Guida all'amministrazione di NetIQ Directory and Resource Administrator

3.3.1 Server di amministrazione DRA

3.3.2 Server REST di DRA

3.3.3 Console Web (IIS)

3.3.4 Console di delega e amministrazione di DRA

3.3.5 Server di workflow

3.5.1 Requisiti software

3.5.2 Dominio server

3.5.3 Requisiti degli account

3.5.4 Account di accesso DRA con minimo privilegio

Di seguito sono indicati privilegi e autorizzazioni necessari per gli account specificati e i comandi di configurazione che è necessario eseguire.

Concedere all'account di accesso al dominio le seguenti autorizzazioni di Active Directory a livello più alto del dominio a questo oggetto e a tutti gli oggetti discendenti:

Applicazione Azure: l'applicazione Azure richiede i ruoli e le autorizzazioni seguenti:

Account di accesso tenant di Azure: l'account di accesso tenant di Azure richiede le autorizzazioni seguenti:

Accesso alla rete: limita i client a cui è consentito effettuare chiamate remote a SAM

Per accedere a questa impostazione, effettuare le seguenti operazioni:

Per ulteriori informazioni, vedere l'articolo 7023292 della knowledgebase.

3.6.1 Requisiti software

4.1.1 Elenco di controllo per l'installazione interattiva:

5.2.1 Server di amministrazione locale per l'esecuzione di una versione precedente di DRA

Per ridurre al minimo i tempi di fermo e le costose connessioni a siti remoti, è possibile riservare presso un sito uno o più server di amministrazione secondari che eseguano una versione precedente di DRA durante l'upgrade. Questo passaggio è facoltativo e consente agli amministratori aggiunti di utilizzare una versione precedente di DRA durante tutta la procedura di upgrade, fino al corretto completamento dell'installazione.

Valutare questa opzione in caso di una o più delle esigenze di upgrade seguenti:

È possibile installare un nuovo server di amministrazione secondario o designare un server secondario esistente che esegua una versione precedente di DRA. Se si intende eseguire l'upgrade di tale server, esso deve essere l'ultimo della procedura. In caso contrario, disinstallare completamente DRA dal server dopo aver completato l'upgrade.

5.2.2 Sincronizzazione del set di server di una versione precedente di DRA

Prima di eseguire il backup del registro della versione precedente di DRA o iniziare la procedura di upgrade, assicurarsi di sincronizzare i set di server in modo che le impostazioni di configurazione e sicurezza di ciascun server di amministrazione siano aggiornate.

5.2.3 Backup del registro del server di amministrazione

Eseguendo il backup del registro del server di amministrazione è possibile tornare alle configurazioni precedenti. Ad esempio, se è necessario disinstallare completamente la versione attuale di DRA e utilizzare la versione precedente, con una copia di backup delle impostazioni precedenti del registro è possibile recuperare facilmente le impostazioni di configurazione e sicurezza.

Tuttavia, prestare attenzione quando si apportano modifiche al registro. In caso di errore nel registro, il server di amministrazione potrebbe non funzionare come previsto. Se si verifica un errore durante la procedura di upgrade, è possibile utilizzare la copia di backup delle impostazioni del registro per eseguire il ripristino. Per ulteriori informazioni, vedere la Guida dell'Editor del Registro di sistema.

5.3.1 Upgrade del server di amministrazione primario

Dopo aver correttamente preparato l'MMS, eseguire l'upgrade del server di amministrazione primario. Eseguire l'upgrade delle interfacce utente nei computer client solo dopo aver completato l'upgrade del server di amministrazione primario. Per ulteriori informazioni, vedere Installazione delle interfacce utente di DRA.

Prima di eseguire l'upgrade, notificare agli amministratori aggiunti quando si prevede di avviare la procedura. Se è stato riservato un server di amministrazione secondario per l'esecuzione di una versione precedente di DRA, indicare inoltre tale server affinché gli amministratori aggiunti possano continuare a utilizzare la versione precedente di DRA durante l'upgrade.

5.3.2 Installazione di un server di amministrazione secondario locale per la versione corrente di DRA

L'installazione di un nuovo server di amministrazione secondario per eseguire la versione attuale di DRA presso un sito locale può essere utile per ridurre al minimo le costose connessioni a siti remoti, diminuendo al contempo i tempi di fermo complessivi e consentendo un'installazione più rapida delle interfacce utente. Questo passaggio è facoltativo e permette agli amministratori aggiunti di utilizzare sia la versione attuale che quella precedente di DRA durante tutta la procedura di upgrade, fino al corretto completamento dell'installazione.

Valutare questa opzione in caso di una o più delle esigenze di upgrade seguenti:

Ad esempio, se l'MMS in uso è costituito da un server di amministrazione primario presso il sito di Londra e un server di amministrazione secondario presso il sito di Tokyo, si consideri di installare un server secondario presso il sito di Tokyo e di aggiungerlo all'MMS corrispondente. Questo server aggiuntivo esegue un miglior bilanciamento del carico amministrativo quotidiano presso il sito di Tokyo e consente agli amministratori aggiunti di entrambi i siti di utilizzare una versione precedente di DRA come anche la versione attuale fino al completamento dell'upgrade. Inoltre si eviteranno tempi morti per gli amministratori aggiunti, poiché è possibile installare immediatamente le interfacce utente della versione attuale di DRA. Per ulteriori informazioni sull'upgrade delle interfacce utente, vedere Installazione delle interfacce utente di DRA.

5.3.3 Installazione delle interfacce utente di DRA

In genere, le interfacce utente della versione attuale di DRA si installano dopo aver eseguito l'upgrade del server di amministrazione primario e di un server di amministrazione secondario. Tuttavia, per gli amministratori aggiunti che devono utilizzare il server di amministrazione primario, verificare di avere precedentemente eseguito l'upgrade dei rispettivi computer client installando la Console di delega e configurazione. Per ulteriori informazioni, vedere Pianificazione dell'upgrade di DRA.

Se si eseguono spesso elaborazioni batch tramite l'interfaccia della riga di comando, il provider ADSI, PowerShell o se si generano frequentemente rapporti, valutare l'installazione di tali interfacce utente in un server di amministrazione secondario dedicato per mantenere un bilanciamento del carico appropriato nell'MMS.

È possibile consentire agli amministratori aggiunti di installare le interfacce utente di DRA oppure installarle tramite criteri di gruppo. È inoltre possibile installare facilmente e rapidamente la Console Web per più amministratori aggiunti.

5.3.4 Upgrade dei server di amministrazione secondari

Quando si esegue l'upgrade dei server di amministrazione secondari, è possibile procedere secondo necessità, in base alle esigenze di amministrazione. Considerare inoltre come si prevede di eseguire l'upgrade e l'installazione delle interfacce utente di DRA. Per ulteriori informazioni, vedere Installazione delle interfacce utente di DRA.

Ad esempio, un percorso di upgrade tipico può includere i passaggi seguenti:

Prima di eseguire l'upgrade, notificare agli amministratori aggiunti quando si prevede di avviare la procedura. Se è stato riservato un server di amministrazione secondario per l'esecuzione di una versione precedente di DRA, indicare inoltre tale server affinché gli amministratori aggiunti possano continuare a utilizzare la versione precedente di DRA durante l'upgrade. Al termine della procedura di upgrade dell'MMS e quando tutti i computer client degli amministratori aggiunti eseguono interfacce utente di cui è stato eseguito l'upgrade, mettere offline eventuali altri server che eseguono versioni precedenti di DRA.

5.3.5 Aggiornamento della configurazione della console Web - Dopo l'installazione

Eseguire una o entrambe le azioni riportate di seguito, dopo l'installazione dell'upgrade, se applicabili all'ambiente DRA:

<restService useDefault="Never">
<serviceLocation address="<REST server name>" port="8755"/>
</restService>

6.3.1 Esempio 1: modifica della password di un utente

Quando un amministratore aggiunto tenta di impostare una nuova password per l'account utente MRossi, il server di amministrazione cerca tutte le viste ActiveView che includono MRossi. Più precisamente vengono cercate tutte le eventuali viste ActiveView in cui MRossi è specificato in modo diretto, tramite una regola con caratteri jolly o attraverso l'appartenenza a un gruppo. Se una vista ActiveView include altre viste ActiveView, il server di amministrazione esegue la ricerca anche in tali viste aggiuntive. Il server di amministrazione determina quindi se l'amministratore aggiunto dispone del potere Reset User Account Password (Reimposta password account utente) in una o più di tali viste ActiveView. Se l'amministratore aggiunto dispone del potere Reset User Account Password (Reimposta password account utente), il server di amministrazione reimposta la password di MRossi. Se invece non dispone di tale potere, il server di amministrazione rifiuta la richiesta.

6.3.2 Esempio 2: viste ActiveView sovrapposte

Un potere definisce le proprietà di un oggetto che un amministratore aggiunto può visualizzare, modificare o creare nel dominio o sottoalbero gestito. Lo stesso oggetto può far parte di più viste ActiveView. Questa configurazione è detta viste ActiveView sovrapposte.

Quando le viste ActiveView si sovrappongono, è possibile che sugli stessi oggetti si accumulino poteri diversi. Ad esempio, se una vista ActiveView consente di aggiungere un account utente a un dominio e un'altra vista ActiveView consente di eliminare un account utente dal medesimo dominio, sarà possibile aggiungere o eliminare gli account utente in tale dominio. Di conseguenza, i poteri di cui si dispone su un determinato oggetto sono cumulativi.

È importante comprendere in quale modo le viste ActiveView possono sovrapporsi e come sia possibile disporre di poteri maggiori su oggetti inclusi in nelle ActiveView. Si consideri la configurazione di ActiveView illustrata nella figura seguente.

Le schede bianche identificano le viste ActiveView per ubicazione, cioè New York City e Houston. Le schede nere identificano le viste ActiveView per funzione organizzativa, ovvero Vendite e Marketing. Le celle mostrano i gruppi inclusi in ciascuna vista ActiveView.

NYC_Gruppo vendite e HOU_Gruppo vendite sono entrambi rappresentati nella vista ActiveView Vendite. Se si dispone di un potere nella vista ActiveView Vendite, è possibile gestire qualsiasi membro di NYC_Gruppo vendite e HOU_Gruppo vendite. Se si dispone di poteri anche nella vista ActiveView New York City, tali poteri aggiuntivi si applicano a NYC_Gruppo Marketing. Di conseguenza, i poteri si accumulano dato che le viste ActiveView si sovrappongono.

Le viste ActiveView sovrapposte possono fornire un modello di delega potente e flessibile. Tuttavia, questa funzione può avere anche conseguenze impreviste. È consigliabile pianificare le viste ActiveView per essere certi che ogni amministratore aggiunto disponga solo dei poteri che si intende concedere per ciascun account utente, gruppo, unità organizzativa, contatto o risorsa.

Gruppi in più viste ActiveView

In questo esempio, NYC_Gruppo vendite è rappresentato in più viste ActiveView. I membri di NYC_Gruppo vendite sono rappresentati nella vista ActiveView New York City perché il nome del gruppo soddisfa la regola ActiveView NYC_*. Il gruppo fa parte anche della vista ActiveView Vendite perché il nome soddisfa la regola ActiveView *_Vendite. Includendo lo stesso gruppo in più viste ActiveView, è possibile consentire a diversi amministratori aggiunti di gestire gli stessi oggetti in modo diverso.

Utilizzo dei poteri in più viste ActiveView

Si supponga che un amministratore aggiunto, MRossi, disponga del potere Modify General User Properties (Modifica proprietà utente generali) nella vista ActiveView New York City. Il primo potere consente a MRossi di modificare tutte le proprietà nella scheda Generale della finestra delle proprietà di un utente. Mrossi dispone del potere Modify User Profile Properties (Modifica proprietà del profilo utente) nella vista ActiveView Vendite. Il secondo potere consente a MRossi di modificare tutte le proprietà nella scheda Profilo della finestra delle proprietà di un utente.

Nella figura seguente sono illustrati i poteri di cui MRossi dispone per ciascun gruppo.

Mrossi dispone dei poteri seguenti:

• Proprietà generali nella vista ActiveView NYC_*

• Proprietà del profilo nella vista ActiveView *_Vendite

La delega dei poteri in queste viste ActiveView sovrapposte consente a MRossi di modificare le proprietà nelle schede Generale e Profilo di NYC_Gruppo vendite. Ciò significa che MRossi dispone di tutti i poteri concessi in tutte le viste ActiveView che rappresentano NYC_Gruppo vendite.

7.1.1 Accesso alle viste ActiveView integrate

Accedendo alle viste ActiveView integrate è possibile eseguire la revisione del modello di delega di default o gestire le proprie impostazioni di sicurezza.

7.1.2 Utilizzo delle viste ActiveView integrate

Non è possibile eliminare, clonare o modificare le viste ActiveView integrate. Tuttavia, è possibile incorporarle nel proprio modello di delega esistente o utilizzarle per progettare un proprio modello.

È possibile utilizzare le viste ActiveView integrate nei modi seguenti:

Per ulteriori informazioni sulla progettazione di un modello di delega dinamico, vedere Caratteristiche del modello di delega dinamico.

7.2.1 Regole delle viste ActiveView

Una vista ActiveView può essere costituita da regole che includono o escludono oggetti quali account utente, gruppi, unità organizzative, contatti, risorse, computer, caselle postali di risorse, caselle postali condivise, gruppi di distribuzione dinamici, account del servizio gestito del gruppo viste ActiveView e oggetti Azure quali utenti Azure, gruppi Azure e contatti Azure. Tale flessibilità rende dinamiche le viste ActiveView.

Le corrispondenze sono denominate caratteri jolly. Ad esempio, è possibile definire una regola per includere tutti i computer con nomi corrispondenti a DOM*. Quando si specifica questo carattere jolly, vengono cercati gli account computer il cui nome inizia con la stringa di caratteri DOM. I caratteri jolly rendono dinamica l'amministrazione, poiché quando gli account soddisfano la regola vengono inclusi automaticamente. Perciò, quando si utilizzano i caratteri jolly, non è necessario riconfigurare le viste ActiveView in caso di cambiamenti organizzativi.

Un'altra possibilità consiste nel definire le viste ActiveView in base all'appartenenza a gruppi. È possibile definire una regola che include tutti i membri dei gruppi che iniziano con le lettere NYC. In questo modo, quando vengono aggiunti membri a un gruppo che soddisfa questa regola, essi vengono automaticamente inclusi nella vista ActiveView. Seguendo i cambiamenti e la crescita dell'azienda, DRA applica nuovamente le regole in modo da escludere o includere i nuovi oggetti nelle viste ActiveView appropriate.

8.1.1 Azure Active Directory Management (Gestione di Azure Active Directory)

8.1.2 Amministrazione

8.1.3 Gestione avanzata delle query

8.1.4 Gestione revisione

8.1.5 Gestione computer

8.1.6 Gestione di Exchange

8.1.7 Gestione gruppo

8.1.8 Gestione rapporti

8.1.9 Resource Management

8.1.10 Gestione server

8.1.11 Gestione account utente

8.1.12 WTS Administration (Amministrazione WTS)

9.1.1 Poteri di Azure

Utilizzare i seguenti poteri per delegare la creazione e la gestione di utenti, gruppi e contatti Azure.

Poteri dell'account utente Azure:

Poteri del gruppo Azure:

Poteri del contatto Azure:

Potere dell'account utente guest Azure:

I poteri elencati per gli account utente Azure si applicano anche agli account utente guest Azure.

Per gestire le proprietà in modo differenziato per gli oggetti Azure, è possibile creare poteri personalizzati selezionando attributi dell'oggetto specifici.

11.3.1 Configurazione del set multimaster

In un ambiente MMS si utilizzano più server di amministrazione per gestire lo stesso set di domini e server membri. Un MMS è costituito da un server di amministrazione primario e più server di amministrazione secondari.

La modalità di default per il server di amministrazione è quella primaria. Man mano che si aggiungono server secondari all'ambiente MMS, va ricordato che un server di amministrazione secondario può appartenere a un solo set di server.

Affinché ciascun server del set gestisca gli stessi dati, sincronizzare periodicamente i server secondari con il server di amministrazione primario. Per ridurre le attività di manutenzione, utilizzare lo stesso account del servizio per tutti i server di amministrazione della foresta di domini.

11.3.2 Gestione delle eccezioni di clonazione

Le eccezioni di clonazione consentono di definire proprietà per utenti, gruppi, contatti e computer che non verranno copiate in caso di clonazione di uno di questi oggetti.

Disponendo dei poteri appropriati, è possibile gestire le eccezioni di clonazione. Il ruolo Manage Clone Exceptions (Gestisci eccezioni di clonazione) concede poteri di visualizzazione, creazione ed eliminazione delle eccezioni di clonazione.

Per visualizzare o eliminare un'eccezione di clonazione esistente oppure per creare una nuova eccezione di clonazione, passare a Configuration Management (Gestione configurazione) > Clone Exceptions (Eccezioni di clonazione) > Task o fare clic con il pulsante destro del mouse per visualizzare le opzioni.

11.3.3 Replica di file

Quando si creano strumenti personalizzati, potrebbe essere necessario installare i file di supporto utilizzati da tali strumenti nel computer della Console di delega e configurazione di DRA per poter eseguire lo strumento stesso. È possibile utilizzare le funzionalità di replica dei file di DRA per replicare in modo rapido e semplice i file di supporto degli strumenti personalizzati dal server di amministrazione primario ai server di amministrazione secondari nell'MMS, come anche ai computer client DRA. La replica dei file può essere utile anche per replicare script di attivazione dal server primario a quelli secondari.

Le funzioni Custom Tools (Strumenti personalizzati) e File Replication (Replica file) sono disponibili solo nella Console di delega e configurazione.

Per garantire che i computer client DRA possano accedere ai file degli strumenti personalizzati, è possibile utilizzare contemporaneamente sia strumenti personalizzati che la replica dei file. I file degli strumenti personalizzati vengono replicati nei server di amministrazione secondari affinché i computer client DRA che eseguono la connessione a server di amministrazione secondari possano accedere a tali strumenti personalizzati.

I file degli strumenti personalizzati vengono replicati dal server di amministrazione primario ai server di amministrazione secondari durante il processo di sincronizzazione dell'MMS. Quando i computer client DRA eseguono la connessione ai server di amministrazione, viene effettuato il download dei file degli strumenti personalizzati nei computer client DRA.

{DRAInstallDir}\FileTransfer\Replicate 

{DRAInstallDir}\FileTransfer\Download 

11.3.4 Azure Sync (Sincronizzazione Azure)

Azure Sync (Sincronizzazione Azure) consente di applicare policy relative a caratteri non validi e lunghezze in caratteri per evitare errori di sincronizzazione delle directory. Selezionando questa opzione si avrà la certezza che per tutte le proprietà sincronizzate con Azure Active Directory i caratteri non validi non saranno ammessi e verranno applicati limiti al numero di caratteri.

11.3.5 Abilitazione di più gestori per i gruppi

Quando si abilita il supporto per più gestori per la gestione di un gruppo, uno dei due attributi di default viene utilizzato per memorizzare i gestori del gruppo. Nel caso in cui si utilizzi Microsoft Exchange, l'attributo è msExchCoManagedByLink. Nel caso in cui non si utilizzi Microsoft Exchange, l'attributo di default è nonSecurityMember. Quest'ultima opzione è modificabile. Tuttavia, se è necessario modificare l'impostazione, si consiglia di contattare il Supporto tecnico per stabilire un attributo appropriato.

11.3.6 Comunicazioni cifrate

Questa funzione consente di abilitare o disabilitare l'utilizzo della comunicazione cifrata tra il client di delega e configurazione e il server di amministrazione. Per default, le password degli account sono cifrate in DRA. Questa funzione non esegue la cifratura delle comunicazioni del client Web o di PowerShell, che viene gestita separatamente mediante certificati server.

L'utilizzo delle comunicazioni cifrate può incidere negativamente sulle prestazioni. Per default, le comunicazioni cifrate sono disabilitate. Se si abilita l'opzione, i dati vengono cifrati durante la comunicazione tra le interfacce utente e il server di amministrazione. In DRA si utilizza la cifratura standard Microsoft per Remote Procedure Call (RPC).

Per abilitare le comunicazioni cifrate, passare a Configuration Management (Gestione configurazione) > Update Administration Server Options (Aggiorna opzioni server di amministrazione) > General (Generale) e selezionare la casella di controllo Encrypted Communications (Comunicazioni cifrate) nella scheda.

11.3.7 Definizione di attributi virtuali

Mediante gli attributi virtuali è possibile creare nuove proprietà e associarle a utenti, gruppi, gruppi di distribuzione dinamici, contatti, computer e unità organizzative. Gli attributi virtuali consentono di creare nuove proprietà senza che sia necessario estendere lo schema di Active Directory.

Grazie agli attributi virtuali è possibile aggiungere nuove proprietà agli oggetti di Active Directory. Per creare, abilitare, disabilitare, associare e annullare l'associazione degli attributi virtuali è necessario utilizzare il server di amministrazione primario. Gli attributi virtuali creati in AD LDS vengono memorizzati in DRA. Gli attributi virtuali vengono replicati dal server di amministrazione primario ai server di amministrazione secondari durante il processo di sincronizzazione dell'MMS.

Disponendo dei poteri appropriati, è possibile gestire gli attributi virtuali. Il ruolo Manage Virtual Attributes (Gestisci attributi virtuali) assegna i poteri necessari per creare, abilitare, associare, annullare l'associazione, disabilitare e visualizzare gli attributi virtuali.

11.3.8 Configurazione della memorizzazione nella cache

Il server di amministrazione crea e gestisce una cache degli account in cui sono memorizzate parti di Active Directory per i domini gestiti. La cache degli account viene utilizzata in DRA per migliorare le prestazioni di gestione degli account utente, dei gruppi, dei contatti e degli account computer.

Per pianificare gli orari di aggiornamento della cache o visualizzarne lo stato, è necessario disporre dei poteri appropriati, ad esempio quelli inclusi nel ruolo integrato Configure Servers and Domains (Configura server e domini).

11.3.9 Abilitazione della raccolta stampanti di Active Directory

La raccolta stampanti di AD è disabilitata per default. Per abilitarla, passare a Configuration Management (Gestione configurazione) > Update Administration Server Options (Aggiorna opzioni server di amministrazione) > General (Generale) e selezionare la casella di controllo Collect Printers (Raccogli stampanti) nella scheda.

11.3.10 AD LDS

È possibile configurare l'aggiornamento di pulizia di AD LDS affinché venga eseguito in base a una pianificazione per i domini specifici. L'impostazione di default è "Mai". È inoltre possibile visualizzare lo stato di pulizia e informazioni specifiche relative alla configurazione di AD LDS (ADAM).

Per configurare la pianificazione o visualizzare lo stato di pulizia di AD LDS, fare clic con il pulsante destro del mouse sul dominio desiderato nel nodo Account and Resource Management (Gestione account e risorse) > All My Managed Objects (Tutti i miei oggetti gestiti) e selezionare rispettivamente Properties (Proprietà) > Adlds Cleanup Refresh Schedule (Pianificazione aggiornamento pulizia AD LDS) o Adlds Cleanup status (Stato pulizia AD LDS).

Per visualizzare le informazioni sulla configurazione di AD LDS (ADAM), passare a Configuration Management (Gestione configurazione) > Update Server Options (Aggiorna opzioni server) > ADAM Configuration (Configurazione ADAM).

11.3.11 Gruppo dinamico

Un gruppo dinamico è costituito da membri che variano in base a un set prestabilito di criteri che si configurano nelle proprietà del gruppo. Nelle proprietà del dominio è possibile configurare l'aggiornamento dei gruppi dinamici in base a una pianificazione per i domini specifici. L'impostazione di default è "Mai". È inoltre possibile visualizzare lo stato di aggiornamento.

Per configurare la pianificazione o visualizzare lo stato di aggiornamento dei gruppi dinamici, fare clic con il pulsante destro del mouse sul dominio desiderato nel nodo Account and Resource Management (Gestione account e risorse) > All My Managed Objects (Tutti i miei oggetti gestiti) e selezionare rispettivamente Properties (Proprietà) > Dynamic group refresh (Aggiornamento gruppi dinamici) o Dynamic group status (Stato gruppi dinamici).

Per ulteriori informazioni sui gruppi dinamici, vedere Gruppi dinamici di DRA.

11.3.12 Configurazione del Cestino

È possibile abilitare o disabilitare il Cestino per ciascun dominio Microsoft Windows o per gli oggetti all'interno di tali domini e configurare i tempi e le modalità di pulizia del Cestino.

Per informazioni dettagliate sull'uso del Cestino, vedere Cestino.

11.3.13 Configurazione dei rapporti

Nelle sezioni seguenti sono riportate informazioni concettuali sui rapporti di gestione di DRA e i relativi servizi di raccolta che è possibile abilitare. Per accedere alla procedura guidata di configurazione dei servizi di raccolta, passare a Configuration Management (Gestione configurazione) > Update Reporting Service Configuration (Aggiorna configurazione servizio di generazione rapporti).

11.3.14 Delega dei poteri di configurazione del server di Workflow Automation

Per gestire il workflow, assegnare il ruolo di amministrazione del server di Workflow Automation o i seguenti poteri applicabili agli amministratori aggiunti:

Per delegare i poteri di configurazione del server di Workflow Automation:

11.3.15 Configurazione del server di Workflow Automation

Per utilizzare Workflow Automation in DRA, è necessario installare il motore di Workflow Automation in un server Windows Server e configurare il server di Workflow Automation tramite la Console di delega e configurazione.

Per configurare il server di Workflow Automation:

Per informazioni sull'installazione del motore di Workflow Automation, vedere la Workflow Automation Administrator Guide (Guida all'amministrazione di Workflow Automation) nel sito della documentazione di DRA.

11.3.16 Delega dei poteri di ricerca LDAP

DRA consente di ricercare gli oggetti LDAP nei domini Active Directory locali, ad esempio utenti, contatti, computer, gruppi e unità organizzative dal server LDAP. Il server DRA continua a gestire l'operazione ed è il controller di dominio in cui viene eseguita la ricerca. Utilizzare i filtri di ricerca per eseguire ricerche più efficienti ed efficaci. È inoltre possibile salvare la query di ricerca per un uso futuro ed è possibile condividerla come query pubblica oppure farne un uso personale rendendola privata. È possibile modificare le query salvate. Il ruolo LDAP Advanced Queries (Query avanzate LDAP) fornisce agli amministratori aggiunti i poteri per la creazione e la gestione di query di ricerca LDAP. Per delegare la creazione e la gestione di di query di ricerca LDAP, utilizzare i poteri seguenti:

Per delegare i poteri delle query LDAP:

Per accedere alla funzione di ricerca nella Console Web, passare a Gestione > LDAP Search (Ricerca LDAP).

11.4.1 Installare l'agente Windows di Change Guardian

Prima di iniziare l'integrazione con DRA e CG, installare l'agente Windows Change Guardian. Per ulteriori informazioni, vedere la Change Guardian Installation and Administration Guide (Guida all'installazione e all'amministrazione di Change Guardian).

11.4.2 Aggiungere una chiave di licenza di Active Directory

È necessario aggiungere licenze sia per il server e le applicazioni Change Guardian o per i moduli che si intende monitorare. Per ulteriori informazioni, vedere la Change Guardian Installation and Administration Guide (Guida all'installazione e all'amministrazione di Change Guardian).

11.4.3 Configurare Active Directory

Per configurare Active Directory per la Cronologia modifiche, fare riferimento alle seguenti sezioni:

11.4.4 Creare e assegnare una policy Active Directory

È possibile creare nuove policy senza impostazioni preconfigurate.

11.4.5 Gestire i domini Active Directory

Per configurare un dominio in DRA come dominio gestito, vedere Gestione di domini Active Directory.

11.4.6 Abilitare la registrazione degli eventi in DRA

Quando è abilitata la revisione di AD Domain Services, gli eventi di DRA vengono registrati come se fossero generati dall'account del servizio DRA o dall'account di accesso ai domini, se uno di questi account è configurato. La registrazione degli eventi costituisce un'ulteriore evoluzione di questa funzione, poiché genera un ulteriore evento AD DS che identifica l'amministratore aggiunto che ha eseguito l'operazione.

Affinché tali eventi vengano generati, è necessario configurare la revisione di AD DS e abilitare la registrazione degli eventi nel server di amministrazione DRA. Quando la registrazione degli eventi è abilitata, è possibile visualizzare le modifiche apportate dagli amministratori aggiunti nei rapporti sugli eventi di Change Guardian.

Per ulteriori informazioni sulla registrazione degli eventi, vedere Caratteristiche della registrazione eventi.

11.4.7 Configurare la Cronologia modifiche unificata

La funzione del server di Cronologia modifiche unificata (UCH, Unified Change History) consente di generare rapporti relativi alle modifiche apportate esternamente a DRA.

11.4.8 Accedere ai rapporti di Cronologia modifiche unificata

Per generare e visualizzare i rapporti di Cronologia modifiche unificata sugli oggetti Active Directory tramite Change Guardian, vedere Generazione di rapporti di Cronologia modifiche nella Directory and Resource Administrator User Guide (Guida dell'utente di Directory and Resource Administrator).

11.7.1 Avvio della Console Web

È possibile avviare la Console Web da qualsiasi computer, dispositivo iOS o Android dotato di un browser Web. Per avviare la Console, specificare l'URL appropriato nel campo dell'indirizzo del browser Web. Ad esempio, se il componente Web è installato nel computer HOUserver, digitare https://HOUserver/draclient nel campo dell'indirizzo del browser Web.

11.7.2 Logout automatico

È possibile definire un incremento di tempo affinché la console Web esegua automaticamente il logout dopo un determinato periodo di inattività, oppure impostare di non eseguire mai il logout automatico.

Per configurare il logout automatico nella console Web, accedere ad Amministrazione > Configurazione > Logout automatico.

11.7.3 Connessione server DRA

È possibile utilizzare una delle seguenti opzioni disponibili per eseguire il login alla console Web. Il comportamento di ciascuna opzione durante il login è descritto nella seguente tabella:

Per configurare la connessione al server DRA nella console Web, accedere ad Amministrazione > Configurazione > Connessione server DRA.

11.7.4 Autenticazione

In questa sezione sono riportate informazioni per la configurazione dell'autenticazione con smart card, l'autenticazione di Windows e l'autenticazione multifattori tramite l'integrazione con Advanced Authentication.

12.1.1 Aggiunta di domini e computer gestiti

12.1.2 Definizione di account di accesso ai domini

Per ciascun dominio o sottoalbero gestito, è possibile specificare un account da utilizzare per l'accesso come alternativa all'account del servizio del server di amministrazione. Questo account alternativo è detto account di accesso. Per configurare un account di accesso, è necessario disporre dei poteri appropriati, ad esempio quelli inclusi nel ruolo integrato Configure Servers and Domains (Configura server e domini).

Per specificare un account di accesso per un server membro, è necessario disporre dell'autorizzazione per gestire il dominio in cui risiede il membro. È possibile gestire i membri di un dominio solo se risiedono all'interno di un dominio gestito a cui è possibile accedere tramite il server di amministrazione.

Per informazioni su come configurare questo account di minimo privilegio, vedere Account di accesso DRA con minimo privilegio.

12.1.3 Definizione di account di accesso a Exchange

Per ciascun dominio, in DRA è possibile gestire gli oggetti di Exchange utilizzando l'account di accesso al dominio di DRA o un account di accesso a Exchange separato. Per configurare un account di accesso a Exchange, è necessario disporre dei poteri appropriati, ad esempio quelli inclusi nel ruolo integrato Configure Servers and Domains (Configura server e domini).

Per informazioni su come configurare questo account di minimo privilegio, vedere Account di accesso DRA con minimo privilegio.

12.1.4 Aggiunta di un sottoalbero gestito

Dopo aver installato il server di amministrazione, è possibile aggiungere sottoalberi gestiti e mancanti da domini Microsoft Windows specifici. Per aggiungere un sottoalbero gestito, è necessario disporre dei poteri appropriati, ad esempio quelli inclusi nel ruolo integrato Configure Servers and Domains (Configura server e domini).

Per informazioni sulle versioni supportate di Microsoft Windows, vedere Requisiti del server di amministrazione DRA e della console Web.

Tramite la gestione di un sottoalbero di un dominio Windows, è possibile utilizzare DRA per mettere in sicurezza un reparto o una divisione all'interno di un dominio aziendale più ampio.

Ad esempio, è possibile specificare il sottoalbero Houston nel dominio SOUTHWEST, così che DRA possa gestire in modo sicuro solo gli oggetti contenuti dell'unità organizzativa Houston e nelle sue unità organizzative secondarie. Questa flessibilità permette di gestire uno o più sottoalberi senza dover disporre di autorizzazioni amministrative per l'intero dominio.

12.1.5 Aggiunta di un dominio attendibile

I domini attendibili consentono l'autenticazione utente a sistemi gestiti in tutto l'ambiente gestito. Dopo aver aggiunto un dominio attendibile, è possibile specificare account di accesso al dominio e a Exchange, pianificare aggiornamenti della cache ed eseguire altre azioni sulle proprietà del dominio, proprio come nel caso di un dominio gestito.

Per aggiungere un dominio attendibile:

12.2.1 Abilitazione di LDAP su SSL (LDAPS)

Se si esegue l'upgrade a DRA 10.x da una versione 9.x, eseguire le operazioni riportate di seguito. Se si sta configurando DRA per una nuova installazione, vedere Aggiunta di domini e computer gestiti.

12.2.2 Configurazione della rilevazione automatica per LDAPS

La rilevazione automatica è il meccanismo usato dal client per la connessione automatica all'ambiente DRA disponibile.

Per configurare DRA per un ambiente in cui è in esecuzione per l'utilizzo di Active Directory in modalità protetta, configurare la chiave di registro ClientSSLAllDomains:

12.3.1 Visualizzazione e modifica delle proprietà del dominio delle cartelle pubbliche

Per visualizzare o modificare le proprietà del dominio delle cartelle pubbliche:

12.3.2 Delega dei poteri delle cartelle pubbliche

Mediante le viste ActiveView è possibile definire i poteri e gestire la delega delle cartelle pubbliche. È possibile specificare le regole per aggiungere oggetti gestiti, scegliere domini e assegnare poteri, per poi delegare i poteri delle cartelle pubbliche agli amministratori aggiunti.

Per creare una vista ActiveView e delegare i poteri delle cartelle pubbliche:

Una volta completata la delega dei poteri delle cartelle pubbliche, gli utenti autorizzati potranno eseguire operazioni di creazione, lettura, aggiornamento ed eliminazione delle proprietà delle cartelle pubbliche nei domini configurati tramite la Console Web.

12.5.1 Aggiunta di un nuovo tenant di Azure

Per gestire un nuovo tenant di Azure è necessario creare un'applicazione Azure offline utilizzando lo script PowerShell fornito da DRA. DRA concede automaticamente le autorizzazioni necessarie all'applicazione Azure per gestire gli oggetti nel tenant. Per un elenco delle autorizzazioni necessarie per l'applicazione Azure, vedere Account di accesso DRA con minimo privilegio.

Per creare un'applicazione Azure per DRA e aggiungere un tenant di Azure:

12.5.2 Upload manuale di un certificato

Se si desidera utilizzare il proprio certificato o se il certificato personalizzato esistente è scaduto e si desidera specificare un nuovo certificato, è possibile effettuare l'upload del certificato dalla pagina delle proprietà del tenant di Azure. I formati di file di certificato supportati sono .pfx e .cer

Per effettuare l'upload di un certificato:

12.5.3 Configurazione dell'autenticazione basata su certificato per un'applicazione Azure dopo l'upgrade alla versione 10.2

Dopo aver eseguito l'upgrade a DRA 10.2, è possibile passare dall'autenticazione di base all'autenticazione basata su certificato e configurare l'applicazione Azure in modo che utilizzi l'autenticazione basata su certificato. L'applicazione Azure richiede autorizzazioni aggiuntive per l'autenticazione basata su certificato. Per applicare le autorizzazioni necessarie all'applicazione Azure, è necessario eseguire lo script UpdateDraAzureApplication Permission.ps1.

Per configurare l'applicazione Azure in modo che utilizzi l'autenticazione basata su certificato dopo l'upgrade, eseguire i passaggi seguenti:

12.5.4 Reimpostazione del segreto client per un'applicazione Azure

Se è necessario reimpostare il segreto client per un'applicazione Azure, attenersi alla procedura seguente.

Per reimpostare il segreto client per un'applicazione Azure:

12.5.5 Configurazione dell'invito dell'utente guest Azure

Quando si invitano utenti guest Azure ad Azure Active Directory, DRA invia un'e-mail all'utente guest Azure con un messaggio di benvenuto personalizzato che include un collegamento di invito. È possibile configurare questo messaggio di benvenuto e il collegamento di invito o l'URL di reindirizzamento che si desidera visualizzare nell'invito. L'utente guest Azure viene reindirizzato all'URL configurato dopo aver accettato l'invito, in cui gli utenti guest Azure possono eseguire il login utilizzando le proprie credenziali.

Per configurare l'invito dell'utente guest:

12.6.1 Reimpostare la password manualmente

Utilizzare la Console di delega e configurazione per reimpostare manualmente la password per un account di accesso.

Per reimpostare manualmente la password per un account di accesso:

12.6.2 Pianificare un lavoro per la reimpostazione della password

È possibile pianificare l'esecuzione del lavoro di reimpostazione della password a intervalli predefiniti in modo da reimpostare le password in scadenza per gli account di accesso. Verranno reimpostate tutte le password dell'account di accesso in scadenza prima della successiva esecuzione pianificata del lavoro. Verrà generata automaticamente una nuova password in base alle policy per le password.

Il lavoro è disabilitato di default. È possibile pianificare il lavoro una volta alla settimana o a un intervallo specifico, in base alle proprie esigenze. In un ambiente MMS, se si configura il lavoro sul server primario, assicurarsi che il lavoro sia configurato su tutti i server di MMS.

Per configurare il lavoro:

13.2.1 Caratteristiche delle policy integrate

Le policy integrate forniscono regole aziendali per gestire problemi comuni di sicurezza e integrità dei dati. Queste policy sono parte integrante del modello di sicurezza di default e consentono di integrare le funzioni di sicurezza di DRA nella configurazione aziendale esistente.

In DRA si possono utilizzare due metodi per applicare una policy. È possibile creare policy personalizzate o scegliere tra le varie policy integrate. Le policy integrate facilitano il processo applicativo perché evitano di dover sviluppare script personalizzati. Se si desidera implementare policy personalizzate, è possibile adattare una policy integrata esistente in base alle proprie esigenze specifiche. La maggior parte delle policy consente di modificare il testo del messaggio di errore, di rinominare la policy, di aggiungere una descrizione e di specificare le modalità di applicazione.

Quando si installa DRA, vengono abilitate varie policy integrate. Le policy seguenti sono implementate di default. Se non si desidera applicarle, è possibile disabilitarle o eliminarle.

13.2.2 Policy disponibili

In DRA sono disponibili svariate policy che è possibile personalizzare in funzione del modello di sicurezza.

13.2.3 Utilizzo delle policy integrate

Poiché le policy integrate fanno parte del modello di sicurezza di default, è possibile utilizzarle per applicare il modello di sicurezza in uso oppure modificarle affinché rispondano al meglio alle proprie esigenze specifiche. È possibile modificare il nome, le impostazioni delle regole, l'ambito, la relazione della policy e il messaggio di errore di svariate policy integrate. Ogni policy integrata può essere abilitata o disabilitata.

È anche possibile creare nuove policy.

13.4.1 Restrizioni possibili per i gruppi di sicurezza integrati nativi

Mediante le policy di DRA è possibile limitare i poteri dei gruppi di sicurezza integrati di Microsoft Windows:

13.4.2 Restrizioni delle azioni sui gruppi di sicurezza integrati nativi

Per limitare il potere che i gruppi di sicurezza integrati nativi e i loro membri possono esercitare, in DRA è possibile utilizzare una policy, denominata $SpecialGroupsPolicy, che limita le azioni che un membro di un gruppo di sicurezza integrato nativo può eseguire su altri membri o altri gruppi di sicurezza integrati nativi. La policy è abilitata di default. Se non si desidera limitare le azioni sui gruppi di sicurezza integrati nativi e i loro membri, è possibile disabilitarla.

Quando la policy è abilitata, vengono utilizzate le prove di convalida seguenti per stabilire se una determinata azione è consentita su un gruppo di sicurezza integrato nativo o i suoi membri:

Ad esempio, un membro dei gruppi Server Operators e Account Operator che dispone dei poteri appropriati può eseguire azioni sui membri dei gruppi Server Operators e Account Operators, come anche sui membri di entrambi i gruppi. Tuttavia, non può eseguire azioni su un account utente che è membro dei gruppi Print Operators e Account Operators.

In DRA si applicano restrizioni per le azioni seguenti sui gruppi di sicurezza integrati nativi:

Si applicano restrizioni anche su altre azioni per evitare che l'utente acquisisca poteri su un oggetto. Ad esempio, quando si aggiunge un account utente a un gruppo, viene verificato che non vengano acquisiti poteri aggiuntivi sull'account utente in quanto membro di tale gruppo. Questa convalida contribuisce a evitare un'escalation di potere.

13.5.1 Policy di Microsoft Exchange

In Exchange sono disponibili svariate policy per rendere più efficace la gestione degli oggetti Microsoft Exchange. Tali policy consentono di automatizzare la gestione delle caselle postali, applicare convenzioni di denominazione per gli alias e gli archivi delle caselle postali e generare automaticamente indirizzi e-mail.

Le policy permettono di semplificare i workflow e preservare l'integrità dei dati. Ad esempio, è possibile specificare le modalità di gestione delle caselle postali in Exchange quando si creano, si modificano o si eliminano account utente. Per definire e gestire le policy di Microsoft Exchange, è necessario disporre dei poteri appropriati, ad esempio quelli inclusi nel ruolo integrato Manage Policies and Automation Triggers (Gestisci policy e trigger di automazione).

13.5.2 Policy delle licenze di Office 365

Per implementare le policy delle licenze di Office 365, è necessario disporre dei poteri appropriati, ad esempio quelli inclusi nel ruolo integrato Manage Policies and Automation Triggers (Gestisci policy e trigger di automazione). La licenza deve supportare anche il prodotto Microsoft Exchange.

13.5.3 Creazione e implementazione della policy per le home directory

Quando si gestisce un numero elevato di account utente, la creazione e la gestione delle relative home directory e condivisioni principali possono richiedere molto tempo e comportare errori di sicurezza. Inoltre, ogni volta che si crea, si rinomina o si elimina un utente, potrebbero essere necessarie attività aggiuntive di manutenzione. Le policy delle home directory facilitano la gestione della manutenzione di home directory e condivisioni principali.

Con DRA è possibile automatizzare la creazione e la manutenzione delle home directory degli utenti. Ad esempio, è possibile configurare facilmente DRA in modo che il server di amministrazione crei una home directory quando si crea un account utente. In questo caso, se si specifica il percorso di una home directory quando si crea l'account utente, il server crea automaticamente la home directory in base al percorso specificato. Se non si specifica un percorso, il server non crea la home directory.

DRA supporta i percorsi DFS (Distributed File System) per la creazione delle home directory degli utenti o per la configurazione di policy delle home directory per gli utenti in percorsi superiori consentiti. È possibile creare, rinominare ed eliminare le home directory in Netapp Filer e in partizioni e percorsi DFS.

13.5.4 Abilitazione della funzione di generazione password

Questa funzione consente di specificare le impostazioni delle policy per le password generate da DRA. DRA non applica le impostazioni alle password create dagli utenti. Durante la configurazione delle proprietà delle policy delle password, la lunghezza della password non deve essere inferiore a 6 caratteri e superiore a 127 caratteri, tutti i valori possono essere impostati a zero, ad eccezione della lunghezza della password e del limite massimo.

Per configurare le policy di generazione password, passare a Policy and Automation Management (Gestione policy e automazione) > Configure Password Generation Policies (Configura policy di generazione password) e selezionare la casella di controllo Enable Password Policy (Abilita policy password). Fare clic su Password Settings (Impostazioni password) e configurare le proprietà delle policy delle password.

13.5.5 Task delle policy

Per eliminare, abilitare o disabilitare le policy, è necessario disporre dei poteri appropriati, ad esempio quelli inclusi nel ruolo integrato Manage Policies and Automation Triggers (Gestisci policy e trigger di automazione).

Per eseguire una di queste azioni, passare a Policy and Automation Management (Gestione policy e automazione) > Policy. Fare clic con il pulsante destro del mouse sulla policy che si desidera eliminare, abilitare o disabilitare nel riquadro a destra e selezionare l'azione desiderata.

13.6.1 Definizione di una policy di denominazione automatica per le caselle postali

Per specificare le opzioni di denominazione automatica delle caselle postali, è necessario disporre di poteri appropriati, ad esempio quelli inclusi nel ruolo integrato Manage Policies and Automation Triggers (Gestisci policy e trigger di automazione), e la licenza deve includere il supporto per Exchange.

13.6.2 Definizione di una policy di denominazione delle risorse

Per specificare le opzioni di denominazione delle risorse, è necessario disporre di poteri appropriati, ad esempio quelli inclusi nel ruolo integrato Manage Policies and Automation Triggers (Gestisci policy e trigger di automazione), e la licenza deve includere il supporto per Exchange.

13.6.3 Definizione di una policy di denominazione degli archivi

Per specificare le opzioni di denominazione degli archivi, è necessario disporre di poteri appropriati, ad esempio quelli inclusi nel ruolo integrato Manage Policies and Automation Triggers (Gestisci policy e trigger di automazione), e la licenza deve includere il supporto per Exchange.

16.1.1 Abilitazione e disabilitazione della revisione dei registri eventi di Windows per DRA

Quando si installa DRA, gli eventi di revisione non vengono registrati nel registro eventi di Windows per default. È possibile abilitare questo tipo di registrazione, modificando la chiave del registro.

16.1.2 Integrità della revisione

Affinché tutte le azioni degli utenti vengano sottoposte a revisione, in DRA sono disponibili metodi alternativi di registrazione quando il prodotto non può verificare l'attività di registrazione. Quando si installa DRA, nel registro vengono aggiunti la chiave AuditFailsFilePath e il percorso per consentire le azioni seguenti:

Per abilitare le operazioni di scrittura quando l'archivio dei log non è disponibile, è necessario impostare anche un valore per la chiave AllowOperationsOnAuditFailure del registro.

16.2.1 Utilizzo dell'utility Log Archive Viewer

Per visualizzare i dati memorizzati nei file di archivio dei log, utilizzare l'utility Log Archive Viewer. L'utility Log Archive Viewer è disponibile in NetIQ DRA Log Archive Resource Kit (LARK), che è possibile scegliere di installare insieme a DRA. Per ulteriori informazioni, vedere il documento NetIQ DRA Log Archive Resource Kit Technical Reference (Riferimento tecnico per NetIQ DRA Log Archive Resource Kit).

16.2.2 Backup dei file di archivio dei log

Un file di archivio dei log è una raccolta di blocchi di record. Poiché i file di archivio dei log sono file binari compressi che non risiedono in un database fisico, non è necessario utilizzare Microsoft SQL Server Management Studio per eseguire il backup degli archivi dei log. Se si dispone di un sistema automatico di backup dei file, il backup dei file di archivio dei log viene eseguito automaticamente come per qualsiasi altro file.

Per pianificare la strategia di backup, tenere presenti le best practice seguenti:

16.2.3 Modifica delle impostazioni di pulitura degli archivi dei log

Quando si installa DRA, la pulitura degli archivi dei log è disabilitata per default. Quando si stabiliscono procedure di backup regolari per i file di archivio dei log, è necessario abilitare la pulitura degli archivi dei log per risparmiare spazio su disco. Per modificare il numero di giorni allo scadere dei quali viene eseguita la pulitura delle partizioni di archivio dei log, utilizzare l'utility Log Archive Configuration.

17.1.1 Visualizzazione dello stato dei servizi di raccolta

È possibile visualizzare i dettagli di ciascun servizio di raccolta dati nella scheda Collectors Status (Stato servizi di raccolta).

17.1.2 Abilitazione della generazione di rapporti e della raccolta dati

Dopo l'installazione dei componenti di DRA Reporting, abilitare e configurare la raccolta dati per i rapporti affinché sia possibile accedere ai rapporti con Reporting Center.

Per informazioni sulla configurazione specifica dei servizi di raccolta, vedere Configurazione dei rapporti.

17.2.1 Generazione di rapporti sulle modifiche degli oggetti

È possibile visualizzare informazioni in tempo reale sulle modifiche degli oggetti nei domini in uso generando rapporti di dettaglio delle attività. Ad esempio, è possibile visualizzare un elenco di modifiche apportate a un oggetto o da un oggetto durante un intervallo di tempo specificato. È anche possibile esportare e stampare i rapporti di dettaglio delle attività.

17.2.2 Generazione di rapporti sugli elenchi di oggetti

È possibile esportare o stampare i dati da elenchi di oggetti. Con questa funzione si possono generare rapporti e distribuire informazioni generali sugli oggetti gestiti in modo rapido e semplice.

Quando si esporta un elenco di oggetti, è possibile specificare l'ubicazione, il nome e il formato del file. DRA supporta i formati HTML, CSV e XML, per consentire l'esportazione delle informazioni in applicazioni di database o la pubblicazione di elenchi di risultati in una pagina Web.

17.2.3 Generazione di rapporti sui dettagli degli oggetti

È possibile esportare o stampare i dati contenuti nelle schede dei dettagli in cui sono elencati gli attributi degli oggetti, come ad esempio le appartenenze a gruppi. Con questa funzione è possibile generare rapporti in modo rapido e semplice e distribuire i dettagli di uso frequente relativi a oggetti specifici.

Quando si esporta una scheda dei dettagli di un oggetto, è possibile specificare l'ubicazione, il nome e il formato del file. DRA supporta i formati HTML, CSV e XML, per consentire l'esportazione delle informazioni in applicazioni di database o la pubblicazione di elenchi di risultati in una pagina Web.