- •Планирование топологии сайта
- •Планирование леса
- •Планирование доверия
- •Планирование подразделения
- •Планирование домена и подразделения
- •Планирование репликации
- •Планирование сайта главного офиса
- •Планирование промежуточного сайта
- •Планирование контроллера домена
- •8.2. Причины делегирования администрирования
- •Делегирование администрирования лесов, деревьев и подразделений
- •Определение видимости объектов в Active Directory
- •Планирование изменения структуры
- •Средства преобразования Active Directory
- •Планирование тестовой лаборатории
- •Планирование архивации и восстановления
- •Планирование логической структуры домена
- •Моральная подготовка
- •Забудьте о Windows 2000
- •Комитет по планированию структуры домена
- •Управление доменами
- •Управление внесением изменений
- •Анализ предприятия
- •Рабочие среды предприятия
- •Внешняя среда
- •Внутренняя среда
- •Дополнительная среда
- •Работа с организационными диаграммами
- •Административное моделирование
- •Централизованное администрирование
- •Децентрализованное администрирование
- •Хорошо, плохо, неразумно
- •Логическая структура домена: блок-схема
- •Функции корневого домена
- •Домены второго уровня
- •Управление отдельными департаментами
- •Уменьшение задержки передачи данных по сети и снижение негативного эффекта от проведения репликации
- •Использование моделей децентрализованного администрирования
- •Управление автономными отделами
- •Применение различных политик доменов
- •Обеспечение требований безопасности
Применение различных политик доменов
После создания нового домена необходимо применить к нему соответствующие политики. Политика домена определяет множество его свойств, таких, как срок действия паролей, политика блокирования учетных записей, список используемых суффиксов UPN и т.д. Политика и атрибуты объектов домена обычно ограничиваются рамками одного домена. (Домены и их содержимое также наследуют политики доменов более высокого уровня и сайта, в котором они размещены.)
Диверсификация политик может быть достигнута путем создания отдельных доменов. Тем не менее, прежде чем принять подобное решение, необходимо быть уверенным в том, что это единственный выход из ситуации. Так, создание отдельного домена для хранения учетных записей администраторов кажется совершенно нелогичным из-за связанных с этим затрат (приобретение дополнительного контроллера домена, лицензии на использование Windows Server 2003 и т.д.). Таким образом, прежде чем принимать решение о разделении каталога на несколько доменов, проведите скрупулезный анализ, исследования, планирование и тестирование.
Управление международными подразделениями компании
Наличие у компании международных подразделений является веской причиной для создания доменов второго и третьего уровней. Ниже перечислен ряд факторов, которые могут подтолкнуть вас к принятию решения о разделении домена.
Наличие языковых барьеров.
Сетевые ограничения. Расширить домен за пределы Атлантического океана будет весьма непросто.
Наличие культурных барьеров.
Географическая и национальная удаленность. Однажды нам пришлось установить сервер на базе операционной системы IBM OS/2 в одном из зарубежных офисов компании Microsoft, так как в той стране было запрещено использовать NT-совместимые операционные системы.
Политические ограничения и ограничения безопасности. Недостаток доверия к удаленному подразделению компании может вынудить вас выделить его в отдельный лес.
Ограничения на экспорт технологий.
Управление доменами Windows NT
Модернизация или преобразование существующих доменов Windows NT до того, как вы полностью разберетесь в Windows Server 2003 (в особенности в Active Directory и новой структуре домена), — это, мягко говоря, не очень хорошая идея. Не выполняйте преобразование существующих доменов до тех пор, пока полностью не завершите тестирование новой операционной системы и не составите план логической структуры домена. В действительности предлагаемое нами поэтапное внедрение Windows Server 2003 полностью противоположно обновлению.
Преобразование домена Windows NT должно осуществляться в соответствии с планом поэтапного внедрения, который предполагает продление существования доменов Windows NT на определенное время. В некоторых ситуациях мы и вовсе не рекомендуем преобразовывать контроллеры доменов Windows NT 4.0 в контроллеры доменов Active Directory.
Домены Windows NT 4.0 нельзя присоединять к дереву доменов Windows Server 2003, что вынуждает обращаться с ними как с доменами, принадлежащими другому лесу, а значит, требует явного определения доверительных отношений между лесами доменов.