Active Directory. Леса, домены и доверительные отношения

Автор: SeaGirl

Для непосвященного человека название статьи может показаться безумной попыткой слепить в одно совершенно несовместимые вещи. Однако для искушенного администратора эти понятия лежат в основе работы с Active Directory (AD, Активный каталог).

Доменом называют логическую группу пользователей и компьютеров, которые поддерживают централизованное администрирование и безопасность. Домен также является единицей для репликации – все контроллеры домена, которые входят в один домен, должны участвовать в репликации друг с другом. Домены принято именовать, используя пространство имен DNS (Domain Name Service), например sources.com.

Доверие – это “соглашение” между двумя доменами, устанавливающее разрешения на доступ к тем или иным объектам другого домена.

Деревом называется набор доменов, которые используют связанные (прилегающие) пространства имен. Например, можно создать дочерний домен, называемый comp, в домене sources.com, тогда его полное имя будет – comp.sources.com. Дочерний домен автоматически получает двухсторонние доверительные отношения с родительским доменом. Заметим, что при этом домен comp.sources.com продолжает оставаться отдельным доменом, а это значит, что он остается единицей для целей безопасности и репликации. Поэтому администраторы из домена sources.com не могут администрировать домен comp.sources.com до тех пор, пока им явно не будет дано такое право.

Лес является наиболее крупной структурой в Active Directory и объединяет деревья, которые поддерживают единую Схему (определение объектов, которые могут создаваться). В лесу все деревья объединены двунаправленными доверительными отношениями, что позволяет пользователям в любом дереве получать доступ к ресурсам в любом другом, если они имеют соответствующие разрешения и права на доступ. По умолчанию первый домен, создаваемый в лесу, считается его корневым доменом. Кроме того, в корневом домене по умолчанию хранится Схема. Вы не можете переименовать или удалить корневой домен – это вызовет удаление всего леса Active Directory. В отличие от доменов и доверительных отношений, лес не представлен ни как контейнер, ни как любой другой вид объекта Active Directory. Как уже говорилось, домены именуются с использованием пространств имен DNS. Считается, что домены, которые используют одно пространство имен, входят в одно доменное дерево. Например, домены comp_1.sources.com, comp_2.sources.com и sources.com – части доменного дерева sources.com. Дерево, состоящее из одного домена, является наиболее распространенным решением, однако в больших корпорациях, состоящих из множества компаний, используется в основном мультидоменное дерево. Каждая компания хочет поддерживать собственную информацию, а, следовательно, и свое пространство имен. Описание сценария построения Active Directory для корпорации – самый лучший способ показать отношения между лесами, доменами и деревьями. Допустим, каждая компания, входящая в состав корпорации, хочет, чтобы доменное имя их Активного Каталога соответствовало названию этой компании. Есть два способа это сделать:

 Для каждой компании спроектировать доменное дерево в одном лесу;

 Для каждой компании спроектировать отдельный лес.

Одним из главных отличий между этими двумя вариантами будет наличие доверительных отношений между доменами, находящимися в пределах одного леса, в то время как в отдельных лесах они полностью отсутствуют. Без доверительных отношений пользователь одного леса не сможет получить доступ к ресурсам домена, входящего в состав другого леса. Если же мы хотим, чтобы пользователь имел доступ к ресурсам любого домена, то система с множеством деревьев в одном лесу будет лучше, чем система с множеством отдельных лесов. Транзитивные доверительные отношения устанавливаются между корневыми доменами каждого доменного дерева, в результате чего каждый домен в лесу считается «доверенным». На рисунке 1 изображен пример с тремя доменными деревьями в лесу sources.com

Рис. 1 Лес sources.com, содержащий три дерева

Если же будет выбран вариант с отдельным лесом для каждой компании, то для создания модели, полностью покрываемой доверительными отношениями, придется создавать доверия между доменами в каждом лесу отдельно. При большом количестве доменов эта задача может занять много времени. В Windows Server 2003 Active Directory появилась возможность использовать новый тип доверительных отношений доверие между лесами (forest trusts).

Различают следующие типы доверительных отношений:

 Транзитивные доверительные отношения;

 Односторонние доверительные отношения;

 Доверительные отношения леса;

 Доверительные отношения области.