Модели доменов

date image 2014-02-02
views image 5284
Поделись с друзьями: 
123456

В Windows NT Server существуют четыре модели структуры доверительных отношений между доменами.

Это модели:

• с одним доменом;

• с одним главным доменом;

• с несколькими главными доменами;

• с полностью доверительными отношениями.

Остано­вимся на каждой из них.

Модель с одним доменом - самая простая модель; все серверы и клиенты входят в один домен. Локальные и глобальные группы совпадают, а все администраторы могут администрировать все серверы. Поскольку домен один, нет необходимости в доверительных отношениях.

Сеть с одним доменом является эффективной моделью для ее использования на неболь­шом предприятии, где не так много серверов и пользователей, где все пользуются одним и тем же набором ресурсов, ресурсы расположены рядом (физически) и их просмотр в сети не занимает слишком много времени.

Преимущества модели с одним доменом Недостатки модели с одним доменом
Простота администрирования Отсутствие группирования пользователей по подразделениям или другим признакам
Централизованное управление учетными записями пользователей Снижение производительности управления при увеличении числа ресурсов
Отсутствие доверительных отношений и необходимости управлять ими Отсутствие логического группирования ресурсов
Локальные группы задаются только один раз Время на просмотр ресурсов растет с увеличением числа серверов

Модель с одним главным доменом обеспечивает централизованное администри­рование пользователей наряду с логической группировкой ресурсов по подраз­делениям. В эту модель входят один или несколько доменов подразделений (доменов ресурсов — secondary domain), которые доверяют одному главному домену (master domain).

Модель с одним главным доменом представляет собой очевидное развитие модели с одним доменом; рекомендуется для организа­ции, имеющей сравнительно мало пользователей и в которой возможно логичное объеди­нение ресурсов в группы, когда число ресурсов возрастает. Все учетные записи пользователей, а также глобальные группы создаются в главном домене. Но каждый домен подразделения может завести свои локальные группы. На рис. 8 представлена структура модели с одним главным доменом.

 
 

Рис. 8. Модель с одним главным доменом.

Основной функцией главного домена является централизованное ведение учетных записей. Обязательно также наличие хотя бы одного резервного контроллера домена, так как база данных всех учетных записей пользователей хранится только на основном и резервных контроллерах главного домена. Все остальные домены (домены ресурсов) действуют в основном как распорядители ресурсов. У каждого из них имеется свой набор ресурсов, которые доступны во всей сети, но могут администрироваться на месте. Пользователи такого домена изначально будут видеть только «свои» ресурсы, что упрощает и ускоряет поиск ресурсов. Управление ресурсами может производиться на уровне подразделе­ния, в то время как управление учетными записями осуществляется централи­зованно.

Есть все основания рассматривать модель с одним главным доменом как естественное развитие модели с одним доменом. Исходный домен, содержащий существующие учетные записи пользователей, становится главным доменом. Ресурсы перемещаются в новые домены ресурсов и образуют логические объ­единения ресурсов. Однако эта модель перестает быть пригодной, если число пользователей становится слишком большим. Производительность значительно снижается, так как подлинность каждой учетной записи проверяет один главный домен.

Преимущества модели С одним главным доменом Недостатки модели с одним главным доменом
Централизованное управление учетными записями пользователей Снижение производительности при уве­личении числа пользователей
Глобальные группы задаются только один раз Зависимость от надежности контролле­ров главного домена
Управление ресурсами на уровне подраз­делений В каждом домене ресурсов требуется определять локальные группы
Для каждого домена ресурса требуется установить только одностороннее доверительное отношение  

Модель с несколькими главными доменам рекомендуется для организаций с большим числом пользователей и централизованной структурой управления. В ней обеспечивается централизованное администриро­вание двух и более главных доменов, а ресурсы распределены между доменами ресурсов (рис. 9).

Рис. 9. Модель с несколькими главными доменами.

В этой модели имеется небольшое число главных доменов, между которыми установлены двусторонние доверительные отношения. Учетные записи пользо­вателей хранятся в главных доменах и распределены между ними сравнительно равномерно. Для каждого пользователя имеется только одна учетная запись в одном из главных доменов. Все домены ресурсов доверяют каждому главному домену, но наличие доверительных отношений между доменами ресурсов совсем не обязательно. Управление ресурсами, такими как принтеры и файлы, осуще­ствляется на уровне доменов ресурсов.

Перед использованием данной модели необходимо решить распределение учетных записей пользователей. Делить их между главными доменами можно исходя из логиче­ского объединения пользователей в группы или чисто формально, например, по именам в алфавитном порядке. Если структура организации достаточно гибкая, когда пользователи часто меняют должности и переходят из одного отдела в другой, то группировать их логически сложно. Если использовать формальный (например, алфавитный) способ распределения, то значительно больше времени уйдет на создание глобальных групп и управление ими, зато не придется вносить изменения при переводе сотрудника в другой отдел или на другую должность.

Преимущества модели С несколькими главными доменами Недостатки модели с несколькими главными доменами
Централизованное управление учетными записями пользователей Отсутствие единого места управления учетными записями пользователей и группами
Наращиваемость в соответствии с теку­щими требованиями Необходимость определять глобальные и локальные группы несколько раз и вносить в них изменения в нескольких местах
Управление ресурсами на уровне подраз­делений Возрастающая сложность доверительных отношений
Логическое объединение ресурсов  

Модель с несколькими главными доменами и полностью доверительными отно­шениями целесообразно использовать в организации со строгой, централизованной структурой управления, когда предпочтение отдается распределенному администрированию пользователей и ресурсов. В этом варианте между каждой парой доменов устанавливаются двусторонние доверительные отноше­ния, а учетная запись пользователя создается в том домене, в который он будет входить по умолчанию (домен, в котором хранится учетная запись пользова­теля, известен еще как основной домен — home domain). Домены ресурсов отвечают за управление собственными пользователями и глобальными группами, при этом к соответствующим учетным записям имеется доступ из сети (рис. 10).

Рис. 10. Модель с несколькими главными доменами

и полностью доверительными отношениями.

Данная модель не подходит организациям, имеющим множество доменов. У каждого домена должны быть установлены двусторонние доверительные отношения со всеми остальными доменами. Таким образом, число доверительных отношений растет экспоненциально с увеличени­ем числа доменов. Число доверительных отношений, которые требуется устано­вить в сети с п доменами, равно п*(п-1). Если у вас пять доменов, то понадобится двадцать доверительных отношений, добавление еще одного домена приведет к необходимости установить дополнительно десять доверительных отношений.

 
 

Причем все доверительные отношения двусторонние. Это означает, что, предоставляя пользователю доступ к ресурсам одного домена на основе доверительных отношений с другим доменом, вы полагаетесь на политику администрирования другого домена. Если доступ предоставляется большой группе пользователей, вы тем самым предоставляете доступ к ресурсам во всех доменах неуполномоченным пользователям, добавленным на другом домене, наряду с теми пользователями, которые имеют необходимые полномочия.

Преимущества модели С несколькими главными доменами и полностью доверительными отношениями Недостатки модели с несколькими главными доменами и полностью доверительными отношениями
Логическое объединение в группы поль­зователей и ресурсов Отсутствие единого места управления учетными записями пользователей и группами
Управление ресурсами на уровне подраз­делений Необходимость определять глобальные и локальные группы несколько раз и вно­сить в них изменения в нескольких местах
Наращиваемость в соответствии с теку­щими требованиями Очень сложные доверительные отноше­ния
Требуется полное взаимное доверие между администраторами всех доменов  

Каждый пользователь сети Windows NT Server должен иметь в одном из доменов свою учетную запись. Если в домене нет учетной записи пользователя, который пытается войти в него, то доступ к этому домену будет предоставлен только в случае, если у этого домена имеются доверительные отношения с тем доменом, в котором хранится учетная запись пользователя. В учетную запись заносятся имя пользователя, пароль, ограничения на работу в сети. В действительности при создании учетной записи создается скрытый код безопасности (security identifier — SID), который является уникальным для всей сети; при идентификации пользователя Windows NT Server использует именно SID, а не пользова­тельское имя.

Пользователей можно объединять в локальные и глобальные группы, имеющие единый набор разрешений и прав доступа. Локальная группа существует и сохраняет свои разрешения только в том домене, в котором она создана, в то время как глобальная группа находится в одном из доменов, но сохраняет разрешения во всех доменах-доверителях. Объединение пользователей в группы позволяет изменять права доступа и разрешения для всей группы одновременно.

В Windows NT Server имеется ряд встроенных глобальных и локальных групп, на основе которых можно начинать работу по управлению правами пользовате­лей сети. Воспользовавшись преимуществами групп, можно регулировать права большого числа пользователей одновременно.

Создав группу и выдав ей необходимые разрешения, можно быстро добавить в нее пользователя или изменить разрешения для всей группы. Если, к примеру, вы создали группу пользователей, работающих с базой данных платежей и печатающих чеки, то легко сможете добавить в нее нового служащего, который автоматически получит все необходимые разрешения и доступ к домену или доменам, в которых находятся требуемые ресурсы.

Хорошо продуманная структура групп может сэкономить время на администри­рование, а также предотвратить нежелательный доступ.

Итак,

• Домен — это группа компьютеров, которые совместно используют общую базу данных и общую политику безопасности. Он является основным организационным блоком сети Windows NT Server.

• Выбор модели доменов и доверительных отношений определит работу сети на настоящий момент и возможности для ее расширения в дальнейшем.

• Группы Windows NT Server представляют собой необходимый инструмент для эффективного управления множеством учетных записей пользователей.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

123456

double arrow
Сейчас читают про:

article image
Основные направления поэзии серебряного века
article image
Экономическое развитие Великобритании в XIX-начале XX веков
article image
Экономическое развитие Германии в XIX – начале XX века
article image
Либерализм и консерватизм в политике Александра I
article image
Требования к складским помещениям и хранению пищевых продуктов
article image
Ассортимент полуфабрикатов из птицы и их кулинарное использование
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Душевная сила предпочтительнее силы телесной. © Пифагор ==> читать все изречения...
like icon 5914
like icon 5817
Понравился сайт? Поделись им с друзьями: