Cлужба каталогов Active Directory в Windows 2000 Server
Разворачивание службы каталогов Active Directory
В процессе разворачивания сети, даже если создается домен с единственным контроллером, необходимо учитывать некоторые принципы, о которых мы сейчас поговорим, не говоря уже о сложной сети с несколькими доменами (сайтами) и множеством подразделений (организационных единиц).
Планирование доменов
Развертывание сетевой структуры целесообразно начать с создания единственного домена, который легче всего администрировать, и по мере необходимости добавлять новые домены.
Достоинством Active Directory(по сравнению с доменной моделью Windows NT) является возможность создания в одном домене значительно большего числа объектов (до нескольких миллионов). При этом один домен может содержать несколько географически разнесенных и администрируемых индивидуально сайтов, связанных медленными каналами.
Совсем не нужно создавать дерево из нескольких доменов только для того, чтобы таким образом отобразить структуру организации, ее подразделения или отделы. Для этого достаточно в единственном домене создать соответствующие подразделения (организационные единицы) и назначить для них групповые политики, распределить пользователей, группы и компьютеры.
Для создания нескольких доменов должны быть достаточно веские причины, например следующие:
- Различные требования к безопасности для отдельных подразделений
- Очень большое количество объектов
- Различные Internet-имена для доменов. Если имена доменов образуют непрерывное пространство имен DNS, то можно создать дерево доменов; если имена доменов уникальны, то возможно создание леса доменов
- Дополнительные требования к репликации
- Децентрализованное администрирование сети. При наличии нескольких доменов совершенно независимые друг от друга системные администраторы могут устанавливать собственные политики безопасности. Кроме того, можно администрировать домены на различных национальных языках
Если внутри домена создать дерево организационных единиц (Organizational Unit, OU), или подразделений, то можно распределить обязанности администраторов отдельных подразделений между различными пользователями и группами. В этом случае уменьшается число сотрудников, которые получают полный контроль над всем доменом.
Этот процесс называется делегированием прав администрирования. Немного позже мы увидим, как он осуществляется на практике.
После того как разработана структура подразделений и по ним распределены пользователи, следующий этап - продумать административную иерархию,
т. е. определить, какие пользователи получат права управления целыми подразделениями, и кто будет выполнять только ограниченные административные функции (например, управлять отдельными группами или принтерами).
12.08.2008
