На правах рукописи

Вид материалаДокументы

Содержание


Краткие итоги
Лекция 5. МОДЕЛИ ПОСТРОЕНИЯ ЛЕСОВ И ДЕТАЛИЗАЦИЯ ДОМЕННОЙ СТРУКТУРЫ
Ключевые слова
Варианты построения леса
Единый лес, каждый регион — отдельное дерево
Единый лес, административный корневой домен, каждый регион — домен
Единый лес, каждый регион — дочерний домен центрального домена
Подобный материал:
1   ...   7   8   9   10   11   12   13   14   ...   38

Краткие итоги


В данной лекции приведен план-график развертывания Active Directory, который без детализации выглядит следующим образом:
  • Формирование проектной группы.
  • Инициация проекта, согласование плана работ, ролей и ответственности.
  • Обследование существующей инфраструктуры.
  • Планирование структуры Active Directory.
  • Развертывание тестовой среды, тестирование миграции.
  • Развертывание структуры Active Directory корневого домена в центральном офисе.
  • Тиражирование решения на филиалы организации.
  • Доработка и сдача документации.


При анализе существующей инфраструктуры определяется в первую очередь географическая модель организации, на основании чего создается карта территориального размещения организации и проводится анализ топологии существующей сети.

Первый шаг в планировании структуры Active Directory — определение лесов и доменов.

Самое главное решение, которое необходимо принять на раннем этапе разработки Active Directory, — сколько лесов потребуется. Развертывание единственного леса означает, что будет возможно простое совместное использование ресурсов и доступ к информации в пределах компании.

Каждый лес является интегрированным модулем, потому что он включает следующие составляющие:
  • Глобальный каталог.
  • Раздел конфигурации каталога.
  • Доверительные отношения.


В то время как служба Active Directory облегчает совместное использование информации, она предписывает множество ограничений, которые требуют, чтобы различные подразделения в компании сотрудничали различными способами:
  • Одна схема.
  • Централизованное управление.
  • Политика управления изменениями.
  • Доверенные администраторы.


Как только вопрос о количестве развертываемых лесов улажен, необходимо определить доменную структуру в пределах каждого из лесов.

Домены используются для разделения большого леса на более мелкие компоненты для целей репликации или администрирования. Следующие характеристики домена крайне важны при проектировании Active Directory:
  • граница репликации;
  • граница доступа к ресурсам;
  • граница политики безопасности.


В то время как в большинстве компаний внедряется модель Active Directory с единым лесом, некоторые крупные компании развертывают несколько доменов в пределах этого леса. Проще всего управлять единственным доменом, он обеспечивает пользователей наименее сложной средой. Однако имеется ряд причин для развертывания нескольких доменов.
  • Применение одного домена:
    • упрощение управления пользователями и группами;
    • нет необходимости планировать доверительные отношения;
    • для делегирования прав применяются OU.
  • Применение нескольких доменов:
    • возможность реализации разных политик безопасности;
    • децентрализованное управление;
    • оптимизация трафика;
    • разные пространства имен;
    • необходимо сохранить существующую архитектуру доменов Windows NT;
    • размещение хозяина схемы в отдельный домен.


Более подробная информация о вариантах построения лесов и вариантах определения доменной структуры приведена в следующей лекции.

Лекция 5. МОДЕЛИ ПОСТРОЕНИЯ ЛЕСОВ И ДЕТАЛИЗАЦИЯ ДОМЕННОЙ СТРУКТУРЫ



Краткая аннотация: Приведены варианты построения единого леса службы Active Directory, указана возможность применения нескольких лесов и недостатки такой модели. Приведены варианты детализации доменной структуры Active Directory и кратко описан процесс назначения владельцев доменов.

Ключевые слова: лес, домен, доменное дерево, контроллер домена, организационная единица.


Цель лекции

Дать представление о возможных моделях построения лесов и соответствующей им детализации доменной структуры.


Лес — это группа из одного или нескольких деревьев доменов, которые не образуют единое пространство имен, но используют общие схему, конфигурацию каталогов, глобальный каталог и автоматически устанавливают двусторонние транзитивные доверительные отношения между доменами.

В сети всегда есть минимум один лес, создаваемый, когда в сети устанавливается первый контроллер домена. Первый домен становится корневым доменом леса.

Варианты построения леса


В данном разделе мы дадим описание различных моделей построения лесов Active Directory и проведем их сравнительный анализ.
  • Вариант 1 «Единый лес, каждый регион — отдельное дерево».
  • Вариант 2 «Единый лес, административный корневой домен, каждый регион — домен».
  • Вариант 3 «Единый лес, каждый регион — дочерний домен центрального домена».


Под регионами в контексте данной лекции подразумеваются удаленные офисы компании, в которой планируется развернуть службу Active Directory.

Единый лес, каждый регион — отдельное дерево


Существует отдельное дерево с корневым доменом, хранящим группы Enterprise Admins и Schema Admins, что позволит гибко контролировать членство в этих группах и исключить присутствие в них по умолчанию всех администраторов центрального офиса (группа Admins корневого домена входит в группы Enterprise Admins, Schema Admins).

Разные деревья могут иметь различные пространства имен DNS. Корневые домены деревьев связаны транзитивными доверительными отношениями.

Плюсы модели:
  • пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
  • возможность регистрации мобильных пользователей в любой точке организации;
  • единый обмен в организации;
  • повышенная защищенность — аутентификация по протоколу Kerberos, группы Enterprise Admins, Schema Admins находятся в отдельном корневом домене, Schema master находится в отдельном домене;
  • самый короткий путь доверия.


Минусы модели:
  • видимость списка доменов всей организации;
  • для наличия права создания новых деревьев/доменов администратор должен присутствовать в группе Enterprise Admins;
  • тиражирование конфигурации и схемы Active Directory для всех регионов;
  • если в организации уже развернута структура Active Directory, то контроллеры домена в этой организации необходимо переустановить.

Единый лес, административный корневой домен, каждый регион — домен


Существуют общее дерево Active Directory для регионов и общая система именования, основанная на географическом принципе. Каждое региональное подразделение представлено доменом. Региональные домены добавляются как дочерние к корневому домену. Административные группы Enterprise Admins, Schema Admins, дающие их членам административные полномочия в лесу, вынесены в отдельный корневой домен.

Существует единое пространство доменных имен, дочерние домены наследуют DNS имя родительского домена. Также существует единая поисковая служба, позволяющая находить объекты в любом домене службы Active Directory.

Плюсы модели:
  • пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
  • возможность регистрации мобильных пользователей в любой точке организации;
  • единый обмен в организации;
  • повышенная защищенность — аутентификация по протоколу Kerberos, группы Enterprise Admins, Schema Admins находятся в отдельном корневом домене, Schema master находится в отдельном домене.


Минусы модели:
  • видимость списка доменов всей организации;
  • для наличия права создания новых деревьев/доменов администратор должен присутствовать в группе Enterprise Admins;
  • тиражирование конфигурации и схемы Active Directory для всех регионов;
  • путь доверия длиннее.

Единый лес, каждый регион — дочерний домен центрального домена


В корневом домене наряду с группами Enterprise Admins и Schema Admins существуют остальные пользовательские учетные записи центрального офиса. Любой пользователь, попадающий в группу Admins, становится Enterprise Admins, так как группа Admins входит в группы Enterprise Admins и Schema Admins. Региональные домены становятся дочерними для корневого домена.

Существует единое пространство доменных имен, дочерние домены наследуют DNS имя родительского домена. Имеется единая поисковая служба, позволяющая находить объекты в любом домене службы Active Directory.

Плюсы модели:
  • пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
  • возможность регистрации мобильных пользователей в любой точке организации;
  • единый обмен в организации; повышенная защищенность — аутентификация по протоколу Kerberos;
  • сокращение количества компьютеров — контроллеров домена из-за отсутствия корневого «пустого» домена.


Минусы модели:
  • видимость списка доменов всей организации;
  • для наличия права создания новых деревьев/доменов, администратор должен присутствовать в группе Enterprise Admins;
  • тиражирование конфигурации и схемы Active Directory для всех регионов;
  • необходимы дополнительные усилия по контролю членства в группах Enterprise Admins, Schema Admins (не допускать в них группу Admins);
  • структурное подчинение регионов;
  • путь доверия длиннее.