Identificazione dei partecipanti al progetto di distribuzione
Il primo passaggio per creare un progetto di distribuzione per Active Directory Domain Service (AD DS) consiste nel definire i team di progetto di progettazione e distribuzione che saranno responsabili della gestione delle fasi di progettazione e distribuzione del ciclo del progetto di Active Directory. È inoltre necessario identificare i singoli utenti e i gruppi che saranno responsabili della proprietà e della gestione della directory dopo il completamento della distribuzione.
Definizione dei ruoli specifici del progetto
Un passaggio importante nella creazione dei team di progetto consiste nell'identificare i singoli utenti ai quali sono assegnati ruoli specifici del progetto. Questi includono lo sponsor esecutivo, l'architetto del progetto e il project manager. Questi utenti sono responsabili dell'esecuzione del progetto di distribuzione di Active Directory.
Dopo la nomina dell'architetto del progetto e del project manager, questi utenti stabiliscono canali di comunicazione in tutta l'organizzazione, creano le pianificazioni dei progetti e identificano i singoli utenti che faranno parte dei team di progetto, a partire dai vari proprietari.
Sponsor esecutivo
La distribuzione di un'infrastruttura, come Active Directory Domain Services, può avere un notevole impatto su un'organizzazione. Per questo motivo, è importante avere uno sponsor esecutivo che conosce il valore aziendale della distribuzione, supporta il progetto a livello esecutivo e può contribuire a risolvere i conflitti nell'organizzazione.
Architetto del progetto
Per ogni progetto di distribuzione di Active Directory è richiesto un architetto di progetto che gestisce il processo decisionale relativo alla progettazione e alla distribuzione di Active Directory. L'architetto fornisce le competenze tecniche per facilitare il processo di progettazione e distribuzione di Active Directory Domain Services.
Nota
Se all'interno dell'organizzazione non è presente personale esperto in progettazione di directory, è consigliabile rivolgersi a un consulente esterno esperto in progettazione e distribuzione di Active Directory.
Le responsabilità dell'architetto del progetto di Active Directory includono quanto segue:
Essere il proprietario della progettazione di Active Directory
Conoscere e documentare le motivazioni delle principali decisioni di progettazione
Garantire che la progettazione soddisfi le esigenze aziendali dell'organizzazione
Creare il consenso tra i team di progettazione, di distribuzione e operativo
Conoscere le esigenze delle applicazioni integrate di Active Directory Domain Services
La progettazione finale di Active Directory deve rispecchiare una combinazione di obiettivi aziendali e decisioni tecniche. L'architetto del progetto deve quindi esaminare le decisioni di progettazione per assicurarsi che siano allineate agli obiettivi aziendali.
Responsabile di progetto
Il project manager facilita la cooperazione in tutte le business unit e tra i gruppi di gestione delle tecnologie. Idealmente, il project manager della distribuzione di Active Directory è un utente dell'organizzazione che conosce già i criteri operativi del gruppo IT e i requisiti di progettazione per i gruppi che si stanno preparando alla distribuzione di Active Directory Domain Services. Il project manager supervisiona l'intero progetto di distribuzione, a partire dalla progettazione e fino al completamento della distribuzione, assicurandosi che il progetto rispetti la pianificazione e non superi il budget. Le responsabilità del project manager includono quanto segue:
Fornire un piano di progetto di base, che includa ad esempio tempistiche e budget
Favorire l'avanzamento del progetto di progettazione e distribuzione di Active Directory
Garantire che in ogni parte del processo di progettazione siano coinvolti gli utenti appropriati
Fungere da singolo punto di contatto per il progetto di distribuzione di Active Directory
Stabilire la comunicazione tra i team di progettazione, di distribuzione e operativo
Stabilire e gestire la comunicazione con lo sponsor esecutivo in tutte le fasi del progetto di distribuzione
Definizione dei proprietari e degli amministratori
In un progetto di distribuzione di Active Directory gli utenti ai quali è stato assegnato il ruolo di proprietario sono tenuti a garantire che le attività di distribuzione vengano completate e che le specifiche di progettazione di Active Directory soddisfino le esigenze dell'organizzazione. I proprietari non hanno necessariamente accesso diretto all'infrastruttura di directory o devono modificarla. Gli amministratori sono i singoli utenti responsabili del completamento delle attività di distribuzione richieste. Gli amministratori dispongono dell'accesso alla rete e delle autorizzazioni necessarie per modificare la directory e la relativa infrastruttura.
Il ruolo del proprietario è strategico e manageriale. Spetta ai proprietari comunicare agli amministratori quali attività sono necessarie per l'implementazione della progettazione di Active Directory, ad esempio la creazione di nuovi controller di dominio all'interno della foresta. Gli amministratori sono responsabili dell'implementazione della progettazione in rete in base alle specifiche di progettazione.
In organizzazioni di grandi dimensioni i ruoli di proprietario e amministratore sono assegnati a utenti diversi, tuttavia in alcune organizzazioni di dimensioni ridotte lo stesso utente potrebbe fungere sia da proprietario che da amministratore.
Proprietari dei servizi e dei dati
La gestione quotidiana di Active Directory Domain Services prevede due tipi di proprietari:
- Proprietari dei servizi, che sono responsabili della pianificazione e della manutenzione a lungo termine dell'infrastruttura di Active Directory e che devono garantire il funzionamento ininterrotto della directory e il rispetto degli obiettivi stabiliti nei contratti di servizio.
- Proprietari dei dati, che sono responsabili della manutenzione delle informazioni archiviate nella directory. Tale ruolo include la gestione di account utente e computer e la gestione delle risorse locali, ad esempio server e workstation dei membri.
È importante identificare in anticipo i proprietari dei servizi e dei dati di Active Directory in modo che possano partecipare il più possibile al processo di progettazione. Dal momento che i proprietari dei servizi e dei dati sono responsabili della manutenzione a lungo termine della directory al termine del progetto di distribuzione, è importante che questi utenti forniscano input in relazione alle esigenze dell'organizzazione e conoscano modalità e motivazioni alla base di determinate decisioni di progettazione. I proprietari dei servizi includono il proprietario di foresta, il proprietario di Domain Naming System (DNS) do Active Directory e il proprietario della topologia del sito. I proprietari dei dati includono i proprietari dell'unità organizzativa.
Amministratori dei servizi e dei dati
Per il funzionamento di Active Directory Domain Services sono previsti due tipi di amministratori, ovvero amministratori dei servizi e amministratori dei dati. Gli amministratori dei servizi implementano le decisioni relative ai criteri prese dai proprietari dei servizi e gestiscono le attività quotidiane associate alla manutenzione dell'infrastruttura e del servizio directory. Tali attività includono la gestione dei controller di dominio che ospitano il servizio directory, la gestione di altri servizi di rete, ad esempio DNS, che sono necessari per Active Directory Domain Services, il controllo della configurazione delle impostazioni a livello di foresta, garantendo inoltre che la directory sia sempre disponibile.
Gli amministratori dei servizi sono anche responsabili del completamento delle attività di distribuzione di Active Directory in corso che sono necessarie dopo il completamento del processo di distribuzione iniziale di Active Directory per Windows Server 2008. Ad esempio, in seguito all'aumento delle richieste sulla directory, gli amministratori dei servizi creano controller di dominio aggiuntivi e definiscono o rimuovono trust tra domini, se necessario. Per questo motivo, il team di distribuzione di Active Directory deve includere gli amministratori dei servizi.
È necessario prestare attenzione ad assegnare ruoli di amministratore dei servizi solo a utenti attendibili nell'organizzazione. Dal momento che questi utenti hanno la possibilità di modificare i file di sistema nei controller di dominio, possono modificare il comportamento di Active Directory Domain Services. È necessario assicurarsi che gli amministratori dei servizi dell'organizzazione siano utenti che hanno familiarità con i criteri operativi e di sicurezza applicati nella rete e che sanno quando è opportuno applicare tali criteri.
Gli amministratori dei dati sono utenti all'interno di un dominio che sono responsabili sia della gestione dei dati archiviati in Active Directory Domain Services, ad esempio account utente e di gruppo, che della gestione di computer membri del dominio. Gli amministratori dei dati controllano i subset di oggetti all'interno della directory e non hanno alcun controllo sull'installazione o sulla configurazione del servizio directory.
Gli account amministratore dei dati non vengono forniti per impostazione predefinita. Dopo che il team di progettazione determina come gestire le risorse per l'organizzazione, i proprietari di dominio devono creare account amministratore dei dati e delegare loro le autorizzazioni appropriate in base al set di oggetti per cui gli amministratori devono essere responsabili.
È consigliabile limitare il numero di amministratori dei servizi nell'organizzazione al numero minimo necessario per garantire che l'infrastruttura continui a funzionare. La maggior parte del lavoro amministrativo può essere completata dagli amministratori dei dati. Gli amministratori dei servizi necessitano di un set di competenze molto più ampio perché sono responsabili della gestione della directory e dell'infrastruttura che la supporta. Gli amministratori dei dati necessitano solo delle competenze necessarie per gestire la relativa parte della directory. La divisione delle assegnazioni di lavoro in questo modo comporta un risparmio sui costi per l'organizzazione, perché è necessario formare solo un numero ridotto di amministratori per far funzionare e gestire l'intera directory e la relativa infrastruttura.
Ad esempio, un amministratore dei servizi deve sapere come aggiungere un dominio a una foresta. Questo include come installare il software per convertire un server in un controller di dominio e come modificare l'ambiente DNS in modo che il controller di dominio possa essere unito senza problemi nell'ambiente Active Directory. Un amministratore dei dati deve solo sapere come gestire i dati specifici di cui sono responsabili, ad esempio la creazione di nuovi account utente per i nuovi dipendenti del reparto.
La distribuzione di Active Directory Domain Services richiede il coordinamento e la comunicazione tra numerosi gruppi diversi coinvolti nel funzionamento dell'infrastruttura di rete. Questi gruppi devono nominare proprietari di servizi e dati che sono responsabili della rappresentazione dei vari gruppi durante il processo di progettazione e distribuzione.
Al termine del progetto di distribuzione, questi proprietari di servizi e dati continuano a essere responsabili della parte dell'infrastruttura gestita dal relativo gruppo. In un ambiente Active Directory questi proprietari sono il proprietario di foresta, il proprietario DNS per Active Directory Domain Services, il proprietario della topologia del sito e il proprietario dell'unità organizzativa. I ruoli di questi proprietari di servizi e dati sono illustrati nelle sezioni seguenti.
Proprietario di foresta
Il proprietario di foresta è in genere un responsabile IT (Information Technology) senior nell'organizzazione che si occupa del processo di distribuzione di Active Directory e a cui spetta la gestione del recapito dei servizi all'interno della foresta al termine della distribuzione. Il proprietario di foresta assegna a singoli utenti altri ruoli di proprietà identificando le figure chiave all'interno dell'organizzazione che possono fornire le informazioni necessarie sull'infrastruttura di rete e sulle esigenze amministrative. Il proprietario di foresta è responsabile di quanto segue:
Distribuzione del dominio radice della foresta per la creazione della foresta
Distribuzione del primo controller di dominio in ogni dominio per la creazione dei domini necessari per la foresta
Appartenenze ai gruppi di amministratori dei servizi in tutti i domini della foresta
Creazione della progettazione della struttura dell'unità organizzativa per ogni dominio nella foresta
Delega dell'autorità amministrativa ai proprietari dell'unità organizzativa
Modifiche apportate allo schema
Modifiche apportate alle impostazioni di configurazione a livello di foresta
Implementazione di determinate impostazioni di Criteri di gruppo, tra cui criteri degli account utente di dominio, come criteri di blocco dell'account e password con granularità fine
Impostazioni dei criteri aziendali che si applicano ai controller di dominio
Qualsiasi altra impostazione di Criteri di gruppo applicata a livello di dominio
Il proprietario di foresta ha autorità su tutta la foresta. È responsabilità del proprietario di foresta impostare Criteri di gruppo e criteri aziendali e selezionare i singoli utenti a cui è assegnato il ruolo di amministratore dei servizi. Il proprietario di foresta è un proprietario dei servizi.
Proprietario DNS per Active Directory Domain Services
Il proprietario DNS per Active Directory Domain Services è un utente che conosce in modo approfondito l'infrastruttura DNS e dello spazio dei nomi esistenti dell'organizzazione.
Il proprietario DNS per Active Directory Domain Services è responsabile di quanto segue:
Collegamento tra il team di progettazione e il gruppo IT che possiede attualmente l'infrastruttura DNS
Specifica delle informazioni sullo spazio dei nomi DNS esistente dell'organizzazione per facilitare la creazione del nuovo spazio dei nomi di Active Directory
Collaborazione con il team di distribuzione per assicurarsi che la nuova infrastruttura DNS venga distribuita in base alle specifiche del team di progettazione e che funzioni correttamente
Gestione dell'infrastruttura DNS per Active Directory Domain Services, inclusi il servizio Server DNS e i dati DNS
Il proprietario DNS per Active Directory Domain Services è un proprietario dei servizi.
Proprietario della topologia del sito
Il proprietario della topologia del sito conosce la struttura fisica della rete dell'organizzazione, incluso il mapping delle singole subnet, dei router e delle aree di rete connesse tramite collegamenti lenti. Il proprietario della topologia del sito è responsabile di quanto segue:
Conoscenza della topologia di rete fisica e dell'impatto su Active Directory Domain Services
Conoscenza dell'impatto della distribuzione di Active Directory sulla rete
Definizione dei siti logici di Active Directory da creare
Aggiornamento degli oggetti del sito per i controller di dominio quando si aggiunge, si modifica o si rimuove una subnet
Creazione di collegamenti di sito, bridge di collegamento di sito e oggetti di connessione manuale
Il proprietario della topologia del sito è un proprietario dei servizi.
Proprietario dell'unità organizzativa
Il proprietario dell'unità organizzativa è responsabile della gestione dei dati archiviati nella directory. Questo utente deve avere familiarità con i criteri operativi e di sicurezza applicati nella rete. I proprietari delle unità organizzative possono eseguire solo le attività delegate loro dagli amministratori dei servizi e possono eseguire solo le attività sulle unità organizzative a cui sono assegnati. Le attività che possono essere assegnate al proprietario dell'unità organizzativa includono quanto segue:
Esecuzione di tutte le attività di gestione degli account all'interno dell'unità organizzativa assegnata
Gestione di workstation e server membri che fanno parte dell'unità organizzativa assegnata
Delega dell'autorità agli amministratori locali all'interno dell'unità organizzativa assegnata
Il proprietario dell'unità organizzativa è un proprietario dei dati.
Creazione dei team di progetto
I team di progetto di Active Directory sono gruppi temporanei responsabili del completamento delle attività di progettazione e distribuzione di Active Directory. Al completamento del progetto di distribuzione di Active Directory, i proprietari si assumono la responsabilità della directory e i team del progetto possono essere sciolti.
Le dimensioni dei team di progetto variano in base alle dimensioni dell'organizzazione. Nelle organizzazioni di piccole dimensioni una singola persona può coprire più aree di responsabilità in un team di progetto ed essere coinvolte in più fasi della distribuzione. Le organizzazioni di grandi dimensioni potrebbero richiedere team più numerosi che includono utenti diversi o persino team diversi per coprire le diverse aree di responsabilità. Le dimensioni dei team non sono importanti purché vengono assegnate tutte le aree di responsabilità e vengono soddisfatti gli obiettivi di progettazione dell'organizzazione.
Identificazione di potenziali proprietari di foresta
Identificare i gruppi all'interno dell'organizzazione che possiedono e controllano le risorse necessarie per fornire servizi directory agli utenti della rete. Questi gruppi vengono considerati potenziali proprietari di foresta.
La separazione dell'amministrazione dei servizi e dei dati in Active Directory Domain Services consente al gruppo (o ai gruppi) IT dell'infrastruttura di un'organizzazione di gestire il servizio directory, mentre gli amministratori locali in ogni gruppo gestiscono i dati appartenenti ai propri gruppi. I potenziali proprietari di foresta hanno l'autorità necessaria sull'infrastruttura di rete per distribuire e supportare Active Directory Domain Services.
Per le organizzazioni che dispongono di un gruppo IT di infrastruttura centralizzato, il gruppo IT è in genere il proprietario di foresta e, pertanto, il potenziale proprietario di foresta per eventuali distribuzioni future. Le organizzazioni che includono un certo numero di gruppi IT di infrastruttura indipendenti includono un certo numero di potenziali proprietari di foresta. Se l'organizzazione ha già un'infrastruttura di Active Directory, gli eventuali proprietari di foresta correnti sono anche potenziali proprietari di foresta per le nuove distribuzioni.
Selezionare uno dei potenziali proprietari di foresta da usare come proprietario di foresta per ogni foresta che si sta valutando per la distribuzione. Questi potenziali proprietari di foresta devono collaborare con il team di progettazione per determinare se la foresta verrà effettivamente distribuita oppure se un'azione alternativa, come l'aggiunta a un'altra foresta esistente, rappresenta un uso migliore delle risorse disponibili e soddisfa comunque le proprie esigenze. Il proprietario o i proprietari di foresta nell'organizzazione sono membri del team di progettazione di Active Directory.
Definizione di un team di progettazione
Il team di progettazione di Active Directory è responsabile della raccolta di tutte le informazioni necessarie per prendere decisioni sulla progettazione della struttura logica di Active Directory.
Le responsabilità del team di progettazione includono quanto segue:
Determinazione del numero di foreste e domini necessari e delle relazioni tra foreste e domini
Collaborazione con i proprietari dei dati per garantire che la progettazione soddisfi i requisiti amministrativi e di sicurezza
Collaborazione con gli amministratori di rete correnti per assicurarsi che l'infrastruttura di rete corrente supporti la progettazione e che quest'ultima non influisca negativamente sulle applicazioni esistenti distribuite nella rete
Collaborazione con i rappresentanti del gruppo di sicurezza dell'organizzazione per garantire che la progettazione soddisfi i criteri di sicurezza definiti
Progettazione di strutture di unità organizzative che consentano livelli appropriati di protezione e la corretta delega dell'autorità ai proprietari dei dati
Collaborazione con il team di distribuzione per testare la progettazione in un ambiente lab e assicurarsi che funzioni come previsto, nonché modifica della progettazione per risolvere eventuali problemi che possono verificarsi
Creazione di una progettazione della topologia del sito che soddisfi i requisiti di replica della foresta impedendo al tempo stesso l'overload della larghezza di banda disponibile. Per altre informazioni sulla progettazione della topologia del sito, vedere Progettazione della topologia di un sito per Active Directory Domain Services di Windows Server 2008.
Collaborazione con il team di distribuzione per assicurarsi che la progettazione sia implementata correttamente
Il team di progettazione include i membri seguenti:
Potenziali proprietari di foresta
Architetto del progetto
Responsabile di progetto
Singoli utenti responsabili della definizione e della gestione dei criteri di sicurezza nella rete
Durante il processo di progettazione della struttura logica il team di progettazione identifica gli altri proprietari. Questi utenti devono iniziare a partecipare al processo di progettazione non appena vengono identificati. Dopo che il progetto di distribuzione viene passato al team di distribuzione, il team di progettazione è responsabile della supervisione del processo di distribuzione per garantire la corretta implementazione della progettazione. Il team di progettazione apporta anche modifiche alla progettazione in base al feedback dei test.
Definizione di un team di distribuzione
Il team di distribuzione di Active Directory è responsabile dei test e dell'implementazione della progettazione della struttura logica di Active Directory. Questa operazione implica le attività seguenti:
Definizione di un ambiente di test che emula adeguatamente l'ambiente di produzione
Test della progettazione implementando la struttura di domini e foreste proposta in un ambiente lab per verificare che soddisfi gli obiettivi di ogni proprietario del ruolo
Sviluppo e test di qualsiasi scenario di migrazione proposto dalla progettazione in un ambiente lab
Esecuzione di verifiche per assicurarsi che ogni proprietario si disconnetta dal processo di test e che vengano testate le funzionalità di progettazione corrette
Test dell'operazione di distribuzione in un ambiente pilota
Al termine delle attività di progettazione e test, il team di distribuzione esegue le attività seguenti:
Crea le foreste e i domini in base alla progettazione della struttura logica di Active Directory
Crea i siti e gli oggetti di collegamento di sito necessari in base alla progettazione della topologia del sito
Garantisce che l'infrastruttura DNS sia configurata per supportare Active Directory Domain Services e che tutti i nuovi spazi dei nomi siano integrati nello spazio dei nomi esistente dell'organizzazione
Il team di distribuzione di Active Directory include i membri seguenti:
Proprietario di foresta
Proprietario DNS per Active Directory Domain Services
Proprietario della topologia del sito
Proprietari dell'unità organizzativa
Il team di distribuzione collabora con gli amministratori dei servizi e dei dati durante la fase di distribuzione per garantire che i membri del team operativo abbia familiarità con la nuova progettazione. Questo contribuisce a garantire una transizione uniforme della proprietà al termine dell'operazione di distribuzione. Al termine del processo di distribuzione, la responsabilità della gestione del nuovo ambiente Active Directory passa al team operativo.
Documentazione dei team di progettazione e distribuzione
Documentare i nomi e le informazioni di contatto per gli utenti coinvolti nella progettazione e nella distribuzione di Active Directory Domain Services. Identificare chi sarà responsabile di ogni ruolo nei team di progettazione e distribuzione. Inizialmente, questo elenco include i potenziali proprietari di foresta, il project manager e l'architetto del progetto. Quando si determina il numero di foreste da distribuire, potrebbe essere necessario creare nuovi team di progettazione per foreste aggiuntive. Si noti che sarà necessario aggiornare la documentazione man mano che cambiano le appartenenze ai team e si identificano i diversi proprietari di Active Directory durante il processo di progettazione. Per ottenere un foglio di lavoro che faciliti la documentazione dei team di progettazione e distribuzione per ogni foresta, scaricare il file Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip dalla pagina dei documenti di supporto per il kit di distribuzione di Windows Server 2003 e aprire il documento "Design and Deployment Team Information" (DSSLOGI_1.doc).