16.1. Доменний підхід
Домен - це основна одиниця адміністрування і забезпечення безпеки в Windows NT. Для домена існує загальна база даних облікової інформації користувачів (user accounts), так що при вході в домен користувач одержує доступ відразу до всіх дозволених ресурсів усіх серверів домена.
Довірчі відносини (trust relationships) забезпечують транзитну аутентифікацію, при якій користувач має тільки один обліковий запис в одному домені, але може одержати доступ до ресурсів всіх доменів мережі.
Користувачі можуть входити в мережу не тільки з робочих станцій того домена, де зберігається їхня облікова інформація, але і з робочих станцій доменів, що довіряють цьому домену. Домен, що зберігає облікову інформацію, часто називають обліковим, а довіряючий домен - ресурсним.
Д
овірчі
відносини не є транзитивними. Наприклад,
якщо домен А довіряє домену В, а В довіряє
С, то це не означає, що А автоматично
довіряє С.
Рисунок 16.1 - Довірчі відносини між доменами
16.1.1. Основний і резервний контролери домена
В домені повинен знаходиться сервер, що виконує роль основного контролера домена (primary domain controller). Цей контролер зберігає первинну копію бази даних облікової інформації користувачів домена. Усі зміни, вироблені в обліковій інформації, спочатку виробляються саме в цій копії. Основний контролер домена завжди існує в єдиному екземплярі. Користувач, що адмініструє домен, не повинен явно задавати ім'я комп'ютера, що виконує роль основного контролера, утиліта за допомогою якої здійснюється адміністрування (у Windows NT це User Manager for Domains), повинна по імені домена самостійно, відповідно до заздалегідь розробленого протоколу провести діалог з основним контролером домена і зробити потрібні зміни в його базі даних.
Крім основного контролера в домені можуть існувати кілька резервних контролерів (backup domain controllers). Ці контролери зберігають репліки бази облікових даних. Усі резервні контролери на додаток до основного можуть обробляти запити користувачів на логічний вхід у домен.
Резервний контролер домена вирішує дві задачі:
Він стає основним контролером при відмові основного.
Зменшує навантаження на основний контролер по обробці логічних входів користувачів.
Якщо мережа складається з декількох мереж, з'єднаних глобальними зв'язками, то в кожній мережі повинен бути принаймні один резервний контролер домена.
Звичайний сервер (не основний чи резервний контролер домена) може бути членом домена, а може і не бути. Якщо він бере участь у домені, то він користується обліковою інформацією, що зберігається на контролері домена. Якщо ж немає - то доступ до всіх його ресурсів мають тільки користувачі, що внесені в базу облікової інформації цього сервера.
16.1.2. Чотири моделі організації зв'язку доменів
Механізм доменів можна використовувати на підприємстві різними способами. У залежності від специфіки підприємства можна об'єднати ресурси і користувачів у різну кількість доменів, а також по-різному установити між ними довірчі відносини.
Microsoft пропонує використовувати чотири типові моделі використання доменів на підприємстві:
Модель з одним доменом;
Модель з головним доменом;
Модель з декількома головними доменами;
Модель з повними довірчими відносинами.
Модель з одним доменом підходить для організації, у якої не дуже багато користувачів, і немає необхідності розділяти ресурси мережі по організаційних підрозділах. Головний обмежник для цієї моделі - продуктивність, що падає, коли користувачі переглядають домен, що включає багато серверів.
Використання тільки одного домена також означає, что мережевий адміністратор завжди повинний адмініструвати всі сервери. Поділ мережі на декілька доменів дозволяє призначати адміністраторів, що можуть адмініструвати тільки окремі сервери, а не всю мережу.
Таблиця 16.1 - Переваги і недоліки моделі з одним доменом
Переваги |
Недоліки |
1.Найкраща модель для підприємств із невеликим числом користувачів і ресурсів. 2.Централізоване керування користувальницькою обліковою інформацією. 3.Немає потреби в керуванні довірчими відносинами. 4.Локальні групи потрібно визначати тільки один раз. |
1.Низька продуктивність, якщо домен має занадто багато користувачів і/чи серверів. 2.Неможливість групування ресурсів. |
Модель з головним доменом добре підходить для підприємств, де необхідно розбити ресурси на групи в організаційних цілях, і в той же час кількість користувачів і груп користувачів не дуже велика. Ця модель забезпечує централізацію адміністрування з організаційними перевагами поділу ресурсів між декількома доменами.
Головний домен зручно розглядати як суто обліковий домен, основне призначення якого - збереження й обробка користувальницьких облікових даних. Інші домени в мережі - це домени ресурсів, вони не зберігають і не обробляють користувальницьку облікову інформацію, а поставляють ресурси (такі як поділювані файли і принтери) для мережі. У цій моделі користувальницьку облікову інформацію зберігають тільки основний і резервний контролери головного домена.
Рисунок 16.2 - Модель з головним доменом
Таблиця 16.2 - Переваги і недоліки моделі з головним доменом
Переваги |
Недоліки |
1.Найкраща модель для підприємства, у якого не дуже багато користувачів, а поділювані ресурси повинні бути розподілені по групах. 2.Облікова інформація може централізовано керуватися. 3.Ресурси логічно групуються. 4.Домени відділів можуть мати своїх адміністраторів, що керують ресурсами відділу. 5.Глобальні групи повинні визначатися тільки один раз (у головному домені).
|
1.Погана продуктивність, якщо в головному домені занадто багато користувачів і груп. 2.Локальні групи потрібно утворювати в кожному домені, де вони використовуються.
|
Модель з декількома головними доменами призначена для великих підприємств, що хочуть підтримувати централізоване адміністрування. Ця модель найбільш масштабується.
У даній моделі є невелике число головних доменів. Головні домени використовуються як облікові домени, причому облікова інформація кожного користувача створюється тільки в одному з головних доменів. Співробітники відділу Автоматизованих Інформаційних Систем (АІС) підприємства можуть адмініструвати всі головні домени, у той час як ресурсні домени можуть адмініструвати співробітники відповідних відділів.