Единый лес, каждый регион — отдельное дерево

Варианты построения леса

Цель лекции

Лекция 5. МОДЕЛИ ПОСТРОЕНИЯ ЛЕСОВ И ДЕТАЛИЗАЦИЯ ДОМЕННОЙ СТРУКТУРЫ

Краткая аннотация: Приведены варианты построения единого леса службы Active Directory, указана возможность применения нескольких лесов и недостатки такой модели. Приведены варианты детализации доменной структуры Active Directory и кратко описан процесс назначения владельцев доменов.

Ключевые слова: лес, домен, доменное дерево, контроллер домена, организационная единица.

Дать представление о возможных моделях построения лесов и соответствующей им детализации доменной структуры.

Лес — это группа из одного или нескольких деревьев доменов, которые не образуют единое пространство имен, но используют общие схему, конфигурацию каталогов, глобальный каталог и автоматически устанавливают двусторонние транзитивные доверительные отношения между доменами.

В сети всегда есть минимум один лес, создаваемый, когда в сети устанавливается первый контроллер домена. Первый домен становится корневым доменом леса.

В данном разделе мы дадим описание различных моделей построения лесов Active Directory и проведем их сравнительный анализ.

• Вариант 1 «Единый лес, каждый регион — отдельное дерево».
• Вариант 2 «Единый лес, административный корневой домен, каждый регион — домен».
• Вариант 3 «Единый лес, каждый регион — дочерний домен центрального домена».

Под регионами в контексте данной лекции подразумеваются удаленные офисы компании, в которой планируется развернуть службу Active Directory.

Существует отдельное дерево с корневым доменом, хранящим группы Enterprise Admins и Schema Admins, что позволит гибко контролировать членство в этих группах и исключить присутствие в них по умолчанию всех администраторов центрального офиса (группа Admins корневого домена входит в группы Enterprise Admins, Schema Admins).

Разные деревья могут иметь различные пространства имен DNS. Корневые домены деревьев связаны транзитивными доверительными отношениями.

Плюсы модели:

• пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
• возможность регистрации мобильных пользователей в любой точке организации;
• единый обмен в организации;
• повышенная защищенность — аутентификация по протоколу Kerberos, группы Enterprise Admins, Schema Admins находятся в отдельном корневом домене, Schema master находится в отдельном домене;
• самый короткий путь доверия.

Минусы модели:

• видимость списка доменов всей организации;
• для наличия права создания новых деревьев/доменов администратор должен присутствовать в группе Enterprise Admins;
• тиражирование конфигурации и схемы Active Directory для всех регионов;
• если в организации уже развернута структура Active Directory, то контроллеры домена в этой организации необходимо переустановить.