Курс лекций Составитель Соркина В. Е. Введение 12

Вид материалаКурс лекций

Содержание


Структурированное делегирование административных прав
Преимущество NDS
Приложения Возможности расширения распределенной схемы
Преимущество NDS
Подобный материал:
1   ...   60   61   62   63   64   65   66   67   ...   71

Структурированное делегирование административных прав

И NDS eDirectory, и Active Directory поддерживают Delegated Administration, которое позволяет заказчикам распределять административные полномочия между любым количеством сотрудников, в то же время ограничивая круг административных задач, которые может выполнять каждый из них. Функция делегирования позволяет основной группе администраторов делить ответственность по администрированию крупной сети и таким образом делает управление более масштабируемым. Возможность ограничить круг делегированных прав также повышает уровень безопасности системы, поскольку в этом случае администраторы не могут вносить несанкционированные изменения на других сегментах сети.

Преимущество NDS

NDS позволяет осуществлять передачу административных прав в отношении любого объекта каталога, в то время как AD ограничивает возможности такой передачи. NDS передает права на общие объекты каталога - такие, как пользователи и группы. NDS также предлагает более широкие возможности в области управления. К примеру, NDS может делегировать необходимые права непосредственно приложению, которому требуется разрешение на управление определенной частью дерева каталога. NDS также позволяет делегировать права OU с тем, чтобы все объекты внутри этого подразделения могли пользоваться такими же правами. Все пользователи, добавленные в OU, автоматически наследуют делегированные права, что устраняет необходимость в ручном управлении для определения прав доступа.
AD разрешает делегировать права только объектам Пользователи и Группы, что, естественно, ограничивает возможности передачи прав. Поскольку AD не позволяет делегировать права объекту в «подразделении», администраторам приходится определять и создавать дополнительный объект в Группе для каждого вида передачи прав, то есть задействовать не одного, а более администраторов. При такой системе администраторы должны персонально знать, в какие группы следует включать каждого нового администратора. AD не дает логического представления такой информации через иерархическую структуру дерева каталога - в отличие от NDS. Подобные сведения трудно удержать в памяти, ими трудно обмениваться, особенно в крупных компаниях, отличающихся большой ротацией кадров и частыми организационными изменениями.
Поскольку основой NDS является одно дерева каталога, представляющее все сетевые ресурсы, делегирование прав подразделению организации происходит независимо от местоположения объекта, его типа и других факторов. В AD все “подразделения” ограничены рамками одного домена, в котором они находятся, и потому зона делегирования прав сужается исключительно до тех ресурсов, которые находятся в домене. Для компаний, реализующих множество доменов AD, делегирование прав доступа между доменами невозможно. В результате возрастают стоимость и сложность передачи прав и управление ими.

Приложения

Возможности расширения распределенной схемы

Каталоги дают возможность разработчикам и администраторам расширять схему по мере необходимости с тем, чтобы каталоги могли бы быть использованы в качестве глобального хранилища специализированных приложений. Можно определять новые виды объектов каталога и задавать для них соответствующие атрибуты. Например, поставщик телефонных серверов может создать объект, представляющий каждый установленный телефонный сервер, его параметры управления, список прав доступа с указанием клиентов, которым разрешено пользоваться функциями телефонии.

Преимущество NDS

С помощью NDS можно расширить схему с любого NDS-сервера, хранящего реплику корневого раздела. Можно создать любое количество реплик корневого раздела для повышения отказоустойчивости. Такие реплики могут также создаваться в различных географических точках для повышения уровня доступности. Такие отказоустойчивость и доступность позволяют администраторам устанавливать ориентированные на каталог приложения, которые расширяют схему из любой точки сети благодаря наличию и доступности реплики. Все функции служб каталога, включая расширение схемы, полностью поддерживаются в распределенной реализации NDS.
AD, напротив, не позволяет расширять схему с любого AD-сервера. С этой целью используется единственный центральный сервер «schema master». Если доступ к такому серверу невозможен из-за плохих WAN-соединений, перегруженности трафика, выходе сети из строя, расширение схемы произвести нельзя. Такое положение ограничивает возможность администраторов эффективно разрабатывать и инсталлировать приложения на базе каталога.
После расширения схемы NDS использует свои широкие возможности для того, чтобы администраторы могли более эффективно управлять правами доступа, и разрешает применять такие права непосредственно к созданным объектам каталога. Например, разработчик может определить специальный объект каталога, представляющий новую прикладную службу. Затем данному объекту могут быть предоставлены права доступа, чтобы эта прикладная служба могла автоматически получить доступ к определенному набору сетевых ресурсов. Это дает возможность автоматизировать процессы использования прикладных программ на базе каталога. AD не позволяет присваивать права специальным объектам каталога, созданным в результате расширения схемы. Для этого требуется совершить ряд ручных операций, требующих значительных временных затрат: потребуется создать специальную дополнительную учетную запись Пользователя, к которой должна обратиться прикладная служба для получения права доступа. В результате управление усложняется, могут возникнуть ошибки и бреши в системе безопасности.