Модель с несколькими главными доменами и полностью доверительными отношениями

Модель с несколькими главными доменами и полностью доверительными отно­шениями имеет смысл в случае, если вы отдаете предпочтение распределенному администрированию пользователей и ресурсов, но в организации существует строгая, централизованная структура управления. В этом варианте между каждой парой доменов устанавливаются двусторонние доверительные отношения, а учетная запись пользователя создается в том домене, в который он будет входить по умолчанию. (Домен, в котором хранится учетная запись пользователя, известен еще как основной домен — home domain.) Домены ресурсов отвечают за управление собственными пользователями и глобальными группами, при этом к соответствующим учетным записям имеется доступ из сети (рис. 18).

Рис. 18. Модель с несколькими главными доменами и полностью доверительными отношениями

Модель с несколькими главными доменами и полностью доверительными отно­шениями имеет смысл в относительно небольших организациях, которые пере­росли модель с одним доменом, но она не подходит для случая, когда доменов становится слишком много. У каждого домена должны быть установлены двусторонние доверительные отношения со всеми остальными доменами. Таким образом, число доверительных отношений растет экспоненциально с увеличением числа доменов. Число доверительных отношений, которые требуется устано­вить в сети с п доменами, равно п*(п-1). Если у вас пять доменов, то понадобится двадцать доверительных отношений, добавление еще одного домена приведет к необходимости установить дополнительно десять доверительных отношений.

Следует также предупредить еще об одной особенности модели с полностью доверительными отношениями между доменами: все доверительные отношения двусторонние, а это означает, что, предоставляя пользователю, доступ к ресурсам одного домена на основе доверительных отношений с другим доменом, вы полагаетесь на политику администрирования другого домена. Если доступ предоставляется глобальной группе, вы тем самым предоставляете доступ к ресурсам во всех доменах неуполномоченным пользователям, добавленным на другом домене, наряду с теми пользователями, которые имеют необходимые полномочия.

Преимущества модели с несколькими главными доменами и полностью доверительными отношениями Недостатки модели с несколькими главными доменами и полностью доверительными отношениями
Логическое объединение в группы пользователей и ресурсов Отсутствие единого места управления учетными записями пользователей и группами
Управление ресурсами на уровне подразделений Необходимость определять глобальные и локальные группы несколько раз и вносить в них изменения в нескольких местах
Наращиваемость в соответствии с текущими требованиями Очень сложные доверительные отношения
Требуется полное взаимное доверие между администраторами всех доменов  

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  



double arrow
Сейчас читают про: