- •Планирование топологии сайта
- •Планирование леса
- •Планирование доверия
- •Планирование подразделения
- •Планирование домена и подразделения
- •Планирование репликации
- •Планирование сайта главного офиса
- •Планирование промежуточного сайта
- •Планирование контроллера домена
- •8.2. Причины делегирования администрирования
- •Делегирование администрирования лесов, деревьев и подразделений
- •Определение видимости объектов в Active Directory
- •Планирование изменения структуры
- •Средства преобразования Active Directory
- •Планирование тестовой лаборатории
- •Планирование архивации и восстановления
- •Планирование логической структуры домена
- •Моральная подготовка
- •Забудьте о Windows 2000
- •Комитет по планированию структуры домена
- •Управление доменами
- •Управление внесением изменений
- •Анализ предприятия
- •Рабочие среды предприятия
- •Внешняя среда
- •Внутренняя среда
- •Дополнительная среда
- •Работа с организационными диаграммами
- •Административное моделирование
- •Централизованное администрирование
- •Децентрализованное администрирование
- •Хорошо, плохо, неразумно
- •Логическая структура домена: блок-схема
- •Функции корневого домена
- •Домены второго уровня
- •Управление отдельными департаментами
- •Уменьшение задержки передачи данных по сети и снижение негативного эффекта от проведения репликации
- •Использование моделей децентрализованного администрирования
- •Управление автономными отделами
- •Применение различных политик доменов
- •Обеспечение требований безопасности
Управление доменами
После завершения этапа планирования логической структуры домена и анализа предприятия, в начале этапа реализации и перехода необходимо назначить людей, которые будут отвечать за повседневное администрирование и управление новыми доменами.
Если вы имеете в своем распоряжении определенный объем ресурсов, есть смысл нанять персонал, уже владеющий новой технологией, или же потратить средства на ознакомление с новым материалом администраторов "старой школы". Эти люди будут помогать создавать новый домен Windows Server 2003, находясь в тесном взаимодействии с администраторами старых доменов. Пытаясь делать все самостоятельно, вы очень скоро выдохнетесь.
Управление внесением изменений
Чтобы повысить степень надежности инфраструктуры и управляемость ею назначьте человека, который будет отвечать за управление внесением изменений. После того, как новый домен будет готов к внедрению в рабочую среду, команда, отвечавшая за его создание, должна начать консультации с командой, поддерживающей старый домен, с целью оценки эффекта от введения в строй нового домена. Учитывая то, что проекты, реализуемые в крупных вычислительных средах, становятся все более и более сложными, совместное сотрудничество отдельных групп, занятых в проекте, имеет решающее значение.
С точки зрения пользователей, вычислительная система должна быть прежде всего надежной и предсказуемой. В частности, необходимо обеспечить наличие на компьютере пользователя должным образом настроенной операционной системы, последних версий всех не обходимых приложений и возможность получить доступ к требуемым данным в любой момент времени. Как мы видим, на IT-отдел компании возложена непростая задача. Чтобы достичь успеха в ее выполнении, необходимо адекватно и своевременно реагировать на все изменения, происходящие в вычислительной среде. Ниже приведен ряд вопросов, которые решаются в результате управления внесением изменений.
Установка новой операционной системы и приложений.
Обновление существующих операционных систем и приложений.
Обновление аппаратного обеспечения.
Обновление настроек.
Создание новых пользователей и разработка новых бизнес-требований.
Разработка новой политики безопасности.
Человек, ответственный за управление внесением изменений, обеспечивает уменьшение общей стоимости владения вычислительной системой за счет минимизации времени простоя, стоимости аварийного восстановления и объема утраченных в результате выхода из строя аппаратного обеспечения данных.
Безопасность домена
Отвечать за управление безопасностью домена должен по крайней мере один человек. Его роль заключается в тестировании системы безопасности разрабатываемого домена, а также в применении соответствующих механизмов обеспечения безопасности к рабочему домену. Кроме того, он сможет оказать помощь при решении таких вопросов, как определение политики домена, групповой политики, делегирования, разработка стратегии управления рабочим пространством и т.д.
Взаимодействие доменов
Одним из наиболее важных аспектов функционирования вычислительной системы является взаимодействие доменов, или, если быть более точным, взаимодействие пользователей домена Windows Server 2003 и пользователей наследуемых доменов. Существует несколько режимов работы домена. Если все его серверы представляют собой серверы на базе операционной системы Wndows Server 2003, используется режим работы домена Windows Server 2003, в результате чего становятся доступными все функции доменов и леса Active Directory. Если же вы псе еще поддерживаете домены Windows NT или Windows 2000, доступная вам функциональность будет ограничена.
В Windows 2000 Server существовало два режима работы домена: основной и смешанный. Домены, работающие в смешанном режиме, могут содержать резервные контроллеры домена Windows NT 4.0 и не могут использовать универсальные группы безопасности, вложение групп и журнал идентификаторов безопасности (SID). Если домен работает в основном режиме, возможно использование универсальных групп безопасности, вложения групп и журнала SID. Контроллеры домена, работающие под управлением Windows 2000 Server, не поддерживают изменение режима домена или леса. В Windows Server 2003 доступны три режима работы домена (таб.:. 9.1)
Таблица 9.1. Режимы работы домена Windows Server 2003
Режим работы домена |
Поддерживаемые контроллеры домена |
Смешанный режим Windows 2000 2003 |
NT 4.0, Windows 2000 и Windows Server |
Основной режим Windows 2000 |
Windows 2000 и Windows Server 2003 |
Windows Server 2003 |
Windows Server 2003 |
После повышения уровня режима работы домена добавление контроллеров домена, работающих под управлением более ранних операционных систем, невозможно. Например, если повысить уровень режима работы домена до Windows Server 2OO3, в этот домен нельзя будет добавить контроллеры домена, работающие под управлением Windows 2000 Server.
При необходимости интегрирования в новую среду различных приложений и служб (Exchange, Lotus Notes, Sendmail и т.п.), назначьте соответствующих администраторов.
Жизненно важным аспектом проектирования логической структуры домена является возможность свободного обмена информацией в пределах информационной сети предприятия и между различными операционными средами, образовавшимися в результате перехода к до-иену Windows Server 2003.
Образование и информация
В процессе выполнения проекта по переходу на Windows Server 2003 и разработки логической структуры домена должна быть обеспечена подготовка информации, позволяющей руководству предприятия всегда быть в курсе текущего положения дел. Как только план по переходу на Windows Server 2003 будет утвержден, все необходимые сведения нужно распространить среди сотрудников предприятия.
Исследование предприятия
Прежде чем приступить к проектированию логической структуры домена, нужно провести исследование предприятия. Представьте себе работу землемера. Он использует теодолит— инструмент, позволяющий измерять углы в горизонтальной и вертикальной плоскостях, после чего создает схемы возвышенностей и равнин, контуров поверхности земли и т.д. Ученые и инженеры определяют, в каком месте безопаснее всего построить коттедж или небоскреб, проложить дорогу, соорудить мост или даже целый город. Вам нужно выполнять примерно такие же действия, но не определять, в каком направлении развивается предприятие (эту работу выполняет аналитический отдел), а спланировать логическую структуру домена таким образом, чтобы она отражала текущее положение вещей, а также была готова к будущим изменениям.
При исследовании корпоративной структуры вы не претендуете на то, чтобы давать руководству компании советы относительно ведения дел или советы о добавлении, перемещении или удалении отделов, для того чтобы они лучше соответствовали структуре домена. Это не только невозможно, но и может закончиться для вас плачевно.
С другой стороны, логическая структура домена Windows Server 2003 должна быть утверждена на всех уровнях руководства компанией. В конечном итоге именно блок-схема логической структуры домена ложится на стол в зале заседаний совета директоров, а отдел информационных технологий призван реализовывать изменения, вносимые по тем или иным причинам в логическую структуру домена высшим руководством. Несмотря на то что изменение логической структуры домена Windows Server 2003, скорее всего, приведет к изменениям в структуре предприятия, не торопитесь заявлять об этом во всеуслышание.
Домен Windows Server 2003 во многом отражает структуру предприятия, как с административной, так и функциональной точек зрения.
Администраторы доменов Windows NT, сетевые администраторы, а также ГГ-менеджеры и менеджеры информационных систем могут сказать, что им никогда раньше не приходилось заниматься анализом предприятия. И хотя крупные организации тотчас же спешат нанять профессиональных аналитиков, цель не оправдывает средств до тех пор, пока переход на Windows Server 2003 не потребует серьезного пересмотра организационной структуры.
Во многих случаях вы и ваши коллеги уже располагаете всеми необходимыми ресурсами. Вам не нужно проводить расширенный анализ предприятия, заниматься планированием ресурсов предприятия (enterprise resource planning, ERP) и управлением взаимодействием с заказчиками (customer relationship management, CRM). Конечно же, обладание такими знаниями будет не лишним. Настоящая глава поможет вам приступить к действиям. Основные концепции анализа предприятия рассмотрены в следующих разделах.