare i gruppi di sicurezza per eseguire le operazioni seguenti:
-
Assegnare diritti utente a gruppi di sicurezza in Servizi di dominio Active Directory.
I diritti utente vengono assegnati a un gruppo di sicurezza per determinare quali operazioni possono eseguire i membri di quel gruppo all'interno dell'ambito di un dominio o di una foresta. I diritti utente vengono assegnati automaticamente ad alcuni gruppi di sicurezza durante l'installazione di Servizi di dominio Active Directory per consentire agli amministratori di definire il ruolo amministrativo di un utente nel dominio. Un utente aggiunto al gruppo Backup Operators in Active Directory ha ad esempio la possibilità di eseguire il backup e il ripristino di file e directory in ogni controller di dominio nel dominio.
-
Assegnare autorizzazioni per le risorse a gruppi di sicurezza.
Le autorizzazioni si differenziano dai diritti utente. Le autorizzazioni definiscono chi può accedere a una risorsa condivisa e determinano il livello di accesso, ad esempio Controllo completo. È possibile utilizzare i gruppi di sicurezza per gestire l'accesso e le autorizzazioni per una risorsa condivisa. Alcune autorizzazioni impostate sugli oggetti dominio vengono assegnate automaticamente per attribuire vari livelli di accesso ai gruppi di sicurezza predefiniti, ad esempio il gruppo Account Operators o Domain Admins.
Analogamente ai gruppi di distribuzione, i gruppi di sicurezza possono essere utilizzati come entità di posta elettronica. L'invio di un messaggio di posta elettronica al gruppo determina l'invio del messaggio a tutti i membri del gruppo.
Identità speciali
Oltre ai gruppi presenti nei contenitori Users e Builtin, i server che eseguono Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003 includono diverse identità speciali. Per praticità, queste identità vengono in genere definite gruppi. Questi gruppi speciali non dispongono di appartenenze specifiche che possono essere modificate. Possono tuttavia rappresentare utenti diversi in momenti diversi, a seconda delle circostanze. I gruppi seguenti rappresentano identità speciali:
-
Accesso anonimo
Questo gruppo rappresenta utenti e servizi che accedono a un computer e alle risorse corrispondenti attraverso la rete senza utilizzare un nome di account, una password o un nome di dominio. Nei computer che eseguono Windows NT e versioni precedenti, il gruppo Accesso anonimo è un membro predefinito del gruppo Everyone. Nei computer che eseguono Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003 il gruppo Accesso anonimo non è un membro predefinito del gruppo Everyone.
-
Everyone
Questo gruppo rappresenta tutti i gli utenti correnti della rete, inclusi i membri del gruppo Guests e gli utenti di altri domini. Ogni volta che un utente accede alla rete, l'utente viene aggiunto automaticamente al gruppo Everyone.
-
Rete
Questo gruppo rappresenta gli utenti che accedono a una determinata risorsa attraverso la rete, diversamente dagli utenti che accedono a una risorsa connettendosi localmente al computer in cui si trova la risorsa. Ogni volta che un utente accede a una determinata risorsa attraverso la rete, l'utente viene aggiunto automaticamente al gruppo Network.
-
Interactive
Questo gruppo rappresenta tutti gli utenti connessi a un determinato computer e che accedono a un risorsa che si trova in quel computer, diversamente dagli utenti che accedono alla risorsa attraverso la rete. Ogni volta che un utente accede a una determinata risorsa nel computer a cui è attualmente connesso, l'utente viene aggiunto automaticamente al gruppo Interactive.
Sebbene alle identità speciali sia possibile assegnare diritti e autorizzazioni per le risorse, non è possibile modificare o visualizzarne le appartenenze di identità speciali. Gli ambiti dei gruppi non si applicano alle identità speciali. Gli utenti vengono assegnati automaticamente a queste identità speciali ogni volta che si connettono o accedono a una determinata risorsa.
Posizioni in cui è possibile creare i gruppi
In Servizi di dominio Active Directory i gruppi vengono creati nei domini. È possibile utilizzare il Centro di amministrazione di Active Directory per creare i gruppi. Se si dispone delle autorizzazioni necessarie, è possibile creare gruppi nel dominio radice della foresta, in qualsiasi altro dominio della foresta o in una unità organizzativa.
Oltre che dal dominio in cui viene creato, un gruppo è caratterizzato dal relativo ambito. L'ambito di un gruppo determina quanto segue:
-
Il dominio da cui è possibile aggiungere membri
-
Il dominio in cui sono validi i diritti e le autorizzazioni assegnati al gruppo
Scegliere il dominio o l'unità organizzativa in cui creare un gruppo in base al tipo di amministrazione necessaria per il gruppo. Se ad esempio la directory include più unità organizzative, ognuna delle quali ha un amministratore diverso, sarà possibile creare gruppi con ambito globale all'interno di tali unità organizzative, in modo che gli amministratori possano gestire l'appartenenza ai gruppi per gli utenti nelle rispettive unità organizzative. Se sono necessari gruppi per il controllo dell'accesso all'esterno dell'unità organizzativa, sarà possibile nidificare i gruppi dell'unità organizzativa in gruppi con ambito universale o in altri gruppi con ambito globale che possono essere utilizzati in un'altra posizione nella foresta.
Se il livello funzionale del dominio è impostato su Windows 2000 originale o versioni successive, il dominio contiene una gerarchia di unità organizzative e l'amministrazione è delegata agli amministratori di ogni unità organizzativa, potrebbe risultare più efficiente nidificare i gruppi con ambito globale. Se ad esempio l'unità organizzativa 1 contiene le unità organizzative 2 e 3, un gruppo con ambito globale nell'unità organizzativa 1 può avere come relativi membri i gruppi con ambito globale nelle unità organizzative 2 e 3. Nell'unità organizzativa 1 l'amministratore può aggiungere o rimuovere membri dei gruppi dall'unità organizzativa 1 e gli amministratori delle unità organizzative 2 e 3 possono aggiungere o rimuovere membri dei gruppi per gli account delle proprie unità organizzative senza disporre dei diritti amministrativi per il gruppo con ambito globale nell'unità organizzativa 1.
 | Nota |
|
È possibile spostare gruppi all'interno di un dominio. Solo i gruppi con ambito universale possono tuttavia essere spostati da un dominio all'altro. I diritti e le autorizzazioni assegnati a un gruppo con ambito universale vengono persi quando il gruppo viene spostato in un altro dominio, pertanto è necessario procedere a nuove assegnazioni. |