EDIZIONE ITALIANA

R
Sped. in a.p. - 45% - art. 2 comma 20/b legge 662/96 - Fil. Milano - Contiene I.P. - Per mancata consegna restituire al mittente che si impegna a pagare la relativa tassa.

www.winxpmag.it • Anno 8 • n° 73 • MAGGIO 2005

I N V I T O AI C O N V E G N I

S t o r a g e M a n a g e m e n t 2005

Milano, 26 Maggio 2005

Hotel Executive
www.eventiduke.it

Oltre 230 pagine di

articoli tecnici
in esclusiva
(Rivista + On Demand)
 REPORTISTICA
Come mettere il turbo al Document Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Utilizzo delle stored procedures per il reload dinamico degli indici allo scopo di accelerare l’accesso ai dati
Di Mike Smith

SECURITY

Come introdurre la crittografia in SQL Server senza troppi interventi . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Un caso reale in cui l’introduzione di sistemi di sicurezza basati sulla crittografìa non ha richiesto la modifica delle appli-
cazioni esistenti.
Di Zewei Song

Un suggerimento per difendersi: creare una trappola virtuale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Se mettiamo del miele in una zona sotto controllo, potremo attirare gli assalitori e quindi verificare il livello di affidabili-
tà delle nostre difese.
Di Joe Kinsella

BACKUP E RECOVERY

Una soluzione di backup flessibile e automatica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Una serie di script consente di porre rimedio alle mancanze di NTBackup
Di Bill Stewart

REMOTE COMPUTING

Come operare in tranquillità in una rete wireless . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Tre IDS wireless vi dicono chi c’è nella vostra rete: vediamo da vicino tre piattaforme, costituite da server di gestione e
sensori di rete, che analizzano le frequenze wireless.
Di Mark Joseph Edwards

.NET

Soluzioni per Excel e Word in ambiente .NET – Parte I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Nelle aziende è estremamente importante conoscere le potenzialità offerte dai VSTO. Vediamo cosa sono.
Di Gianni Giaccaglini

SQL SERVER

Stimare l’occupazione di spazio di un database in SQL Server 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

Imparare a valutare l’occupazione di un database è importante per non avere sorprese al momento del suo rilascio agli
utenti
Di Daniele Medone

ASPETTI LEGALI: EMAIL

La legge italiana
Informiamo e la posta
gli interessati elettronica
che per . . . . . pubblicati
tutti gli articoli . . . . . . . .sulla
. . . .rivista
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
èLe aziende
anche che usano
disponibile on la posta elettronica
demand la versionedevono
in lingua conoscere
originale. esattamente diritti e doveri di tutti
Di Tiziano Solignani
 EDIZIONE ITALIANA
ITALIANA
R

SOMMARIO M A G G I O 2 0 0 5
Sped. in a.p. - 45% - art. 2 comma 20/b legge 662/96 - Fil. Milano - Contiene I.P. - Per mancata consegna restituire al mittente che si impegna a pagare la relativa tassa.

www.winxpmag.it • Anno 8 • n° 73 • MAGGIO 2005

RUBRICHE

Le altre riviste Duke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Dossier on Demand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
INVITO AI CONVEGNI

Storage Management 2005

Dal direttore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Prodotti e Servizi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Milano, 26 Maggio 2005
Hotel Executive
www.eventiduke.it

Abbonamenti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Oltre 230 pagine di
articoli tecnici
in esclusiva
(Rivista + On Demand)

Ctrl Alt Del . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

FAQ
Windows & .NET Magazine è una rivista indipendente
specializzata nei sistemi basati su questo sistema Risposte a domande frequenti in tema di Windows Server 2003 Cluster . 12
operativo: non esistono legami di alcun genere né Di Marco Ortisi
forme di sponsorizzazione da parte della Microsoft
Italia S.p.A. o da parte della Microsoft internazionale.
Windows, Windows NT, Windows 2000 e Office sono
alcuni dei marchi registrati di proprietà della Microsoft
Corp. Tutti i marchi registrati nominati in questa rivista
appartengono ai rispettivi proprietari. Tutte le opinioni COVER STORY
espresse sulla rivista sono a livello personale degli
autori e non necessariamente corrispondono a quelle
di Windows & .NET Magazine. Le presentazioni di Come migrare alla Active Directory in Windows 2003 . . . . . . . . . . . . . . . 16
aziende, le descrizioni di prodotti o servizi, la pubblica- Lo spostamento verso il nuovo sistema operativo rappresenta solo metà della battaglia; oc-
zione di programmi non implicano in alcun caso una
raccomandazione all'acquisto né il rilascio di garanzie corre conquistare il cuore e la mente degli utenti, magari anche con qualche piccolo trucco
nei risultati da parte della redazione di Windows &
.NET Magazine. Di Sean Deuby
È compito e responsabilità dei lettori, prima di fare
acquisti, di verificare le referenze, i contratti e le clau-
sole dei fornitori e, prima di attivare programmi e tool
nelle librerie di produzione, fare le copie di sicurezza e
accurati test. SISTEMI E SERVER
TUTTI I DIRITTI SONO RISERVATI.
I sorgenti pubblicati non possono essere riprodotti o distri- L’ascesa dei sistemi a 64-bit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
buiti in alcun modo, neppure gratuitamente, senza preven-
tiva autorizzazione scritta dell’editore. Il mercato high-end si muove nella vostra direzione. Una panoramica sui potenti si-
“Windows is a trademark or registered trademark of stemi a 64 bit … che tra breve cominceranno a sostituire i normali PC
Microsoft Corporation in the United States and/or other
countries and is used by Duke Italia under license from Di Michael Otey
owner. Windows & .NET Magazine is an indipendent
publication not affilied with Microsoft Corporation.”
Rendere semplice uno spegnimento remoto . . . . . . . . . . . . . . . . . . . . . . 29
Ufficio abbonamenti:
Numero verde 800.255.244 - fax 02.6707.3071 Questo script di amministrazione vi consente di effettuare facilmente lo spegnimento
intenzionale di Windows.
Ufficio arretrati: tel 02.6748.001
Prezzo una copia: € 5,50 - Arretrati: € 11,00 Di Alex K. Angelopoulos

Abbonamento annuo: (10 numeri)

ITALIA: EUROPA: EXTRA EUROPA: Analisi del processo di Boot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
€ 46,50 € 64,04 € 69,21
Ecco cosa potrebbe essere successo quando un utente dice “Il mio computer non par-
Abbonamento biennale: (20 numeri)
ITALIA: EUROPA: EXTRA EUROPA: te”, e cosa si può fare per una diagnosi del problema
€ 80,00 € 110,01 € 117,24 Di Kathy Ivens

N.B.: L'abbonamento alla rivista può essere

fatto in qualsiasi momento e prevede l'invio di Cosa c’è da sapere riguardo a Windows Server 2003 x64 Edition e
10 numeri all'anno (numero doppio a luglio/ago-
Windows XP Professional x64 Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
sto e dicembre/gennaio). Per l'anno 2005, ad
aprile e ottobre, gli abbonati riceveranno un Di Paul Thurrott
libro gratuito. Gli abbonati, in regola col paga-
mento, hanno accesso (tramite password) all'ar-
chivio storico di tutti gli articoli pubblicati. La Suggerimenti per Virtual PC 2004 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
password per accedere all'archivio deve essere
richiesta via Web nell'area abbonati del sito Suggerimenti utili per ottenere il massimo dalle vostre macchine virtuali
della rivista: http://www.winxpmag.it Di Michael Otey
 ABBONAMENTO A EDIZIONE ITALIANA

COMPILATE IL MODULO E INVIATELO VIA FAX (02.6707.3071) OPPURE PER POSTA A:

DUKE ITALIA S.R.L. - VIA M. GIOIA 55/B - 20124 MILANO
POTETE ABBONARVI ANCHE PER TELEFONO CHIAMANDO LA LINEA VERDE 800.255.244

SI, MI ABBONO A WINDOWS & .NET MAGAZINE EDIZIONE ITALIANA

 abbonamento annuale (con accesso all’area “WIN.WIRE” su Internet) € 46,50 IVA compresa
 abbonamento biennale (con accesso all’area “WIN.WIRE” su Internet) € 80,00 IVA compresa

WIN.WIRE è la versione elettronica di tutti gli articoli tecnici pubblicati su Windows & .NET MAGAZINE.

DATI PER LA SPEDIZIONE:

Cognome/nome ........................................................................................................................................................................................................

Mansione svolta nell’azienda .................................................................................................................................................................................

Azienda .....................................................................................................................................................................................................................

Settore attività ..........................................................................................................................................................................................................

Via/Piazza ..................................................................................................................................................................................................................

CAP...................................... Città.................................................................................................................................... Provincia .......................

Telefono .................................................................................................................. Fax ..........................................................................................

Partita IVA/Codice Fiscale .................................................................................... E-mail: ....................................................................................

DATI PER LA FATTURAZIONE (da indicare solo se differenti):

Azienda .....................................................................................................................................................................................................................

Via/Piazza ..................................................................................................................................................................................................................

CAP...................................... Città.................................................................................................................................... Provincia ........................

Telefono .................................................................................................................. Fax ..........................................................................................

Partita IVA/Codice Fiscale ........................................................................................................................................................................................

PAGAMENTO:
 Assegno anticipato non trasferibile intestato a Duke Italia S.r.l.
 Versamento anticipato su conto corrente postale n. 10826204 intestato a Duke Italia S.r.l.
 Bonifico bancario anticipato sul Unicredit Banca - Ag. 41 di Milano - c/c 000005497091 - Codice CIN/ABI/CAB: A / 02008 / 01641
 Ricevuta bancaria a 30 gg. data fattura fine mese (Valida solo per le aziende - Soggetta ad approvazione)
Banca d’appoggio: ........................................................................................................................ Codice ABI/CAB: ....................../.....................
 Carta di credito (non si accettano carte elettroniche)  VISA  MASTERCARD  AMERICAN EXPRESS  DINERS
N. carta di credito: .......................................................................................................................................Scadenza: .........../...........
Intestata a: ................................................................................................................................................................................................................

Maggio 2005 Firma: ..........................................................................................................................................................

N.B.: con l’invio del presente coupon di abbonamento viene autorizzato l’impiego e l’elaborazione dei dati sopra riportati ai fini della gestione edito-
riale. Ai sensi della legge 675/96 in qualsiasi momento si ha il diritto di conoscere, aggiornare o cancellare le informazioni presenti nei nostri archivi.

www.hitechshop.it - www.winxpmag.it
IBM Lotus Software dà valore
alla collaborazione in azienda
I
n uno scenario nel quale le dinamiche del mercato glo-
bale sono in costante evoluzione, i clienti, i dipendenti e
i partner di qualsiasi azienda diventano sempre più esi-
genti: chiedono servizi e prodotti personalizzati, informa-
zioni in tempo reale e processi semplificati per risparmiare
tempo e aumentare la produttività.
Dal punto di vista aziendale, le iniziative che possono
essere adottate devono tutte puntare ad ottimizzare l’utiliz-
zo delle risorse disponibili in modo tale da ridurre i tempi di
risposta a questi cambiamenti imposti del mercato.
Elemento chiave di tale ottimizzazione è la possibilità di far
collaborare in modo più efficiente le persone ed i team di
lavoro coinvolti dai singoli processi intra ed inter-aziendali
fornendo loro un accesso integrato ed in tempo reale ai da-
ti e alle informazioni più rilevanti.
Le tecnologie e le soluzioni software a supporto della
collaborazione consentono di comunicare tra diversi uffici e
reti con fusi orari diversi per accedere e condividere le infor-
mazioni in modalità sicura e controllata. Questo processo di
collaborazione integrato abilita le aziende ad entrare in
quella modalità operativa chiamata “Business On Demand”
nella quale diventa più semplice rispondere alle esigenze
dei clienti e alle dinamiche del mercato in tempo reale.
Le soluzioni Lotus Software – uno dei cinque brand
di IBM Software Group – stanno cambiando con suc-
cesso le modalità nelle quali le persone collaborano e
lavorano insieme, apprendono, condividono informa-
zioni e conoscenze.
Con oltre 1.400 clienti passati a Lotus Notes e Domino
da altre piattaforme di messaggistica nel corso degli ulti-
mi due anni, e con una base installata di oltre 118 milioni
di utenti di Lotus Domino, IBM è sempre più leader rico-
nosciuto nel mercato del software collaborativo.
Una leadership che continua nel segno dell’innovazio-
ne, del pieno supporto degli Open Standard e di Linux per
garantire ai clienti quelle tecnologie indispensabili al pro-
cesso di trasformazione verso il business on demand.
Soluzioni di messaging e collaboration.
IBM Lotus Software fornisce applicazioni di messaging e
collaboration mediante una piattaforma integrata che
consente di gestire flussi di comunicazione interna ed
esterna tra dipendenti, clienti, partner e fornitori in una
modalità sicura e controllata.
IBM Lotus Notes e Domino
Il server IBM Lotus Domino combina funzionalità di
messaging e calendaring con una robusta piattaforma
di applicazioni collaborative disponibile per una vasta
gamma di sistemi operativi.
Il server Lotus Domino Server è composto da tre ti-
pologie: Domino Messaging Server (solo posta elettro-
nica e messaggistica), Domino Utility Server (solo ap-
plicazioni), e Domino Enterprise Server (messaggistica
e applicazioni).
www.winxpmag.it - www.hitechshop.it
IBM Lotus Notes è la versione per workstation
(client) che fornisce un ambiente collaborativo; è una
delle diverse opzioni client per utenti che accedono
alle funzionalità di posta elettronica e collaboration di
Lotus Domino server.
Domino Express è la versione studiata per le esigenze
delle piccole e medie imprese, unisce la potenza, le fun-
zionalità, l’affidabilità e la completezza di Domino e Notes
in un pacchetto che ne facilita l’installazione e l’attiva-
zione, con un prezzo particolarmente adatto anche alle
piccole e medie imprese.
IBM Lotus Notes e Domino 7 le nuove versioni dei software
per la messaggistica e la collaborazione
Le nuove versioni 7 di IBM Lotus Notes e Domino include-
ranno diverse funzionalità e caratteristiche create per gli
sviluppatori e gli amministratori. Nuovi strumenti permet-
teranno di convertire automaticamente le applicazioni in
formato XML-based Web Services, permettendo ai tradi-
zionali sviluppatori Lotus di sfruttare le loro competenze,
aiutando le aziende a sfruttare i Web Services standard
per risparmiare tempo e risorse.
I miglioramenti apportati al server Domino, inclu-
deranno un nuovo strumento di monitoraggio autono-
mico che aiuterà i clienti a risparmiare risorse econo-
miche consolidando i dati su un numero minore di ser-
ver e allertando automaticamente gli amministratori
sui loro eventuali problemi.
Lotus Notes e Domino 7 saranno strettamente in-
tegrati con IBM DB2 Universal Database che permet-
terà ai clienti di far leva sulle performance e sulla
flessibilità di questa soluzione leader di mercato
all’interno dell’ambiente collaborativo senza acquista-
re altri servizi e software.
Lotus Notes e Domino 7 supporteranno ampiamente i
Web Services, le funzionalità di self-monitoring server, ol-
tre all’incremento delle prestazioni dei server sviluppate
per consentire ai clienti di trarre il massimo vantaggio dai
loro precedenti investimenti IT, anche per quanto riguarda
le competenze acquisite dal personale tecnico; questo per
gestire il costo totale di possesso, il “cost of ownership”.
Prove interne su Notes e Domino 7 hanno mostrato
l’incremento fino al 70% delle prestazioni dei server. L’in-
tegrazione migliorata con la piattaforma IBM Workplace
offrirà ai clienti la possibilità di estendere a IBM
Workplace una porzione più ampia dei loro investimenti
Domino attraverso i normali aggiornamenti. I nuovi tool
Domino Domain Monitoring contribuiranno inoltre a con-
solidare e mantenere il funzionamento corretto dei server
Lotus Domino. IBM sta pianificando di rendere disponibile
Notes e Domino 7 entro la fine del 2005.
Ulteriori informazioni sulle
soluzioni IBM Lotus Software sono disponibili
all’indirizzo: www.windoc.duke.it
WINDOWS & .NET MAGAZINE • MAGGIO 2005 43
© 2005 Microsoft Corporation. Tutti i diritti riservati. Tutti i marchi registrati citati sono di proprietà delle rispettive società.
“La migrazione alla piattaforma Windows Server System di
Microsoft ha permesso l’ottimizzazione e l’interoperabilità dei sistemi,
l’abbattimento del numero di interruzioni dei servizi e una riduzione
dei costi di gestione del 30%. Tutto questo si è tradotto in un vantaggio
immediato per gli utenti dell’intera azienda.”
Roberto Marinucci
Responsabile dei Sistemi Informativi, Alenia Spazio

Farsi riconoscere è facile con Windows Server System.

Microsoft Windows Server System, la famiglia di
soluzioni software integrate, ha semplificato la
gestione dell’infrastruttura IT di Alenia Spazio.
Oggi Alenia Spazio del Gruppo Finmeccanica, azienda
leader nel mercato aerospaziale, amministra in
un’unica piattaforma più di 2.000 utenze, appartenenti
a 4 sedi distinte. La standardizzazione dei sistemi
ha permesso l’integrazione e la semplificazione dei
processi, potenziando la sicurezza e migliorando così
la gestione in remoto. I vantaggi sono stati subito
evidenti: un aumento nell’efficienza del sistema del
50% e una notevole riduzione dei costi di gestione.
Tutto questo grazie a Windows Server 2003 con Active
Directory ed Exchange Server 2003, due componenti
chiave di Windows Server System.
Questo è il software che ti aiuta a fare di più con meno.
Per maggiori informazioni chiama il Servizio Clienti
allo 02.70.398.398 o visita il sito
microsoft.com/italy/windowsserversystem/

Windows Server System™ comprende:

Piattaforma Server Windows Server™
Virtualizzazione Virtual Server
Analisi e gestione dei dati SQL Server™
Server per la comunicazione Exchange Server
e la messaggistica
Server per la collaborazione Office SharePoint® Portal Server
e portali aziendali
Integrazione BizTalk® Server
Gestione dell'infrastruttura Systems Management Server
Microsoft® Operations Manager
Sicurezza Internet Security & Acceleration Server
Più altri prodotti software
 ACTIVE DIRECTORY
Pianificare e personalizzare la delega
Active Directory
Amministriamo l’ambiente Active Directory usando la metodologia “Operazione,
Ruolo, Ambito”, 3 fasi che possiamo incorporare nello Schema Active Directory.
I
professionisti dell’IT apprezzano in modo particolare la
possibilità di decentralizzare i carichi amministrativi
della rete aziendale. Assegnando al personale appro-
priato la capacità di compiere delle operazioni ammini-
strative, diventa possibile ridurre i costi TCO (Total Cost
of Ownership). Le reti Windows consentono questa decen-
tralizzazione amministrativa grazie a una serie di funzio-
nalità e tecnologie diverse. Se desiderate delegare il con-
trollo su Active Directory, per esempio, potete usare la
procedura guidata Active Directory Delegation of Control
Wizard e l’ACL Editor. È possibile anche personalizzare la
procedura guidata Delegation of Control Wizard, in modo
che offra un migliore supporto per l’implementazione del
vostro piano. In questo articolo prendiamo in considera-
zione il processo di delega in generale e successivamente
analizziamo in dettaglio le tecniche che consentono di
personalizzare questa procedura guidata.
Operazione, Ruolo, Ambito
Prima di rifinire il modello amministrativo, è necessario
esaminare i propri processi e il personale disponibile.
Soltanto dopo avere analizzato gli elementi pilota umani
e aziendali che caratterizzano la propria amministrazione
sarà possibile affrontare l’implementazione del modello.
Una metodologia che abbiamo trovato particolarmente
utile nelle grandi aziende caratterizzate da gerarchie
complesse - ma che funziona anche nelle organizzazioni
più piccole - è rappresentata da un approccio dall’alto
verso il basso, che ci piace chiamare Operazione, Ruolo,
Ambito.
Operazione. Nella fase Operazione bisogna elenca-
re tutte le operazioni amministrative dell’azienda, indi-
pendentemente da chi le effettua o da come vengono
portate a termine. Per essere certi di tenere conto di
tutti gli aspetti dell’attività aziendale, è necessario sud-
dividere queste operazioni per categorie. Per esempio,
la tabella 1 elenca alcune categorie e sub-categorie
amministrative.
Ruolo. Dopo avere elencato le operazioni ammini-
strative che caratterizzano la vostra azienda, si può pas-
sare alla fase Ruolo. In questa fase bisogna raggruppare
38 GIUGNO 2004 • WINDOWS & .NET MAGAZINE
le operazioni che sono state identificate, in base alle re-
sponsabilità assegnate a ogni livello di amministrazione
e di supporto. Per esempio, il vostro ruolo di Help desk
potrebbe comprendere le operazioni legate al reset delle
password degli utenti, allo sblocco degli account e all’ag-
giunta di utenti ai gruppi, mentre un ruolo di livello più
elevato potrebbe comprendere l’operazione di creazione
di utenti e gruppi in Active Directory.
Ambito. Nella fase Ambito, i ruoli vengono applicati
ai sottoinsiemi specifici della vostra azienda. Per esem-
pio, il vostro ruolo di Help desk di livello 1 potrebbe in-
cludere la necessità di resettare le password degli uten-
ti, sbloccare gli account e aggiungere utenti ai gruppi. In
un’azienda più grande, probabilmente ci saranno degli
Help desk in varie regioni. In questo caso, ciascuna re-
gione diventa un ambito di amministrazione.
Probabilmente scoprirete che i vostri ambiti creano una
gerarchia naturale dove certi ruoli sono caratterizzati da
un ambito vasto (per esempio, nazionale, internaziona-
le), ma all’interno di quell’ambito i ruoli sono ripartiti tra
ambiti più ristretti (per esempio, regioni, siti). Gli ambiti
tendono a inserirsi anche in altre fasi della metodologia.
Per esempio, il vostro team di supporto di livello 2 po-
trebbe essere in grado di creare e associare i computer
al dominio - ma unicamente nel caso dei computer
client. Il team di supporto di livello 3 potrebbe avere la
responsabilità di creare e associare i server al dominio.
In questo caso, la distinzione tra client e server diventa
un ambito.
È possibile incorporare queste tre fasi nel proprio
schema Active Directory. Gli ambiti pilotano la struttura
delle unità OU (Organizational Unit) dell’implementazio-
ne Active Directory. La regola più importante nella pro-
gettazione delle unità OU di Active Directory è rappre-
sentata dal fatto che Active Directory dovrebbe riflettere
il vostro modello amministrativo - e non, per esempio, il
vostro organigramma. Le unità OU presenti nel vostro
schema dovrebbero riflettere la gerarchia che è stata
creata in modo naturale dagli ambiti (per o tenere una
lista delle operazioni che bisogna delegare attraverso al-
tri mezzi - per esempio, impostazioni Group Policy, liste
www.hitechshop.it - www.winxpmag.it

Figura 1
ACL e appartenenza ai gruppi - fare riferimento al riqua-
dro intitolato “Quando la delega non è tecnicamente una
delega”).
Gruppi di sicurezza
Dopo avere instaurato una struttura di unità OU in gra-
do di supportare gli ambiti di amministrazione, si pos-
sono creare i gruppi di sicurezza per ogni ruolo. Questi
gruppi di sicurezza contengono gli account utente del
personale che può rivestire quel ruolo specifico.
Ovunque i ruoli siano stati ripartiti tra ambiti diversi, è
necessario suddividere anche i gruppi di sicurezza. Si
supponga, per esempio, che il team di supporto di li-
vello 2 sia nazionale, ma l’Help desk di livello 1 sia lo-
cale; in questo caso è necessario disporre di vari grup-
pi di sicurezza che rappresentano l’Help desk di livello
1 in ciascuna località.
Nella gerarchia amministrativa, spesso il gruppo di
sicurezza creato per un ruolo include i membri dei grup-
pi di sicurezza creati per i ruoli di livello più elevato. Per
esempio, il gruppo di sicurezza relativo all’Help desk di
livello 1 potrebbe includere i membri del gruppo di sicu-
rezza per il team di supporto di livello 2, in modo che
anche gli amministratori nel team di supporto siano in
grado di resettare le password, sbloccare gli account e
aggiungere utenti ai gruppi.
Per implementare le operazioni che sono state iden-
tificate - per esempio, l’operazione di resettare le pas-
sword degli utenti - si assegna a un gruppo di sicurezza
(ruolo) il permesso corretto (operazione) sull’unità OU
appropriata (ambito). Di conseguenza, si può per esem-
www.winxpmag.it - www.hitechshop.it
Figura 2
pio accordare all’Help desk di livello 1 della regione
West il permesso Allow:Reset Password sugli oggetti
utente nelle unità OU West Users. Se avete analizzato
con attenzione le vostre operazioni, ruoli e ambiti, do-
vreste avere una gerarchia di unità OU e una gerarchia
di gruppi di sicurezza nidificati che minimizzano il nu-
mero di modifiche alle ACL che bisogna introdurre in
Active Directory.
La delega in Active Directory
Per delegare le operazioni amministrative in Active
Directory, è necessario gestire le ACL degli oggetti
Active Directory. Ciascuna operazione dispone di un per-
messo associato. Per esempio, l’operazione di reset di
una password dispone del permesso Reset Password,
che si può accordare oppure rifiutare (in modo esplicito,
o per ereditarietà), proprio come i permessi Read e
Write su un file o una cartella.
Si accede alla ACL di un oggetto Active Directory pro-
prio come si potrebbe accedere alla ACL di un file o di
una cartella. Per prima cosa, aprire lo snap-in MMC
(Microsoft Management Console) Active Directory Users
and Computers, aprire il menu View e selezionare
Advanced Features. A questo punto, quando si fa un clic
destro sull’oggetto Active Directory e si seleziona
Properties, verrà visualizzata la scheda Security che
contiene l’interfaccia dell’ACL Editor.
L’interfaccia dell’ACL Editor è caratterizzata da vari
livelli di finestre di dialogo. La prima finestra di dialogo
visualizza alcune informazioni di base sui modelli di
permessi che sono assegnati a security principal speci-
fici (per esempio, utenti, gruppi, computer). Si potran-
no notare alcune differenze di minore importanza a li-
vello di interfaccia tra i tool amministrativi di Windows
Server 2003 e di Windows 2000 Server (la figura 1 mo-
stra l’interfaccia di Windows 2003). Per esempio, in
Windows 2003 l’ereditarietà viene controllata unica-
WINDOWS & .NET MAGAZINE • GIUGNO 2004 39
La pubblicazione delle stampanti su Active Directory
Tabella 1: operazioni amministrative comuni
Operazioni amministrative
Amministrazione degli oggetti utente
Amministrazione degli oggetti dei gruppi
Supporto degli utenti
Amministrazione dei computer
Amministrazione degli oggetti delle risorse
Gestire la struttura dei domini Active Directory
Gestire Group Policy
mente nella finestra di dialogo Advanced Security
Settings, mentre in Windows 2000 è possibile accedere
alla casella di controllo inheritance da entrambe le fine-
stre di dialogo Security Settings e Advanced Security
Settings. Inoltre, se un security principal è caratteriz-
zato da permessi che cadono esternamente ai modelli
di permessi standard che sono visualizzati nella finestra
di dialogo, Windows 2000 vi avverte con del testo scrit-
to in piccolo nella parte inferiore della finestra di dialo-
go; questo testo indica che la finestra non visualizza
tutti i permessi esistenti. È facile lasciarsi sfuggire que-
sta informazione in Windows 2000. Windows 2003 ag-
giunge un modello di permessi chiamato Special, che è
molto più facile notare mentre si scorre tra i permessi
assegnati a un account. Bisogna tuttavia notare che,
dal momento che Microsoft ha posizionato il modello
Special in fondo alla lista di permessi, per vederlo è ne-
cessario scorrere verso il basso.
La pressione di Advanced sulla scheda Security porta
alla visualizzazione della seconda finestra di dialogo.
Anche qui si possono notare alcune differenze tra la fi-
nestra di dialogo Advanced Security Settings di
Windows 2003 e la finestra di dialogo Access Control
Settings di Windows 2000. La finestra di dialogo
Advanced Security Settings di Windows 2003, indicata
dalla figura 2, contiene la colonna Inherited From che
permette di determinare più facilmente in corrisponden-
za di quale punto nell’albero di unità OU sia stato appli-
cato un permesso specifico. Un’altra aggiunta partico-
larmente gradita in Windows 2003 è rappresentata dal
pulsante Default, che azzera la ACL e la sostituisce con
40 GIUGNO 2004 • WINDOWS & .NET MAGAZINE
Sub-operazioni
Creare gli utenti
Cancellare gli utenti
Configurare le proprietà degli utenti
Creare gruppi
Cancellare i gruppi
Aggiungere utenti ai gruppi
Resettare le password
Specificare che gli utenti devono modificare la password al logon
successivo
Sbloccare gli account
Disattivare gli account
Creazione degli oggetti computer
Cancellazione degli oggetti computer
Unire i computer al dominio
Creazione delle cartelle condivise
Creazione delle stampanti
Creazione e cancellazione delle unità OU
Delega del controllo
Gestire i link di Group Policy
Gestire le opzioni di Group Policy
la ACL predefinita che lo Schema ha definito per
quell’oggetto. Infine, la nuova scheda Effective
Permissions permette di valutare i permessi risultanti
per un security principal specifico.
Quando si aggiunge o si modifica un elemento di per-
messi nella lista Permission entries, viene visualizzata la
finestra di dialogo Permission Entry - che rappresenta il
terzo livello nella catena di finestre di dialogo per la si-
curezza. Questa finestra, che visualizza i permessi di
proprietà e l’oggetto più granulare, non è cambiata si-
gnificativamente nel passaggio da Windows 2000 a
Windows 2003.
La procedura guidata Delegation of Control Wizard
Conoscere le finestre di dialogo dell’ACL Editor è partico-
larmente utile - così come conoscere le funzionalità della
scheda Effective Permissions; in ogni caso, sconsigliamo
di usare queste finestre di dialogo allo scopo di imple-
mentare la delega. Dal momento che espongono troppa
granularità, si potrebbero commettere con facilità dei
banali errori che possono portare a disastri.
La procedura guidata Delegation of Control Wizard
maschera invece le complessità che caratterizzano la
modifica delle ACL. Per lanciare questa procedura gui-
data bisogna fare un clic destro su uno dei maggiori
container (per esempio, sito, dominio, OU) e seleziona-
re Delegate Control. Altri oggetti Active Directory (per
esempio, utenti, gruppi) non forniscono l’opzione
Delegate Control. Si potrebbe pensare (correttamente)
che tutti gli oggetti Active Directory hanno delle ACL e
conseguentemente supportano la delega; in ogni caso,
www.hitechshop.it - www.winxpmag.it
 Listato 1: modello del file Delegwiz.inf standard
[template1]
BEGIN CALLOUT A
AppliesToClasses=domainDns,organizationalUnit,
container
END CALLOUT A
BEGIN CALLOUT B
Description = “Create, delete, and manage user
accounts”
END CALLOUT B
BEGIN CALLOUT C
ObjectTypes = SCOPE, user
END CALLOUT C
Figura 3 [template1.SCOPE]
user=CC,DC
[template1.user]
@=GA

Listato 2: modelli per implementare due operazioni

personalizzate
[templatecustom01]
AppliesToClasses=organizationalUnit
Description = “NEW TASK: Reset passwords on
users and require to change them at next
logon”
ObjectTypes = user
[templatex.user]
CONTROLRIGHT= “Reset Password”
pwdLastSet=RP,WP

[templatecustom02]
AppliesToClasses=organizationalUnit
Description = “NEW TASK: Unlock locked user
accounts”
ObjectTypes = user
[templatey.user]
lockoutTime=RP,WP
Figura 4

quella di modificare le ACL su singoli oggetti foglia in Listato 3: porzione del file Dssec.dat
Active Directory non è una buona idea. Queste modifi-
lastLogoff=7
che diventerebbero sregolate e sarebbero difficili da lastLogon=7
documentare e analizzare, oltre a essere caratterizzate legacyExchangeDN=7
lmPwdHistory=7
da una difficile risoluzione dei problemi. Consigliamo
localeID=7
invece di usare i container come punti di delega, poi lockoutTime=7
consentire all’ereditarietà delle ACL di modificare le logonCount=7
mail=7
ACL degli oggetti all’interno di questi container. managedObjects=7
Microsoft incoraggia questa consuetudine visualizzando masteredBy=7
l’opzione Delegate Control soltanto in alcuni dei mag- maxStorage=7
giori container.
Usando l’opzione Delegate Control da un container, si
specifica automaticamente l’ambito della delega. La pro- si può creare un’operazione personalizzata. La vo-
cedura guidata chiede di specificare: stra definizione di operazioni comuni potrebbe esse-
re diversa da questi valori predefiniti. Come vedre-
• a chi si sta cercando di accordare il controllo. Questa mo tra un attimo, è comunque possibile personaliz-
entità viene specificata aggiungendo i security princi- zare la procedura guidata Delegation of Control
pal, in particolare al gruppo amministrativo che rap- Wizard in modo che visualizzi le operazioni che voi
presenta il ruolo. La figura 3 mostra la schermata ritenete comuni.
della procedura guidata dove si aggiungono questi
security principal. Di conseguenza, anche la procedura guidata segue
• il tipo di controllo che dovrebbero avere i security una migliore consuetudine - un’implementazione dall’al-
principal. Si potrà notare che la procedura guidata to verso il basso di Operazione, Ruolo, Ambito. Dopo
usa la parola task, come indica la figura 4. Si può avere specificato questi tre componenti della delega, la
scegliere da una lista di elementi che la procedura procedura guidata modifica conseguentemente la ACL
guidata categorizza come operazioni comuni, oppure sul container.

www.winxpmag.it - www.hitechshop.it WINDOWS & .NET MAGAZINE • GIUGNO 2004 41

La pubblicazione delle stampanti su Active Directory
Figura 5
Personalizzare le interfacce di delega
Purtroppo, la limitata lista di operazioni comuni che ca-
ratterizza la procedura guidata Delegation of Control
Wizard semplifica eccessivamente la delega, fino al pun-
to da rendere inutile questa procedura guidata per qual-
siasi piano di delega che sia stato attentamente predi-
sposto. Per esempio, un’operazione amministrativa co-
mune consiste nello sbloccare gli account che sono stati
bloccati da un utente che successivamente ha dimenti-
cato la password. Un altro esempio è rappresentato dai
reset delle password. Quando un amministratore resetta
la password di un utente, una buona consuetudine ri-
chiede che l’utente modifichi la password al logon suc-
cessivo. Questa operazione non è disponibile nella pro-
cedura guidata Delegation of Control Wizard di Windows
2000 (mentre lo è in quella di Windows 2003).
Soprattutto nelle grandi aziende, è piuttosto comune
controllare strettamente anche la cancellazione degli og-
getti - soprattutto utenti, gruppi e computer - dal mo-
mento che la cancellazione di un oggetto porta alla per-
dita del suo SID (Security IDentifier). L’operazione co-
mune della procedura guidata permette la creazione, ge-
stione e cancellazione degli oggetti utenti, ma cosa suc-
cede se si desidera suddividere queste operazioni?
Al fine di personalizzare le operazioni messe a dispo-
sizione dalla procedura guidata, si può modificare il file
delegwiz.inf contenuto nella cartella nascosta \%win-
dir%\inf. Il file delegwiz.inf dispone di una semplice
struttura, dove ogni operazione comune è definita da un
44 GIUGNO 2004 • WINDOWS & .NET MAGAZINE
Quando la delega non è
tecnicamente una delega
Anche se si tratta di un’elencazione tutt’altro che completa,
le operazioni indicate nella tabella 1 (nell’articolo principale) of-
frono un buon punto di partenza. La vostra lista includerà pro-
babilmente anche ulteriori operazioni amministrative, come:
• aggiungere o rimuovere i controller di dominio
• effettuare il backup dei controller di dominio
• creare degli oggetti GPO (Group Policy Object)
• amministrare l’infrastruttura di sicurezza del dominio (per
esempio, i certificati IPSec - IP Security - e PKI - public key
infrastructure)
• gestire i record DNS
• implementare, configurare e supportare i computer
• usare Remote Desktop for Administration per amministrare
i server
• creare le cartelle di rete condivise
• gestire i permessi relativi a file e cartelle
• gestire le code di stampa
Per delegare queste operazioni - e molte altre simili - biso-
gna usare le impostazioni di Group Policy, ACL su risorse spe-
cifiche (per esempio, cartelle, zone DNS), oppure l’appartenen-
za al gruppo corretto (per esempio, l’appartenenza al gruppo
Server Operators, Power Users, o Administrators per creare le
condivisioni). Dal momento che per implementare queste ope-
razioni non si usa la delega Active Directory, ciò esula dallo
scopo di questo articolo. In ogni caso, per analizzarle si può
sempre usare la metodologia di Operazione, Ruolo, Ambito.
Bisogna semplicemente usare una tecnica diversa dalla delega
Active Directory per implementare il modello.
modello che fornisce l’operazione stessa usando un no-
me amichevole e indica in dettaglio le modifiche alla ACL
che devono essere apportate dalla procedura guidata
per implementare la delega. In prossimità della parte
superiore del file delegwiz.inf è presente una sezione
etichettata DelegationTemplates. Il parametro
Templates che segue elenca i modelli contenuti nel file.
Quando si aggiunge o rimuove un modello, è necessario
aggiungere o rimuovere il suo nome da questa lista.
Il listato 1 indica un modello che fa parte del file
standard delegwiz.inf. Il codice in corrispondenza del ri-
chiamo A nel listato 1 indica che il modello verrà appli-
cato quando si invoca la procedura guidata da un ogget-
to container, dominio, oppure OU. Il codice in corrispon-
denza del richiamo B contiene una descrizione amiche-
vole dell’operazione. Il codice in corrispondenza del ri-
chiamo C indica che, se l’operazione è stata selezionata
nella procedura guidata Delegation of Control Wizard,
quest’ultima modificherà i permessi sul container
dell’ambito e gli oggetti utente. Esiste un modello di per-
messi per l’ambito e per gli oggetti utente. Il modello
scope permissions consente la creazione e la cancella-
zione degli oggetti utente. Il modello user objects per-
missions assegna il pieno controllo (per esempio, GA nel
listato 1) a tutte le proprietà degli oggetti utente.
Usando i modelli indicati dal listato 2 è possibile im-
plementare due operazioni comuni che Microsoft ha di-
menticato quando ha progettato la procedura guidata. È
necessario aggiungere templatecustom01 e templatecu-
www.hitechshop.it - www.winxpmag.it
stom02 alla lista nel parametro Templates della sezione
DelegationTemplates. Bisogna quindi modificare il file
delegwiz.inf sul computer dal quale si amministra Active
Directory. Se si desidera fare in modo che molteplici am-
ministratori usino un file delegwiz.inf personalizzato, lo
si dovrà distribuire in modo appropriato. Un service pack
o un aggiornamento al sistema operativo potrebbero po-
tenzialmente sovrascrivere il vostro file; di conseguenza,
bisogna sottoporlo a backup. Dopo avere personalizzato
la procedura guidata Delegation of Control Wizard, si
avrà la capacità di delegare facilmente il controllo senza
bisogno di scavare nelle ACL degli oggetti Active
Directory e rischiare degli errori.
Per ottenere ulteriori informazioni sulla struttura di
delegwiz.inf, fare riferimento all’articolo Microsoft intito-
lato “HOWTO: Customize the Task List in the Delegation
Wizard” (disponibile all’indirizzo http://support. micro-
soft.com/?kbid=308404). Presso la TechNet e la rete
MSDN (Microsoft Developer Network) si possono trovare
ulteriori informazioni su proprietà LDAP (Lightweight
Directory Access Protocol) specifiche, nomi di oggetti e
specificatori di permessi.
I permessi mancanti
Una caratteristica infelice dell’ACL Editor in Windows
2003 e Windows 2000 è rappresentata dal fatto che non
visualizza tutti i permessi disponibili. Ciò dipende dal
fatto che ne esistono troppi. Il motivo è comprensibile,
ma cosa succede se si assegna un permesso che non si
riesce a visualizzare nell’interfaccia utente? Modificando
dssec.dat, un file di testo contenuto nella cartella \sy-
stem32, è possibile determinare quali permessi vengono
visualizzati nell’ACL Editor. Il file dssec.dat è suddiviso
in due sezioni, ciascuna delle quali visualizza una pro-
prietà. Un valore di proprietà pari a 7 significa hide (na-
scondi), mentre un valore di proprietà pari a 0 (oppure
nessuna menzione della proprietà) significa show (mo-
stra). Il listato 3 mostra una parte della sezione [user]
di un file sampledssec.dat.
Nella sezione [user], la proprietà lockoutTime è im-
postata su 7; di conseguenza, non comparirà nell’ACL
Editor. Se il valore della proprietà viene modificato in 0,
la proprietà verrà visualizzata, come indica la figura 5. Il
file dssec.dat di Windows 2003 non include lockoutTime
sotto la sezione [user]; di conseguenza, la proprietà non
compare nell’ACL Editor.
Il file dssec.dat determina inoltre quali proprietà appaio-
no nella porzione custom tasks della procedura guidata
Delegation of Control Wizard. Proprio come delegwiz.inf, bi-
sogna modificare dssec.dat sulla macchina dalla quale si
amministra Active Directory. È opportuno effettuare il
backup di dssec.dat, in modo da non avere problemi nem-
meno nell’evento di un’eventuale sovrascrittura da parte di
un service pack o un aggiornamento. Se decidete di perso-
nalizzare delegwiz.inf per effettuare facilmente la delega di
operazioni altrimenti non disponibili, dovete accertarvi che
dssec.dat renda visibili i permessi che state impostando. Per
esempio, se usate il secondo modello nel listato 2 per ren-
dere disponibile l’operazione Unlock locked user accounts, è
necessario impostare lockoutTime su 0 in dssec.dat.
www.winxpmag.it - www.hitechshop.it
Eliminare l’errore umano
Attraverso un’attenta pianificazione della delega e distri-
buendo i file personalizzati dssec.dat e delegwiz.inf che
forniscono l’implementazione di quel modello, è possibile
creare un ambiente più produttivo e meno soggetto agli
errori umani. Se intendete delegare manualmente il con-
trollo su Active Directory e raggruppare le operazioni
della vostra organizzazione in modo diverso da come
vengono raggruppate dalla procedura guidata Delegation
of Control Wizard, queste tecniche possono fare una dif-
ferenza enorme. ▲
L’autore
Dan Holme (danh@intelliem.com) è director of trai-
ning presso Intelliem, una società che fornisce un
training focalizzato sulle soluzioni e servizi di consu-
lenza che supportano le implementazioni di Windows
e Active Directory nelle grandi aziende. Ha fatto un
intervento alla Windows & .NET Magazine
Connections 2004.
ARTICOLI CORRELATI
Active Directory come Directory Service
www.dossier.duke.it - cod. documento: AD2003SP2
Active Directory come Directory Service
www.dossier.duke.it - cod. documento: AD2003SP3
Sei tool essenziali per la risoluzione dei problemi nella
replicazione Active Directory
www.dossier.duke.it - cod. documento: ITA24222
Easy Active Directory Scripting for Systems
Administrators, Part 1
www.dossier.duke.it - cod. documento: W9168
The Active Directory Dilemma
www.dossier.duke.it - cod. documento: W38927
Bug & Fix per ActiveSync
www.dossier.duke.it - cod. documento: W37588
Performance Management in Windows
www.dossier.duke.it - cod. documento: W37933
Essential Tools for Troubleshooting AD Replication
www.dossier.duke.it - cod. documento: W24222
AD Delegation Beyond the Basics
www.dossier.duke.it - cod. documento: W25640
AD Network interactions
www.dossier.duke.it - cod. documento: W37928
WINDOWS & .NET MAGAZINE • GIUGNO 2004 45
 Ogilvy&Mather
Il Middleware è ovunque. Riesci a vederlo?

WINDOW & NET MAGAZINE

4 1
3
2
5

Live
o r k p l a c erver event
W e
I B M ecial software&s
sp e
ents/ workplaceliv
/it/ev
ibm.com 6.0 5.0
5
a. 2
5 - Rom
.1 9.0 5.0
M il a n o

Legenda SOFTWARE IBM. AL TOP TRA I MIDDLEWARE. IBM

1. Inventario aggiornato in tempo reale.
2. Discussione sul design con i partner.
3. Gli ordini arrivano in modalità wireless.
4. Spedizione di un ordine all’ultimo
minuto.
5. Consegne veloci e puntuali.
Workplace trasforma la produttività. Perché aiuta a migliorare
il lavoro di squadra tra collaboratori, partner e venditori. IBM
Workplace offre ad ogni singola figura professionale un facile
accesso ad informazioni di importanza determinante.
E fornisce tutti gli strumenti collaborativi di cui hai bisogno per
lavorare con efficienza. Per prendere sempre le decisioni più
opportune. E farlo più velocemente. O, più semplicemente, per
lavorare in modo più intelligente.

Questo è il middleware per il mondo on demand. Per saperne di più visita ibm.com/middleware/collaboration/it

IBM, il logo IBM, WebSphere e il logo On Demand Business sono marchi registrati di IBM Corp. negli Stati Uniti e/o in altri Paesi. ©2005 IBM Corp. Tutti i diritti riservati.
 SQL SERVER

Il tipo di dato XML: cosa si può fare oggi e

cosa ci promette Yukon
L’estensione di XQuery consente di inserire, cancellare e aggiornare i documenti
XML archiviati nel database. Ecco come funzionano queste nuove capacità

M
icrosoft ha introdotto l’XML nel suo sistema di da-
tabase relazionale a partire da SQL Server 2000.
In SQL Server 2000 è possibile ottenere dei risul-
tati da query XML sul database ed estrarre i dati da un
documento XML per l’archiviazione nel database. In ogni
caso, anche se la metaproprietà mp:xmltext di OpenXML
permette di archiviare dei frammenti XML oppure interi
documenti XML in una colonna di testo, in SQL Server
2000 bisogna scrivere una grande quantità di codice T-
SQL o di codice sul lato client per interrogare e aggior-
nare il codice XML archiviato. Questa situazione sta tut-
tavia per cambiare.
Recentemente Microsoft ha compiuto un ulteriore pas-
so avanti nel tentativo di trasformare l’XML in una parte
integrante di SQL Server, grazie al rilascio di Yukon Beta
1: una beta privata che permette di dare una prima oc-
chiata alle nuove capacità che saranno disponibili nella
prossima versione di SQL Server. Una delle caratteristiche
più entusiasmanti di questa release è rappresentata
dall’introduzione del tipo di dato XML nativo, le cui capa-
cità si spingono ben oltre quelle che caratterizzano le tec-
nologie XML di SQL Server 2000. A differenza di queste
tecnologie, il tipo di dato XML viene integrato omogenea-
mente nei modelli di programmazione e archiviazione di
SQL Server. Di conseguenza, è possibile interrogare e ag-
giornare i documenti XML e addirittura scrivere dei join tra
i dati XML e i dati relazionali nel database.
Con il tipo di dato XML diventa possibile creare colonne
e variabili che archiviano i dati XML in modo nativo.
Inoltre, è possibile specificare uno schema XSD (XML
Schema Definition) che limita al vocabolario descritto nello
schema l’XML archiviato nella colonna o variabile;
Microsoft lo chiama typed XML. Inoltre, è possibile interro-
gare l’XML usando un nuovo linguaggio di query incentrato
sull’XML chiamato XQuery, che rappresenta l’implementa-
zione di Microsoft dello standard W3C (World Wide Web
Consortium) XML Query attualmente in fase di elaborazio-
ne. Microsoft ha esteso l’XQuery con l’aggiunta della capa-
cità di inserire, cancellare e aggiornare i documenti XML -
funzioni che sono previste soltanto per una successiva re-
lease dello standard W3C - in modo da offrire la capacità
di modificare i documenti XML archiviati nel database.
Ecco come funzionano queste capacità.
Creare variabili, colonne e parametri XML
Il tipo di dato XML - xml - è un tipo di dato integrato proprio
come varchar, int e altri. Viene utilizzato esattamente nello
stesso modo in cui si usa qualsiasi altro tipo di dato SQL
Server. Il tipo di dato xml può essere usato da colonne, varia-
bili, parametri e dai valori restituiti dalle funzioni. Per esem-
pio, si può dichiarare una variabile XML chiamata myDoc:
DECLARE @myDoc xml
È possibile dichiarare una stored procedure che assume
come parametro un documento XML:
CREATE PROCEDURE returnData
@xmldoc xml
AS
...
GO
Così come è possibile creare una tabella che dispone di
una colonna XML, usando il codice seguente:
CREATE TABLE myDocs (
docID int NOT NULL,
doc xml NOT NULL)
GO

Tabella 1. Metodi del tipo di dato XML.

query(XQuery) Usato per recuperare frammenti o documenti XML. Esegue il parametro XQuery specificato
nella definizione del metodo e restituisce un documento XML untyped.
value(XQuery, SQL type) Usato per recuperare un valore scalare da un documento XML. Esegue la XQuery e restitui-
sce il valore selezionato con il tipo SQL specificato.
exist(XQuery) Restituisce TRUE se la XQuery restituisce un risultato non vuoto, FALSE se restituisce un ri-
sultato vuoto, oppure NULL se la variabile o colonna è NULL.
modify(XML_DML) Esegue il parametro XML_DML per aggiornare il documento XML.

72 LUGLIO-AGOSTO 2004 • WINDOWS & .NET MAGAZINE www.hitechshop.it - www.winxpmag.it

 <IndividualSurvey>
<DateOfFirstPurchase>
2001-07-22T00:00:00
</DateOfFirstPurchase>
<MaritalStatus>M</MaritalStatus>
<Gender>M</Gender>
<NoOfChildren>2</NoOfChildren>
<NoOfChildrenAtHome>0
</NoOfChildrenAtHome>
<HomeOwnerFlag>1</HomeOwnerFlag>
<NoOfCarsOwned>0</NoOfCarsOwned>
<Hobby>Golf</Hobby>
<Hobby>Watch TV</Hobby>
</IndividualSurvey>
Figura 1
Anche se il tipo di dato XML è un tipo di dato integra-
to, funziona come un UDT (user-defined data type)
rendendo disponibili vari metodi che permettono di in-
terrogare e aggiornare i dati archiviati in una colonna
o variabile XML. La tabella 1 descrive i metodi suppor-
tati. Questi metodi si possono usare per interrogare,
ottenere valori scalari e modificare un documento XML
archiviato in una variabile, colonna, o parametro. I
metodi query, value ed exist assumono come parame-
tri delle espressioni XQuery (descriveremo XQuery tra
un attimo). Il metodo modify assume come parametro
XML DML - un’estensione XQuery per aggiornare un
documento XML.
Al fine di illustrare il funzionamento dei metodi query,
value ed exist (analizzeremo il metodo modify in un fu-
turo articolo), prendiamo in considerazione il documento
XML indicato dalla figura 1. Abbiamo estratto questo do-
cumento dalla colonna Demographics in una riga della
tabella Individuals del nuovo database esemplificativo
AdventureWorks di Yukon e ne abbiamo ridotto le di-
mensioni in modo da adattarle alla pubblicazione nell’ar-
ticolo. I comandi T- SQL del listato 1 indicano come sia
possibile assegnare l’XML a una variabile e usare i me-
todi del tipo di dato xml per interrogare questa variabile
XML. Dopo avere inizializzato la variabile @myDoc con il
documento IndividualSurvey, il metodo query recupera
l’elemento NoOfCarsOwned relativo agli individui ma-
schi, il metodo value recupera un integer che rappre-
senta il numero di automobili possedute dall’individuo,
mentre la funzione exist restituisce un valore booleano
che indica se è presente l’elemento NoOfCarsOwned. La
figura 2 mostra i risultati dell’esecuzione del codice T-
SQL del listato 1.
Variabili e colonne typed XML
I programmatori usano spesso la cosiddetta ‘type sa-
fety’ nei linguaggi come il C#, in modo da ridurre i
bug impedendo di mischiare inavvertitamente diversi
tipi di dato quando si assegnano le variabili. È possibi-
le ottenere dei risultati simili anche con il tipo di dato
xml di Yukon. Quando si specifica uno schema XSD per
una variabile, colonna, o parametro, Yukon assicura
che il documento XML assegnato o archiviato è confor-
me alla struttura e ai contenuti descritti dallo schema.
www.winxpmag.it - www.hitechshop.it
<NoOfCarsOwned>0</NoOfCarsOwned>
(1 row(s) affected)
(1 row(s) affected)
True
(1 row(s) affected)
<MaleHobby>Golf</MaleHobby>
<MaleHobby>Watch TV
</MaleHobby>
(1 row(s) affected)
Figura 2
<?xml version=“1.0” encoding=“utf-8” ?>
<xs:schema
xmlns:xs=“http://www.w3.org/2001/XMLSchema“
targetNamespace=“uri:individual”
xmlns= “uri:individual“>
<xs:element name=“IndividualSurvey“>
<xs:complexType>
<xs:sequence>
<xs:element name=“DateOfFirstPurchase“
type=“xs:dateTime” />
<xs:element name=“MaritalStatus“
type=“xs:string” />
<xs:element name=“Gender“
type=“xs:string” />
<xs:element name=“NoOfChildren“
type=“xs:int” />
<xs:element name=“NoOfChildrenAtHome“
type=“xs:int“ />
<xs:element name=“HomeOwnerFlag“
type=“xs:boolean“ />
<xs:element name=“NoOfCarsOwned“
type=“xs:int” />
<xs:element name=“Hobby”
type=”xs:string” maxOccurs=“unbounded“ />
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>
Figura 3
L’uso delle colonne typed XML offre inoltre l’ulteriore
vantaggio di ridurre le dimensioni di archiviazione di
un documento XML, dal momento che al suo interno
vengono archiviati i tipi di dato nativo invece dei valori
di stringa grezzi.
Per creare una colonna typed XML bisogna per prima
cosa registrare lo schema. In Yukon, la registrazione di
uno schema associa lo schema stesso a uno spazio di nomi
- un URI (universal resource identifier) univoco. Per regi-
strare uno schema si usa la nuova istruzione CREATE XML-
SCHEMA. Per esempio, si potrebbe usare
CREATE XMLSCHEMA schema_string
dove schema_string è lo schema della figura 3.
Dopo la registrazione dello schema, è possibile asso-
ciargli variabili, colonne, o parametri specificando l’URI re-
lativo allo spazio di nomi nella dichiarazione di variabile,
colonna, o parametro. Per esempio, si può usare il codice
del listato 2 per specificare i tipi relativi alle dichiarazioni
nella sezione precedente di questo articolo.
WINDOWS & .NET MAGAZINE • LUGLIO-AGOSTO 2004 73
Il tipo di dato XML di Yukon

to XML. XQuery estende XPath per consentire la creazio-

ne di un nuovo documento XML, che contiene alcune
parti selezionate di un altro documento e le nuove parti
Listato 1: codice T-SQL che usa i metodi del tipo di dato XML.
che sono state specificate nella query.
Yukon usa XQuery per selezionare le parti di un do-
DECLARE @myDoc xml cumento XML che siano state archiviate in una variabi-
DECLARE @myResult xml
le T-SQL, una colonna XML, oppure un parametro XML.
SET @myDoc = ‘<IndividualSurvey> Il listato 1 contiene un esempio di XQuery. Nelle istru-
<DateOfFirstPurchase>2001-07-
zioni SELECT, il parametro relativo ai metodi query,
22T00:00:00</DateOfFirstPurchase>
<MaritalStatus>M</MaritalStatus> value ed exist è una semplice istruzione XQuery che
<Gender>M</Gender> seleziona il numero di automobili possedute dagli indi-
<NoOfChildren>2</NoOfChildren>
<NoOfChildrenAtHome>0</NoOfChildrenAtHome> vidui maschi. Questa XQuery non crea un nuovo docu-
<HomeOwnerFlag>1</HomeOwnerFlag> mento XML. La XQuery seguente, che usa la variabile
<NoOfCarsOwned>0</NoOfCarsOwned> @myDoc del listato 1, costruisce invece gli elementi
<Hobby>Golf</Hobby>
<Hobby>Watch TV</Hobby> MaleHobby dagli elementi Hobby contenuti nel docu-
</IndividualSurvey>’ mento originale:
SELECT
@myDoc::query(‘/IndividualSurvey[Gender=“M”] SELECT @myDoc::query(‘
/NoOfCarsOwned’) FOR $hobby IN
SELECT
@myDoc::value(‘/IndividualSurvey[Gender=“M”] /IndividualSurvey
/NoOfCarsOwned’,’int’) [Gender=”M”]/Hobby
SELECT RETURN <MaleHobby> {data($hobby)}
@myDoc::exist(‘/IndividualSurvey[Gender=“M”]
/NoOfCarsOwned’) </MaleHobby>’)

L’istruzione FOR compie un’iterazione attraverso ogni

Listato 2 elemento Hobby che è stato selezionato con
Listato 2: la creazione di variabili, colonne /IndividualSurvey[Gender=”M”]/Hobby e usa i dati
e parametri Typed XML.
DECLARE @myDoc xml (N’uri:individual’) dell’elemento Hobby per costruire nuovi elementi
CREATE PROCEDURE returnData MaleHobby. Per dire le cose in modo semplice, cambia gli
@xmldoc xml (N’uri:individual’) elementi Hobby in elementi MaleHobby.
AS

GO Questi esempi di XQuery consentono soltanto di graf-

CREATE TABLE myDocs (
fiare la superficie relativamente alle capacità di XQuery.
docID int NOT NULL,
doc xml (N’uri:individual’) NOT NULL Analizzeremo in profondità XQuery in un prossimo articolo.
)
GO
L’XML reso più semplice
Il nuovo tipo di dato xml di Yukon offre un modo comodo
per archiviare, interrogare e recuperare i documenti XML.
Oltre a ridurre la quantità di codice necessaria per compie-
Le query XML re queste operazioni, il tipo di dato xml consente un’inte-
I documenti XML archiviano i dati in modo gerarchico, razione particolarmente ricca tra i dati relazionali e XML.
nidificando l’uno all’interno dell’altro gli elementi corre- Nei prossimi articoli introdurremo ulteriori funzionalità XML
lati. Per esempio, un elemento di un ordine contiene di Yukon e presenteremo alcuni suggerimenti su come
probabilmente alcuni elementi di linea nidificati per cia- creare delle applicazioni XML più funzionali usando meno
scun prodotto contenuto nell’ordine stesso. In ogni caso, codice. ▲
non è possibile usare con facilità una query SQL nei con-
fronti della struttura gerarchica che è stata creata nidifi-
cando gli elementi, dal momento che il linguaggio SQL è
stato progettato per navigare tra le relazioni, non tra le
gerarchie. Di conseguenza, per fungere da complemento
al tipo di dato XML, Yukon ha introdotto XQuery: un lin-
guaggio di query gerarchico per l’XML. XQuery è simile a
XPath, il linguaggio gerarchico che si usa nell’istruzione
OpenXML di SQL Server 2000. XPath permette di navi-
gare nella gerarchia di documenti XML in modo molto si- L’autore
mile a come si naviga nel file system del proprio perso- Rich Rollman (xmlquestions@sqlmag.com) è un con-
nal computer. Pur essendo particolarmente potente, sulente indipendente ed ex-lead program manager for
XPath dispone di una limitata capacità nella creazione di XML presso Microsoft. Era responsabile delle funzionalità
nuovi vocabolari XML come risultato di un’espressione; XML di SQL Server e di parser XML, modello di oggetti e
può soltanto restituire le parti già esistenti del documen- linguaggio di schema.

74 LUGLIO-AGOSTO 2004 • WINDOWS & .NET MAGAZINE www.hitechshop.it - www.winxpmag.it

Alla base di una nuova generazione
di network computing
IBM Workplace Collaboration Services, una evoluzione di Lotus Notes e Domino.
Intervista a Davide Pannuto di IBM Italia
a cura di Mario Ortensi

Workplace Collaboration Services di IBM è un pro- Workplace fornisce un complesso di servi-

dotto della famiglia IBM Workplace che fornisce un zi collaborativi di grande estensione; può in-
nuovo modello collaborativo per aiutare la produtti- dicare come questi strumenti influenzeranno
vità individuale e di gruppo, e a svolgere attività il modo di lavorare nelle aziende utenti? In
mirate in modo più rapido. Fornisce una vasta gam- quali attività (o settori aziendali) si potran-
ma di potenti risorse collaborative quali e-mail, ca- no maggiormente evidenziare i benefici?
lendaring e scheduling, awareness, instant messa- Come sarà possibile esprimere questi bene-
ging, learning, team space, Web conferencing, e fici in termini di ROI?
gestione dei contenuti web e dei documenti. Quello che introduce IBM Workplace risulta es-
In questo modo, le aziende sono in grado di sere per le aziende un nuovo modo di lavorare al
utilizzare una singola soluzione collaborativa per fine di incrementare la produttività individuale e
l’azienda in modo completo e di rendere disponi- di gruppo.
bili uno, due o più servizi all’interno di un unico I servizi collaborativi offerti possono essere
ambiente collaborativo completamente integrato usati singolarmente o combinati tra loro per offri-
IBM Workplace. re la migliore piattaforma di collaborazione e con-
Basato su una struttura orientata ai servizi divisione di risorse aziendali in termini di applica-
(service oriented architecture), Workplace zioni, persone e informazioni.
Collaboration Services fornisce servizi collaborati- Workplace, grazie alla sua tecnologia standard
vi prestrutturati e riutilizzabili. Per mezzo di servi- basata su J2EE, può essere integrato con qualun-
zi modulari, le organizzazioni possono avere la que soluzione nuova o esistente; quindi tale solu-
flessibilità di adattarsi rapidamente alle mutevoli zione fornisce un’integrazione con i processi
condizioni del business, fornendo le risorse di cui aziendali offrendo valore a qualunque tipologia di
gli utenti hanno bisogno on demand, nel contesto azienda o settore.
del lavoro che stanno svolgendo. Il ritorno degli investimenti potrà essere così
Workplace Collaboration Services semplifica il misurato sia in termini di produttività che in ter-
rilascio di software tramite un modello di fornitura mini di efficienza aziendale.
basato sulla rete. Questo modo semplificato di ri-
lasciare software sulla rete, su un dispositivo mo-
bile o un sistema desktop, in base alla scelta
dell’utente, fornisce ai dipendenti i servizi di cui
hanno bisogno.
Grazie ad un’innovativa gestione centralizzata e
a un modello di policy, con cui si può facilmente
controllare da un unico punto diversi servizi e client,
viene semplificato il supporto IT e vengono ridotti i
costi, per la gestione di un’unica infrastruttura.
Fornendo integrazione con l’ambiente
Microsoft, gli strumenti integrati di produttività
assicurano uno scambio completo di informazioni
con gli utenti Microsoft Office. Gli utenti
Workplace Collaboration Services possono aprire
documenti Microsoft Office e salvarli direttamente
nella libreria dei documenti Workplace
Collaboration Services.
Intervistiamo Davide Pannuto - Lotus Davide Pannuto è responsabile marketing per il
Marketing Manager della divisione IBM Software brand Lotus Software all’interno della divisione
Group per alcune domande su questo interessan- Software Group di IBM Italia.
te annuncio di IBM.

54 MAGGIO 2005 • WINDOWS & .NET MAGAZINE www.hitechshop.it - www.winxpmag.it

 Perché Workplace semplifica il rilascio di
software tramite un modello di fornitura ba-
sato sulla rete?
Perché il modello Workplace prevede che l’in-
tegrazione avvenga sul server al fine di munire
l’utente finale di un’interfaccia via browser o
Workplace Client che utilizzi i servizi e gli aggior-
namenti che il backend fornisce.
La gestione centralizzata di un sistema così
ricco di servizi e con vaste libertà di scelta
potrebbe essere complessa. Quali sono i tool
messi a disposizione dell’amministratore di
sistema per garantire sicurezza, privacy e ri-
servatezza dei dati? e per evitare errori da
parte dell’amministratore di sistema?
L’obiettivo di IBM Workplace è quello di semplifi-
care la complessità aziendale sia a livello utente,
come descritto nella risposta precedente, sia a livel-
lo di backend in quanto integrare applicazioni nuove
o esistenti, risorse, informazioni e persone risulta
essere un elemento di semplificazione al quale le
aziende stanno guardando con forte interesse.
Gli strumenti di gestione, sicurezza, privacy
sono parte del corredo di servizi offerti dal model-
lo Workplace e più nello specifico da WebSphere
Portal che ne prende in carico la gestione, offren-
do la sua ricchezza di servizi all’infrastruttura IT
aziendale.
Uno dei punti importanti di quest’annun-
cio di IBM sembra essere l’Activity
Explorer che consente di combinare comu-
nicazioni in tempo reale con le funzioni
collaborative tradizionali. Può darci mag-
giori informazioni sulle funzionalità di que-
sto interessante servizio?
Esattamente come dice il nome, Activity
Explorer aiuta le persone a gestire in modo com-
pleto le attività di gruppo sia strutturate che de-
strutturate, aiutando i team a collezionare comu-
nicazioni in tempo reale e non, documenti, ogget-
ti, informazioni e altro ancora.
Per tenere traccia di ogni attività legata ad un
progetto, evento, meeting e così via e di capita-
lizzare al meglio sulla conoscenza che con Activity
Explorer diventa condivisa senza perdersi mai nel
mare delle informazioni legate appunto da un de-
nominatore comune.
Workplace fornisce una integrazione con
l’ambiente Microsoft permettendo di aprire
documenti di MS-Office e di salvarli nella li-
breria di Workplace. Quali sono le altre altre
funzionalità di integrazione con l’ambiente
Microsoft?
Sono tre i livelli di integrazione con
Microsoft: IBM Workplace supporta totalmente i
sistemi operativi Microsoft, le soluzioni tra cui la
posta Exchange e i database fino ad arrivare al
completo supporto di Microsoft Office dove ab-
biamo un’integrazione spinta che fa leva sulla
capacità di creazione di documenti (Excel,
www.winxpmag.it - www.hitechshop.it
PowerPoint e Word) al fine di utilizzarli e condi-
viderli in IBM Workplace. Passando così dalla
produttività individuale al fatto di mettere a fat-
tor comune ogni risorsa in termini di informa-
zione aziendale
Può spiegare le caratteristiche della
Workplace Enabling Technology: quali
orizzonti aprirà? E quali piattaforme opera-
tive è disponibile? Perché è una “enabling
technology”?
Workplace offre strumenti e ambienti di svilup-
po che permettono di integrare qualunque appli-
cazione con il modello Workplace permettendo a
terze parti e ISV di integrare le loro applicazioni
con gli strumenti collaborativi.
In questo modo viene aggiunto valore alle ap-
plicazioni esistenti che in origine non dispongono
di queste funzionalità collaborative.
Qual è la strategia di IBM in questo setto-
re? cosa debbono aspettarsi gli utenti? È
corretto affermare che IBM mira a rafforzare
la propria posizione di mercato fornendo una
“enabling technology” che permette di ac-
centrare tutte le applicazioni su una piat-
taforma centrale open source che collega fa-
cilmente una varietà di sistemi-client etero-
genei mantenendo un ambiente collaborativi
omogeneo?
Gli investimenti IBM sul Workplace fanno in
modo che questa tecnologia rappresenti un ulte-
riore esempio di crescita in termini di software
con particolare riferimento agli strumenti collabo-
rativi. Workplace che include Lotus Domino,
WebSpere Portal e i Workplace Collaboration
Services risulta essere un elemento chiave per le
aziende che mirano a incrementare la produttività
e l’efficienza dell’intera organizzazione.
IBM ha annunciato il 16 febbraio scorso di aver
pianificato un investimento di 100 milioni di dolla-
ri nell’arco dei prossimi tre anni per ampliare l’uti-
lizzo e il supporto di Linux su tutta l’offerta
software IBM Workplace. L’investimento com-
prende programmi di supporto agli Independent
Software Vendor (ISV) e ai Business Partner, ri-
cerca e sviluppo, vendite e marketing, tecnologie
e centri di integrazione.
Grazie a questo nuovo investimento, i clienti
avranno la possibilità di implementare in modo
ancora più semplice ed efficace soluzioni com-
plete su Linux. In particolare, il client IBM Lotus
Workplace - grazie alla gestione centralizzata
implementata a livello server - offre la possibi-
lità di rendere disponibili applicazioni e dati a
differenti dispositivi client, dai desktop ai note-
book e dai palmari ai cellulari. Tutto ciò è reso
possibile dal fatto che IBM Lotus Workplace sup-
porta completamente un ampio numero di piat-
taforme, tra le quali Linux, offrendo in tal modo
una scelta in più a quanti sono alla ricerca di so-
luzioni alternative dal lato desktop. ▲
WINDOWS & .NET MAGAZINE • MAGGIO 2005 55
 SECURITY
La VPN di Windows 2000
Per le aziende che vogliono operare nella massima sicurezza è possibile implementa-
re una VPN sicura e crittografata sotto Windows 2000
C
hi desidera lavorare in rete utilizzando connessioni si-
cure su piattaforma Windows, ha la possibilità di uti-
lizzare le reti virtuali o VPN, uno strumento compreso
nel sistema operativo stesso.
Fino a poco tempo fa esisteva una separazione abba-
stanza marcata tra rete privata e rete pubblica, e mettere
in comunicazione due sedi geograficamente separate si-
gnificava far ricorso ad un provider di telecomunicazioni
per acquistare una linea dedicata. Oggi invece grazie
all’innovazione tecnologica i costi si sono notevolmente ri-
dotti e l’utilizzo di Internet è diventato un’esigenza per una
fetta di mercato che va ben oltre gli addetti ai lavori.
Questa tendenza rende comunque necessaria un’attenzio-
ne particolare alle problematiche di privacy e sicurezza du-
rante le comunicazioni in rete.
Una VPN è un meccanismo che fornisce una comunica-
zione sicura e crittografata e chi vuole competere ai mas-
simi livelli in un ambiente tecnologicamente avanzato co-
me quello attuale deve poter offrire questo genere di ser-
vizi. Gli utenti mobili sono oggi sempre in crescente au-
mento e la necessità di collegarsi alla propria sede centrale
rappresenta un’esigenza primaria per consultare ad esem-
pio database o fornire direttamente al cliente in loco infor-
mazioni e/o supporto.
In questo articolo analizzeremo come implementare
una VPN su Windows 2000.
Quando usare una la VPN
Come già accennato, una VPN è un meccanismo attraverso
il quale è possibile comunicare in modo sicuro fondamen-
talmente in due modalità:
• utente-rete: questa tipologia, definita di accesso re-
moto, si verifica quando un utente ha necessità di col-
legarsi ad un nodo di una rete aziendale, geografica-
mente separata, passando quindi per la rete pubblica
di Internet.
• rete-rete: questa configurazione, definita sito-a-sito
www.winxpmag.it - www.hitechshop.it
si applica quando una sede remota utilizza la VPN as-
sociata ad un’altra connessione Internet per collegar-
si all’altro capo della VPN sulla rete aziendale remo-
ta. Questo modello evita di utilizzare una rete WAN
dedicata.
Entrambe queste configurazioni sono in grado di offrire
un notevole risparmio in termini di costi rispetto ai tradi-
zionali metodi di accesso remoto. Occorre comunque valu-
tare l’altra faccia della medaglia, chi infatti pensa di utiliz-
zare una VPN dovrebbe anche valutare le garanzie di affi-
dabilità del servizio offerte dal proprio ISP.
Funzioni di sicurezza
Le reti VPN forniscono delle valide funzioni di sicurezza.
• Firewall: le VPN non rappresentano veri e propri fi-
rewall ma possono essere configurate in modo tale da
consentire l’accesso esclusivamente a pacchetti auten-
ticati e crittografati.
• Autenticazione: una comunicazione in rete sicura deve
disporre di un efficace sistema di autenticazione. È neces-
sario quindi poter verificare l’identità dell’utente o dell’host
con il quale ci si connette. Windows 2000 può utilizzare
l’ID utente o la password per l’implementazione PPTP o
ancora i certificati X.509 per l’implementazione IPSEC.
• Crittografia: anche le tecnologie di crittografia rap-
presentano una parte fondamentale per la sicurezza
dei dati che viaggiano in rete. Questa metodologia vie-
ne utilizzata principalmente come strumento di difesa
contro lo sniffing dei pacchetti che spesso costituisce
oggetto di discussione in merito alla necessità di fornire
una maggiore tutela contro questa forma di attacchi.
• Tunnelling: pur non essendo una vera e propria forma
di sicurezza, il tunnelling consente alla rete VPN di far
passare protocolli diversi dal TCP attraverso una rete
privata basata su IP, incapsulando un pacchetto non
TCP in un pacchetto IP.
WINDOWS & .NET MAGAZINE • GIUGNO 2004 83
La VPN di Windows 2000
Figura 1
Protocolli VPN
Prima di affrontare la discussione relativa alla VPN su
Windows 2000 è importante capirne il modello. In questo
sistema operativo la VPN costituisce parte integrante
dell’utilità di instradamento e accesso remoto e in primo
luogo occorre sapere quali protocolli vengono utilizzati:
• PPTP: (Point-to-Point Tunnelling Protocol) si tratta di
un protocollo legacy di Microsoft per il supporto delle
reti virtuali. Questo protocollo, sviluppato da Microsoft
in collaborazione con U.S. Robotics e altre aziende del
settore, ha avuto in origine qualche problema di sicu-
rezza. Per tale motivo è stato revisionato da Microsoft
e gradatamente è stato soppiantato dal protocollo
IPSEC, oggi più diffuso.
• IPSEC: (IP Security Protocol) rappresenta una suite di
servizi e protocolli di sicurezza basati sulla crittografia;
non entrerò nei dettagli di questa tecnologia, ma è utile
comprenderne le caratteristiche per una corretta imple-
mentazione. IPSEC fornisce l’autenticazione a livello mac-
china, oltre la crittografia dei dati, per le connessioni ba-
sate su L2TP (Layer 2 Tunnelling Protocol). Diversamente
da altre VPN basate su IPSEC, quella implementata da
Microsoft utilizza il protocollo L2TP per crittografare i no-
mi utente, le password e i dati per negoziare la sicurezza
della connessione tra computer e server remoto.
Una volta stabilita la connessone sicura IPSEC, l’utente
può essere autenticato attraverso i protocolli standard
basati su PPP che includono le seguenti metodologie.
• EAP-TSL: (Extensible Authentication Protocol), si trat-
ta di un’estensione del protocollo PPP (Point-to-Point
86 GIUGNO 2004 • WINDOWS & .NET MAGAZINE
Figura 2
Figura 3
Protocol) che fornisce un meccanismo standard per il
supporto di metodi di autenticazioni aggiuntivi in PPP
come le smart card, le password usa e getta e i certifi-
cati. Questo protocollo ha un ruolo fondamentale nella
sicurezza della VPN di Windows 2000 in quanto garan-
tisce i metodi di autenticazione più rigidi come i certifi-
cati X.509 e non si basa esclusivamente su schemi tra-
dizionali legati a ID utente e password.
• CHAP: (Challenge Handshake Authentication Protocol),
questo protocollo negozia un autenticazione crittogra-
fata utilizzando uno schema hash standard come MD5
(Message Digest 5). CHAP utilizza un meccanismo di ri-
chiesta/risposta con un hash MD5 alla risposta.
Questo consente di autenticarsi sul server senza che
sia necessario inviare la password in rete. Poiché si
tratta di un metodo standard, questa autenticazione
può essere eseguita in modo sicuro sulla maggior parte
dei server PPP di terze parti.
• M S - C H A P : (Microsoft Challenge Handshake
Authentication Protocol ) Microsoft ha creato un’esten-
www.hitechshop.it - www.winxpmag.it
Figura 4
Figura 6
sione di CHAP per l’autenticazione di Workstation win-
dows remote aumentando le funzionalità del protocollo
integrando algoritmi di codifica e hashing utilizzati nelle
reti Windows. Come CHAP anche MSCHAP utilizza un
metodo di autenticazione richiesta/risposta con critto-
grafia unidirezionale alla risposta. Nonostante questo
protocollo sia conforme agli standard, il pacchetto di ri-
sposta MS-CHAP ha un formato progettato specifica-
mente per macchine sulle quali è installato il sistema
operativo Windows. Esiste comunque una nuova ver-
sione di questo protocollo, MS-CHAP v. 2, che fornisce
autenticazione reciproca utilizzando chiavi di codifica
diverse per invio e ricezione.
• SPAP: (Shiva Password Authentication Protocol) viene
utilizzato soprattutto per consentire ai client Shiva di
collegarsi ad un server Windows 2000 e ai client
Windows di collegarsi ai server Shiva).
www.winxpmag.it - www.hitechshop.it
Figura 5
Figura 7
• PAP: (Password Authentication Protocol) utilizza le pas-
sword non crittografate e quindi in chiaro per l’autenti-
cazione degli utenti; per questo motivo è considerato il
protocollo meno sicuro tra quelli disponibili ed è preso
in considerazione come ultima possibilità se non è pos-
sibile utilizzare una forma più sicura.
• DES: (Data Encryption Standard) questo protocollo uti-
lizza una chiave di codifica a 56 bit ma questo genere
di codifica viene considerata appena adeguata per un
ambito aziendale.
• 3DES: (Triple DES) come DES utilizza una codifica con
chiave a 56 bit ma come indicato dallo stesso nome i da-
ti vengono codificati attraverso tre chiavi a 56 bit corri-
spondente quindi ad una chiave di codifica a 168 bit (3 x
56 = 168). Questo sistema viene utilizzato in ambienti in
cui è richiesto un più elevato livello di sicurezza.
Dopo aver analizzato i vari metodi di codifica e autenti-
WINDOWS & .NET MAGAZINE • GIUGNO 2004 87
La VPN di Windows 2000
Figura 8
cazione disponibili per VPN Windows 2000, vediamo ora di
capire come si svolge il processo di connessione.
Connessione con una VPN Windows 2000
Per potersi connettere utilizzando una VPN con Windows
2000 devono verificarsi le seguenti condizioni:
1. il computer si deve collegare ad un server di accesso
remoto
2. In relazione alle metodologie di autenticazione sono di-
sponibili le seguenti opzioni:
• PAP o SPAP: in questo caso il computer invia una pas-
sword al server remoto e lo stesso verifica se le cre-
denziali dell’account sono presenti sul database utenti.
• CHAP o MS-CHAP: il server remoto invia una richiesta
al client il quale invia una risposta crittografata al ser-
ver quindi il server verifica se l’utente è presente nel
database.
• MS-CHAP v.2: Il server remoto invia una richiesta al
client il quale invia una risposta crittografata al server.
Il server a questo punto verifica la risposta, sempre in
base al database utenti e restituisce una risposta di au-
tenticazione al client che a sua volta la verifica. Questo
rappresenta il metodo più sicuro in quanto consente al
server di verificare se il client è autenticato e al client
di verificare se il server sia quello al quale intendeva
effettivamente collegarsi.
• EAP-TLS: in questa metodologia basata sui certificati il
server richiede le credenziali al client inviando il proprio
certificato. Se la connessione è quindi configurata in
modo tale da poter verificare il certificato del server,
quest’ultimo viene convalidato. Il client quindi presenta
il proprio certificato al server che a sua volta ne verifica
l’autenticità.
A questo punto è lecito chiedersi in che modo IPSEC in-
terviene in questo modello. Se viene utilizzata una connes-
sione VPN IPSEC/L2TP, IPSec autentica l’account del com-
88 GIUGNO 2004 • WINDOWS & .NET MAGAZINE
Figura 9
puter e fornisce la codifica prima dell’esecuzione di una
qualsiasi operazione.
Una volta stabilita la connessione al server è utile
analizzare il processo di autenticazione interno a
Windows 2000. Questo processo conferma l’identità
dell’account che può appartenere ad un Dominio e quindi
integrato in un contesto di Active Directory oppure può
essere un utente locale circoscritto quindi al proprio
computer/sistema.
Un utente di Dominio accede alla rete con credenziali
che corrispondono a quelle memorizzate in Active
Directory e una volta autenticato l’utente è in grado di ac-
cedere alle risorse del Dominio autorizzate. Questo tipo di
autenticazione viene eseguita mediante Kerberos v.5 e i
certificati.
Un utente locale invece accede al sistema utiliz-
zando credenziali memorizzate in SAM (Security
Account Manager) ovvero il database utenti locale.
Questa tipologia di utenti non possono quindi accede-
re alle risorse di altri computer in rete senza dover far
ricorso ad una nuova autenticazione da parte del
computer remoto che dovrà autorizzare l’accesso alle
proprie risorse.
Implementare un Server VPN
Per implementare un server VPN su Windows 2000 si uti-
lizza lo strumento “Routing e Accesso remoto” presente
sugli strumenti di amministrazione del server stesso. La
prima in figura 2 è mostrata la prima finestra di dialogo
presentata dopo averlo lanciato.
Tra le varie possibilità può essere abilitata la funziona-
lità “Virtual private network (VPN) server”
A seguire, in figura 3, è possibile selezionare l’interfac-
cia di rete sulla quale abilitare il server VPN.
Nella figura 4 viene mostrata la finestra di dialogo dove
specificare se utilizzare un DHCP per l’assegnazione dina-
mica degli IP ai client che si connettono piuttosto che uti-
lizzare uno specifico range di indirizzi IP.
www.hitechshop.it - www.winxpmag.it
Figura 10
In fine viene richiesta la possibilità di utilizzare even-
tualmente un server Radius per l’autenticazione dei client
come mostrato in figura 5.
Una volta configurato il servizio “Routing e Accesso re-
moto” è possibile verificare sulla management consolle le
porte PPTP e le porte L2TP/IPSec. Il numero di queste di-
pendono dal numero di contratti presenti al momento
dell’installazione del servizio che comunque possono esse-
re modificati dalle relative proprietà.
Configurazione del client VPN
Vediamo ora come configurare un client PPTP Windows
2000 effettuando le seguenti operazioni.
• Dalle proprietà di rete procedere con una nuova con-
nessione procedendo con l’installazione guidata come
mostrato in figura 6
• Procedendo su “Next” viene visualizzata la finestra di
dialogo relativa alla tipologia di connessione, mostrata
in figura 7
• Selezionare quindi “Connessione ad una rete privata
attraverso Internet”
• A questo punto dovrà essere inserito l’IP del server
VPN, figura 8
• In figura 9 viene visualizzata la finestra relativa all’uti-
lizzo della connessione, riservata al singolo utente piut-
tosto che per tutti.
• In figura 10 viene visualizzata la finestra “Condivisione
della connessione ad Internet” che non è legata al ser-
vizio VPN, ma da all’utente la possibilità di condividere
la connessione Internet di un computer con le altre
macchine della rete.
A questo punto il client VPN è stato configurato.
Manca però da configurare IPSec, per questo è possibile
configurare le varie opzioni tra le quali anche la possibi-
lità di trasformare il client IPSec in un client L2TP/IPSec.
Per fare questo occorre andare sulle proprietà della con-
nessione appena creata e nella sezione “Networking”, co-
www.winxpmag.it - www.hitechshop.it
Figura 11
me mostrato nella figura 11, è possibile selezionare la ti-
pologia di tunnel che si intende utilizzare. Sempre nella
stessa finestra di dialogo è poi possibile selezionare i
componenti utilizzati per la connessione. Si consiglia co-
munque di non utilizzare l’opzione di condivisione di file e
stampanti se non si è certi di voler condividere con altri
utenti queste risorse.
Conclusioni
In questo articolo ho analizzato la connessione VPN e
le relative possibilità di utilizzo prendendo in considera-
zione i due tipi di VPN utente-rete e rete-rete. Sono stati
inoltre trattati per linee generali le metodologie di auten-
ticazione e i problemi di sicurezza impliciti nell’utilizzo di
questa tecnologia. Il discorso della VPN non sarebbe sta-
to esaustivo senza un accenno ai diversi protocolli sup-
portati e analizzati un po’ da vicino senza divagare trop-
po dall’argomento trattato. A seguire sono stati descritti i
passi per l’implementazione di un server VPN e del relati-
vo client su piattaforma Windows 2000. Per ovvi motivi
non mi sono addentrato nelle specifiche del servizio
“Routing e Accesso remoto” ma sarebbe stato dispersivo
analizzare nei dettagli le caratteristiche e le possibilità di
personalizzazione che andranno chiaramente adeguate
ad esigenze e circostanze nelle quali un servizio VPN vie-
ne ad essere implementato. ▲
L’autore
Alessandro Bonu è Microsoft Certified Professional e
MS-System Engineer in Tiscali.
e-mail: alessandro.bonu@tiscali.it
WINDOWS & .NET MAGAZINE • GIUGNO 2004 89
NELLA SOPHOS ZONE VIRUS E SPAM SEMBRANO LONTANI...MOLTO LONTANI

Nella Sophos Zone, virus e spam sono un lontano ricordo. Il nostro software esegue controlli
multipli in un singolo passaggio, bloccando tutti i virus più recenti e fino al 98% di spam. I tool di
gestione eseguono l’aggiornamento automatico dei desktop, dei server e dei gateway, proteggendo
ogni secondo il vostro business. Il nostro network mondiale di esperti analizza le minacce alla
sicurezza derivanti da virus e spam 24 ore su 24, pronto a reagire ad ogni emergenza. I tool web-
based vi permettono di controllare la protezione antivirus e antispam e vi danno tutta la flessibilità
necessaria per implementare le policy aziendali sull’uso della posta elettronica.

Nella Sophos Zone, virus e spam sono un mondo lontano.

Sophos Srl
Via Senigallia 18/2
20161 Milano anti-virus and anti-spam for business

Email: info@sophos.it. Visitate il nostro sito e

02 6628 100 scaricate la licenza GRATUITA valida 30 giorni
www.sophos.it/products

Una rete sicura? Sophos, grazie

 NON BASTA
MUOVERSI
PER DANZARE
SHARED HOSTING di Register.it
Ci sono prestazioni così perfette da diventare primato, punto di riferimento per l’intero mercato. Come quelle dei nostri servizi di Hosting. Nel 2004 abbiamo garantito
il 99,98% di uptime. Significa 8.758,5 ore di perfetto funzionamento sulle 8.760 presenti in un anno. Un risultato straordinario, reso possibile dalla professionalità e
dall’affiatamento della nostra squadra. A tutto vantaggio del vostro business.

PIATTAFORMA WINDOWS WinHost WinHost WinHost PIATTAFORMA WINDOWS

Basic FrontPage SQL PRODOTTI AGGIUNTIVI DISPONIBILI: WinHost WinHost WinHost
Dominio a scelta in 240 estensioni 3 3 3 Basic FrontPage SQL
Spazio compreso 20 MB 50 MB 150 MB Spazio aggiuntivo (25 MB, 50 MB ,1 GB) 3 3 3
Traffico incluso 10 GB/Mese 20 GB/Mese 40 GB/Mese Pacchetti Traffico (25 GB, 50 GB) 3 3 3
Server web IIS 6.0 IIS 6.0 IIS 6.0 SSL condiviso 3 3 3
Sistema operativo Windows 2003 Windows 2003 Windows 2003 Scheduler task 3 3 3
Estensioni server MS FrontPage 2003
TM
- 3 3
Active Server Pages (ASP) 3 3 3
ASP.NET 1.1.4322 3 3 3 Tutti i piani sono acquistabili per periodi di tempo differenti (1, 3, 6, 12
Supporto DB Microsoft AccessTM 3 3 3 mesi). Lo sviluppo della piattaforma Windows è avvenuto a stretto contatto
Supporto SSI Server Side Include 3 3 3 con gli sviluppatori Microsoft, testando e ottimizzando, per la prima volta
Supporto FileSystemObject 3 3 3
Supporto ADODB.Connection 3 3 3 in Italia, le più recenti tecnologie per lo Shared Hosting. Su Windows
Supporto CDO.Message 3 3 3 Server 2003 ogni sito web è considerato come un'entità unica, isolata
Protezione scaricamento file Access.mdb 3 3 3 sia dal punto di vista delle risorse utilizzate che dei permessi di accesso
Connessione DSN Less 3 3 3
alla cartella; ciò garantisce elevati standard di sicurezza ed un controllo
Accessi MS FrontPage - illimitati illimitati
MS SQL ServerTM (max 15MB) - - 3 più approfondito su tutti i siti ospitati.
File Manager 3 3 3
Accesso FTP (alt. a FrontPage) 3 3 3 I server risiedono nella Web Farm del Gruppo DADA su rete a 100 Mbit/s
Definizione altre utenze FTP 1 illimitate illimitate
3 3
in ambiente protetto, presidiato 24/7/365 e garantito da blackout.
Pannello di controllo 3
Architettura server a cluster 3 3 3 L’assistenza tecnica telefonica e via email è altamente specializzata.
Backup settimanale 3 3 3
Uptime 99% 99% 99% Register.it propone anche Server Dedicati Hewlett Packard Blade con
Gruppi di continuità 3 3 3
Monitoraggio rete 24/7 3 3 3
piattaforma Windows Server 2003 Web, Standard o Enterprise Edition
Statistiche di accesso incrementali 3 3 3 e soluzioni di mobile office professionale con Microsoft Mailbox Exchange
Assistenza tecnica 3 3 3 2003.
 Storage Management 2005
Le novità sui sistemi di storage, backup e recovery dei dati
26 Maggio 2005 - Ore 9.00 - Hotel Executive - Via L. Sturzo 45 - MILANO

L’evoluzione del modo di “fare computing” porta ogni giorno ad accumulare nuovi documenti
e nuovi dati nelle memorie dei sistemi aziendali. L’espansione di Internet e della posta
elettronica ha contribuito moltissimo ad aumentare le esigenze di storage in ogni attività,
anche nelle aziende più piccole.
Le attività nelle imprese richiedono dati dai sistemi informativi che debbono essere
disponibili e accessibili in qualunque istante. Questi sono solo alcuni tra i fattori che stanno
trainando la crescita della domanda di storage e di sistemi di storage management.
Il costo dello storage, grazie anche a nuove tecnologie, è ormai diventato accessibile a
tutte le imprese e spesso l’industria offre diverse soluzioni a disposizione dell’utente.
La scelta di una soluzione di storage ha valenza strategica nell’attività aziendale perché
influenza aspetti fondamentali come la sicurezza dei dati aziendali, le procedure di backup e
di recovery ed in ultima analisi tocca la “Business Continuity” aziendale.

Finalità dell’evento
Il convegno è rivolto ai responsabili IT di imprese utenti, consulenti e professionisti IT che
intendono ottenere da questo convegno indicazioni utili per orientare le loro scelte aziendali
immediate e a medio termine.

Struttura dell’evento
Il convegno, che è introdotto e coordinato da un consulente della redazione del Gruppo Editoriale
Duke Italia, prevede una serie di presentazioni fatte dai maggiori esperti appartenenti ai maggiori
operatori che offrono sistemi di storage, sistemi di backup e di recovery dei dati.

A chi è rivolto
Il convegno è rivolto ai responsabili IT di imprese utenti, consulenti e professionisti IT che
intendono ottenere da questo convegno indicazioni utili per orientare le loro scelte aziendali
immediate ed a medio termine. Il convegno è introdotto e coordinato da un consulente della
redazione del Gruppo Editoriale Duke Italia.

L’ingresso in sala è gratuito.

Per ragioni logistiche è richiesta la pre-registrazione che può essere effettuata per fax (02 67 07 30 71)
o via Internet all’indirizzo www.eventiduke.it
Chi si registra fornendo l’indirizzo e-mail riceverà l’agenda dell’evento
e ogni aggiornamento relativo al programma della giornata.

Per maggiori informazioni rivolgersi a mktg@duke.it

L’agenda dettagliata ed altre informazioni di aggiornamento saranno pubblicate

sul sito www.eventiduke.it alcuni giorni prima dell’evento.
 Ctrl
Alt
Presto nascerà “l’indotto” della banda larga
Si avvia con questo mese la mia modesta collaborazione con
una testata che da molti anni seguo con interesse per le tema-
tiche tecnologiche trattate e lo spirito di concretezza a cui cer-
cherò di tenere fede. Il ringraziamento per questa opportunità
va prima di tutto all’editore Duke Italia, con il quale abbiamo
cercato di costruire un percorso di riflessioni sullo stato di salu-
te del business italiano delle tecnologie. Cercherò, parlando di
marketing e di economia high-tech, di fare da contraltare – e
da provocatore - per tutti coloro che della tecnologia fanno
ogni giorno eccellente uso e che vorrebbero anche capire come
sfruttarla al meglio dal punto di vista dei business emergenti.
Nel mercato italiano della banda larga si prospetta la nascita
di un fiorente indotto fatto di piccole e medie imprese ICT
che opereranno a supporto dei grandi incumbent. Diversi siti
Internet ne parlano, esortando le PMI ad abbracciare le fa-
vorevoli sorti del broadband. Ma in che modo?
Che la banda larga sia un business solido è assodato da tassi
di crescita sbalorditivi, +71% di nuove linee nel 2004 dopo
tre anni in cui la crescita è sempre stata superiore al 100%
annuo. Per la fine di quest’anno sono previsti un numero di
circa 5.5 milioni di clienti ADSL. È la domanda residenziale
che fa la parte del leone con una penetrazione che ormai toc-
ca il 20% delle case. Le aziende invece nicchiano, tanto che
ancora il fenomeno non si può dire esploso. Per questo moti-
vo sono stati stanziati nella finanziaria 250 milioni di euro di
incentivi per i detentori di partita Iva e per le PMI con meno
di 10 dipendenti, che abbiano sottoscritto abbonamenti per
l’accesso a banda larga a Internet dal 1° dicembre del 2004.
La diffusione della banda larga presso le PMI italiane è stata
oggetto di lavoro congiunto tra Governo e Camere di
Commercio locali. Malgrado gli incentivi economici messi in
atto lo scorso anno, tra cui il contributo di 75€ per nuovi col-
legamenti a Internet in banda larga, le imprese con meno di
50 addetti (circa 4 milioni, il 99,5% del totale) assorbono
appena il 20% della spesa ICT contro il 47% del Regno
Unito, Germania e Francia e il 61% degli Stati Uniti. Il ritar-
do è dovuto a una duplice ragione: le nostre imprese vedono
82 MAGGIO 2005• WINDOWS & .NET MAGAZINE
Del
nella banda larga principalmente una voce di costo dovuta
alla riconversione delle infrastrutture di rete e spesso, anco-
ra, alla troppa elevata complessità di gestione e inoltre i ser-
vizi che le imprese broadband enable mettono a disposizione
dei propri clienti sono ancora essenzialmente di natura infor-
mativa e non dispositiva (sotto forma di siti Internet).
In attesa di servizi dispositivi avanzati credo che la PMI
debba sforzarsi a un cambio di mentalità, procedendo con
ottiche opportunistiche di marketing rispetto alla banda lar-
ga. Se infatti gli imprenditori guarderanno all’esperienza
dei propri clienti si accorgeranno che c’è uno spazio di mer-
cato rappresentato dalla qualità dei servizi associati alla
“pura cablatura”, che ho appunto chiamato “indotto”.
Telecom, Tiscali, Wind, Fastweb, etc. sono di fatto “instal-
latori di connettività su larga scala”, della quale il cliente
potrebbe percepire una qualità dell’installato soddisfacente
(venendo da esperienze narrowband); ma una qualità
d’uso ancora tutta da costruire.
Alcuni esempi possono aiutarci a realizzare questo salto logi-
co: in casa o in azienda alcuni clienti installeranno una rete
Wifi affidandosi a uno dei tanti provider e godendo di prezzi
convenienti (in media sotto i 35€/mese) e velocità sempre
più elevate (in media sopra 1,2 Mb/s). Ma se la linea cade da
una stanza all’altra perché le onde vengono ostacolate dalle
barriere architettoniche, difficilmente un grosso fornitore of-
frirà al cliente anche le antenne ripetitrici per potenziare il se-
gnale. Ecco quindi che nasce una nicchia presidiabile da pic-
coli operatori, un’altra è rappresentata dal CRM e dalle atti-
vità di e-learning o dall’offerta di configurazione di reti casa-
linghe, fino alla formazione sulla sicurezzza informatica (fi-
rewall personali e routers), domotica o telesorveglianza. La
banda larga rappresenterà una occasione di profitto per l’im-
presa ICT grazie alla conquista di nicchie di business non pre-
sidiate dagli “incumbent” e questo potrebbe portare alla crea-
zione di posti di lavoro generando un vero e proprio indotto.
Emanuele Dainesi, giornalista e docente di Marketing
High-Tech all’Università di Pavia - edainesi@eco.unipv.it
www.hitechshop.it - www.winxpmag.it