Основи планування та адміністрування служб доступу до інформаційних ресурсов
Лекція 5
ПЛАНУВАННЯ РОЗГОРТАННЯ ACTIVE DIRECTORY. МОДЕЛІ ПОБУДОВИ ЛІСІВ ТА ДЕТАЛІЗАЦІЯ ДОМЕННОЇ СТРУКТУРИ.
1.Планування розгортання Active Directory.
2.Моделі побудови лісів та деталізація доменної структури.
Основи планування та адміністрування служб доступу до інформаційних ресурсов
1. ПЛАНУВАННЯ РОЗГОРТАННЯ ACTIVE DIRECTORY.
ПЛАНУВАННЯ РОЗГОРТАННЯ ACTIVE DIRECTORY
Визначення кількості лісів для мережі організації
Визначення порядку розбиття лісів на домени
Планування доменного простору імен 
Планування структури доменів
Визначення механізму поділу ресурсів компанії по організаційним підрозділам
Конфігурація сайтів
При використанні моделі Active Directory з декількома доменами виконуються наступні правила
в кожному домені потрібно мати хоча б один контролер
групова політика і управління доступом діє на рівні домену
при створенні дочірнього домену між батьківським і дочірнім
доменами автоматично встановлюються двосторонні транзитивні довірчі відносини
адміністративні права, що діють між доменами, видаються тільки для адміністраторів підприємства
необхідно створювати канали довіри
ОСНОВНІ ВІХИ В ПЛАНІ-ГРАФІЦІ РОЗГОРТАННЯ ACTIVE DIRECTORY
Обстеження існуючої інфраструктури
Планування структури Active Directory
Розгортання тестового середовища, тестування міграції
Розгортання структури Active Directory кореневого домена і центрального офісу
Тиражування рішення на філії організації
Основи планування та адміністрування служб доступу до інформаційних ресурсов
2. МОДЕЛІ ПОБУДОВИ ЛІСІВ ТА ДЕТАЛІЗАЦІЯ ДОМЕННОЇ СТРУКТУРИ
МОДЕЛІ ПОБУДОВИ ЛІСІВ
ЄДИНИЙ ЛІС, КОЖЕН РЕГІОН - ОКРЕМЕ ДЕРЕВО
Існує окреме дерево з кореневим доменом, що зберігає групи Enterprise Admins і Schema Admins, що дозволить гнучко контролювати членство в цих групах і виключити присутність в них за замовчуванням всіх адміністраторів центрального офісу (група Admins кореневого домену входить в групи Enterprise Admins, Schema Admins).
Різні дерева можуть мати різні простору імен DNS. Кореневі домени дерев пов'язані транзитивними довірчими стосунками.
root |
uа |
su |
by |
com |
com |
com |
|
|
|
uib |
tcs |
iss |
Плюси моделі:
1.Користувачі можуть переглядати ресурси центрального офісу і регіонів при відповідних правах доступу до об'єктів Active Directory;
2.Можливість реєстрації мобільних користувачів в будь-якій точці організації;
3.Єдиний обмін в організації;
4.Підвищена захищеність - аутентифікація по протоколу Kerberos, групи Enterprise Admins, Schema Admins знаходяться в окремому кореневому домені, Schema master знаходиться в окремому домені;
5.Найкоротший шлях довіри.
Мінуси моделі:
1.Видимість списку доменів всієї організації;
2.Для наявності права створення нових дерев / доменів адміністратор повинен бути присутнім в групі Enterprise Admins;
3.Тиражування конфігурації і схеми Active Directory для всіх регіонів;
4.Якщо в організації вже розгорнута структура Active Directory, то контролери домену в цій організації необхідно переустановити.
ЄДИНИЙ ЛІС, АДМІНІСТРАТИВНИЙ КОРЕНЕВОЇ ДОМЕН, КОЖЕН РЕГІОН - ДОМЕН
Існує загальне дерево Active Directory для регіонів і загальна система іменування, заснована на географічному принципі. Кожний регіональний підрозділ представлено доменом. Регіональні домени додаються як дочірні до кореневого домену. Адміністративні групи Enterprise Admins, Schema Admins, що дають їх членам адміністративні повноваження в лісі, винесені в окремий кореневої домен.
Існує єдиний простір доменних імен, дочірні домени успадковують DNS ім'я
батьківського домену. Також існує єдина пошукова служба, що дозволяє знаходити
об'єкти в будь-якому домені служби Active Directory.
uа |
root |
Lviv
Donetsk
Kiev
Kharkov