Confronto tra autonomia isolamento
È possibile progettare la struttura logica di Active Directory per ottenere una delle operazioni seguenti:
Autonomia. Implica un controllo indipendente ma non esclusivo di una risorsa. Quando si raggiunge l'autonomia, gli amministratori hanno l'autorità di gestire le risorse in modo indipendente; Tuttavia, gli amministratori con maggiore autorità esistono che hanno anche il controllo su tali risorse e possono prendere il controllo, se necessario. È possibile progettare la struttura logica di Active Directory per ottenere i tipi di autonomia seguenti:
autonomia del servizio. Questo tipo di autonomia implica il controllo di tutto o parte della gestione dei servizi.
Autonomia dei dati. Questo tipo di autonomia comporta il controllo di tutti o parte dei dati archiviati nella directory o nei computer membri aggiunti alla directory.
Isolamento. Implica un controllo indipendente ed esclusivo di una risorsa. Quando si ottiene l'isolamento, gli amministratori hanno l'autorità di gestire una risorsa in modo indipendente e nessun altro amministratore può sottrarre il controllo della risorsa. È possibile progettare la struttura logica di Active Directory per ottenere i tipi di isolamento seguenti:
isolamento del servizio. Impedisce agli amministratori (diversi da quelli designati specificamente per controllare la gestione dei servizi) di controllare o interferire con la gestione dei servizi.
Isolamento dei dati. Impedisce agli amministratori (diversi da quelli designati specificamente per controllare o visualizzare i dati) di controllare o visualizzare un subset di dati nella directory o nei computer membri aggiunti alla directory.
Gli amministratori che richiedono solo autonomia accettano che gli altri amministratori che dispongono di un'autorità amministrativa uguale o superiore abbiano un controllo maggiore o uguale sul servizio o sulla gestione dei dati. Gli amministratori che richiedono l'isolamento hanno un controllo esclusivo sulla gestione dei dati o del servizio. La creazione di un progetto per ottenere l'autonomia è in genere meno costosa rispetto alla creazione di un progetto per ottenere l'isolamento.
In Active Directory Domain Services gli amministratori possono delegare sia l'amministrazione del servizio sia l'amministrazione dei dati per ottenere autonomia o isolamento tra le organizzazioni. La combinazione di gestione dei servizi, gestione dei dati, autonomia e isolamento di un'organizzazione influisce sui contenitori di Active Directory usati per delegare l'amministrazione.
Requisiti di isolamento e autonomia
Il numero di foreste da distribuire si basa sui requisiti di autonomia e isolamento di ogni gruppo all'interno dell'organizzazione. Per identificare i requisiti di progettazione della foresta è necessario identificare i requisiti di autonomia e isolamento per tutti i gruppi dell'organizzazione. In particolare, è necessario identificare la necessità di isolamento dei dati, autonomia dei dati, isolamento del servizio e autonomia del servizio. È anche necessario identificare aree di connettività limitata nell'organizzazione.
Isolamento dei dati
L'isolamento dei dati comporta un controllo esclusivo sui dati da parte del gruppo o dell'organizzazione proprietaria dei dati. È importante notare che gli amministratori del servizio hanno la possibilità di prendere il controllo di una risorsa dagli amministratori dei dati. Gli amministratori dei dati non hanno la possibilità di impedire agli amministratori del servizio di accedere alle risorse controllate. Pertanto, non è possibile ottenere l'isolamento dei dati quando un altro gruppo all'interno dell'organizzazione è responsabile dell'amministrazione del servizio. Se un gruppo richiede l'isolamento dei dati, tale gruppo deve anche assumere la responsabilità dell'amministrazione del servizio.
Poiché i dati archiviati in Active Directory Domain Services e nei computer aggiunti ad Active Directory Domain Services non possono essere isolati dagli amministratori del servizio, l'unico modo per un gruppo all'interno di un'organizzazione per ottenere l'isolamento completo dei dati consiste nel creare una foresta separata per tali dati. Le organizzazioni per le quali le conseguenze di un attacco da software dannoso o da un amministratore del servizio coercito possono scegliere di creare una foresta separata per ottenere l'isolamento dei dati. I requisiti legali in genere creano una necessità di questo tipo di isolamento dei dati. Ad esempio:
Un istituto finanziario è richiesto dalla legge per limitare l'accesso ai dati che appartengono ai clienti in una particolare giurisdizione per utenti, computer e amministratori che si trovano in tale giurisdizione. Anche se l'istituto considera attendibile gli amministratori del servizio che lavorano all'esterno dell'area protetta, se la limitazione di accesso viene violata, l'istituto non sarà più in grado di svolgere attività commerciali in tale giurisdizione. Pertanto, l'istituto finanziario deve isolare i dati dagli amministratori del servizio al di fuori di tale giurisdizione. Si noti che la crittografia non è sempre un'alternativa a questa soluzione. La crittografia potrebbe non proteggere i dati dagli amministratori del servizio.
Un terzista della difesa è richiesto dalla legge per limitare l'accesso ai dati del progetto a un set specificato di utenti. Anche se l'appaltatore considera attendibili gli amministratori del servizio che controllano i sistemi informatici correlati ad altri progetti, una violazione di questa limitazione di accesso causerà la perdita dell'azienda da parte del terzista.
Nota
Se si ha un requisito di isolamento dei dati, è necessario decidere se è necessario isolare i dati dagli amministratori del servizio o dagli amministratori dei dati e dagli utenti ordinari. Se il requisito di isolamento si basa sull'isolamento dagli amministratori dei dati e dagli utenti ordinari, è possibile usare elenchi di controllo di accesso (ACL) per isolare i dati. Ai fini di questo processo di progettazione, l'isolamento dagli amministratori dei dati e dagli utenti ordinari non è considerato un requisito di isolamento dei dati.
Autonomia dei dati
L'autonomia dei dati implica la capacità di un gruppo o di un'organizzazione di gestire i propri dati, incluse le decisioni amministrative sui dati e l'esecuzione di eventuali attività amministrative necessarie senza la necessità di approvazione da un'altra autorità.
L'autonomia dei dati non impedisce agli amministratori del servizio nella foresta di accedere ai dati. Ad esempio, un gruppo di ricerca all'interno di un'organizzazione di grandi dimensioni potrebbe voler essere in grado di gestire autonomamente i dati specifici del progetto, ma non deve proteggere i dati da altri amministratori nella foresta.
Isolamento del servizio
L'isolamento del servizio implica il controllo esclusivo dell'infrastruttura di Active Directory. I gruppi che richiedono l'isolamento del servizio richiedono che nessun amministratore esterno al gruppo possa interferire con il funzionamento del servizio directory.
I requisiti operativi o legali in genere creano una necessità di isolamento del servizio. Ad esempio:
Un'azienda manifatturiera ha un'applicazione critica che controlla le apparecchiature del reparto produzione. Le interruzioni nel servizio in altre parti della rete dell'organizzazione non possono interferire con il funzionamento del reparto produzione.
Una società di hosting fornisce servizi a più client. Ogni client richiede l'isolamento del servizio in modo che qualsiasi interruzione del servizio che influisca su un client non influisca sugli altri client.
Autonomia del servizio
L'autonomia del servizio implica la possibilità di gestire l'infrastruttura senza un requisito di controllo esclusivo; Ad esempio, quando un gruppo vuole apportare modifiche all'infrastruttura, ad esempio aggiungendo o rimuovendo domini, modificando lo spazio dei nomi DNS (Domain Name System) o modificando lo schema senza l'approvazione del proprietario della foresta.
L'autonomia del servizio potrebbe essere necessaria all'interno di un'organizzazione per un gruppo che vuole essere in grado di controllare il livello di servizio di Active Directory Domain Services (aggiungendo e rimuovendo controller di dominio, in base alle esigenze) o per un gruppo che deve essere in grado di installare applicazioni abilitate per la directory che richiedono estensioni dello schema.
Connettività limitata
Se un gruppo all'interno dell'organizzazione possiede reti separate da dispositivi che limitano o limitano la connettività tra reti (ad esempio firewall e dispositivi NAT), questo può influire sulla progettazione della foresta. Quando si identificano i requisiti di progettazione della foresta, assicurarsi di prendere nota dei percorsi in cui è disponibile una connettività di rete limitata. Queste informazioni sono necessarie per consentire di prendere decisioni relative alla progettazione della foresta.