На правах рукописи
Вид материала | Документы |
- Печатная или на правах рукописи, 21.09kb.
- Удк 796/799: 378 , 770.24kb.
- На правах рукописи, 399.58kb.
- На правах рукописи, 726.26kb.
- На правах рукописи, 1025.8kb.
- На правах рукописи, 321.8kb.
- На правах рукописи, 552.92kb.
- На правах рукописи, 514.74kb.
- На правах рукописи, 670.06kb.
- На правах рукописи, 637.26kb.
Краткие итоги
В данной лекции приведен план-график развертывания Active Directory, который без детализации выглядит следующим образом:
- Формирование проектной группы.
- Инициация проекта, согласование плана работ, ролей и ответственности.
- Обследование существующей инфраструктуры.
- Планирование структуры Active Directory.
- Развертывание тестовой среды, тестирование миграции.
- Развертывание структуры Active Directory корневого домена в центральном офисе.
- Тиражирование решения на филиалы организации.
- Доработка и сдача документации.
При анализе существующей инфраструктуры определяется в первую очередь географическая модель организации, на основании чего создается карта территориального размещения организации и проводится анализ топологии существующей сети.
Первый шаг в планировании структуры Active Directory — определение лесов и доменов.
Самое главное решение, которое необходимо принять на раннем этапе разработки Active Directory, — сколько лесов потребуется. Развертывание единственного леса означает, что будет возможно простое совместное использование ресурсов и доступ к информации в пределах компании.
Каждый лес является интегрированным модулем, потому что он включает следующие составляющие:
- Глобальный каталог.
- Раздел конфигурации каталога.
- Доверительные отношения.
В то время как служба Active Directory облегчает совместное использование информации, она предписывает множество ограничений, которые требуют, чтобы различные подразделения в компании сотрудничали различными способами:
- Одна схема.
- Централизованное управление.
- Политика управления изменениями.
- Доверенные администраторы.
Как только вопрос о количестве развертываемых лесов улажен, необходимо определить доменную структуру в пределах каждого из лесов.
Домены используются для разделения большого леса на более мелкие компоненты для целей репликации или администрирования. Следующие характеристики домена крайне важны при проектировании Active Directory:
- граница репликации;
- граница доступа к ресурсам;
- граница политики безопасности.
В то время как в большинстве компаний внедряется модель Active Directory с единым лесом, некоторые крупные компании развертывают несколько доменов в пределах этого леса. Проще всего управлять единственным доменом, он обеспечивает пользователей наименее сложной средой. Однако имеется ряд причин для развертывания нескольких доменов.
- Применение одного домена:
- упрощение управления пользователями и группами;
- нет необходимости планировать доверительные отношения;
- для делегирования прав применяются OU.
- Применение нескольких доменов:
- возможность реализации разных политик безопасности;
- децентрализованное управление;
- оптимизация трафика;
- разные пространства имен;
- необходимо сохранить существующую архитектуру доменов Windows NT;
- размещение хозяина схемы в отдельный домен.
Более подробная информация о вариантах построения лесов и вариантах определения доменной структуры приведена в следующей лекции.
Лекция 5. МОДЕЛИ ПОСТРОЕНИЯ ЛЕСОВ И ДЕТАЛИЗАЦИЯ ДОМЕННОЙ СТРУКТУРЫ
Краткая аннотация: Приведены варианты построения единого леса службы Active Directory, указана возможность применения нескольких лесов и недостатки такой модели. Приведены варианты детализации доменной структуры Active Directory и кратко описан процесс назначения владельцев доменов.
Ключевые слова: лес, домен, доменное дерево, контроллер домена, организационная единица.
Цель лекции
Дать представление о возможных моделях построения лесов и соответствующей им детализации доменной структуры.
Лес — это группа из одного или нескольких деревьев доменов, которые не образуют единое пространство имен, но используют общие схему, конфигурацию каталогов, глобальный каталог и автоматически устанавливают двусторонние транзитивные доверительные отношения между доменами.
В сети всегда есть минимум один лес, создаваемый, когда в сети устанавливается первый контроллер домена. Первый домен становится корневым доменом леса.
Варианты построения леса
В данном разделе мы дадим описание различных моделей построения лесов Active Directory и проведем их сравнительный анализ.
- Вариант 1 «Единый лес, каждый регион — отдельное дерево».
- Вариант 2 «Единый лес, административный корневой домен, каждый регион — домен».
- Вариант 3 «Единый лес, каждый регион — дочерний домен центрального домена».
Под регионами в контексте данной лекции подразумеваются удаленные офисы компании, в которой планируется развернуть службу Active Directory.
Единый лес, каждый регион — отдельное дерево
Существует отдельное дерево с корневым доменом, хранящим группы Enterprise Admins и Schema Admins, что позволит гибко контролировать членство в этих группах и исключить присутствие в них по умолчанию всех администраторов центрального офиса (группа Admins корневого домена входит в группы Enterprise Admins, Schema Admins).
Разные деревья могут иметь различные пространства имен DNS. Корневые домены деревьев связаны транзитивными доверительными отношениями.
Плюсы модели:
- пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
- возможность регистрации мобильных пользователей в любой точке организации;
- единый обмен в организации;
- повышенная защищенность — аутентификация по протоколу Kerberos, группы Enterprise Admins, Schema Admins находятся в отдельном корневом домене, Schema master находится в отдельном домене;
- самый короткий путь доверия.
Минусы модели:
- видимость списка доменов всей организации;
- для наличия права создания новых деревьев/доменов администратор должен присутствовать в группе Enterprise Admins;
- тиражирование конфигурации и схемы Active Directory для всех регионов;
- если в организации уже развернута структура Active Directory, то контроллеры домена в этой организации необходимо переустановить.
Единый лес, административный корневой домен, каждый регион — домен
Существуют общее дерево Active Directory для регионов и общая система именования, основанная на географическом принципе. Каждое региональное подразделение представлено доменом. Региональные домены добавляются как дочерние к корневому домену. Административные группы Enterprise Admins, Schema Admins, дающие их членам административные полномочия в лесу, вынесены в отдельный корневой домен.
Существует единое пространство доменных имен, дочерние домены наследуют DNS имя родительского домена. Также существует единая поисковая служба, позволяющая находить объекты в любом домене службы Active Directory.
Плюсы модели:
- пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
- возможность регистрации мобильных пользователей в любой точке организации;
- единый обмен в организации;
- повышенная защищенность — аутентификация по протоколу Kerberos, группы Enterprise Admins, Schema Admins находятся в отдельном корневом домене, Schema master находится в отдельном домене.
Минусы модели:
- видимость списка доменов всей организации;
- для наличия права создания новых деревьев/доменов администратор должен присутствовать в группе Enterprise Admins;
- тиражирование конфигурации и схемы Active Directory для всех регионов;
- путь доверия длиннее.
Единый лес, каждый регион — дочерний домен центрального домена
В корневом домене наряду с группами Enterprise Admins и Schema Admins существуют остальные пользовательские учетные записи центрального офиса. Любой пользователь, попадающий в группу Admins, становится Enterprise Admins, так как группа Admins входит в группы Enterprise Admins и Schema Admins. Региональные домены становятся дочерними для корневого домена.
Существует единое пространство доменных имен, дочерние домены наследуют DNS имя родительского домена. Имеется единая поисковая служба, позволяющая находить объекты в любом домене службы Active Directory.
Плюсы модели:
- пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
- возможность регистрации мобильных пользователей в любой точке организации;
- единый обмен в организации; повышенная защищенность — аутентификация по протоколу Kerberos;
- сокращение количества компьютеров — контроллеров домена из-за отсутствия корневого «пустого» домена.
Минусы модели:
- видимость списка доменов всей организации;
- для наличия права создания новых деревьев/доменов, администратор должен присутствовать в группе Enterprise Admins;
- тиражирование конфигурации и схемы Active Directory для всех регионов;
- необходимы дополнительные усилия по контролю членства в группах Enterprise Admins, Schema Admins (не допускать в них группу Admins);
- структурное подчинение регионов;
- путь доверия длиннее.