Модели построения лесов и детализация доменной структуры

Цель лекции: Дать представление о возможных моделях построения лесов и соответствующей им детализации доменной структуры.

Лес - это группа из одного или нескольких деревьев доменов, которые не образуют единое пространство имен, но используют общие схему, конфигурацию каталогов, глобальный каталог и автоматически устанавливают двусторонние транзитивные доверительные отношения между доменами.

В сети всегда есть минимум один лес, создаваемый, когда в сети устанавливается первый контроллер домена. Первый домен становится корневым доменом леса.

Варианты построения леса

В данном разделе мы дадим описание различных моделей построения лесов Active Directory и проведем их сравнительный анализ.

• Вариант 1 "Единый лес, каждый регион - отдельное дерево".
• Вариант 2 "Единый лес, административный корневой домен, каждый регион - домен".
• Вариант 3 "Единый лес, каждый регион - дочерний домен центрального домена".

Под регионами в контексте данной лекции подразумеваются удаленные офисы компании, в которой планируется развернуть службу Active Directory.

Единый лес, каждый регион - отдельное дерево

Существует отдельное дерево с корневым доменом, хранящим группы Enterprise Admins и Schema Admins, что позволит гибко контролировать членство в этих группах и исключить присутствие в них по умолчанию всех администраторов центрального офиса (группа Admins корневого домена входит в группы Enterprise Admins, Schema Admins).

Разные деревья могут иметь различные пространства имен DNS. Корневые домены деревьев связаны транзитивными доверительными отношениями.

Плюсы модели:

• пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
• возможность регистрации мобильных пользователей в любой точке организации;
• единый обмен в организации;
• повышенная защищенность - аутентификация по протоколу Kerberos, группы Enterprise Admins, Schema Admins находятся в отдельном корневом домене, Schema master находится в отдельном домене;
• самый короткий путь доверия.

Минусы модели:

• видимость списка доменов всей организации;
• для наличия права создания новых деревьев/доменов администратор должен присутствовать в группе Enterprise Admins;
• тиражирование конфигурации и схемы Active Directory для всех регионов;
• если в организации уже развернута структура Active Directory, то контроллеры домена в этой организации необходимо переустановить.

Единый лес, административный корневой домен, каждый регион - домен

Существуют общее дерево Active Directory для регионов и общая система именования, основанная на географическом принципе. Каждое региональное подразделение представлено доменом. Региональные домены добавляются как дочерние к корневому домену. Административные группы Enterprise Admins, Schema Admins, дающие их членам административные полномочия в лесу, вынесены в отдельный корневой домен.

Существует единое пространство доменных имен, дочерние домены наследуют DNS имя родительского домена. Также существует единая поисковая служба, позволяющая находить объекты в любом домене службы Active Directory.

Плюсы модели:

• пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
• возможность регистрации мобильных пользователей в любой точке организации;
• единый обмен в организации;
• повышенная защищенность - аутентификация по протоколу Kerberos, группы Enterprise Admins, Schema Admins находятся в отдельном корневом домене, Schema master находится в отдельном домене.

Минусы модели:

• видимость списка доменов всей организации;
• для наличия права создания новых деревьев/доменов администратор должен присутствовать в группе Enterprise Admins;
• тиражирование конфигурации и схемы Active Directory для всех регионов;
• путь доверия длиннее.

Единый лес, каждый регион - дочерний домен центрального домена

В корневом домене наряду с группами Enterprise Admins и Schema Admins существуют остальные пользовательские учетные записи центрального офиса. Любой пользователь, попадающий в группу Admins, становится Enterprise Admins, так как группа Admins входит в группы Enterprise Admins и Schema Admins. Региональные домены становятся дочерними для корневого домена.

Существует единое пространство доменных имен, дочерние домены наследуют DNS имя родительского домена. Имеется единая поисковая служба, позволяющая находить объекты в любом домене службы Active Directory.

Плюсы модели:

• пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;
• возможность регистрации мобильных пользователей в любой точке организации;
• единый обмен в организации; повышенная защищенность - аутентификация по протоколу Kerberos;
• сокращение количества компьютеров - контроллеров домена из-за отсутствия корневого "пустого" домена.

Минусы модели:

• видимость списка доменов всей организации;
• для наличия права создания новых деревьев/доменов, администратор должен присутствовать в группе Enterprise Admins;
• тиражирование конфигурации и схемы Active Directory для всех регионов;
• необходимы дополнительные усилия по контролю членства в группах Enterprise Admins, Schema Admins (не допускать в них группу Admins);
• структурное подчинение регионов;
• путь доверия длиннее.