Un gruppo è un insieme di account utente, account computer, contatti e altri gruppi che possono essere gestiti come un'unità. Gli utenti e i computer appartenenti a un determinato gruppo vengono definiti membri del gruppo.
I gruppi in Servizi di dominio Active Directory sono oggetti directory che risiedono in un dominio e in oggetti contenitore unità organizzativa. Servizi di dominio Active Directory offre un insieme di gruppi predefiniti all'installazione e un'opzione per creare gruppi.
È possibile utilizzare i gruppi in Servizi di dominio Active Directory per eseguire le operazioni seguenti:
-
Semplificare l'amministrazione assegnando le autorizzazioni per una risorsa condivisa a un gruppo anziché ai singoli utenti. L'assegnazione di autorizzazioni a un gruppo consente di dare lo stesso accesso alla risorsa a tutti i membri di quel gruppo.
-
Delegare l'amministrazione assegnando una sola volta i diritti utente a un gruppo tramite Criteri di gruppo. È quindi possibile aggiungere al gruppo i membri a cui si desidera assegnare gli stessi diritti del gruppo.
-
Creare liste di distribuzione per posta elettronica.
I gruppi sono caratterizzati dall'ambito e dal tipo. L'ambito di un gruppo determina il campo di applicazione del gruppo in un dominio o in una foresta. Il tipo di gruppo determina se è possibile utilizzare un gruppo per assegnare autorizzazioni da una risorsa condivisa (gruppi di sicurezza) o solo per liste di distribuzione per posta elettronica (gruppi di distribuzione).
Esistono anche gruppi di cui non è possibile modificare né visualizzare le appartenenze. Questi gruppi sono definiti identità speciali e rappresentano utenti diversi in orari diversi, a seconda delle circostanze. Il gruppo Everyone, ad esempio, è un'identità speciale che rappresenta tutti gli utenti della rete correnti, inclusi i guest e gli utenti di altri domini.
Nelle sezioni seguenti vengono fornite ulteriori informazioni sugli account di gruppo di Servizi di dominio Active Directory.
Informazioni sui gruppi predefiniti
I gruppi predefiniti, ad esempio il gruppo Domain Admins, sono gruppi di sicurezza creati automaticamente durante la creazione di un dominio Active Directory. È possibile utilizzare questi gruppi predefiniti per controllare l'accesso a risorse condivise e per delegare ruoli amministrativi specifici a livello di dominio.
A molti gruppi predefiniti viene assegnato automaticamente un insieme di diritti utente che autorizzano i membri del gruppo a effettuare azioni specifiche in un dominio, ad esempio accedere a un sistema locale o eseguire il backup di file e cartelle. Un membro del gruppo Backup Operators, ad esempio, ha il diritto di eseguire le operazioni di backup per tutti i controller di dominio nel dominio.
Quando si aggiunge un utente a un gruppo, l'utente riceve quanto segue:
-
Tutti i diritti utente assegnati al gruppo
-
Tutte le autorizzazioni assegnate al gruppo per le risorse condivise
I gruppi predefiniti si trovano nei contenitori Builtin e Users. L'ambito dei gruppi predefiniti nel contenitore Builtin è locale incorporato. L'ambito e il tipo di questi gruppi non può essere modificato. Il contenitore Users include gruppi definiti con un ambito globale e gruppi definiti con un ambito locale di dominio. È possibile spostare i gruppi che si trovano in questi contenitori in altri gruppi o in altre unità organizzative all'interno del dominio, ma non è possibile spostarli in altri domini.
Per ulteriori informazioni sui gruppi predefiniti, vedere la pagina relativa (
Informazioni sull'ambito dei gruppi
I gruppi sono caratterizzati da un ambito che identifica il campo di applicazione del gruppo in un albero di dominio o in una foresta. Sono disponibili tre ambiti di gruppo, ovvero locale di dominio, globale e universale.
Informazioni sui gruppi locali di dominio
I membri dei gruppi locali di dominio possono includere altri gruppi e account appartenenti a domini di Windows Server 2003, Windows 2000, Windows NT, Windows Server 2008 e Windows Server 2008 R2. Ai membri di tali gruppi possono essere assegnate autorizzazioni solo all'interno di un dominio.
I gruppi con ambito locale di dominio aiutano a definire e a gestire l'accesso alle risorse all'interno di un singolo dominio. Tali gruppi possono avere come membri le entità seguenti:
-
Gruppi con ambito globale
-
Gruppi con ambito universale
-
Account
-
Altri gruppi con ambito locale di dominio
-
Una combinazione qualunque delle entità sopra elencate
Per consentire a cinque utenti di accedere a una determinata stampante, è ad esempio possibile aggiungere tutti e cinque gli account utente all'elenco di autorizzazioni per la stampante. Se in seguito si desidera concedere ai cinque utenti l'accesso a una nuova stampante, sarà necessario specificare di nuovo tutti e cinque gli account nell'elenco di autorizzazioni per la nuova stampante.
Questa attività di ordinaria amministrazione può essere semplificata creando un gruppo con ambito locale di dominio e assegnandovi l'autorizzazione per accedere alla stampante. Inserire i cinque account utente in un gruppo con ambito globale e aggiungere questo gruppo al gruppo con ambito locale di dominio. Quando si desidera concedere ai cinque utenti l'accesso a una nuova stampante, assegnare al gruppo con ambito locale di dominio l'autorizzazione per accedere alla nuova stampante. Tutti i membri del gruppo con ambito globale otterranno automaticamente l'accesso alla nuova stampante.
Informazioni sui gruppi globali
I membri di un gruppo globale possono includere solo altri gruppi e account appartenenti al dominio in cui il gruppo è definito. Ai membri di tali gruppi possono essere assegnate autorizzazioni in qualunque dominio della foresta.
È possibile utilizzare i gruppi con ambito globale per gestire oggetti directory che richiedono una manutenzione giornaliera, ad esempio account utente e computer. Poiché i gruppi con ambito globale non vengono replicati all'esterno del proprio dominio, è possibile modificarne frequentemente gli account senza generare traffico di replica nel catalogo globale.
Nonostante i diritti e le autorizzazioni siano validi sono all'interno del dominio in cui sono assegnati, applicando uniformemente gruppi con ambito globale nei domini appropriati, è possibile consolidare i riferimenti agli account con scopi simili. Ciò semplifica e razionalizza la gestione dei gruppi a livello di dominio. Si supponga che una rete contenga due domini, Europa e StatiUniti. Se il dominio StatiUniti include un gruppo con ambito globale denominato GLAccounting, tale gruppo deve esistere anche nel dominio Europa, a meno che la funzione di accounting non esista nel dominio Europa.
Importante | |
Quando si specificano autorizzazioni su oggetti directory di dominio replicati nel catalogo globale, è consigliabile utilizzare gruppi globali o universali anziché gruppi locali di dominio. |
Informazioni sui gruppi universali
I membri dei gruppi universali possono includere altri gruppi e account appartenenti a qualunque dominio dell'albero di dominio o della foresta. Ai membri di tali gruppi possono essere assegnate autorizzazioni in qualunque dominio dell'albero di dominio o della foresta.
È possibile utilizzare i gruppi con ambito universale per consolidare gruppi che si estendono su più domini. A tale scopo aggiungere gli account ai gruppi con ambito globale e nidificare tali gruppi nei gruppi con ambito universale. Utilizzando questa strategia, qualunque modifica di appartenenza ai gruppi con ambito globale non influirà sui gruppi con ambito universale.
Si supponga che una rete contenga due domini, Europa e StatiUniti, e che ogni dominio includa un gruppo con ambito globale denominato GLAccounting. Creare un gruppo con ambito universale denominato UAccounting che abbia come membri i due gruppi GLAccounting, StatiUniti\GLAccounting ed Europa\GLAccounting. Il gruppo UAccounting può essere utilizzato ovunque nell'organizzazione. Le modifiche di appartenenza dei singoli gruppi GLAccounting non causeranno la replica del gruppo UAccounting.
È consigliabile non modificare frequentemente l'appartenenza di un gruppo con ambito universale. Qualunque modifica apportata all'appartenenza di questo tipo di gruppo causa la replica dell'intera appartenenza del gruppo in ogni catalogo globale della foresta.
Informazioni sui tipi di gruppo
In Servizi di dominio Active Directory esistono due tipi di gruppi, ovvero gruppi di distribuzione e gruppi di sicurezza. È possibile utilizzare i gruppi di distribuzione per creare liste di distribuzione per posta elettronica e i gruppi di sicurezza per assegnare autorizzazioni per le risorse condivise.
È possibile utilizzare i gruppi di distribuzione solo con applicazioni di posta elettronica, ad esempio Microsoft Exchange Server 2007, per inviare posta elettronica a insiemi di utenti. I gruppi di distribuzione non sono dotati di funzioni di sicurezza, quindi non possono essere inclusi negli elenchi di controllo di accesso discrezionali (DACL). Se è necessario un gruppo per controllare l'accesso a risorse condivise, creare un gruppo di sicurezza.
Se utilizzati con attenzione, i gruppi di sicurezza rappresentano un modo efficiente per concedere l'accesso alle risorse in rete. Utilizzando i gruppi di sicurezza è possibile:
-
Assegnare diritti utente a gruppi di sicurezza in Servizi di dominio Active Directory.
I diritti utente vengono assegnati a un gruppo di sicurezza per determinare quali operazioni possono effettuare i membri di quel gruppo all'interno dell'ambito di un dominio o di una foresta. I diritti utente vengono assegnati automaticamente ad alcuni gruppi di sicurezza durante l'installazione di Servizi di dominio Active Directory per consentire agli amministratori di definire il ruolo amministrativo di un utente nel dominio. Ad esempio, un utente aggiunto al gruppo Backup Operators in Active Directory ha la possibilità di eseguire il backup e il ripristino di file e directory in ogni controller di dominio nel dominio.
-
Assegnare autorizzazioni per le risorse a gruppi di sicurezza.
Le autorizzazioni si differenziano dai diritti utente. Le autorizzazioni definiscono chi può accedere a una risorsa condivisa e determinano il livello di accesso, ad esempio Controllo completo. È possibile utilizzare i gruppi di sicurezza per gestire l'accesso e le autorizzazioni per una risorsa condivisa. Alcune autorizzazioni impostate sugli oggetti dominio sono assegnate automaticamente per attribuire vari livelli di accesso ai gruppi di sicurezza predefiniti, ad esempio il gruppo Account Operators o Domain Admins.
Analogamente ai gruppi di distribuzione, i gruppi di sicurezza possono essere utilizzati come entità di posta elettronica. Inviando un messaggio di posta elettronica al gruppo si invia il messaggio a tutti i membri del gruppo.
Identità speciali
Oltre ai gruppi presenti nei contenitori Users e Builtin, i server che eseguono Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003 includono diverse identità speciali. Per comodità tali identità vengono generalmente considerate gruppi. Questi gruppi speciali non dispongono di appartenenze specifiche che possono essere modificate. Essi possono rappresentare utenti diversi in orari diversi, a seconda delle circostanze. I gruppi seguenti rappresentano identità speciali:
-
Accesso anonimo
Questo gruppo rappresenta utenti e servizi che accedono a un computer e alle sue risorse attraverso la rete senza utilizzare un nome di account, una password o un nome di dominio. Nei computer che eseguono Windows NT e versioni precedenti, il gruppo Accesso anonimo è un membro predefinito del gruppo Everyone. Nei computer che eseguono Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003 il gruppo Accesso anonimo non è un membro predefinito del gruppo Everyone.
-
Everyone
Questo gruppo rappresenta tutti i gli utenti correnti della rete, inclusi i guest e gli utenti di altri domini. Ogni volta che un utente accede alla rete, viene aggiunto automaticamente al gruppo Everyone.
-
Network
Questo gruppo rappresenta gli utenti che accedono a una determinata risorsa attraverso la rete, diversamente dagli utenti che accedono a tale risorsa connettendosi localmente al computer in cui si trova. Ogni volta che un utente accede a una determinata risorsa attraverso la rete, viene aggiunto automaticamente al gruppo Network.
-
Interactive
Questo gruppo rappresenta tutti gli utenti connessi a un determinato computer e che accedono a un risorsa che si trova in quel computer, diversamente dagli utenti che accedono a quella risorsa attraverso la rete. Ogni volta che un utente accede a una determinata risorsa nel computer in cui è attualmente connesso, viene aggiunto automaticamente al gruppo Interactive.
Sebbene alle identità speciali sia possibile assegnare diritti e autorizzazioni per le risorse, non è possibile modificarne o visualizzarne le appartenenze. Gli ambiti dei gruppi non si applicano alle identità speciali. Gli utenti vengono assegnati automaticamente a queste identità speciali ogni volta che si connettono o accedono a una determinata risorsa.
Informazioni sulle ubicazioni in cui è possibile creare i gruppi
In Servizi di dominio Active Directory i gruppi vengono creati nei domini. Per creare gruppi, è possibile utilizzare Utenti e computer di Active Directory. Se si dispone delle autorizzazioni necessarie, è possibile creare gruppi nel dominio radice della foresta, in qualunque altro dominio della foresta o in una unità organizzativa.
Un gruppo è caratterizzato dall'ambito oltre che dal dominio in cui viene creato. L'ambito di un gruppo determina quanto segue:
-
Il dominio da cui è possibile aggiungere membri
-
Il dominio in cui sono validi i diritti e le autorizzazioni assegnati al gruppo
Scegliere il dominio o l'unità organizzativa in cui si crea un gruppo in base al tipo di amministrazione necessaria per il gruppo. Se ad esempio la directory include più unità organizzative, ognuna delle quali ha un amministratore diverso, è possibile creare gruppi con ambito globale all'interno di quelle unità organizzative, in modo che gli amministratori possano gestire le appartenenze ai gruppi per gli utenti nelle rispettive unità organizzative. Se sono necessari gruppi per il controllo dell'accesso all'esterno dell'unità organizzativa, è possibile nidificare i gruppi dell'unità organizzativa in gruppi con ambito universale o in altri gruppi con ambito globale che possono essere utilizzati altrove nella foresta.
Se il livello funzionale del dominio è impostato su Windows 2000 originale o versioni successive, il dominio contiene una gerarchia di unità organizzative e l'amministrazione è delegata agli amministratori di ogni unità organizzativa, potrebbe risultare più efficiente nidificare i gruppi con ambito globale. Se ad esempio l'unità organizzativa 1 contiene le unità organizzative 2 e 3, un gruppo con ambito globale nell'unità organizzativa 1 può avere come membri i gruppi con ambito globale nelle unità organizzative 2 e 3. Nell'unità organizzativa 1 l'amministratore può aggiungere o rimuovere membri dei gruppi dall'unità organizzativa 1 e gli amministratori delle unità organizzative 2 e 3 possono aggiungere o rimuovere membri dei gruppi per gli account delle proprie unità organizzative senza possedere diritti amministrativi per il gruppo con ambito globale nell'unità organizzativa 1.
Nota | |
È possibile spostare gruppi all'interno di un dominio. Tuttavia solo i gruppi con ambito universale possono essere spostati da un dominio all'altro. I diritti e le autorizzazioni assegnati a un gruppo con ambito universale vengono persi quando il gruppo viene spostato in un altro dominio, pertanto è necessario effettuare nuove assegnazioni. |