Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Come creare gruppi basati su query di Active Directory

Come creare gruppi basati su query di Active Directory

Jan 23, 2024

L'utilizzo dei gruppi di sicurezza e dei gruppi di distribuzione di Active Directory (AD) è considerato una best practice per semplificare l'amministrazione IT, migliorare la sicurezza e abilitare una comunicazione efficace. Tuttavia, in molte organizzazioni, l'appartenenza a questi gruppi è definita da un elenco esplicito di specifici utenti, computer e altre entità. L'uso di questi gruppi statici è sia dispendioso in termini di lavoro sia soggetto a errori, perché quando i dipendenti entrano in azienda o cambiano ruolo, i dispositivi vengono aggiunti o ritirati, o avvengono altri cambiamenti, tutti i gruppi correlati devono essere aggiornati manualmente.

Contenuti correlati selezionati:

Esiste un'alternativa utile che migliora la sicurezza e riduce il carico di lavoro dell'IT: determinare l'appartenenza ai gruppi dinamicamente eseguendo una query AD. Microsoft fornisce un'interfaccia user-friendly per creare gruppi di distribuzione basati su una query LDAP. Sfortunatamente, non esiste un'interfaccia grafica corrispondente per creare gruppi di sicurezza basati su query, che costituiscono la grande maggioranza dei gruppi AD; l'unica opzione nativa è quella di scrivere script utilizzando Windows PowerShell.

Questo articolo spiega i metodi nativi per creare entrambi i tipi di gruppi dinamici e poi offre un'alternativa potente: Smart Groups in Netwrix Directory Manager.

Gruppi di distribuzione

Iniziamo con i gruppi di distribuzione, che sono più comunemente chiamati liste di distribuzione. Le liste di distribuzione consentono agli utenti di inviare messaggi email a gruppi di persone in modo più efficiente e preciso. Ad esempio, potresti creare una lista di distribuzione per ogni dipartimento e team, così come una per ogni sede. Queste liste di distribuzione appaiono nella Lista Indirizzi Globale (GAL), quindi gli utenti aziendali possono semplicemente scegliere una voce dalla GAL per inviare messaggi a un intero gruppo di colleghi.

Svantaggi dei gruppi di distribuzione statici

Poiché i dipendenti entrano e escono costantemente dall'organizzazione e cambiano ruoli al suo interno, tuttavia, cercare di mantenere aggiornate le liste di distribuzione è un problema per i team IT. In alcuni casi, potrebbero persino non avere le informazioni necessarie per assicurarsi di popolare correttamente le liste.

Le conseguenze del mancato aggiornamento delle liste di distribuzione possono essere gravi. Se gli utenti che dovrebbero essere inclusi in una lista vengono omessi, non riceveranno messaggi che potrebbero essere importanti per la loro produttività e per i processi aziendali essenziali. Ancora peggio, liste di distribuzione inesatte rappresentano un problema di sicurezza e conformità, poiché i messaggi potrebbero essere inviati a individui che non dovrebbero vedere le informazioni che contengono.

Gruppi di distribuzione basati su query

Per aiutare, Microsoft ha introdotto i gruppi di distribuzione basati su query in Exchange Server 2003. Offrono le stesse funzionalità dei gruppi di distribuzione standard, ma la loro composizione non è determinata da un elenco statico di utenti. Invece, la composizione è generata dinamicamente da query LDAP che vengono eseguite ogni volta che qualcuno invia un'email al gruppo associato.

Ad esempio, è possibile creare una query LDAP che definisca l'appartenenza di un gruppo come tutti gli utenti che attualmente fanno parte di un determinato dipartimento della propria organizzazione. Se un utente specifico passa a un altro dipartimento, non appena il suo oggetto utente AD viene aggiornato, non riceverà più email inviate al gruppo di distribuzione — senza che nessuno debba modificare manualmente l'appartenenza alla lista di distribuzione.

Puoi trovare la query associata a un gruppo di distribuzione in msExchDynamicDLFilter e msExchQueryFilter in Active Directory.

Come creare un gruppo di distribuzione basato su query utilizzando Microsoft Exchange

Creare gruppi di distribuzione basati su query è semplice:

  1. Avvia il Centro amministrativo di Exchange e seleziona Recipients nel riquadro di sinistra.
  2. Vai su Groups > New > Dynamic distribution group.
  3. Nella procedura guidata del nuovo gruppo di distribuzione dinamico, specificare le seguenti proprietà dell'elenco:
  4. Un nome, un alias e una descrizione per il gruppo
  5. L'unità organizzativa (OU) in cui si desidera creare il gruppo
  6. Il proprietario del gruppo (opzionale ma consigliato)
  7. Il tipo di destinatari, come caselle di posta risorse o utenti che dispongono di caselle di posta Exchange
  8. I criteri per l'appartenenza di un utente alla lista di distribuzione, come il suo dipartimento e la posizione geografica
  9. Clicca Save per creare il gruppo.

Limitazioni dei gruppi di distribuzione basati su query creati tramite Exchange

I gruppi di distribuzione basati su query creati tramite Exchange sono più accurati e facili da mantenere rispetto alle liste di distribuzione statiche, ma presentano alcune caratteristiche importanti da tenere a mente:

  • Gli attributi per determinare l'appartenenza a una lista di distribuzione sono limitati a pochi attributi utente comuni — contenitore, stato o provincia, azienda e dipartimento — insieme a pochi attributi personalizzati.
  • Poiché l'appartenenza a una lista di distribuzione viene determinata quando viene inviata un'email a tale lista, gli utenti aziendali non possono vedere i membri di una lista di distribuzione nel loro client Outlook e, di conseguenza, non possono essere certi di chi riceverà esattamente un messaggio che inviano alla lista.
  • La query viene valutata ogni volta che viene inviata un'email a un elenco di distribuzione basato su query. Pertanto, l'utilizzo intensivo di questi gruppi comporta un notevole carico per il server Exchange e il global catalog.

Gruppi di sicurezza

While distribution groups are certainly valuable and need to be kept current to ensure security and productivity, AD security groups are even more important. Administrators rely on AD security groups to quickly and accurately provision users with the access permissions they need based on their roles in the organization. For example, you can create a security group named “Sales” and grant it access rights to the specific information, applications and other resources needed by members of the Sales department. Every user who is a member of a group automatically gets all the access rights assigned to that group.

Svantaggi dei gruppi di sicurezza statici

Proprio come accade con i gruppi di distribuzione statici, i team IT affrontano una lotta costante per assicurare che solo gli utenti corretti siano membri di ogni gruppo di sicurezza statico. Infatti, man mano che i dipendenti cambiano ruolo all'interno di un'organizzazione nel tempo, è comune che mantengano l'appartenenza a gruppi che non sono più rilevanti per i loro compiti. Ad esempio, se qualcuno passa dal dipartimento Vendite al Marketing, spesso conservano i permessi per accedere ai database delle Vendite e ad altre risorse a cui non dovrebbero più avere accesso perché nessuno li ha rimossi dai gruppi legati alle Vendite. Inoltre, gli amministratori sovraccarichi possono commettere errori, come aggiungere un impiegato junior a un gruppo come “Managers”, dandogli così accesso inappropriato a informazioni sensibili.

Questo sovradimensionamento è un problema serio sia per la sicurezza che per la conformità normativa. D'altra parte, a volte i team IT non riescono a concedere agli utenti l'appartenenza a tutti i gruppi di sicurezza a cui dovrebbero appartenere, il che può interrompere importanti processi aziendali e gravare sul helpdesk.

Aggiornamento dell'appartenenza ai gruppi di sicurezza tramite Microsoft PowerShell

Gli amministratori possono utilizzare Windows PowerShell per creare e popolare un gruppo di sicurezza in base a una query. Possono anche utilizzare uno script per aggiornare l'iscrizione di un gruppo di sicurezza, invece di aggiungere e rimuovere manualmente i membri. Ad esempio, il seguente script assicura che il gruppo di sicurezza PseudoDynamicGroup sia popolato solo con gli utenti in una specifica OU (desiredUsers):

Import-Module ActiveDirectory

      #Define the variable ‘groupname’ and load it with the members of the group ‘PseudoDynamicGroup’.

    $groupname = PseudoDynamicGroup

    #Define the variable ‘users’ and populate it with all the users in specified OU.

    $users = Get-ADUser -Filter * -SearchBase "ou=desiredUsers,dc=domain,dc=tld"

    #Iterate through the users in the ‘users’ variable. Add each of them to the group ‘PseudoDynamicGroup’ if they are not already a member.

    foreach($user in $users)

    {

      Add-ADGroupMember -Identity $groupname -Member $user.samaccountname -ErrorAction SilentlyContinue

    }

    #Define the variable ‘members’ and populate it with the current membership of the security group ‘PseudoDynamicGroup’.

    $members = Get-ADGroupMember -Identity $groupname

    #Iterate through the users in the ‘members’ variable. If any user is not in the specified OU, remove them from ‘PseudoDynamicGroup’.

    foreach($member in $members)

    {

      if($member.distinguishedname -notlike "*ou=desiredUsers,dc=domain,dc=tld*")

      {

        Remove-ADGroupMember -Identity $groupname -Member $member.samaccountname

      }

    }

Limitazioni dei gruppi di sicurezza basati su query creati tramite PowerShell

Ovviamente, creare meticolosamente uno script PowerShell come questo per ogni gruppo di sicurezza di AD è un'impresa enorme che richiede competenze specializzate. Inoltre, gli script devono essere mantenuti e nuovi devono essere scritti man mano che vengono creati nuovi progetti o team. Molte organizzazioni semplicemente non hanno le risorse IT da dedicare a questo lavoro impegnativo e critico, il che le porta a cercare una soluzione di terze parti robusta come Netwrix Directory Manager.

Gruppi basati su query con Netwrix Directory Manager

Con Netwrix Directory Manager, puoi facilmente creare sia liste di distribuzione che gruppi di sicurezza la cui appartenenza è determinata dinamicamente tramite query di Active Directory. Questi gruppi basati su query sono chiamati Smart Groups.

Per creare un Gruppo Intelligente, è sufficiente definire una query AD per il gruppo e impostare la pianificazione per la sua esecuzione. Ogni volta che la query viene eseguita, recupera oggetti dalla directory per aggiornare l'appartenenza al gruppo. La query può essere eseguita manualmente o automaticamente secondo una pianificazione definita. Di conseguenza, a differenza delle liste di distribuzione dinamiche create tramite Exchange, i gruppi di distribuzione di Netwrix Directory Manager non sovraccaricano il server Exchange eseguendo una query ogni volta che viene inviata un'email al gruppo.

Creazione di Query

Con il Query Designer in Netwrix Directory Manager, si ottiene un'interfaccia visuale intuitiva per la creazione di query; non c'è bisogno di scrivere comandi PowerShell. Dispone delle seguenti schede:

  • Generale — Seleziona il tipo di oggetti che possono essere membri del gruppo.
  • Archiviazione — Scegli le caselle di posta su qualsiasi server Exchange o database di caselle di posta.
  • Identity Store — Specificare i criteri per l'appartenenza al gruppo. Ad esempio, è possibile utilizzare gli attributi di posizione, azienda, dipartimento o ID dipendente, e applicare anche condizioni logiche come AND e OR per filtrare ulteriormente i risultati.
  • Avanzato — Utilizzare fonti di dati esterne come Oracle, ODBC, Microsoft SQL Server o file di testo per aiutare a determinare l'appartenenza al gruppo.
  • Includi/Escludi — Aggiungi o rimuovi oggetti dall'appartenenza al gruppo indipendentemente dal risultato della query.
  • Smart Script —Scrivi uno script basato sulla tua logica personalizzata utilizzando il supporto per VB Script.

Conclusione

I gruppi di sicurezza e le liste di distribuzione basati su query sono inestimabili per migliorare la sicurezza e la produttività aziendale riducendo al contempo il carico di lavoro dell'IT. Tuttavia, con le opzioni native, l'utilizzo di liste di distribuzione dinamiche può sovraccaricare le risorse di Exchange e la creazione di liste di sicurezza dinamiche richiede molto tempo e competenze avanzate in PowerShell. Netwrix Directory Manager offre un'alternativa potente: Smart Groups che rendono facile creare e mantenere gruppi di sicurezza dinamici e liste di distribuzione.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Jonathan Blackwell

Responsabile dello Sviluppo Software

Dal 2012, Jonathan Blackwell, ingegnere e innovatore, ha fornito una leadership ingegneristica che ha posizionato Netwrix GroupID all'avanguardia nella gestione di gruppi e utenti per ambienti Active Directory e Azure AD. La sua esperienza nello sviluppo, nel marketing e nelle vendite permette a Jonathan di comprendere appieno il mercato dell'Identity Management e il modo di pensare degli acquirenti.

Scopri di più su questo argomento

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Analisi quantitativa del rischio: Aspettativa di perdita annuale

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza