Варианты построения леса
Цель лекции
Лекция 5. МОДЕЛИ ПОСТРОЕНИЯ ЛЕСОВ И ДЕТАЛИЗАЦИЯ ДОМЕННОЙ СТРУКТУРЫ
Краткая аннотация: Приведены варианты построения единого леса службы Active Directory, указана возможность применения нескольких лесов и недостатки такой модели. Приведены варианты детализации доменной структуры Active Directory и кратко описан процесс назначения владельцев доменов.
Ключевые слова: лес, домен, доменное дерево, контроллер домена, организационная единица.
Дать представление о возможных моделях построения лесов и соответствующей им детализации доменной структуры.
Лес — это группа из одного или нескольких деревьев доменов, которые не образуют единое пространство имен, но используют общие схему, конфигурацию каталогов, глобальный каталог и автоматически устанавливают двусторонние транзитивные доверительные отношения между доменами.
В сети всегда есть минимум один лес, создаваемый, когда в сети устанавливается первый контроллер домена. Первый домен становится корневым доменом леса.
|
|
В данном разделе мы дадим описание различных моделей построения лесов Active Directory и проведем их сравнительный анализ.
- Вариант 1 «Единый лес, каждый регион — отдельное дерево».
- Вариант 2 «Единый лес, административный корневой домен, каждый регион — домен».
- Вариант 3 «Единый лес, каждый регион — дочерний домен центрального домена».
Под регионами в контексте данной лекции подразумеваются удаленные офисы компании, в которой планируется развернуть службу Active Directory.
Существует отдельное дерево с корневым доменом, хранящим группы Enterprise Admins и Schema Admins, что позволит гибко контролировать членство в этих группах и исключить присутствие в них по умолчанию всех администраторов центрального офиса (группа Admins корневого домена входит в группы Enterprise Admins, Schema Admins).
Разные деревья могут иметь различные пространства имен DNS. Корневые домены деревьев связаны транзитивными доверительными отношениями.
Плюсы модели:
- пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
- возможность регистрации мобильных пользователей в любой точке организации;
- единый обмен в организации;
- повышенная защищенность — аутентификация по протоколу Kerberos, группы Enterprise Admins, Schema Admins находятся в отдельном корневом домене, Schema master находится в отдельном домене;
- самый короткий путь доверия.
Минусы модели:
- видимость списка доменов всей организации;
- для наличия права создания новых деревьев/доменов администратор должен присутствовать в группе Enterprise Admins;
- тиражирование конфигурации и схемы Active Directory для всех регионов;
- если в организации уже развернута структура Active Directory, то контроллеры домена в этой организации необходимо переустановить.