Workgroup o Domino Active Directory?

Molte volte, durante un seminario o un corso, mi è stata fatta questa domanda: è meglio  WorkGroup o in un Dominio Active Directory.

La risposta è: Dipende!

L’obiettivo principale del lavorare in un team o in un’azienda è senza dubbio la condivisione delle informazioni. Per realizzare tale condivisione è necessario che i computer utilizzati siano connessi all’interno di una rete. La rete sarà realizzabile attraverso un apparato, chiamato switch (per le reti cablate) al quale collegare tutti i computer della nostra azienda oppure attraverso un access point, nel caso di reti Wi-Fi.
Realizzato il livello di connessione fisica (cavi Ethernet o onde radio) è necessario passare alla connessione logica.

Per fare in modo che tali computer possano condividere informazioni è quindi necessario configurare gli indirizzi logici nelle schede di rete, inserendo indirizzi IP e SubnetMask, facendo in modo che essi appartengano stessa rete.
(Appartenere alla stessa rete è un concetto più ampio che troverete in post specifici)

Fatta questa necessaria premessa, relativa all’essere nella stessa rete, possiamo dire che i nostri host windows possono condividere informazioni operando in due modalità:

  • Workgroup (Opzione Predefinita)
  • Dominio

Quali sono le sostanziali differenze tra l’operare a livello Workgroup e Dominio?

Workgroup
In uno scenario Workgroup tutti gli host sono pari, nessuno governa sull’altro.
Ogni PC ha un database locale relativo alla security, all’interno del quale vengono salvate le informazioni relative agli oggetti utente, i gruppi e le password dello stesso host. In sostanza le credenziali di accesso del profilo utente sono salvate nel Local Security Database.

Infatti, nel tentativo di accedere al proprio profilo utente oppure alle risorse condivise all’interno di un altro PC in rete, il sistema richiederebbe le credenziali di accesso salvate nel Security Database del PC quale si sta effettuando l’accesso. Tutto ciò ad ogni tentativo di accesso.

Dominio Active Directory
In uno scenario di Dominio invece il Server Windows, avente il ruolo di Domain Controller, governa su tutti i PC appartenenti a quel dominio.
Governare in questo caso vuol dire che il Domain Controller memorizza in un database centralizzato gli oggetti di dominio come utenti, gruppi, password, Organizzational Unit, Container, GPO e molti altri.
Oltre a storicizzare le informazioni relative alla security degli oggetti di dominio, il Domain Controller, diventa il direttore d’orchestra del nostro dominio, gestendo in modo centralizzato tutti gli host ad esso appartenenti.

L’autenticazione nel Dominio non è quindi locale, viene gestita in modo centralizzato attraverso un protocollo specifico chiamato Kerberos, termine che deriva da Cerbero: nella mitologia greca era uno dei mostri a guardia dell’ingresso del regno di Ade, il mondo degli Inferi. Un mostruoso cane a tre teste, le quali simboleggiano la distruzione del passato, del presente e del futuro. Tutto il suo corpo era ricoperto, anziché di peli, di velenosissimi serpenti, che ad ogni suo latrato si rizzavano, facendo sibilare le proprie orrende lingue. Il suo compito era impedire ai vivi di entrare ed ai morti di uscire.
Notiamo come Microsoft abbia ritenuto questo protocollo sicuro, tanto da attribuire questo nome!

Nello scenario di Dominio quindi, gli utenti vengono creati sul domain controller ed una volta effettuato l’accesso sul proprio PC, utilizzando l’utente di dominio, non è più necessario autenticarsi sulle risorse di rete condivise. Il lavoro di autenticazione è gestito automaticamente dal protocollo Kerberos, favorendo la navigazione all’utente.

Oltre a questa differenza sull’autenticazione, locale contro centralizzata, operare in uno scenario di Domino ha innumerevoli vantaggi operativi come:

  • Gestione centralizzata dei permessi utente\gruppi;
  • Implementazione di scenari di security strutturati a livello centralizzato;
  • Backup & Restore;
  • Gestione setting centralizzati via GPO;

questi solo alcuni tra i più diffusi.

Ritornando alla domanda iniziale: Meglio Workgroup o Domino Active Directory?
Da un punto di vista gestionale, di funzionalità a valore aggiunto, di continuità del business il Dominio è sicuramente lo scenario ideale.
Per poterlo implementare però dobbiamo valutare e pianificare gli investimenti necessari: Hardware, Software e di Licensing.

Il Workgroup è quindi adatto a quelle organizzazioni che non possono dedicare piani di investimento alla realizzazione di infrastrutture centralizzate e che hanno un numero di host inferiore ai 20.

Un altro impiego dello scenario Workgroup è quando si vuole isolare un server dal dominio, aggiungendo quindi un livello di sicurezza logica in fase di autenticazione. E’ una pratica abbastanza diffusa.

Vai al video tutorial sull’installazione di Windows Server 2019

Share on facebook
Facebook
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on email
Email