Единый лес
Негативным моментом предыдущих вариантов является существование двух лесов Active Directory, что заставляет внедрять дополнительную систему синхронизации двух лесов или вести дублирующие записи в двух лесах (фактически ручная синхронизация). Возникает желание уйти от существования двух лесов.
В данном варианте построения Active Directory все домены находятся в общем лесу. Бывший домен, подготовленный для миграции, отсутствует: он может быть дочерним по отношению к создаваемому домену или корневому домену.
Данный вариант построения Active Directory позволяет избежать ведения двух учетных записей для каждого пользователя. Все ресурсы DMZ (а также front-end почтовые серверы) располагаются в дочернем домене (DMZ Internal VLAN). Почтовые ящики пользователей находятся на сервере нового домена (LAN центрального офиса). Учетные записи пользователей центрального офиса заведены в создаваемом домене. Учетные записи мобильных пользователей, требующих доступ к ресурсам зоны DMZ Internal, заведены в дочернем домене. Для таких пользователей доступ к ресурсам будет ограничен с применением прав доступа пользователей и групповой политики дочернего домена. В частности, используя группу Domain Users дочернего домена, возможно настроить автоматический первоначальный запрет доступа к ресурсам Active Directory для новых пользователей для повышения безопасности системы.
Плюсы данного варианта:
- уникальность учетных записей в пределах Active Directory для любого пользователя;
- пользователи, находясь как внутри корпоративной сети, так и в Интернете, смогут получить доступ к ресурсам всей сети (регионы и центральный офис) согласно правам доступа.
Минус данного варианта: модернизация сетевой инфраструктуры компании, в которой планируется развернуть службу Active Directory.
Для каждого из доменов, включенных в проект Active Directory, необходимо назначить владельца домена. В большинстве случаев владельцы домена являются администраторами подразделений, в которых был определен домен.
Роль владельца домена состоит в управлении индивидуальным доменом [13].
- Создание политик безопасности уровня домена. Это включает политику паролей, политику блокировки учетных записей и политику аутентификации по протоколу Kerberos.
- Проектирование конфигурации групповой политики (Group Policy) уровня домена. Владелец домена может проектировать групповую политику для всего домена и делегировать право связывать групповую политику с администратором уровня OU.
- Создание в домене OU-структуры высокого уровня. После этого задача создания подчиненных OU может быть передана администраторам уровня OU.
- Делегирование административных прав в пределах домена. Владелец домена должен установить административную политику уровня домена (включая политики схем именования, проекта групп и т. д.), а затем делегировать права администраторам уровня OU.
- Управление административными группами уровня домена. Как уже говорилось, администраторы в каждом домене должны иметь высокую степень доверия, потому что их действия могут вызывать последствия на уровне леса. Роль владельца домена состоит в ограничении членства административной группы уровня домена и в делегировании административных прав низшего уровня всегда, когда это возможно.