Vvmebel.com

Новости с мира ПК
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Управление одним доменом из множества ограничение прав

Делегирование административных полномочий в Active Directory

В этой статье мы рассмотрим особенности делегирования административных полномочий в домене Active Directory. Делегирование позволяет предоставить право на выполнение некоторых задач управления в AD обычным пользователям домена, не включая их в привилегированные доменные группы, такие как Domain Admins, Account Operators и т.д.. Например, с помощью делегирования вы можете предоставить определённой группе пользователей (допустим, Helpdesk) право на добавление пользователей в группы, заведение новых пользователей в AD и сброс пароля.

Особенности делегирования прав в AD

Для делегации полномочий в AD используется мастер Delegation of Control Wizard в графической оснастке Active Directory Users and Computers (DSA.msc).

Административные права в AD можно делегировать на довольно детальном уровне. Одной группе можно предоставить право на сброс пароля в OU, другой – на создание и удаление аккаунтов, третье на сброс пароля. Можно настроить наследование разрешений на вложенные OU. Вы можете делегировать полномочия на уровне:

  1. Сайта AD;
  2. Всего домена;
  3. Конкретной OU в Active Directory.

Обычно не рекомендуется делегировать разрешения непосредственно для пользователя. Вместо этого создайте в AD новую группу безопасности, добавьте в нее пользователя и делегируйте полномочия на OU для группы. Если вам понадобится предоставить такие же права в домене еще одному пользователю, вам будет достаточно добавить его в группу безопасности.

Делегирование полномочий на сброс паролей и разблокировку учетных записей

Представим, наша задача – предоставить группе HelpDesk право на сброс пароля и разблокировку аккаунтов пользователей в домене. Итак, создадим новую группу в AD с помощью PowerShell:

New-ADGroup «HelpDesk» -path ‘OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru’ -GroupScope Global

Добавьте в группу нужных пользователей:

Add-AdGroupMember -Identity HelpDesk -Members ivanovaa, semenovvb

Запустите консоль Active Directory Users and Computers (ADUC), щелкните ПКМ по OU с пользователями (в нашем примере это ‘OU=Users,OU=Moscow,DC=corp,dc=winitpro,DC=ru’) и выберите пункт меню Delegate Control.

Выберите группу, которой вы хотите предоставить административные полномочия.

Выберите из списка один из преднастроенных наборов привилегий (Delegate the following common tasks):

  • Create, delete, and manage user accounts;
  • Reset user passwords and force password change at next logon;
  • Read all user information;
  • Create, delete and manage groups;
  • Modify the membership of a group;
  • Manage Group Policy links;
  • Generate Resultant Set of Policy (Planning);
  • Generate Resultant Set of Policy (Logging);
  • Create, delete, and manage inetOrgPerson accounts;
  • Reset inetOrgPerson passwords and force password change at next logon;
  • Read all inetOrgPerson information.

Либо создайте собственное задание делегирования (Create a custom task to delegate). Я выберу второй вариант.

Выберите тип объектов AD, на которые нужно предоставить права. Т.к. нам нужно предоставить права на учетные записи пользователей, выберите пункт User Object. Если вы хотите предоставить право на создание и удаление пользователей в этом OU, выберите опции Create/Delete selected objects in this folder. В нашем примере мы не предоставляем таких полномочий.

В списке разрешений нужно выбрать те привилегий, которые вы хотите делегировать. В нашем примере мы выберем право на разблокировку (Read lockoutTime и Write lockoutTime) и сброс пароля (Reset password).

Нажмите Next и на последнем экране подтвердите назначение выбранных полномочий.

Теперь под учетной записью пользователя из группы HelpDesk попробуйте из PowerShell сбросить пароль пользователя из OU Users, например из PowerShell:

Set-ADAccountPassword petricdb -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “PPPPa$$w0rd1” -Force -Verbose) –PassThru

Пароль должен сброситься успешно (если он соответствует доменной политике паролей).

Теперь попробуйте создать пользователя в данной OU с помомью командлета New-ADUser:

New-ADUser -Name kalininda -Path ‘OU=Users,OU=Moscow,OU=winitpro,OU=DC=ru’ -Enabled $true

Должна появится ошибка доступа, т.к. полномочий на создание учетных записей вы не делегировали.

Для контроля пользователям, которым вы делегированными привилегии, вы можете использовать журналы контроллеров домена. Например, вы можете отследить кто сбросил пароль пользователя в домене, узнать кто создал учетную запись пользователя в AD или отследить изменения в определённых группах AD.

Делегация полномочий на присоединение компьютеров в домен AD

По умолчанию любой пользователь домена может присоединить в домен 10 компьютеров. При добавлении в домен 11-го компьютера появляется сообщение об ошибке.

Вы можете изменить это ограничение на уровне всего домена, увеличив значение в атрибуте ms-DS-MachineAccountQuota (ссылка). Либо (гораздо правильнее и безопаснее), делегировав право на присоединение компьютеров к домену в определенной OU конкретной группе пользователей (helpdesk). Для этого нужно предоставить право создавать объекты типа (Computer objects). В мастере делегирования выберите Create selected objects in this folder.

А в секции Permissions выберите Create All Child Objects.

Отключаем делегирование прав в домене AD

Чтобы лишить группу делегированных ранее прав на OU, откройте свойства OU в консоли ADUC и перейдите на вкладку Security.

В списке разрешений найдите группу, который вы делегировали права и нажмите Remove. Список предоставленных полномочий можно посмотреть на вкладке Advanced. Как вы видите для группы HelpDesk разрешен сброс паролей.

Также со вкладки Security ->Advanced вы можете самостоятельно настроить делегирование полномочий, назначая нестандартные разрешений различным группам безопасности.

Множества, отношения, атрибуты, домены и кортежи отношений

Наименьшая единица данных реляционной модели — это отдельное атомарное (неразложимое) для данной модели значение данных. Доменом называется множество атомарных значений одного и того же типа. Иными словами, домен представляет собой допустимое потенциальное множество значений данного типа.

В нашем примере можно для каждого столбца таблицы определить домен:

— домены «Имена» и «Специальности» для столбцов «Имя» и «Специальность» соответственно будут базироваться на строковом типе данных — в число их значений могут входить только те строки, которые могут изображать имя и название специальности (в частности, такие строки не должны начинаться с мягкого знака);

— домен «Даты_рождения» для столбца «Дата_рождения» определяется на базовом временном типе данных — данный домен содержит только допустимый диапазон дат рождения студентов;

— домены «Номера_курсов» и «Номера_студенческих_билетов» базируются на целочисленном типе — в число его значений могут входить только те целые числа, которые могут обозначать номер курса университета (обычно от 1 до 6) и номер студенческого билета (обязательно положительное число).

Следует отметить также семантическую нагрузку понятия домена: данные считаются сравнимыми только в том случае, когда они относятся к одному домену. Если же значения двух атрибутов берутся из различных доменов, то их сравнение, вероятно

лишено смысла. В нашем примере значения доменов «Номера_курсов» и «Номера_студенческих_билетов» основаны на одном типе данных — целочисленном, но не являются сравнимыми.

Атрибуты, схема отношения, схема базы данных

Столбцы отношения называют атрибутами, им присваиваются имена, по которым к ним затем производится обращение.

Список имен атрибутов отношения с указанием имен доменов (или типов, если домены не поддерживаются) называется схемой отношения. Схема нашего отношения СТУДЕНТ запишется так: СТУДЕНТ <№_студенческого_билета Номера_студенческих_билетов

Степень отношения — это число его атрибутов. Отношение степени один называют унарным, степени два — бинарным, степени три — тернарным. а степени п — п-арным.

Степень отношения СТУДЕНТЫ равна пяти, то есть оно является 5-арным. Схемой базы данных называется множество именованных схем отношении.

Кортеж, соответствующий данной схеме отношения, представляет собой множество пар <имя атрибута, значение>, которое содержит одно вхождение каждого имени атрибута, принадлежащего схеме отношения. «Значение» является допустимым значением домена данного атрибута (или типа данных, если понятие домена Не поддерживается). Тем самым степень кортежа, то есть число элементов в нем, совпадает со степенью соответствующей схемы отношения. Иными словами, кортеж — это набор именованных значений заданного типа.

Читать еще:  1с этот хост неизвестен 11001

Таким образом, отношение по сути является множеством кортежей, соответствующим одной схеме отношений.

Кардинальным числом или мощностью отношения называется число его кортежей. В отличие от степени отношения кардинальное число отношения изменяется во времени.

Настройка политик управления правами пользователей

Примечание. Любой пользователь, являющийся членом группы, которой назначено определенное право, также имеет это право. Например, если у группы Операторы архива (Backup Operators) имеется определенное право, и TJSMITH является членом этой группы, то у него также есть это право. Помните, что изменения, которые Вы производите с правами пользователей, могут иметь далеко идущие последствия. Поэтому только опытные администраторы должны вносить изменения в политику прав пользователей.

Права пользователей назначаются через узел Локальные политики (Local Policies) Групповой политики (Group Policies). Исходя из названия ясно, что локальные политики принадлежат локальному компьютеру. Вы можете также настраивать эти локальные политики, как часть существующей Групповой политики для сайта, домена или подразделения. Когда Вы это делаете, локальные политики применяются к учетным записям компьютеров в сайте, домене или подразделения.

Для управления политиками прав пользователей, выполните следующие шаги:

Рисунок 8-5. Используйте узел Назначение прав пользователя (User Rights Assignment) для конфигурирования прав пользователей текущего контейнера групповой политики.

Глобальная настройка прав пользователей

Вы можете настроить индивидуальные права пользователей для сайта, домена или подразделения, выполнив следующие шаги:

Примечание. Все политики могут быть либо определены, либо не определены. Это означает, что они либо настроены для использования, либо нет. Политика, которая не определена в данном контейнере, может быть унаследована от другого контейнера.

• Искать в. Чтобы получить доступ к учетным записям из других доменов, раскройте список Искать в . Вы увидите список, в котором перечислены: текущий домен, доверенные домены и другие доступные Вам ресурсы.

Рисунок 8-6. Определите право пользователя и назначьте его пользователю или группе.

Примечание. Только домены, с которыми установлены доверительные отношения, доступны в списке Искать в (Look In). Перечисление всех доменов из дерева доменов или леса возможно вследствие наличия транзитивных доверительных отношений в Windows 2000. Доверительные отношения не устанавливаются явно. Вернее, доверительные отношения устанавливаются автоматически, основываясь на структуре леса и наборе разрешений в нем.

• Имя. В этой графе перечислены доступные учетные записи выбранного домена или ресурса.

• Добавить. Для добавления пользователей в список выбора используйте Добавить (Add).

• Проверить имена. Подтвердить имена пользователей и групп, введенных в окно выбора. Это полезно, если вводите имена вручную и хотите убедиться, что они доступны.

Локальная настройка прав пользователей

Чтобы назначить права пользователей на локальном компьютере, выполните следующие шаги:

Рисунок 8-7. Используйте диалоговое окно Выбор: Пользователи или группы, чтобы присвоить права пользователям или группам.

Установите или снимите соответствующие флажки под графой Параметры локальной политики (Local Policy Setting) , чтобы присвоить или отменить право пользователя.

Вы можете назначить данное право дополнительным пользователям и группам, нажав кнопку Добавить (Add) . Откроется диалоговое окно Выбор: Пользователи или группы (Выбор: Пользователи или группы) , показанное на Рисунке 8-7 ранее. Теперь можно добавить пользователей и группы.

Добавление учетной записи пользователя

Необходимо создать учетную запись для каждого пользователя, которому нужно использовать сетевые ресурсы. Доменные учетные записи пользователей создаются с помощью оснастки Active Directory – Пользователи и компьютеры (Active Directory Users And Computers) . Локальные учетные записи создаются с помощью оснастки Локальные пользователи и группы (Local Users And Groups).

Создание доменных учетных записей пользователей

Существует два способа создания новых учетных записей пользователей в домене:

Рисунок 8-8. Определите право пользователя, затем присвойте его пользователям или группам.

Запустив один из мастеров, Новый объект – Пользователь (New Object — User) или Копирование объекта – Пользователь (Copy Object — User), Вы можете создать учетную запись, выполнив следующие шаги:

Рисунок 8-9. Настройте имя входа и отображаемое имя пользователя.

• Пароль (Password) . Пароль для учетной записи. Этот пароль должен соответствовать правилам вашей политики паролей.

• Подтверждение (Confirm Password) . Поле предназначено для того, чтобы удостовериться в правильности ввода пароля учетной записи. Повторно введите пароль, чтобы подтвердить его.

• Потребовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon). Если этот флажок установлен, пользователю придется сменить пароль при входе.

• Запретить смену пароля пользователем (User Cannot Change Password) . Если флажок установлен, пользователь не сможет сменить пароль.

• Срок действия пароля не ограничен (Password Never Expires). Если флажок установлен, срок действия пароля для этой учетной записи не ограничен. Этот параметр аннулирует политику учетных записей домена. Обычно не рекомендуется задавать пароли без срока действия, поскольку это противоречит самой идее использования паролей.

• Отключить учетную запись (Account Is Disabled). Если флажок установлен, учетная запись отключена и не может быть использована. Используйте этот флажок для временной блокировки учетной записи.

Когда учетная запись создана, можно установить для нее дополнительные свойства, которые описаны далее в этой главе.

Рисунок 8-10. Настойка пароля пользователя.

Создание локальных учетных записей пользователей

Локальные учетные записи пользователей создаются с помощью оснастки Локальные пользователи и группы (Local Users And Groups). Для доступа к этой утилите и создания учетной записи Вам необходимо выполнить следующие шаги:

• Пользователь (Username). Имя входа для учетной записи пользователя. Это имя должно соответствовать правилам вашей политики локальных имен.

• Полное имя (Full Name). Полное имя пользователя, такое как William R. Stanek

• Описание (Description). Описание пользователя. Обычно в это поле записывают название должности пользователя, такое как «Вебмастер», или название должности и отдел.

• Пароль (Password) . Пароль для учетной записи. Этот пароль должен соответствовать правилам вашей политики паролей.

• Подтверждение (Confirm Password) . Поле предназначено для того, чтобы удостовериться в правильности ввода пароля учетной записи. Повторно введите пароль, чтобы подтвердить его.

Рисунок 8-11. Настройка локальной учетной записи пользователя отличается от настройки доменной учетной записи.

Потребовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon). Если этот флажок установлен, пользователю придется сменить пароль при входе.

• Запретить смену пароля пользователем (User Cannot Change Password) . Если флажок установлен, пользователь не сможет сменить пароль.

• Срок действия пароля не ограничен (Password Never Expires). Если флажок установлен, срок действия пароля для этой учетной записи не ограничен. Этот параметр аннулирует политику учетных записей домена.

• Отключить учетную запись (Account Is Disabled). Если флажок установлен, учетная запись отключена и не может быть использована. Используйте этот флажок для временной блокировки учетной записи.

Создание учетной записи группы

Группы используются для управления правами нескольких пользователей. Учетные записи глобальных групп (Примечание переводчика. Групп безопасности Active Directory, содержащих учетные записи только из собственного домена) создаются с помощью оснастки Active Directory – Пользователи и компьютеры (Active Directory Users And Computers), учетные записи локальных групп — с помощью оснастки Локальные пользователи и группы (Local Users And Groups).

Создавая учетные записи групп, помните, что группы создаются для схожих типов пользователей. Некоторые типы групп, которые Вам возможно понадобится создать, приведены ниже:

Читать еще:  Как сделать переадресацию в аутлуке

Создание глобальной группы

Для создания глобальной группы необходимо выполнить следующие шаги:

Рисунок 8-12. Диалоговое окно Новый объект – Группа позволяет добавлять новые глобальные группы в домен.

Создание локальной группы и добавление членов

Локальные группы создаются с помощью оснастки Локальные пользователи и группы (Local Users And Groups). Вы можете открыть её, выполнив следующие шаги:

• Искать в (Look In) . Чтобы получить доступ к учетным записям других компьютеров и доменов, щелкните по списку Искать в (Look In) . Вы увидите список, в котором перечислены текущий компьютер, доверенные домены и другие ресурсы, к которым Вы можете получить доступ.

• Имя (Name). Эта графа показывает доступные учетные записи выбранного домена или ресурса.

• Добавить (Add). Добавить выбранные имена в список выбора.

• Проверить имена (Check Names). Подтвердить имена пользователей и групп, введенных в окно выбора. Это полезно, когда Вы вводите имена вручную и хотите убедиться, что они доступны.

Рисунок 8-13. Диалоговое окно Новая группа позволяет добавить новую локальную группу.

Управление принадлежностью к глобальной группе

Для настройки членства в группах используйте оснастку Active Directory – Пользователи и компьютеры (Active Directory Users And Computers). Работая с группами, помните о следующих моментах:

Оснастка Active Directory – Пользователи и компьютеры (Active Directory Users And Computers) предоставляет несколько способов управления членством в группах. Вы можете:

Управление членством отдельных пользователей и компьютеров

Вы можете добавлять или удалять членство в группах для любого типа учетной записи, выполняя следующие шаги:

Управление членством нескольких пользователей или компьютеров

Диалоговое окно группы Свойства (Properties), также позволяет управлять членством в группах. Для добавления или удаления учетных записей выполните следующие шаги:

Установка членства в основной группе для пользователей и компьютеров

Основные группы используются пользователями, которые работают с Windows 2000 через службы, совместимые с Макинтош. Когда пользователь Макинтош создает файлы или папки на компьютере, работающем под управлением Windows 2000, основная группа присваивается этим файлам и папкам.

Все учетные записи пользователей и компьютеров должны иметь основную группу, независимо от того работают они с Windows 2000 посредством Макинтош или нет. Эта группа должна быть глобальной или универсальной, такой как глобальная группа Пользователи домена (Domain Users) или глобальная группа Компьютеры домена (Domain Computers).

Чтобы установить основную группу, выполните следующие шаги:

Все пользователи должны быть членами хотя бы одной основной группы. Вы не можете аннулировать членство пользователя в основной группе, пока не присвоите пользователю другую основную группу. Чтобы сделать это, выполните следующие шаги:

Материал взят из книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek). © Корпорация Microsoft, 1999. Все права защищены.

Управление одним доменом из множества ограничение прав

Ограничение доступа к данным в ASB решается на уровне таблиц БД двумя способами.

  1. Права доступа для учетных записей групп и пользователей.
    Набор прав доступа к таблице БД фиксирован и описан в таблице «Формат строки прав на таблицу БД». Каждой учетной записи (группе безопасности или пользователю) можно назначить права на таблицы БД при помощи свойства TABLE.Rights. Права на таблицу БД, заданные для всех групп, в которые входит учетная запись, суммируются; права, заданные для самой учетной записи, перекрывают права групп пользователей.
  2. Права доступа для программного комплекса.
    Процедура GRANTALLRIGHTS позволяет дать все права ко всем регулярным таблицам БД определенному программному комплексу.

Имеются две группы пользователей, обладающие особыми полномочиями: программисты проекта — члены группы «PROGRAMMERS», и администраторы проекта — члены группы «AP_ADMIN». Полномочия программиста и администратора почти не пересекаются. В большинстве случаев программист не может быть одновременно администратором. Пользователи, одновременно входящие в группы «PROGRAMMERS» и «AP_ADMIN», являются программистами, но не администраторами. Совмещать полномочия программиста и администратора можно только в следующих случаях:

  • работаем в домене «POLAK»;
  • работаем в другом домене под учетной записью «POLAK»;
  • работаем в другом домене под учетной записью, входящей в глобальную группу безопасности «AP_SUPPORT».

Привилегии администратора:

  • исполнение обновлений, для которых не требуются права администратора домена, в том числе выполнение Rebuild по эталонному DBD-файлу (с ключом -Pattern);
  • откат последнего Rebuild`а, кроме случая, когда откатываемые файлы на момент отката модифицированы;
  • исполнение конверторов ASL (прикладные проверки);
  • удаленное наблюдение и управление (прикладные проверки);
  • задание прав пользователей и групп (прикладные проверки);
  • использование ключей командной строки -Group и -User;
  • возможность работы с таблицами БД, имеющими признак «нарушение уникальности» (начиная с версии 14.15.2);
  • выполнение утилиты SQD (до версии 14.24.8 выполнять SQD могли все пользователи);

Привилегии программиста:

  • выполнение Rebuild в программном режиме (без ключа -Pattern);
  • откат последнего Rebuild`а, даже если файлы на момент отката модифицированы;
  • разрешение модификации архивных половин файлов указанием ключа -Archives на старте V32;
  • копирование на tmp_lib, модификация программ, отчетов, меню (прикладные проверки);
  • отладка, профиляция и отключение программ, установка отладочного сдвига системного времени;
  • Browse;
  • модификация в зонах «только для чтения»;
  • редактирование записи в диалоге опции ShowMem(CurFileElm) — традиционно на кнопках CtrlShiftF4 ;
  • возможность работы с файлами базы данных, имеющими признак «нарушение уникальности»;
  • удаленное наблюдение и управление (прикладные проверки);
  • выполнение утилиты SQD (до версии 14.24.8 выполнять SQD могли все пользователи)

Разделение полномочий выполнено с целью уменьшить количество случаев работы клиентов с полномочиями программиста и сделать невозможным использование полномочий программиста для выполнения функций администратора.

Действия как программиста, так и администратора протоколируются в файле SYSLOG.

Полномочия программиста можно аннулировать, применив ключ командной строки -Rights:Annul. При этом, если пользователь входит также и в группу «AP_ADMIN», то он становится администратором. Если группа «PROGRAMMERS» отсутствует в домене сервера ASB, полномочия программиста можно узурпировать, применив ключ командной строки -Rights:Usurp.

Если пользователь является администратором, либо группа «AP_ADMIN» отсутствует в домене сервера, пользователь имеет право использовать ключ -Group для изменения собственного списка групп. Если в измененном списке присутствует группа «AP_ADMIN», пользователь считается администратором.

Для определения полномочий программиста и администратора следует использовать встроенные функции ISPROGRAMMER и ISADMIN, либо свойства APP.MyConnection.ProgrammerPrivilege и APP.MyConnection.AdminPrivilege.

В монопольном режиме удаленного управления некоторые привилегии программиста и/или администратора могут быть в отладочных целях заимствованы с управляющего подключения на управляемое, о чем подробнее см. статью «Монопольный режим удаленного управления».

Планирование развертывания Active Directory

Проектирование доменной структуры

Как только вопрос о количестве развертываемых лесов улажен, необходимо определить доменную структуру в пределах каждого из лесов. Первая задача состоит в том, чтобы задокументировать конфигурацию текущих служб каталога и определить, какая часть текущей инфраструктуры может быть модернизирована, а какая должна быть реструктурирована или заменена. Затем определяется необходимое количество доменов и их иерархия .

Домены используются для разделения большого леса на более мелкие компоненты для целей репликации или администрирования. Следующие характеристики домена крайне важны при проектировании Active Directory [ 13 ] :

  • Граница репликации. Границы домена являются границами репликации для раздела домена каталога и для информации домена, хранящейся в папке Sysvol на всех контроллерах домена. В то время как другие разделы каталога (раздел схемы, конфигурации и GC) реплицируются по всему лесу, раздел каталога домена реплицируется только в пределах одного домена.
  • Граница доступа к ресурсам. Границы домена являются также границами для доступа к ресурсам. По умолчанию пользователи одного домена не могут обращаться к ресурсам, расположенным в другом домене, если только им не будут явно даны соответствующие разрешения.
  • Граница политики безопасности. Некоторые политики безопасности могут быть установлены только на уровне домена. Эти политики, такие как политика паролей, политика блокировки учетных записей и политика билетов Kerberos , применяются ко всем учетным записям домена.
Читать еще:  Разметка страницы в word 2020

В то время как в большинстве компаний внедряется модель Active Directory с единым лесом, некоторые крупные компании развертывают несколько доменов в пределах этого леса. Проще всего управлять единственным доменом, он обеспечивает пользователей наименее сложной средой. Однако имеется ряд причин для развертывания нескольких доменов [ 3 ] .

  • Применение одного домена
    • Упрощение управления пользователями и группами.
    • Нет необходимости планировать доверительные отношения .
    • Для делегирования прав применяются OU.

    Применение одного домена

    Простейшая модель Active Directory — единственный домен . Подавляющее большинство сетей во всем мире позволяет использовать единственный домен , поэтому такая модель, хотя и может показаться не столь гибкой, как другие, обычно заслуживает самого тщательного рассмотрения. В сущности, при планировании структуры Active Directory полезно исходить из предположения, что будет использоваться один домен , и пытаться остаться в рамках этой модели.

    В модели с единственным доменом все объекты находятся в одной зоне безопасности, поэтому не приходится заниматься планированием доверительных отношений с другими доменами или реализовать кросс- доменные аутентификацию и разрешения. Кроме того, при использовании одного домена гораздо проще обеспечить централизованное управление сетью.

    Модель с единственным доменом упрощает управление пользователями и группами, а также реализацию групповых политик. По сути, становится легче выполнять почти все операции по управлению сетью, а значит, требуется меньше усилий на планирование, администрирование и устранение неполадок, что в итоге приведет к сокращению общих затрат.

    Использование нескольких доменов

    Хотя однодоменная модель дает существенное преимущество — простоту, иногда приходится использовать несколько доменов, потому что существует много серьезных оснований для такого решения [ 13 ] .

    • Трафик репликации должен быть ограничен. Раздел каталога домена, который является самым большим и наиболее часто изменяемым разделом каталога, копируется на все контроллеры домена в домене. В некоторых случаях это может вызывать слишком большой трафик репликации между офисами компании (даже если сконфигурировано несколько сайтов).
    • Между офисами компании существуют медленные сетевые подключения или в офисах имеется много пользователей. Единственный способ ограничить в этом случае трафик репликации состоит в том, чтобы создать дополнительные домены.
    • Любые офисы компании, связь между которыми обеспечивается только простым протоколом передачи почты (SMTP), должны конфигурироваться как отдельные домены. Информация домена не может реплицироваться через связи сайта , использующие протокол SMTP.
    • Единственный способ иметь различную политику паролей, политику блокировки учетных записей и политику билетов Kerberos состоит в развертывании отдельных доменов.
    • Необходимость ограничивать доступ к ресурсам и иметь административные разрешения.
    • В некоторых случаях дополнительные домены создаются потому, что лучший путь перехода для организации состоит в модернизации нескольких уже имеющихся доменов.

    Лучше планировать домены так, чтобы все они входили в одно дерево доменов. Так как все домены в одном дереве делят одно пространство имен, административные издержки будут значительно ниже, чем при использовании нескольких деревьев. При создании нескольких доменов определять их границы лучше в соответствии с теми разграничениями внутри компании, вероятность изменения которых меньше всего. Например, создание доменов по территориальному принципу, как правило, надежнее, чем создание доменов в соответствии с иерархией подразделений компании, поскольку изменение организационной структуры более вероятно, чем изменение территориальной.

    При использовании модели Active Directory с несколькими доменами выполняются следующие правила [ 3 ] :

    • в каждом домене требуется хотя бы один контроллер;
    • групповая политика и управление доступом действует на уровне домена;
    • при создании дочернего домена между родительским и дочерним доменами автоматически устанавливаются двусторонние транзитивные доверительные отношения ;
    • административные права, действующие между доменами, выдаются только для администраторов предприятия;
    • необходимо создавать доверяемые каналы.

    Проектирование корневого домена леса

    Другое важное решение, которое целесообразно принять при планировании развертывания службы Active Directory: необходимость развернуть назначенный корневой домен (называемый также пустым корнем). Назначенный корневой домен ( dedicated root domain ) — это домен , который выполняет функции корневого домена леса. В этом домене нет никаких учетных записей пользователей или ресурсов, за исключением тех, которые нужны для управления лесом.

    Для большинства компаний, развертывающих несколько доменов, настоятельно рекомендуется иметь назначенный корневой домен [ 13 ] . Корневой домен — это критический домен в структуре Active Directory, содержащий административные группы уровня леса (группы Enterprise Admins и Schema Admins) и хозяев операций уровня леса (хозяина именования доменов и хозяина схемы ). Кроме того, корневой домен должен быть всегда доступен, когда пользователи входят на другие домены, не являющиеся их домашними доменами, или когда пользователи обращаются к ресурсам, расположенным в других доменах. Корневой домен нельзя заменять, если он разрушен, его нельзя восстановить — необходимо заново построить весь лес .

    Дополнительные задачи при проектировании домена [ 3 ] :

    • планирование DNS;
    • планирование WINS;
    • планирование инфраструктуры сети и маршрутизации;
    • планирование подключения к Интернету;
    • планирование стратегии удаленного доступа.

    Краткие итоги

    В данной лекции приведен план-график развертывания Active Directory , который без детализации выглядит следующим образом:

    • Формирование проектной группы.
    • Инициация проекта, согласование плана работ, ролей и ответственности.
    • Обследование существующей инфраструктуры.
    • Планирование структуры Active Directory.
    • Развертывание тестовой среды, тестирование миграции.
    • Развертывание структуры Active Directory корневого домена в центральном офисе.
    • Тиражирование решения на филиалы организации.
    • Доработка и сдача документации.

    При анализе существующей инфраструктуры определяется в первую очередь географическая модель организации, на основании чего создается карта территориального размещения организации и проводится анализ топологии существующей сети.

    Первый шаг в планировании структуры Active Directory — определение лесов и доменов.

    Самое главное решение, которое необходимо принять на раннем этапе разработки Active Directory , — сколько лесов потребуется. Развертывание единственного леса означает, что будет возможно простое совместное использование ресурсов и доступ к информации в пределах компании.

    Каждый лес является интегрированным модулем, потому что он включает следующие составляющие:

    • Глобальный каталог.
    • Раздел конфигурации каталога.
    • Доверительные отношения .

    В то время как служба Active Directory облегчает совместное использование информации, она предписывает множество ограничений, которые требуют, чтобы различные подразделения в компании сотрудничали различными способами:

    • Одна схема.
    • Централизованное управление.
    • Политика управления изменениями.
    • Доверенные администраторы.

    Как только вопрос о количестве развертываемых лесов улажен, необходимо определить доменную структуру в пределах каждого из лесов.

    Домены используются для разделения большого леса на более мелкие компоненты для целей репликации или администрирования. Следующие характеристики домена крайне важны при проектировании Active Directory :

    • граница репликации;
    • граница доступа к ресурсам;
    • граница политики безопасности.

    В то время как в большинстве компаний внедряется модель Active Directory с единым лесом, некоторые крупные компании развертывают несколько доменов в пределах этого леса. Проще всего управлять единственным доменом, он обеспечивает пользователей наименее сложной средой. Однако имеется ряд причин для развертывания нескольких доменов.

    • Применение одного домена:
      • упрощение управления пользователями и группами;
      • нет необходимости планировать доверительные отношения ;
      • для делегирования прав применяются OU.

      Более подробная информация о вариантах построения лесов и вариантах определения доменной структуры приведена в «Модели построения лесов и детализация доменной структуры» .

      голоса
      Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector