Архитектура Active Directory

Логическая структура

В Active Directory ресурсы организованы в логическую структуру, отражающую структуру организации, что позволяет находить ресурс по его имени, а не по физическому расположению. Благодаря логическому объединению ресурсов в Active Directory физическая структура сети не важна для пользователей.

Логическая структура Active Directory является моделью службы каталога, которая определяет каждого участника безопасности на предприятии, а также организацию этих участников.

На рис. 3.3 показаны взаимоотношения компонентов Active Directory.

Рис. 3.3. Ресурсы, организованные в логическую структуру

Логические компоненты Active Directory [ 3 ]

• Объекты - ресурсы хранятся в виде объектов.
  • Классы объектов.
  • Схема Active Directory.
• Домены - базовая организационная структура.
• Деревья - несколько доменов объединяются в иерархическую структуру.
• Леса - группа из нескольких деревьев домена.
• Организационные единицы - позволяют делить домен на зоны и делегировать права на них.

Логическая структура Active Directory не базируется на физическом местонахождении серверов или сетевых соединениях в пределах домена. Это позволяет структурировать домены, отталкиваясь не от требований физической сети, а от административных и организационных требований.

При планировании логической структуры Active Directory необходимо определить иерархию доменов и организационных подразделений, а также разработать соглашения о пространстве имен (DNS/WINS), групповые политики и схемы делегирования полномочий.

Групповая политика службы Active Directory позволяет осуществлять детальное и гибкое централизованное управление группами пользователей, компьютеров, приложений и сетевых ресурсов, вместо того чтобы управлять этими объектами на индивидуальной основе. Служба Active Directory позволяет делегировать определенный набор административных полномочий с целью распределения задач управления и повышения качества администрирования. Делегирование полномочий также помогает компаниям сократить число доменов, необходимых для поддержки крупной организации с офисами в разных географических точках.

Примеры предоставления доступа к сетевым ресурсам

• Пример "Единственный домен в центральном офисе". Предположим, что в компании имеется единственный домен в центральном офисе. Менеджерам компании для выполнения своих задач требуется доступ к инвентаризационной БД. Для предоставления доступа необходимо объединить всех менеджеров в глобальную группу, создать локальную доменную группу, обладающую полномочиями доступа к инвентарной базе, и добавить глобальную группу менеджеров в эту локальную доменную группу.
• Пример "Среда с несколькими доменами в регионах". Предположим, что в компании используется среда с тремя доменами. Корневой домен находится в центральном офисе, а другие домены - в регионах. Менеджерам из всех трех доменов для выполнения задач требуется доступ к расположенной в центральном офисе инвентаризационной БД. Для предоставления доступа необходимо:
  • в каждом домене создать глобальную группу и добавить учетные записи менеджеров в этом домене в эту глобальную группу;
  • создать локальную доменную группу для доступа к инвентарной базе данных в домене центрального офиса;
  • добавить глобальную группу для доступа к базе данных инвентаря в домен центрального офиса;
  • добавить глобальные группы менеджеров из каждого домена в локальную доменную группу базы данных;
  • предоставить права доступа к инвентарной БД локальной доменной группе.