- •Планирование топологии сайта
- •Планирование леса
- •Планирование доверия
- •Планирование подразделения
- •Планирование домена и подразделения
- •Планирование репликации
- •Планирование сайта главного офиса
- •Планирование промежуточного сайта
- •Планирование контроллера домена
- •8.2. Причины делегирования администрирования
- •Делегирование администрирования лесов, деревьев и подразделений
- •Определение видимости объектов в Active Directory
- •Планирование изменения структуры
- •Средства преобразования Active Directory
- •Планирование тестовой лаборатории
- •Планирование архивации и восстановления
- •Планирование логической структуры домена
- •Моральная подготовка
- •Забудьте о Windows 2000
- •Комитет по планированию структуры домена
- •Управление доменами
- •Управление внесением изменений
- •Анализ предприятия
- •Рабочие среды предприятия
- •Внешняя среда
- •Внутренняя среда
- •Дополнительная среда
- •Работа с организационными диаграммами
- •Административное моделирование
- •Централизованное администрирование
- •Децентрализованное администрирование
- •Хорошо, плохо, неразумно
- •Логическая структура домена: блок-схема
- •Функции корневого домена
- •Домены второго уровня
- •Управление отдельными департаментами
- •Уменьшение задержки передачи данных по сети и снижение негативного эффекта от проведения репликации
- •Использование моделей децентрализованного администрирования
- •Управление автономными отделами
- •Применение различных политик доменов
- •Обеспечение требований безопасности
Определение видимости объектов в Active Directory
Видимость объектов, а также тип объектов, которые могут содержаться в группе, определяется областью действия группы. Существуют три области действия: универсальная (universal), глобальная (global) и локальная доменная (domain local). Члены групп с универсальной областью действия могут включать учетные записи и группы из любого домена дерева или леса; если домен находится в основном режиме, создать группу безопасности с универсальной областью действия невозможно. Универсальным группам могут быть предоставлены разрешения в любом домене в составе дерева доменов или леса. Члены групп с глобальной областью действия могут включать другие группы и учетные записи только из домена, в котором определена группа; им могут быть предоставлены разрешения в любом домене леса. Члены групп с локальной доменной областью действия могут включать другие группы и учетные записи из доменов Windows Server 2003, Windows 2000 или Windows NT; им могут быть предоставлены разрешения только внутри домена.
Административные роли
Команда администраторов следит за своевременным удовлетворением потребностей, возникающих в процессе роста организации. В зависимости от ее размера команда администраторов может состоять как из одного-двух специалистов, так и из ряда независимых групп.
В этом случае необходимо четко распределить задачи администрирования, такие как управление учетными записями пользователей и выполнение повседневных операций.
Эффективное вложение групп
Вложение подразделений позволяет создавать иерархическую структуру внутри структуры домена. Поскольку структура подразделений не зависит от структуры домена, в каждом домене можно создать свою собственную иерархию. Подразделения не оказывают существенного влияния на производительность. Применение к подразделениям групповой политики представляет собой достаточно гибкий инструмент администрирования.
Создание иерархии администрирования
Администрирование Active Directory усложняется с добавлением каждого нового уровня администрирования. Наша задача заключается в минимизировании затрат на администрирование при одновременном обеспечении достаточно высокого уровня обслуживания. В табл. 8.3 описаны уровни модели администрирования
.
Таблица 8.3. Трехуровневая модель администрирования
Уровень администрирования |
Описание |
Первый уровень |
На этом уровне решаются повседневные административные задачи: создание учетных записей пользователей, информационно-справочная поддержка и работа с конечными пользователями |
Второй уровень |
Данный уровень требует наличия более углубленных знаний сети организации и серверных приложений. Администраторы этого уровня – эксперты в устранении неполадок, активно использующие средства наблюдения и диагностики |
Третий уровень |
На этом уровне решаются критические проблемы, которые не были устранены на первых двух уровнях. Администраторы данного уровня тестируют также новые серверные приложения |
Как вы наверняка обратили внимание, табл. 8.3 не позволяет однозначно определить, какому уровню соответствует квалификация системного администратора. Создавая иерархию администрирования, учитывайте опыт и профессиональные качества администратора.
Планирование миграции
В процессе планирования миграции вам придется принять несколько очень важных решений, которые определяются функциональностью тех или иных средств. Мы постараемся упростить эту задачу путем рассмотрения двух основных составляющих процесса миграции — обновления (upgrade) и изменения структуры (restructuring). В каждой конкретной ситуации вам придется принимать решение относительно последовательности выполнения этих действия. Далее в этой главе рассматриваются типичные шаги, выполняемые в процессе обновления и изменения структуры, а также связанные с этим риски.
Планирование обновления
Переход организации с Windows 2000 на Windows Server 2003 может быть осуществлен без внесения изменений в структуру сети. В процессе обновления существующая служба каталога останется нетронутой; более того, она обогатится улучшенным механизмом репликации групп, разделами каталога приложений, доверительными отношениями между лесами, кэшированием групп, а также улучшенным генератором внутрисайтовой топологии репликации.
Планируя обновление до Windows Server 2003, следует задокументировать три основных этапа обновления: подготовка к обновлению (pre-upgrading), собственно обновление (upgrading) и завершающий этап обновления (post-upgrading). В процессе подготовки к обновлению необходимо принять все меры предосторожности, связанные с переходом на Windows Server 2003. Основная задача при этом заключается в обеспечении безопасности всех данных домена и подготовке инфраструктуры.
Способ обеспечения безопасности данных домена определяется каждой конкретной организацией. Тем не менее вам по крайней мере необходимо дождаться завершения репликации между контроллерами каждого домена, осуществить полное резервное копирование всех контроллеров домена и протестировать полученные архивы на предмет наличия ошибок.
Первым этапом подготовки инфраструктуры является использование средства ADPrep. ехе на хозяине схемы для подготовки леса, а затем — по одному разу на всех хозяевах инфраструктуры в каждом д.омене. Если выполнение данной программы завершится некорректно, установка Windows Server 2003 будет невозможна.
Ниже приведен контрольный список действий, которые необходимо выполнить на этапе подготовки к обновлению.
Создайте архивную копию всех данных домена и протестируйте ее на предмет наличия ошибок.
Используйте средство ADPrep.ехе для подготовки леса (убедитесь в корректном завершении этой операции).
Используйтесь средство ADPrep.ехе для подготовки домена (убедитесь в корректном завершении этой операции).
Собственно процесс обновления заключается в установке Active Directory, обновлении первого и всех остальных доменов. Обновление установки Active Directory можно выполнить с помощью мастера установки Active Directory. Данный мастер предлагает создать дополнительный контроллер домена и присоединить его к уже существующим доменам, настроить локальный сервер, создать разделы каталогов, а также установить и настроить сервер DNS. Результатом выполнения мастера установки Active Directory является создание нового контроллера домена.
После установки Active Directory потребуется некоторое время для осуществления заметку репликации между новым и всеми остальными контроллерами домена.
После завершения процесса синхронизации серверов обновите первый контроллер домена, а затем — все оставшиеся.
Убедитесь, что вы выполнили все действия, предусмотренные на этапе собственно обновления, — установили Active Directory, обновили первый и все остальные домены. Завершающий этап процесса обновления состоит в повышении функциональных уровней леса и доменов. По умолчанию лес функционирует в основном режиме Windows 2000. Если все домены леса находятся в основном режиме Windows 2000, повышение функционального уровня леса до Windows Server 2003 автоматически приведет к повышению функционального уровня всех входящих в него доменов.
Убедитесь, что вы выполнили все действия, предусмотренные на завершающем этапе обновления, — повысили функциональный уровень леса и доменов до Windows Server 2003.