загрузка...
загрузка...
На головну

Застосування одного домену

Проектування доменної структури

Як тільки питання про кількість розгорнутих лісів залагоджено, необхідно визначити доменну структуру в межах кожного з лісів. Перше завдання полягає в тому, щоб задокументувати конфігурацію поточних служб каталогу і визначити, яка частина поточної інфраструктури може бути модернізована, а яка повинна бути реструктуризована або замінена. Потім визначається необхідну кількість доменів і їх ієрархія.

Домени використовуються для поділу великого лісу на більш дрібні компоненти з метою реплікації або адміністрування. Наступні характеристики домену вкрай важливі при проектуванні Active Directory [13]:

  • Кордон реплікації. Межі домену є межами реплікації для розділу домену каталогу і для інформації домену, що зберігається в папці Sysvol на всіх контролерах домену. У той час як інші розділи каталогу (розділ схеми, конфігурації і GC) реплицируются по всьому лісу, розділ каталогу домену реплицируется тільки в межах одного домену.
  • Кордон доступу до ресурсів. Межі домену є також кордонами для доступу до ресурсів. За замовчуванням користувачі одного домену не можуть звертатися до ресурсів, розташованим в іншому домені, якщо тільки їм не будуть явно дано відповідні дозволи.
  • Кордон політики безпеки. Деякі політики безпеки можуть бути встановлені тільки на рівні домену. Ці політики, такі як політика паролів, політика блокування облікових записів і політика квитків Kerberos, застосовуються до всіх облікових записів домену.

У той час як в більшості компаній впроваджується модель Active Directory з єдиним лісом, деякі великі компанії розгортають кілька доменів в межах цього лісу. Найпростіше управляти єдиним доменом, він забезпечує користувачів найменш складної середовищем. Однак є ряд причин для розгортання кількох доменів [3].

  • Застосування одного домену

· Спрощення управління користувачами і групами.

· Не треба планувати довірчі відносини.

· Для делегування прав застосовуються OU.

  • Застосування декількох доменів

· Можливість реалізації різних політик безпеки.

· Децентралізоване управління.

· Оптимізація трафіку.

· Різні простору імен.

· Необхідно зберегти існуючу архітектуру доменів Windows NT.

· Розміщення господаря схеми в окремий домен.

Найпростіша модель Active Directory - єдиний домен. Переважна більшість мереж в усьому світі дозволяє використовувати єдиний домен, тому така модель, хоча і може здатися не настільки гнучкою, як інші, зазвичай заслуговує на ретельне розгляду. По суті, при плануванні структури Active Directory корисно виходити з припущення, що буде використовуватися один домен, і намагатися залишитися в рамках цієї моделі.

У моделі з єдиним доменом всі об'єкти знаходяться в одній зоні безпеки, тому не доводиться займатися плануванням довірчих відносин з іншими доменами або реалізувати крос-доменні аутентифікацію і дозволу. Крім того, при використанні одного домену набагато простіше забезпечити централізоване управління мережею.

Модель з єдиним доменом спрощує управління користувачами і групами, а також реалізацію групових політик. По суті, стає легше виконувати майже всі операції з управління мережею, а значить, потрібно менше зусиль на планування, адміністрування та усунення неполадок, що в підсумку призведе до скорочення загальних витрат.

Проектування структури лісу «-- попередня | наступна --» Використання декількох доменів
загрузка...
© om.net.ua