Цель лекции
Лекция 6. СТРАТЕГИЯ ИМЕНОВАНИЯ ОБЪЕКТОВ
Краткие итоги
В этой лекции дано описание различных моделей (с указанием достоинств и недостатков) построения лесов Active Directory:
- Вариант 1 «Единый лес, каждый регион — отдельное дерево».
- Вариант 2 «Единый лес, административный корневой домен, каждый регион — домен».
- Вариант 3 «Единый лес, каждый регион — дочерний домен центрального домена».
Приведены случаи реализации нескольких лесов и указаны недостатки структуры Active Directory, состоящей из нескольких лесов.
После выбора модели структуры леса необходимо определиться с вариантами (учитывая приведенные плюсы и минусы каждого варианта) детализации доменной структуры:
- Вариант 1 «Повторение существующей доменной структуры».
- Вариант 2 «Несколько лесов, минимальное количество доменов».
- Вариант 3 «Единый лес».
Для каждого из доменов, включенных в проект Active Directory, необходимо назначить владельца домена, который будет управлять индивидуальным доменом, а именно:
|
|
- создавать политики безопасности уровня домена;
- проектировать конфигурацию групповой политики (Group Policy) уровня домена;
- создавать в домене OU-структуру высокого уровня;
- делегировать административные права в пределах домена;
- управлять административными группами уровня домена.
Краткая аннотация: Приведены различные форматы имен для объектов, используемые Active Directory. Дан краткий обзор службы разрешения имен DNS, которая определяет соглашение об именовании, используемом в Active Directory. Сформулированы правила именования доменов и участников системы безопасности.
Ключевые слова: имя объекта, DNS, хозяин именования доменов, хозяин RID, объекты участников системы безопасности.
Дать представление о планировании стратегии именования объектов в Active Directory.
После принятия решения о том, какую структуру доменов и лесов нужно создать, необходимо переключиться на планирование именования элементов Active Directory, входящих в эту структуру.
Каждый объект в Active Directory является экземпляром класса, определенного в схеме Active Directory. У каждого класса имеются атрибуты, обеспечивающие уникальную идентификацию каждого объекта каталога.
Чтобы это реализовать, в Active Directory действует соглашение об именовании, которое должны соблюдать и пользователи, и приложения. Данное соглашение позволяет логически упорядочить хранение объектов и предоставить клиентам стандартизированные методы доступа к объектам, — например, чтобы найти сетевой ресурс, необходимо знать имя объекта или одно из его свойств. Служба каталогов Active Directory, использующая и поддерживающая LDAP (стандартный протокол для поиска информации в каталоге), индексирует все атрибуты всех объектов, хранящихся в каталоге, и публикует их [6]. Клиенты, поддерживающие LDAP, могут выполнять всевозможные запросы к серверу.
|
|
Active Directory следует соглашению об именовании, принятому в DNS. Active Directory поддерживает несколько типов имен, поэтому при работе с Active Directory можно использовать разные форматы имен [3]:
- относительные составные имена;
- составные имена;
- канонические имена;
- основные имена пользователей.