На правах рукописи

Вид материала

Документы

Содержание Краткие итоги Лекция 5. МОДЕЛИ ПОСТРОЕНИЯ ЛЕСОВ И ДЕТАЛИЗАЦИЯ ДОМЕННОЙ СТРУКТУРЫ Ключевые слова Варианты построения леса Единый лес, каждый регион — отдельное дерево Единый лес, административный корневой домен, каждый регион — домен Единый лес, каждый регион — дочерний домен центрального домена

Подобный материал:

• Печатная или на правах рукописи, 21.09kb.
• Удк 796/799: 378                                                                           , 770.24kb.
• На правах рукописи, 399.58kb.
• На правах рукописи, 726.26kb.
• На правах рукописи, 1025.8kb.
• На правах рукописи, 321.8kb.
• На правах рукописи, 552.92kb.
• На правах рукописи, 514.74kb.
• На правах рукописи, 670.06kb.
• На правах рукописи, 637.26kb.

Краткие итоги

В данной лекции приведен план-график развертывания Active Directory, который без детализации выглядит следующим образом:

• Формирование проектной группы.
  
• Инициация проекта, согласование плана работ, ролей и ответственности.
  
• Обследование существующей инфраструктуры.
  
• Планирование структуры Active Directory.
  
• Развертывание тестовой среды, тестирование миграции.
  
• Развертывание структуры Active Directory корневого домена в центральном офисе.
  
• Тиражирование решения на филиалы организации.
  
• Доработка и сдача документации.
  

При анализе существующей инфраструктуры определяется в первую очередь географическая модель организации, на основании чего создается карта территориального размещения организации и проводится анализ топологии существующей сети.

Первый шаг в планировании структуры Active Directory — определение лесов и доменов.

Самое главное решение, которое необходимо принять на раннем этапе разработки Active Directory, — сколько лесов потребуется. Развертывание единственного леса означает, что будет возможно простое совместное использование ресурсов и доступ к информации в пределах компании.

Каждый лес является интегрированным модулем, потому что он включает следующие составляющие:

• Глобальный каталог.
  
• Раздел конфигурации каталога.
  
• Доверительные отношения.
  

В то время как служба Active Directory облегчает совместное использование информации, она предписывает множество ограничений, которые требуют, чтобы различные подразделения в компании сотрудничали различными способами:

• Одна схема.
  
• Централизованное управление.
  
• Политика управления изменениями.
  
• Доверенные администраторы.
  

Как только вопрос о количестве развертываемых лесов улажен, необходимо определить доменную структуру в пределах каждого из лесов.

Домены используются для разделения большого леса на более мелкие компоненты для целей репликации или администрирования. Следующие характеристики домена крайне важны при проектировании Active Directory:

• граница репликации;
  
• граница доступа к ресурсам;
  
• граница политики безопасности.
  

В то время как в большинстве компаний внедряется модель Active Directory с единым лесом, некоторые крупные компании развертывают несколько доменов в пределах этого леса. Проще всего управлять единственным доменом, он обеспечивает пользователей наименее сложной средой. Однако имеется ряд причин для развертывания нескольких доменов.

• Применение одного домена:
  

• упрощение управления пользователями и группами;
  
• нет необходимости планировать доверительные отношения;
  
• для делегирования прав применяются OU.
  

• Применение нескольких доменов:
  

• возможность реализации разных политик безопасности;
  
• децентрализованное управление;
  
• оптимизация трафика;
  
• разные пространства имен;
  
• необходимо сохранить существующую архитектуру доменов Windows NT;
  
• размещение хозяина схемы в отдельный домен.
  

Более подробная информация о вариантах построения лесов и вариантах определения доменной структуры приведена в следующей лекции.

Лекция 5. МОДЕЛИ ПОСТРОЕНИЯ ЛЕСОВ И ДЕТАЛИЗАЦИЯ ДОМЕННОЙ СТРУКТУРЫ

Краткая аннотация: Приведены варианты построения единого леса службы Active Directory, указана возможность применения нескольких лесов и недостатки такой модели. Приведены варианты детализации доменной структуры Active Directory и кратко описан процесс назначения владельцев доменов.

Ключевые слова: лес, домен, доменное дерево, контроллер домена, организационная единица.


Цель лекции

Дать представление о возможных моделях построения лесов и соответствующей им детализации доменной структуры.


Лес — это группа из одного или нескольких деревьев доменов, которые не образуют единое пространство имен, но используют общие схему, конфигурацию каталогов, глобальный каталог и автоматически устанавливают двусторонние транзитивные доверительные отношения между доменами.

В сети всегда есть минимум один лес, создаваемый, когда в сети устанавливается первый контроллер домена. Первый домен становится корневым доменом леса.

Варианты построения леса

В данном разделе мы дадим описание различных моделей построения лесов Active Directory и проведем их сравнительный анализ.

• Вариант 1 «Единый лес, каждый регион — отдельное дерево».
  
• Вариант 2 «Единый лес, административный корневой домен, каждый регион — домен».
  
• Вариант 3 «Единый лес, каждый регион — дочерний домен центрального домена».
  

Под регионами в контексте данной лекции подразумеваются удаленные офисы компании, в которой планируется развернуть службу Active Directory.

Единый лес, каждый регион — отдельное дерево

Существует отдельное дерево с корневым доменом, хранящим группы Enterprise Admins и Schema Admins, что позволит гибко контролировать членство в этих группах и исключить присутствие в них по умолчанию всех администраторов центрального офиса (группа Admins корневого домена входит в группы Enterprise Admins, Schema Admins).

Разные деревья могут иметь различные пространства имен DNS. Корневые домены деревьев связаны транзитивными доверительными отношениями.

Плюсы модели:

• пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
  
• возможность регистрации мобильных пользователей в любой точке организации;
  
• единый обмен в организации;
  
• повышенная защищенность — аутентификация по протоколу Kerberos, группы Enterprise Admins, Schema Admins находятся в отдельном корневом домене, Schema master находится в отдельном домене;
  
• самый короткий путь доверия.
  

Минусы модели:

• видимость списка доменов всей организации;
  
• для наличия права создания новых деревьев/доменов администратор должен присутствовать в группе Enterprise Admins;
  
• тиражирование конфигурации и схемы Active Directory для всех регионов;
  
• если в организации уже развернута структура Active Directory, то контроллеры домена в этой организации необходимо переустановить.
  

Единый лес, административный корневой домен, каждый регион — домен

Существуют общее дерево Active Directory для регионов и общая система именования, основанная на географическом принципе. Каждое региональное подразделение представлено доменом. Региональные домены добавляются как дочерние к корневому домену. Административные группы Enterprise Admins, Schema Admins, дающие их членам административные полномочия в лесу, вынесены в отдельный корневой домен.

Существует единое пространство доменных имен, дочерние домены наследуют DNS имя родительского домена. Также существует единая поисковая служба, позволяющая находить объекты в любом домене службы Active Directory.

Плюсы модели:

• пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
  
• возможность регистрации мобильных пользователей в любой точке организации;
  
• единый обмен в организации;
  
• повышенная защищенность — аутентификация по протоколу Kerberos, группы Enterprise Admins, Schema Admins находятся в отдельном корневом домене, Schema master находится в отдельном домене.
  

Минусы модели:

• видимость списка доменов всей организации;
  
• для наличия права создания новых деревьев/доменов администратор должен присутствовать в группе Enterprise Admins;
  
• тиражирование конфигурации и схемы Active Directory для всех регионов;
  
• путь доверия длиннее.
  

Единый лес, каждый регион — дочерний домен центрального домена

В корневом домене наряду с группами Enterprise Admins и Schema Admins существуют остальные пользовательские учетные записи центрального офиса. Любой пользователь, попадающий в группу Admins, становится Enterprise Admins, так как группа Admins входит в группы Enterprise Admins и Schema Admins. Региональные домены становятся дочерними для корневого домена.

Существует единое пространство доменных имен, дочерние домены наследуют DNS имя родительского домена. Имеется единая поисковая служба, позволяющая находить объекты в любом домене службы Active Directory.

Плюсы модели:

• пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
  
• возможность регистрации мобильных пользователей в любой точке организации;
  
• единый обмен в организации; повышенная защищенность — аутентификация по протоколу Kerberos;
  
• сокращение количества компьютеров — контроллеров домена из-за отсутствия корневого «пустого» домена.
  

Минусы модели:

• видимость списка доменов всей организации;
  
• для наличия права создания новых деревьев/доменов, администратор должен присутствовать в группе Enterprise Admins;
  
• тиражирование конфигурации и схемы Active Directory для всех регионов;
  
• необходимы дополнительные усилия по контролю членства в группах Enterprise Admins, Schema Admins (не допускать в них группу Admins);
  
• структурное подчинение регионов;
  
• путь доверия длиннее.