Курс лекций Составитель Соркина В. Е. Введение 12

Вид материала

Курс лекций

Содержание Структурированное делегирование административных прав Преимущество NDS Приложения Возможности расширения распределенной схемы Преимущество NDS

Подобный материал:

• Курс лекций. Спб, 639.95kb.
• Курс лекций. Спб, 1118.16kb.
• Курс лекций. Спб, 172.51kb.
• Курс лекций введение в профессию "социальный педагог", 4415.45kb.
• Курс лекций Часть 2 Составитель: кандидат экономических наук Г. Н. Кудрявцева Электроизолятор, 1210.68kb.
• Курс лекций Тамбов 2008 Составитель: Шаталова О. А., преподаватель спецдисциплин тогоу, 1556.11kb.
• Курс лекций Барнаул 2001 удк 621. 385 Хмелев В. Н., Обложкина А. Д. Материаловедение, 1417.04kb.
• Г. П. Щедровицкий Методология и философия организационно-управленческой деятельности:, 3029.36kb.
• Темы контрольных работ по дисциплине «Экономическая теория» спо специальность 080110., 17.75kb.
• Введение в курс. Курс лекций Начертательная геометрия в которой рассматриваются следующие, 848.58kb.

Структурированное делегирование административных прав

И NDS eDirectory, и Active Directory поддерживают Delegated Administration, которое позволяет заказчикам распределять административные полномочия между любым количеством сотрудников, в то же время ограничивая круг административных задач, которые может выполнять каждый из них. Функция делегирования позволяет основной группе администраторов делить ответственность по администрированию крупной сети и таким образом делает управление более масштабируемым. Возможность ограничить круг делегированных прав также повышает уровень безопасности системы, поскольку в этом случае администраторы не могут вносить несанкционированные изменения на других сегментах сети.

Преимущество NDS

NDS позволяет осуществлять передачу административных прав в отношении любого объекта каталога, в то время как AD ограничивает возможности такой передачи. NDS передает права на общие объекты каталога - такие, как пользователи и группы. NDS также предлагает более широкие возможности в области управления. К примеру, NDS может делегировать необходимые права непосредственно приложению, которому требуется разрешение на управление определенной частью дерева каталога. NDS также позволяет делегировать права OU с тем, чтобы все объекты внутри этого подразделения могли пользоваться такими же правами. Все пользователи, добавленные в OU, автоматически наследуют делегированные права, что устраняет необходимость в ручном управлении для определения прав доступа.

AD разрешает делегировать права только объектам Пользователи и Группы, что, естественно, ограничивает возможности передачи прав. Поскольку AD не позволяет делегировать права объекту в «подразделении», администраторам приходится определять и создавать дополнительный объект в Группе для каждого вида передачи прав, то есть задействовать не одного, а более администраторов. При такой системе администраторы должны персонально знать, в какие группы следует включать каждого нового администратора. AD не дает логического представления такой информации через иерархическую структуру дерева каталога - в отличие от NDS. Подобные сведения трудно удержать в памяти, ими трудно обмениваться, особенно в крупных компаниях, отличающихся большой ротацией кадров и частыми организационными изменениями.

Поскольку основой NDS является одно дерева каталога, представляющее все сетевые ресурсы, делегирование прав подразделению организации происходит независимо от местоположения объекта, его типа и других факторов. В AD все “подразделения” ограничены рамками одного домена, в котором они находятся, и потому зона делегирования прав сужается исключительно до тех ресурсов, которые находятся в домене. Для компаний, реализующих множество доменов AD, делегирование прав доступа между доменами невозможно. В результате возрастают стоимость и сложность передачи прав и управление ими.

Приложения

Возможности расширения распределенной схемы

Каталоги дают возможность разработчикам и администраторам расширять схему по мере необходимости с тем, чтобы каталоги могли бы быть использованы в качестве глобального хранилища специализированных приложений. Можно определять новые виды объектов каталога и задавать для них соответствующие атрибуты. Например, поставщик телефонных серверов может создать объект, представляющий каждый установленный телефонный сервер, его параметры управления, список прав доступа с указанием клиентов, которым разрешено пользоваться функциями телефонии.

Преимущество NDS

С помощью NDS можно расширить схему с любого NDS-сервера, хранящего реплику корневого раздела. Можно создать любое количество реплик корневого раздела для повышения отказоустойчивости. Такие реплики могут также создаваться в различных географических точках для повышения уровня доступности. Такие отказоустойчивость и доступность позволяют администраторам устанавливать ориентированные на каталог приложения, которые расширяют схему из любой точки сети благодаря наличию и доступности реплики. Все функции служб каталога, включая расширение схемы, полностью поддерживаются в распределенной реализации NDS.

AD, напротив, не позволяет расширять схему с любого AD-сервера. С этой целью используется единственный центральный сервер «schema master». Если доступ к такому серверу невозможен из-за плохих WAN-соединений, перегруженности трафика, выходе сети из строя, расширение схемы произвести нельзя. Такое положение ограничивает возможность администраторов эффективно разрабатывать и инсталлировать приложения на базе каталога.

После расширения схемы NDS использует свои широкие возможности для того, чтобы администраторы могли более эффективно управлять правами доступа, и разрешает применять такие права непосредственно к созданным объектам каталога. Например, разработчик может определить специальный объект каталога, представляющий новую прикладную службу. Затем данному объекту могут быть предоставлены права доступа, чтобы эта прикладная служба могла автоматически получить доступ к определенному набору сетевых ресурсов. Это дает возможность автоматизировать процессы использования прикладных программ на базе каталога. AD не позволяет присваивать права специальным объектам каталога, созданным в результате расширения схемы. Для этого требуется совершить ряд ручных операций, требующих значительных временных затрат: потребуется создать специальную дополнительную учетную запись Пользователя, к которой должна обратиться прикладная служба для получения права доступа. В результате управление усложняется, могут возникнуть ошибки и бреши в системе безопасности.