Servizi di dominio Active Directory in Windows Server 2019

• Progettare la struttura logica di Active Directory tenendo conto il numero di foreste da utilizzare per creare i progetti necessari per i domini, l'infrastruttura DNS (Domain Name System) e le unità organizzative (OU)

• Progettare la topologia da utilizzare che è una rappresentazione logica della rete fisica disponibile

• Definire la capacità del controller di dominio, determinando la quantità appropriata di controller di dominio da utilizzare per ogni sito e verificare che soddisfino i requisiti hardware per Windows Server 2019 .

• Abilitazione delle funzionalità avanzate di Servizi di dominio Active Directory in Windows Server 2019.

3. Deploy Active Directory Domain Services su Windows Server 2019

Una volta definito in dettaglio come devono essere utilizzati i servizi di dominio di Active Directory, si procede alla loro installazione e per questo abbiamo diverse alternative essendo la forma grafica più tradizionale.

Per fare questo andiamo al Server Administrator e nell'opzione 'Aggiungi ruoli e funzionalità' ?? andiamo alla sezione 'Active Directory Domain Services' ?? e seguire i passaggi della procedura guidata per la configurazione sia del dominio che della foresta:

Per informazioni più dettagliate possiamo andare al seguente collegamento:

Possiamo eseguire questo processo anche tramite Windows PowerShell, per questo dobbiamo eseguire quanto segue: Aggiungere il ruolo che installa il ruolo del server AD DS e installa gli strumenti di amministrazione del server AD DS e AD LDS, inclusi strumenti basati su GUI, come utenti e computer di Active Directory e strumenti da riga di comando, eseguiamo quanto segue:

 Install-windowsfeature -name AD-Domain-Services -IncludeManagementTools 

Ora, eseguiamo il seguente comando per vedere il cmdlet nel modulo ADDSDeployment:

 Get-Command -Module ADDSDeployment 

Se vogliamo vedere l'elenco di argomenti che possono essere specificati per un cmdlet specifico, eseguiamo quanto segue sintassi:

 Get-Help u0026 lt; cmdlet u0026 gt; 

Dopo aver configurato e installato Servizi di dominio Active Directory, possiamo eseguire uno dei cmdlet di test per convalidare la nostra installazione. A livello globale queste sono le opzioni a livello di implementazione di Servizi di dominio Active Directory in Windows Server 2019, nel collegamento sopra citato troveremo il modo per aggiungere una nuova foresta o dominio.

4. Funzionamento dei servizi di dominio Active Directory in Windows Server 2019

Quando i nostri servizi Active Directory funzionano come amministratori dobbiamo garantire la loro sicurezza e le prestazioni totali per questo scopo una serie di suggerimenti utili sono:

• Ridurre la superficie di attacco di Active Directory poiché tutti gli oggetti (utenti e computer) possono essere vulnerabili

• Implementa modelli amministrativi di privilegi minimi per aggiungere maggiore sicurezza

• Implementa host amministrativi protetti

• Proteggi i controller di dominio da vari tipi di attacchi

• Monitoraggio costante di Active Directory per gli allarmi che ne compromettono l'integrità

• Crea nuovi criteri di controllo

Uno dei più semplici ma al Allo stesso tempo, modi più integrati per vedere tutto ciò che accade con i nostri servizi di dominio Active Directory utilizzano il 'Visualizzatore eventi':

Qui abbiamo una serie di ID evento utili per l'amministrazione come come:

• 4618: si è verificato un evento di sicurezza supervisionato.

• 4649: è stato rilevato un attacco di replay. Può trattarsi di un falso positivo innocuo a causa di un errore di configurazione errato

• 4719: criterio di controllo del sistema modificato.

• 4765: la cronologia SID alta è stata aggiunta a un account

• 4766: il tentativo di aggiungere la cronologia SID a un account non è riuscito.

• 4794: è stato effettuato un tentativo di impostare la modalità di ripristino del servizio directory.

• 4897: separazione dei ruoli alta abilitata

• 4964: gruppi speciali sono stati assegnati a un nuovo accesso.

• 5124: A la configurazione della sicurezza è stata aggiornata nel servizio di risposta OCSP

• 550: Possibile attacco DoS (Denial of Service)

• 1102: il registro di controllo è stato eliminato

• 4621: sistema CrashOnAuditFail recuperato dall'amministratore intermedio. Utenti che non sono amministratori
• È ora possibile accedere. Alcune attività controllabili potrebbero non essere state registrate.

• 4692: non è stato effettuato alcun tentativo di creare la copia di backup media del master della protezione dei dati chiave.

• 4693: è stato tentato il ripristino medio della chiave master della protezione dati.

• 4706: è stato creato un nuovo trust per un dominio.

• 4713: il criterio Kerberos Media è stato modificato.

• 4714: il criterio di ripristino dei dati crittografati è stato modificato.

• 4715: il il criterio di controllo (SACL) su un oggetto è stato modificato.

• 4764: un gruppo con sicurezza disabilitata è stato eliminato

• 4764: il tipo di gruppo è stato modificato .

• 4780: l'ACL è stato impostato in account che sono membri di gruppi di amministratori.

Per conoscere in dettaglio tutti gli ID evento che possiamo vai al seguente collegamento Microsoft ufficiale. Da questi ID evento possiamo eseguire una serie di attività amministrative per correggere molti problemi associati a Servizi di dominio Active Directory, consentendogli così di funzionare nel modo corretto e previsto.

5. Comandi per gestire Servizi di dominio Active Directory in Windows Server 2019

Sono disponibili alcuni comandi utili in Windows Server che ci daranno la possibilità di ottenere informazioni e gestire gli oggetti in modo molto più completo, alcuni di essi sono: