Light-electric.com

IT Журнал
16 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Объединение разных доменных лесов в один

Объединение разных доменных лесов в один

Объединение разрозненной сетевой инфраструктуры на базе доменных служб Active Directory

Описание задачи

В вашей организации от сотни до нескольких тысяч компьютеров, от пяти до нескольких десятков серверов. Сеть построена на основе решений Microsoft и при этом разрозненна, не имеет четкой структуры и централизованного управления. Общих правил, политик администрирования и безопасности нет. Часто такая ситуация складывается в результате слияния нескольких организаций или когда во время роста организации отсутствовало должное планирование ИТ-инфраструктуры.

В технических терминах проблема заключается в том, что структура ИТ состоит из нескольких лесов Active Directory и, возможно, даже включает в себя рабочие группы. При таком построении сети существенно усложняется поддержка и управление доменами и лесами, поскольку пользователи, компьютеры, группы, другие объекты служб каталога Active Directory создаются в разных лесах. Соответственно, изменения, обеспечивающие работу пользователей в сети, приходится многократно повторять в каждом из лесов и доменов. Возникают сложности при организации доступа к ресурсам, нет возможности централизованного управления компьютерами. Существенно усложняется управление и работа пользователей с приложениями, которые интегрируются со службами каталога Active Directory. Например, при работе с серверами Microsoft Exchange весьма сложно будет организовать поддержку единого пространства электронных адресов и общих адресных книг.

Как следствие, при использовании подобной ИТ-инфраструктуры существенно возрастают расходы на поддержку сети и ИТ-персонал. Из-за отсутствия единых правил администрирования и защиты постоянно возникают проблемы с управлением и информационной безопасностью. Пользователи страдают из-за отсутствия прозрачного доступа ко всем ресурсам организации, усложняется использование программ. От этого возрастает нагрузка и на администраторов сети, и на специалистов службы технической поддержки.

Предлагаемое решение

Вариантом решения проблемы разрозненности информационной среды является объединение всех лесов организации в единый лес, а также введение компьютеров, являющихся членами рабочих групп, в домены вновь созданного леса.

В качестве основной технологии, используемой для внедрения данного решения, будут использоваться службы каталога Active Directory, где будет храниться информация обо всех ресурсах, находящихся в организации.

Внедрение решения состоит из следующих этапов:

Архитектура сети

До внедрения решения сетевая инфраструктура организации состоит из разрозненных лесов, между которыми частично установлены доверительные отношения. Присутствуют также леса и домены, которые не имеют доверительных отношений с остальными лесами и доменами организации. Есть несколько рабочих групп. Общей организации Exchange нет.

После внедрения сетевая инфраструктура состоит из одного леса. Все рабочие группы убраны. Почтовая инфраструктура состоит из одной организации Exchange.

Специалисты Инвенты тщательно спланируют каждый из этапов данного решения. С особым вниманием будет проведен анализ существующей инфраструктуры, на основе которого будет предложено оптимальное для вашей организации решение – это может быть реструктуризация существующего леса или создание новой структуры служб каталога. Перенос пользователей, компьютеров, данных и т.д. из старых лесов в новый будет осуществлен таким образом, чтобы ничего не было потеряно, все пользователи сохранили привычную рабочую среду, а время простоя было минимальным. Объединение организаций Exchange будет проведено так, чтобы все пользователи сохранили привычные адреса электронной почты и при этом получили более удобную единую почтовую среду. Все эти операции наши специалисты проведут в полном соответствии с рекомендациями компании Microsoft.

Требования к аппаратному обеспечению.

Внедрить новую инфраструктуру леса можно на уже имеющихся аппаратных платформах. При этом количество серверов, необходимых для поддержания новой сетевой инфраструктуры, вероятнее всего, сократится.

Требования к программному обеспечению.

Для внедрения решения обычно достаточно уже имеющегося программного обеспечения предприятия, а именно, операционной системы Windows Server 2003 либо более новой. При желании заказчика решение может быть реализовано на Windows Server 2008. Структура почтовых серверов может быть реализована как на основе Exchange Server 2003, так и Exchange Server 2007, в зависимости от пожелания заказчика.

Эффекты от внедрения.

Active Directory — трудности перевода. Часть 3

К концу второй части наша организации доросла до двух офисов, и вы познакомились с понятием сайтов. Вполне может быть, что на этом ваша сеть и остановится в росте, но мы пойдем дальше.

К вам опять подходит Шеф, но теперь сообщает другую новость о том что сегодня за завтраком он купил еще одну фирму . И теперь очень хочет от вас услышать, как вы видите дальнейшую организацию вашей сети. Прежде чем делать какие-то выводы, вы обязаны задать несколько ключевых вопросов.

Первый из которых: Какая схема администрирования будет использоваться?

Вариант А – Централизованная. Это значит, что мы будем иметь один отдел Ай-Ти, пусть и разнесенный территориально. В новой фирме будет сидеть системный администратор, функции и задачи которого будут целиком диктоваться из центрального офиса.

Вариант Б – Децентрализованная. Что в свою очередь определяет наличие двух отделов Ай-Ти, каждый из которых живет по своим правилам с соблюдением партнерских отношений между отделами.

Второй ключевой вопрос: Будет ли связана работа пользователей этих двух компаний?

Вариант А – Совместная работа. Это значит, сотрудники обеих компаний используют общие сервера, общие приложения, базы данных и вдобавок часто ездят друг к другу «в гости» с ноутбуками.

Вариант Б – Самостоятельные фирмы. Как правило, такая схема будет использоваться, если области действия юридических лиц никак не пересекаются. Каждый участник имен свою самостоятельную ай-ти инфраструктуру.

Естественно в жизни возможны не столь четко выраженные ситуации и где-то вы встретите, то что называется «Смешанной схемой» – вроде и не А, но и не Б. В такой ситуации нужен более глубокий анализ, я же буду основываться на комбинации вышеописанных вариантов.

Сценарий 1. Самостоятельные фирмы с Децентрализованным управлением.

Получается, что наши фирмы мало, что объединяет, поэтому введение «новичков» в существующий домен Active Directory будет неправильно как с точки зрения безопасности, так и с точки зрения администрирования. Водитель в машине всегда должен быть один и AD здесь не исключение. Будет правильным создание второй отдельной организации Active Directory, но в документации такое понятие как «организация AD» просто не существует, вместо него используется «Лес Active Directory». Что вкладывается в это понятие?

Лес Active Directory – это самостоятельная организация, использующая Active Directory для аутентификации своих клиентов. В рамках леса любой созданный объект будет нести одинаковый набор атрибут. Создавая, например объект пользователя вы получаете его с несколькими десятками параметров (таких как имя, фамилия, путь к профилю, членство в группах). Если вдруг вы добавите к создаваемым атрибутам еще один, он будет появится для каждого пользователя вне зависимости от того в какой части вашего леса он создан.

В документации это называется схемой Active Directory, если перевести на русский язык получается что схема это концепция, которая определяет какие объекты, мы сможем создать в Active Directory, и как они будут выглядеть. Схема для всего леса едина.

Создав новый лес Active Directory для купленной компании, мы обеспечим максимальную изолированность этих сетей, поскольку лес является границей безопасности. Т.е аутентифицировавшись в своем лесу получить доступ к ресурсам за его пределами по-умолчанию нельзя. Точно также никто не сможет получить доступ к вам.

Рис 1. Схема использования двух лесов

Сценарий 2. Централизованное администрирование связанных компаний.

При таком сценарии с точки зрения налоговой инспекции это разные юридические лица, а если смотреть на айти-инфраструктуру , то компания одна. (общие сервера и общие администраторы). Будет вполне логично ввести компьютеры новой фирмы в существующий домен в нашей организации Active Directory (а правильней лес Active Directory).

Что же произойдет при объединении компьютеров в рамках одного домена?

Во-первых, все будут использовать общие контроллеры домена. Каждый кон
троллер домена будет знать обо всех учетных записях нашего леса Active Directory. Вдобавок к этому члены группы Администраторы домена будут иметь административные привилегии над всеми членами нашего домена. Также все участники получат общие групповые политики (настройки), которые прописаны для всего домена.

Рис 1. Схема использования одного леса и одного домена.

Сценарий 3. Децентрализованное администрирование связанных компаний.

Если же получается сценарий двух разных фирм с разными Ай-Ти отделами (пусть и с высокой степенью доверия) но общими элементами Ай-Ти инфраструктуры (ими могут быть Exchange сервера, сервера с порталами SharePoint и многое другое) то вводить все в один домен очень рискованно. Рано или поздно начнется борьба за звание того «Кто Главнее» между техническими специалистами, а в случае проблем в работе сети перевод стрелок между администраторами будет неизбежен.

Читать еще:  Домен outlook com

Поскольку создание еще одного леса приведет к массе неудобств, нам ничего не остается, как создать еще один самостоятельный домен в уже существующем лесу Active Directory.В одном лесу доменов Active Directory может несколько.

Разбивая нашу сеть на несколько доменов, мы получаем:

  • – Четкое разделение полномочий отделов ай-ти. Каждый отвечает за свой домен.
  • – Спокойствие и уверенность в том, что эксперименты администраторов другово домена не приведут к неработоспособности вашей сети.
  • – Применение разных политик для каждого домена.
  • – Хранения учетных записей вашего домена только на ваших контроллерах домена.
  • – Возможность легко открыть доступ к ресурсам вашего домена для пользователей домена другой фирмы.

Создание нескольких доменов в рамках одного леса подразумевает очень высокую степень доверия между администраторами и связано это с возможностью получить неправомерные привилегии в соседнем домене у всех доменных администраторов леса.

Каждый домен Active Directory имеет собственное имя, базирующееся на системе имен DNS и если представить, что ваш первый домен назывался itband.ru, то возникает вопрос: «Как будет называться новый домен?»

Вариантов несколько:

Первый. Использовать новое уникальное имя домена, например itcommunity.ru. Такой вариант развертывания называется построением нового дерева Active Directory.

Второй. Создать домен, используя существующее пространство имен itband.ru, пример имени нового домена corp.itband.ru. Вариант установки называется “добавить домен в существующее дерево”.

Какой вариант использовать полностью зависит от вас, особой разницы с точки зрения дальнейшей работы Active Directory нет.

Рис 3. Варианты добавления второго домена в лес Active Directory

Резюмируя можно сделать вывод:

Когда вы разворачиваете Active Directory в вашей организации, создается лес, в котором все работают. Лес может состоять из одного или нескольких доменов. Если в лесу только один домен, значит, лес состоит из одного дерева, которое в свою очередь состоит из одного домена. Добавляя новые домены, вы либо расширяете существующее дерево, либо создаете новое.

Рис 4. Диалоговое окно при установке Active Directory

При запуске установки контроллера домена одно из первых диалоговых окон предлагает выбрать какой вариант развертывания Active Directory вы планируете. На Рис.4 производится установка контроллера домена в существующем лесу с созданием нового дерева. В зависимости от выбора на администратора в этом окне строится дальнейший диалог развертывания.

Active Directory простыми словами (База)

Чем поможет Active Directory специалистам?

приведу небольшой список «вкусняшек», которые можно получить развернув Active Directory:

  • единая база регистрации пользователей, которая хранится централизованно на одном либо нескольких серверах; таким образом, при появлении нового сотрудника в офисе вам нужно будет всего лишь завести ему учетную запись на сервере и указать, на какие рабочие станции он сможет получать доступ;
  • поскольку все ресурсы домена индексируются, это дает возможность простого и быстрого поиска для пользователей; например, если нужно найти цветной принтер в отделе;
  • совокупность применения разрешений NTFS, групповых политик и делегирования управления позволит вам тонко настроить и распределить права между участниками домена;
  • перемещаемые профили пользователей дают возможность хранить важную информацию и настройки конфигурации на сервере; фактически, если пользователь, обладающий перемещаемым профилем в домене, сядет работать за другой компьютер и введет свои имя пользователя и пароль, он увидит свой рабочий стол с привычными ему настройками;
  • с помощью групповых политик вы можете изменять настройки операционных систем пользователей, от разрешения пользователю устанавливать обои на рабочем столе до настроек безопасности, а также распространять по сети программное обеспечение, например, Volume Shadow Copy client и т. п.;
  • многие программы (прокси-серверы, серверы баз данныхи др.) не только производства Microsoft на сегодняшний день научились использовать доменную аутентификацию, таким образом, вам не придется создавать еще одну базу данных пользователей, а можно будет использовать уже существующую;
  • использование Remote Installation Services облегчает установку систем на рабочие места, но, в свою очередь, работает только при внедренной службе каталогов.

И Это далеко не полный список возможностей, но об этом позже. Сейчас я постараюсь расскажу саму логику построения Active Directory, но опять стоит выяснить из чего-же из чего-же сделаны наши мальчишьки строится Active Directory — это Домены, Деревья, Леса, Организационные единицы, Группы пользователей и компьютеров.

Домены — Это основная логическая единица построения. В сравнении с рабочими группами домены AD – это группы безопасности, имеющие единую базу регистрации, тогда как рабочие группы – это всего лишь логическое объединение машин. AD использует для именования и службы поиска DNS (Domain Name Server – сервер имен домена), а не WINS (Windows Internet Name Service – сервис имен Internet), как это было в ранних версиях NT. Таким образом, имена компьютеров в домене имеют вид, например, buh.work.com, где buh – имя компьютера в домене work.com (хотя это не всегда так).

Деревья — Это многодоменные структуры. Корнем такой структуры является главный домен, для которого вы создаете дочерние. Фактически Active Directory использует иерархическую систему построения, аналогичную структуре доменов в DNS.

Деревья как логическое построение используются, когда вам нужно разделить филиалы компании, например, по географическим признакам, либо из каких-то других организационных соображений.

AD помогает автоматически создавать доверительные отношения между каждым доменом и его дочерними доменами.

Таким образом, создание домена first.work.com ведет к автоматической организации двухсторонних доверительных отношений между родительским work.com и дочерним first.work.com (аналогично и для second.work.com). Поэтому с родительского домена могут применяться разрешения для дочернего, и наоборот. Нетрудно предположить, что и для дочерних доменов будут существовать доверительные отношения.

Еще одно свойство доверительных отношений – транзитивность. Получаем – для домена net.first.work.com создаются доверительные отношения с доменом work.com.

Лес — Так-же как и деревья это многодоменные структуры. Но лес – это объединение деревьев, имеющих разные корневые домены.

Предположим, вы решили иметь несколько доменов с именами work.com и home.net и создать для них дочерние домены, но из-за того, что tld (top level domain) не в вашем управлении, в этом случае вы можете организовать лес, выбрав один из доменов первого уровня корневым. Вся прелесть создания леса в этом случае – двухсторонние доверительные отношения между двумя этими доменами и их дочерними доменами.

Однако при работе с лесами и деревьями необходимо помнить следующее:

  • нельзя добавить в дерево уже существующий домен
  • нельзя включить в лес уже существующее дерево
  • если домены помещены в лес, их невозможно переместить в другой лес
  • нельзя удалить домен, имеющий дочерние домены

Организационные единицы — впринципе можно назвать субдоменами. позволяют группировать в домене учетные записи пользователей, группы пользователей, компьютеры, разделяемые ресурсы, принтеры и другие OU (Организационные единицы). Практическая польза от их применения состоит в возможности делегирования прав для администрирования этих единиц.

Попросту говоря, Можно назначить администратора в домене, который сможет управлять OU, но не иметь прав для администрирования всего домена.

Важной особенностью OU в отличие от групп является возможность применения к ним групповых политик. «А почему нельзя разбить исходный домен на несколько доменов вместо использования OU?» – спросите вы.

Многие специалисты советуют иметь по возможности один домен. Причина этому – децентрализация администрирования при создании дополнительного домена, так как администраторы каждого такого домена получают неограниченный контроль (напомню, что при делегировании прав администраторам OU можно ограничивать их функционал).

В дополнение к этому для создания нового домена (даже дочернего) нужен будет еще один контроллер. Если же у вас есть два обособленных подразделения, соединенных медленным каналом связи, могут возникнуть проблемы с репликацией. В этом случае более уместным будет иметь два домена.

Также существует еще один нюанс применения групповых политик: политики, в которых определены настройки паролей и блокировки учетных записей могут применяться только для доменов. Для OU эти настройки политик игнорируются.

Сайты — Это способ физического разделения службы каталогов. По определению сайт – это группа компьютеров, соединенных быстрыми каналами передачи данных.

Такое разбиение AD не влияет на принципы логического построения, поэтому как сайт может содержать в себе несколько доменов, так и наоборот, домен может содержать несколько сайтов. Но такая топология службы каталогов таит в себе подвох. Как правило, для связи с филиалами используется Интернет – очень небезопасная среда. Многие компании используют средства защиты, например, брандмауэры. Служба каталогов в своей работе использует около полутора десятков портов и служб, открытие которых для прохождения трафика AD через брандмауэр, фактически выставит ее «наружу». Решением проблемы является использование технологии туннелирования, а также наличие в каждом сайте контроллера домена для ускорения обработки запросов клиентов AD.

Читать еще:  Psexec в домене

Представлена логика вложенности составляющих службы каталогов. Видно, что лес содержит два дерева доменов, в которых корневой домен дерева, в свою очередь, может содержать OU и группы объектов, а также иметь дочерние домены (в данном случае их по одному у каждого). Дочерние домены также могут содержать группы объектов и OU и иметь дочерние домены (на рисунке их нет). И так далее. Напомню, что OU могут содержать OU, объекты и группы объектов, а группы могут содержать другие группы.

Группы пользователей и компьютеров — используются для административных целей и имеют такой же смысл, как и при использовании на локальных машинах в сети. В отличие от OU, к группам нельзя применять групповые политики, но для них можно делегировать управление. В рамках схемы Active Directory выделяют два вида групп: группы безопасности (применяются для разграничения прав доступа к объектам сети) и группы распространения (применяются в основном для рассылки почтовых сообщений, например, в сервере Microsoft Exchange Server).

Они подразделяются по области действия:

  • универсальные группы могут включать в себя пользователей в рамках леса, а также другие универсальные группы или глобальные группы любого домена в лесу
  • глобальные группы домена могут включать в себя пользователей домена и другие глобальные группы этого же домена
  • локальные группы домена используются для разграничения прав доступа, могут включать в себя пользователей домена, а также универсальные группы и глобальные группы любого домена в лесу
  • локальные группы компьютеров – группы, которые содержит SAM (security account manager) локальной машины. Область их распространения ограничивается только данной машиной, но они могут включать в себя локальные группы домена, в котором находится компьютер, а также универсальные и глобальные группы своего домена или другого, которому они доверяют. Например, вы можете включить пользователя из доменной локальной группы Users в группу Administrators локальной машины, тем самым дав ему права администратора, но только для этого компьютера

Модели построения лесов и детализация доменной структуры

Применение нескольких лесов

Леса представляют собой крайние границы зон безопасности. Между лесами невозможно административное управление или пользовательский доступ , если на то нет явного разрешения в конфигурации. Для этого предназначен тип доверия, введенный в Windows Server 2003, — доверие к лесу ( forest trust), применяемый при управлении отношениями между двумя лесами.

Доверие к лесу не является транзитивным на уровне лесов. Другими словами, если первый лес доверяет второму, а второй — третьему, то это еще не означает, что первый автоматически доверяет третьему. Также необходимо учитывать, что для использования доверия к лесу нужно, чтобы оба леса находились на функциональном уровне Windows 2003 — все контроллеры доменов в обоих лесах должны работать под управлением Windows Server 2003.

Есть несколько случаев, описанных далее, в которых может потребоваться реализация нескольких лесов, однако в принципе следует по возможности избегать использования модели из нескольких лесов по причинам, указанным ниже.

Случаи реализации нескольких лесов

Реализация модели построения нескольких лесов допускается в следующих случаях [ 3 ] :

  • Объединение двух существующих организаций. Независимо от того, слияние это или поглощение, можно столкнуться с тем, что появятся два полностью раздельных леса, которые нужно связать друг с другом для совместного использования ресурсов. Эта связь может быть временной, если в дальнейшем один лес планируется сделать частью другого, или постоянной, если обе компании должны остаться относительно автономными.
  • Создание автономного подразделения. Поскольку леса являются крайними зонами безопасности, отдельный лес можно использовать для того, чтобы создать сеть, в которой администрирование в значительной мере независимо от основного леса. В таком случае для отдельного леса схема может поддерживаться и изменяться, не оказывая влияния на другие леса.
  • Создание изолированного подразделения. В изолированном лесу гарантируется, что администратор вне леса не сможет повлиять на управление им.

Недостатки структуры из нескольких лесов

Прежде чем приступить к планированию структуры нескольких лесов, необходимо принять к сведению, что большая часть функциональности, доступной в пределах одного леса, недоступна между лесами. Кроме того, поддержка нескольких лесов требует значительно больше усилий в администрировании, чем поддержка одного леса.

Архитектура с несколькими лесами имеет следующие недостатки [ 3 ] .

  • При поиске ресурсов от пользователей требуется более высокий уровень подготовки. С точки зрения пользователя, поиск ресурсов в рамках одного леса сравнительно прост благодаря единому глобальному каталогу. При наличии нескольких лесов существует несколько глобальных каталогов, и пользователям приходится указывать, в каком лесу вести поиск ресурсов.
  • Сотрудники, которым требуется входить на компьютеры, включенные во внешние леса, должны указывать при входе основное имя пользователя (User Principal Name, UPN) по умолчанию. От таких сотрудников также требуется более высокий уровень подготовки.
  • Администраторам приходится хранить несколько схем.
  • Для каждого леса используются отдельные контейнеры конфигурации. Изменения в топологии необходимо реплицировать в другие леса.
  • Любую репликацию информации между лесами приходится настраивать вручную. Администраторы должны конфигурировать разрешение DNS-имен между лесами, чтобы обеспечить функционирование контроллеров доменов и поддержку поиска ресурсов.
  • Администраторам приходится настраивать списки управления доступом (ACL) к ресурсам, чтобы соответствующие группы из разных лесов могли обращаться к этим ресурсам, а также создавать новые группы, чтобы можно было использовать роли одних лесов в других лесах.
  • Часто для наблюдения за отдельными лесами и управления ими нужен дополнительный персонал, а значит расходуются средства на подготовку большего штата сотрудников и на оплату их труда.

Детализация доменной структуры

Для детализации доменной структуры компании необходимо предварительно выбрать оптимальную структуру леса. Варианты построения лесов были приведены в предыдущем разделе. Теперь необходимо определиться с вариантами детализации доменной структуры, которые будут описаны более подробно в следующих подразделах:

  • Вариант 1 «Повторение существующей доменной структуры».
  • Вариант 2 «Несколько лесов, минимальное количество доменов».
  • Вариант 3 «Единый лес».

Повторение существующей доменной структуры

Домен для миграции существует в отдельном лесу. Необходимо создание двух учетных записей для каждого пользователя центрального офиса и регионального пользователя: одну в создаваемом домене, другую — в существующем. Все ресурсы DMZ (а также front-end почтовые сервера) располагаются в дочернем домене ( DMZ Internal VLAN). При этом доступ учетных записей пользователей из существующего домена к ресурсам нового домена автоматически запрещен на уровне доверительных отношений между доменами. Учетным записям пользователей в мигрируемом домене дано право доступа к почтовому ящику соответствующего пользователя в создаваемом домене. Почтовые ящики пользователей находятся на сервере нового домена (LAN центрального офиса). Для упрощения создания двойной учетной записи можно использовать продукт «Microsoft Metadirectory Service» ( MMS ).

Необходимо отметить, что при создании DMZ в регионах по схеме, аналогичной центральному офису, неизбежно внедрение еще одного леса Active Directory для каждого региона и синхронизация этого леса с остальными лесами.

Плюсы данного варианта:

  • структура Active Directory приближена к существующей доменной структуре, не потребует дополнительной конфигурации сетевого оборудования;
  • пользователи, находясь внутри корпоративной сети, смогут получить доступ к ресурсам всей сети (регионы и центральный офис) согласно правам доступа.
  • ведение двойной базы данных учетных записей пользователей;
  • использование продукта MMS для синхронизации каталогов.

Несколько лесов, минимальное количество доменов

Данная схема предлагает консолидировать создаваемый домен и его дочерний домен в единый домен. Домен для миграции существует в отдельном лесу.

Необходимо создание двух учетных записей для каждого пользователя центрального офиса и регионального пользователя: одну в новом домене, другую — в существующем домене. Все ресурсы DMZ (а также front-end почтовые серверы) располагаются в создаваемом домене ( DMZ Internal VLAN). Контроллеры нового домена находятся в зонах LAN и DMZ . При этом доступ учетных записей пользователей из существующего домена к ресурсам создаваемого домена, находящимся в зоне LAN, должен быть запрещен выставлением прав доступа к объектам нового домена и/или правилами на брандмауэре. Учетным записям пользователей в мигрируемом домене дано право доступа к почтовому ящику соответствующего пользователя в создаваемом домене. Почтовые ящики пользователей находятся на сервере нового домена (LAN центрального офиса). Для упрощения создания двойной учетной записи можно использовать продукт «Microsoft Metadirectory Service» ( MMS ), позволяющий синхронизовать объекты различных каталогов.

Читать еще:  Ip адрес доменное имя vpn сервера

Необходимо отметить, что при создании DMZ в регионах по схеме, аналогичной центральному офису, неизбежно внедрение еще одного леса Active Directory для каждого региона и синхронизация этого леса с остальными лесами.

Плюсы данного варианта:

  • структура Active Directory приближена к существующей доменной структуре, не потребует дополнительной конфигурации сетевого оборудования;
  • пользователи, находясь внутри корпоративной сети, смогут получить доступ к ресурсам всей сети (регионы и центральный офис) согласно правам доступа;
  • по сравнению с вариантом № 1 уменьшено количество доменов, в том числе сокращено количество используемых компьютеров и административная нагрузка.
  • ведение двойной базы данных учетных записей пользователей;
  • использование продукта MMS для синхронизации каталогов.

Единый лес

Негативным моментом предыдущих вариантов является существование двух лесов Active Directory, что заставляет внедрять дополнительную систему синхронизации двух лесов или вести дублирующие записи в двух лесах (фактически ручная синхронизация). Возникает желание уйти от существования двух лесов.

В данном варианте построения Active Directory все домены находятся в общем лесу. Бывший домен, подготовленный для миграции, отсутствует: он может быть дочерним по отношению к создаваемому домену или корневому домену.

Данный вариант построения Active Directory позволяет избежать ведения двух учетных записей для каждого пользователя. Все ресурсы DMZ (а также front-end почтовые серверы) располагаются в дочернем домене ( DMZ Internal VLAN). Почтовые ящики пользователей находятся на сервере нового домена (LAN центрального офиса). Учетные записи пользователей центрального офиса заведены в создаваемом домене. Учетные записи мобильных пользователей, требующих доступ к ресурсам зоны DMZ Internal, заведены в дочернем домене. Для таких пользователей доступ к ресурсам будет ограничен с применением прав доступа пользователей и групповой политики дочернего домена. В частности, используя группу Domain Users дочернего домена, возможно настроить автоматический первоначальный запрет доступа к ресурсам Active Directory для новых пользователей для повышения безопасности системы.

Плюсы данного варианта:

  • уникальность учетных записей в пределах Active Directory для любого пользователя;
  • пользователи, находясь как внутри корпоративной сети, так и в Интернете, смогут получить доступ к ресурсам всей сети (регионы и центральный офис) согласно правам доступа.

Минус данного варианта: модернизация сетевой инфраструктуры компании, в которой планируется развернуть службу Active Directory.

Назначение владельцев доменов

Для каждого из доменов, включенных в проект Active Directory , необходимо назначить владельца домена. В большинстве случаев владельцы домена являются администраторами подразделений, в которых был определен домен .

Роль владельца домена состоит в управлении индивидуальным доменом [ 13 ] .

  • Создание политик безопасности уровня домена. Это включает политику паролей, политику блокировки учетных записей и политику аутентификации по протоколу Kerberos .
  • Проектирование конфигурации групповой политики (Group Policy) уровня домена. Владелец домена может проектировать групповую политику для всего домена и делегировать право связывать групповую политику с администратором уровня OU.
  • Создание в домене OU-структуры высокого уровня. После этого задача создания подчиненных OU может быть передана администраторам уровня OU.
  • Делегирование административных прав в пределах домена. Владелец домена должен установить административную политику уровня домена (включая политики схем именования, проекта групп и т. д.), а затем делегировать права администраторам уровня OU.
  • Управление административными группами уровня домена. Как уже говорилось, администраторы в каждом домене должны иметь высокую степень доверия, потому что их действия могут вызывать последствия на уровне леса. Роль владельца домена состоит в ограничении членства административной группы уровня домена и в делегировании административных прав низшего уровня всегда, когда это возможно.

Краткие итоги

В этой лекции дано описание различных моделей (с указанием достоинств и недостатков) построения лесов Active Directory :

  • Вариант 1 «Единый лес, каждый регион — отдельное дерево».
  • Вариант 2 «Единый лес, административный корневой домен, каждый регион — домен».
  • Вариант 3 «Единый лес, каждый регион — дочерний домен центрального домена».

Приведены случаи реализации нескольких лесов и указаны недостатки структуры Active Directory , состоящей из нескольких лесов.

После выбора модели структуры леса необходимо определиться с вариантами (учитывая приведенные плюсы и минусы каждого варианта) детализации доменной структуры:

  • Вариант 1 «Повторение существующей доменной структуры».
  • Вариант 2 «Несколько лесов, минимальное количество доменов».
  • Вариант 3 «Единый лес».

Для каждого из доменов, включенных в проект Active Directory , необходимо назначить владельца домена, который будет управлять индивидуальным доменом, а именно:

Active Directory: леса и домены

Лес Active Directory определяет набор одного или нескольких доменов, использующих одни и те же схему, конфигурацию и глобальный каталог. Кроме этого, все домены участвуют в двусторонних транзитивных отношениях доверия. Обратим внимание на термины, которые используются в определении леса.

  • Домен — домен предоставляет способ организации и защиты объектов, например, пользователей и компьютеров, которые являются частью одного пространства имен. Например, windata.ru и ebay.com являются доменами. Компьютеры в каждом домене используют одинаковую конфигурацию домена и могут являться объектом применения политик и ограничений, устанавливаемых администратором домена. Использование доменов позволяет упростить обеспечение безопасности в масштабе предприятия.
  • Схема — схема Active Directory используется совместно всеми доменами в пределах леса. Схема это конфигурационная информация, которая управляет структурой и содержимым каталога.
  • Конфигурация — конфигурация определяет логическую структуру леса, например, число и конфигурацию сайтов в пределах леса.
  • Глобальный каталог — глобальный каталог можно воспринимать в виде справочника для леса. Глобальный каталог содержит информацию о всех объектах леса включая информацию о расположении объектов. Кроме этого, глобальный каталог содержит информацию о членстве в универсальных группах.
  • Доверие — доверие предоставляет различным доменам возможность работать вместе. Без доверия домены работают как отдельные сущности, то есть пользователи из домена A не смогут получать доступ к ресурсам в домене B. Если отношение доверия устанавливается между доменами таким образом, что домен B доверяет домену A, то пользователи домена A смогут получать доступ к ресурсам домена B, если у них есть соответствующие разрешения.

Существует три основных типа отношений доверия.

  • Транзитивные — транзитивные отношения доверия создаются автоматически между доменами одного леса. Они позволяют пользователям любого домена потенциально получать доступ к ресурсам любого другого домена этого леса, если у пользователей есть соответствующие права доступа.
  • Shortcut — это отношение доверия между доменами одного леса, которые уже имеют транзитивное отношение доверия. Такое отношение доверия предоставляет более быструю аутентификацию и проверку доступа к ресурсам между несоседними доменами леса.
  • Внешние — внешние отношения доверия позволяют доменам из различных лесов совместно использовать ресурсы. Такие отношения доверия не являются транзитивными, то есть они относятся только к тем доменам, для которых они создавались.

Выяснив значение базовых терминов, рассмотрим пример леса. Далее представлен единый лес, который содержит два дерева доменов.

На рисунке показаны четыре домена aw.net, west.aw.net, east.aw.net и person.net. Домены aw.net, west.aw.net и east.aw.net находятся в одном дереве доменов, так как они используют одно пространство имен (aw.net).

Домен person.net находится в другом дереве, так как он не является частью пространства имен aw.net. Обратите внимание, что в пределах домена east.aw.net (который не подписан) показаны символы OU. OU – это организационные подразделения (organizational units), которые будут рассматриваться в очередной статье.

Стрелки на рисунке представляют транзитивные отношения доверия, которые автоматически создаются при первоначальной настройке доменов в пределах леса. Обратите внимание, что дочерние домены (east и west) домена aw.net не связаны непосредственно с доменом person.net. Несмотря на это они доверяют домену person.net.

Причиной доверия является доверие дочерних доменов домену aw.net. Так как домен aw.net доверяет домену person.net, дочерние домены aw.net тоже доверяют домену person.net. Зная это, можно представить домены Active Directory в виде маленьких детей. Они безоговорочно верят всему, что говорят родители. Если родитель сообщает, что другому домену можно доверять, значит это именно так и есть.

Но разница между детьми и дочерними доменами заключается в том, что дочерние домены всегда соглашаются и не задают вопросов родителю.

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector
×
×