2.4 Порядок назначения доменных имен.

После того как для модели леса выбираются домены Active Directory, необходимо спроектировать инфраструктуру DNS, так как каждое доменное имя является частью именного пространства DNS.

Каждый объект в AD представляет собой экземпляр класса, определенного в схеме. У каждого класса есть атрибуты, гарантирующие уникальность идентификации каждого объекта в хранилище данных каталога, совместимость имен объектов каталога со стандартами LDAP.

Доменное имя — символьное имя, служащее для идентификации областей — единиц административной автономии в сети Интернет — в составе вышестоящей по иерархии такой области.

Active Directory поддерживает несколько типов имен:

• составные имена;

• относительные составные имена;

• основные имена пользователей;

• канонические имена.

Доменное имя состоит из символьных полей, разделенных точками. Крайнее правое поле обозначает домен верхнего уровня, далее, справа налево, следуют поддомены в порядке иерархической вложенности, крайнее левое поле обозначает имя хоста.

2.5 Стратегия управления учетными записями.

Основополагающим компонентом доменных служб в каждой организации являются принципалы безопасности, которые предоставляют пользователей, группы или компьютеры, которым требуется доступ к определенным ресурсам в сети. Именно таким объектам, как принципалам безопасности можно предоставлять разрешения доступа к ресурсам в сети, причем каждому принципалу во время создания объекта присваивается уникальный идентификатор безопасности SID (числовое представление, которое уникально идентифицирует принципал безопасности).

В Active Directory можно создать пять типов учетных записей:

• пользователь;

• компьютер;

• группа;

• InetOrgPerson;

• контакт.

Одним из основополагающих компонента идентификации являются учетные записи пользователей. По сути, учетные записи пользователей представляют собой физические объекты, в основном людей, которые являются сотрудниками вашей организации, но бывают исключения, когда учетные записи пользователей создаются для некоторых приложений в качестве служб. Учетные записи пользователей играют важнейшую роль в администрировании предприятии. К таким ролям можно отнести:

• Удостоверение личности пользователей;

• Разрешения доступа к ресурсам домена.

Объекты учетных записей пользователей можно отнести к самым распространенным объектам в Active Directory. Именно пользовательским учетным записям администраторы обязаны уделять особое внимание. Такие объекты представляют собой набор атрибутов, причем только одна пользовательская учетная запись может содержать свыше 250 различных атрибутов. Во время создания учетной записи пользователя создается ограниченный набор атрибутов, а уже потом вы можете добавлять такие пользовательские учетные данные как организационные сведения, адреса проживания пользователей, телефонные номера и многое другое. Поэтому важно обратить внимание на то, что одни атрибуты являются обязательными, а остальные — опциональными.

Есть несколько правил, которые нужно соблюдать при планировании стратегии именования пользователей:

• Каждый пользователь должен иметь уникальное имя в домене.

• Длина имени не должна превышать 20.

• Имена не чувствительны к регистру букв.

• Имена не должны содержать следующих символов: ", /, \, [, ], :, ;, =, ,, +, *, ?, <, >.

• Должна поддерживаться гибкая система именования.

• Необходимо учитывать совместимость именования для других приложений (например, для электронной почты).

Для создания основных принципалов безопасности предпочитается использовать оснастку «Active Directory — пользователи и компьютеры», которая добавляется в папку «Администрирование» сразу после установки роли «Доменные службы Active Directory» и повышения сервера до контролера домена. Этот метод является наиболее удобным, так как для создания принципалов безопасности используется графический пользовательский интерфейс и мастер создания учетных записей пользователя очень прост в применении.

Также в операционной системе Windows есть утилиты командной строки с аналогичными функциями графического пользовательского интерфейса оснастки «Active Directory — пользователи и компьютеры». Такие команды называются командами DS.

Имена участников безопасности должны удовлетворять следующим правилам. (Таблица 2.4.1.)

Таблица 2.4.1. Характеристики для учетных записей.

Тип имени учетной записи	Максимальный размер	Особые ограничения
Учетная запись пользователя	На компьютерах под управлением Windows Server 2003 и Windows 2000 в качестве учетной записи пользователя можно использовать основное имя пользователя (UPN). На компьютерах с Windows NT версии 4.0 и более ранними версиями максимальный размер составляет 20 символов или 20 байтов в зависимости от набора символов, отдельные символы могут требовать более одного байта.	Учетная запись пользователя не может целиком состоять из точек (.) или пробелов, а также оканчиваться точкой. Все стоящие в начале точки и пробелы обрезаются. На компьютерах с Windows NT 4.0 и более ранними версиями не поддерживается использование символа @ в формате входа в систему, который представляет собой имя_домена\имя_пользователя. В системе Windows 2000 имена для входа являются уникальными в пределах домена, а в системе Windows Server 2003 — в пределах леса.
Учетная запись компьютера	NetBIOS = 15 символов или 15 байтов в зависимости от набора символов, отдельные символы могут требовать более одного байта. DNS = 63 символа или 63 байта в зависимости от набора символов, и 255 символов для полного доменного имени (FQDN), отдельные символы могут требовать более одного байта.	Учетная запись компьютера не может целиком состоять из цифр, точек (.) или пробелов. Все стоящие в начале точки и пробелы обрезаются.
Учетная запись группы	63 символа, или 63 байта, в зависимости от набора символов, отдельные символы могут требовать более одного байта.	Учетная запись группы не может целиком состоять из цифр, точек (.) или пробелов. Все стоящие в начале точки и пробелы обрезаются.