Archivi tag: active directory

Active Directory Domain Services (AD DS), Azure Active Directory (Azure AD) e Azure Active Directory Domain Services (Azure AD DS): differenze ed integrazione tra loro

Microsoft mette a disposizione tre identity services:

  • Active Directory Domain Services (AD DS)
  • Azure Active Directory (Azure AD o AAD)
  • Azure Active Directory Domain Service (Azure AD DS o AAD DS)

Questo può portare confusione nella scelta della soluzione da adottare in quanto il nome Active Directory compare in tutti e tre i servizi, nonostante le tre soluzioni siano differenti tra di loro.

In questo post analizzerò i servizi, come si integrano tra di loro e quando adottarli.

Active Directory Domain Services (AD DS)

Active Directory Domain Services è la versione tradizionale del servizio per la gestione centralizzata delle risorse.

Tra le caratteristiche del servizio:

  • gestione gerarchiale delle risorse;
  • gestione di utenze e risorse tramite group policies;
  • on-premises idendity & authenitcation;
  • autenticazione tramite Kerberos, NTLM o LDAP;
  • trust di domini e foreste

AD DS, dominio autogestito, richiede un alto utilizzo di risorse per la gestione del servizio stesso: gestione dei backup, patching del sistema, upgrade, repliche, etc.

Azure Active Directory (Azure AD)

Se sono utilizzati servizi di Office 365 o di Azure, Azure AD è utilizzata.

A differenza del servizio AD DS, che utilizza l’autenticazione network-based, Azure AD utilizza l’autenticazione web-based.

Tra le caratteristiche del servizio :

  • cloud-based identification & authentication;
  • servizio di gestione account per:
    • accesso al portale Azure
    • Office 365
    • applicazioni SaaS
  • Mobile Device Management (MDM)

Con Azure AD non è possibile:

  • joinare computer al dominio;
  • effettuare autenticazione tramite protocollo Kerberos o NTLM;
  • implementare organization unit;
  • utilizzare implementare\utilizzare account di tipo domain o enterprise admin

Il servizio è garantito, gestito ed ospitato da Microsoft. La gestione delle risorse avviene tramite portale web.

Azure Active Directory Domain Services (Azure AD DS)

Azure AD DS è una soluzione simile alla soluzione on-premise AD DS, con la differenza che è erogato come servizio PaaS in Azure.

Tra le caratteristiche del servizio:

  • servizio PaaS;
  • Autenticazione tramite Kerberos, NTLM o LDAP (read only);
  • trust di domini e foreste non supportata;
  • nessun account “domain admin” o “enterprise admin”

Azure AD DS è integrato con Azure AD: creando un utente in Azure AD automaticamente sarà replicato in Azure AD DS.

Integrazione dei servizi

Come detto sopra, Azure Active Directory è in costante replica con Azure Active Directory Services

Azure AD e Azure AD DS

Azure AD, a sua volta, può essere sincronizzato con l’ambiente on premise di Active Directory Domain Services tramite AD Connect

AD DS, Azure AD e Azure AD DS

Quanto implementare AD DS, Azure AD o Azure AD DS

Active Directory Domain Services se:

  • necessità di configurare relazioni di trust ;
  • necessità di estendere lo schema;
  • la connettività internet è limitata o instabile;
  • necessità di utilizzare account domain o enterprise admin

Azure Active Directory se:

  • l’infrastruttura è interamente sul cloud, senza server configurati on premise;
  • vengono utilizzati solo servizi di tipo PaaS o SaaS;
  • vengono utilizzati solo sistemi di modern authentication

Azure Active Directory Domain Services se:

  • l’infrastruttura è cluod native;
  • utilizzo di servizi IaaS

Eseguire le Microsoft Management Console (MMC) con Runas

Si ha l’esigenza, molte volte, di dover aprire le MMC (ad esempio i tools per la gestione di Active Directory) con credenziali differenti rispetto al dominio di appartenenza. Occorre quindi utilizzare il comando Runas con lo switch netonly.

Il comando, per esempio, per eseguire la MMC di Active Directory Users and Computers è:

Ho configurato uno script in Powershell con le MMC di Active Directory Management Tools:

Esecuzione dello script

E’ possibile modificare lo script aggiungendo o eliminando le varie console.

Disclaimer: Nessuna garanzia è fornita con questo script. Lo scrivente non è responsabile di qualunque danno possa eventualmente derivarne – lo utilizzate a vostro rischio.

Hyper-V: Windows Virtual Machine object in Active Directory

ServiceConnectionPointQuando viene joinata una virtual machine Hyper-V al dominio, il servizio “Hyper-V Heartbeat Service” crea in Active Directory un Service Connection Point (SCP) sotto al relativo Computer Account denominato “Windows Virtual Machine“.

Questo oggetto è utilizzabile per identificare le macchine Hyper-V dalle altre macchine fisiche e/o virtualizzate da altri virtualizzatori. Nel caso l’oggetto SCP venga cancellato, il servizio “Hyper-V Heartbeat Service” provvederà a ricrearlo al riavvio della macchina o al riavvio del servizio. Infatti, tutte le volte che il servizio parte esegue un check sull’esistenza dell’oggetto SCP, ricreandolo nel caso non sia presente.
Esempio di utilizzo dell’oggetto “Windows Virtual Machine” per trovare tutte le virtual machine Hyper-V joinate al dominio:
   Get-ADObject -Filter {objectClass -eq ‘serviceConnectionPoint’ -and Name -eq ‘Windows Virtual Machine’}

Per maggiori informazioni cliccare qua