Размер домена безопасности
Домены безопасности;
Одним из важных понятий спецификации Сервиса Безопасности является понятие «домена безопасности» (security domain). Доменная структура системы обеспечения безопасности оказывает непосредственное влияние и на совместимость, и на переносимость используемых программных средств, и на уровень сложности администрирования, и на эффективность работы приложений. Спецификация различает три вида доменов безопасности:
- Технологический домен (security technology domain).
В один технологический домен входят приложения, использующие, например, единую систему аутентификации принципалов, одну технологию распространения ключей, одну систему шифрования и/или обеспечения целостности данных, одну систему принятия решения о предоставлении доступа, одну систему аудита и т.д. Решение задачи защищенного взаимодействия при наличии нескольких технологических доменов, как правило, связано с серьезными сложностями. Спецификация Сервиса Безопасности не формализует никаких правил обеспечения взаимодействия в этом случае.
CORBA Security Service обладает очень развитой системой QoS (quality of service), т.е. средствами настройки системы с точки зрения ее оптимизации по различным критериям. Спецификация вводит большое количество политик безопасности. Поскольку в CORBA «единицей защиты» является объект, то на практике защищать каждый объект отдельно совершенно нереально. Вместо этого объекты объединяются в домены политик безопасности (этот подход используется в CORBA не только для политик безопасности, но и вообще для любых политик), и в каждом таком домене единый набор политик относится ко всем объектам данного домена. Как обычно, для управления политиками на уровне домена необходимо определить менеджера этих политик (Policy Manager). Применительно к доменам политик безопасности, такой менеджер часто называется «SecurityAuthority»
Поскольку домены политик безопасности ничем принципиально не отличаются от других доменов политик CORBA, поддерживаются иерархии доменов и объединения (федерации) доменов. Домены могут перекрываться –один и тот же объект может входить в различные домены политик, например, в один домен политик с точки зрения политик управления правами доступа и в другой – с точки зрения политик аудита.
Поскольку CORBA Security Service поддерживает два вида приложений с точки зрения их явного использования API Сервиса, то можно делить домены политик безопасности еще на две группы – домены системных политик безопасности и домены прикладных политик безопасности. Задание и использование системных политик безопасности выполняется силами ORB, Сервиса Безопасности и операционной системы, и приложения об этом может даже не знать,
Рисунок 11.5
- Домен среды безопасности (security environment domain)
Понятие «домена среды безопасности» тесно связано с «доменом политик безопасности». Домен политик – это логическая область с заданным набором политик и их значений. Домен среды – это область, в которой используется некий единый подход, который обеспечивает защиту ресурсов в соответствии с заданными политиками.
Домен среды безопасности – понятие логическое, явно границы таких доменов не определены ни на уровне приложений, ни на уровне самого Сервиса Безопасности. Обычно домены среды безопасности появляются в связи с отказом от использования тех или иных методов защиты данных на уровне Сервиса Безопасности. Например, если шифрование данных используется на уровне транспортного протокола, то нет разумных причин возлагать решение этой задачи на приложение или ORB. Другой пример – отказ от избыточных операций аутентификации принципалов в случае, если между объектами в одном домене среды безопасности установлены доверительные отношения.
С точки зрения организации взаимодействия в защищенной гетерогенной среде, можно также принять во внимание отличия в реализации ORB’ов, введя тем самым, понятие «домена ORB».
Общая схема организации защищенного взаимодействия объектов с учетом наличия различных технологических доменов и доменов ORB может выглядеть так:
Рисунок 11.6
Безопасность компьютерных сетей. Настройка контроллера домена и управление безопасностью домена. Групповая политика безопасности домена
Доброго времени суток уважаемые читатели моего блога по информационной безопасности. В прошлых статьях я рассказывал, как поднять в сети организации домен на основе службы каталогов MS Active Directory и как управлять службой каталогов, создавать организационные юниты и пользователей, подключать компьютеры в домен. Сегодня я хочу рассказать о том, как управлять политиками безопасности домена и службы каталогов.
Для управления безопасностью домена и службой каталогов, прежде всего вам необходимо обладать правами администратора домена. Поэтому прежде чем притупить к настройкам создайте для себя учетную запись, если вы еще этого не сделали, и включите ее в группу администраторы домена. Я не рекомендую вам пользоваться учетной записью «Администратор», т.к. она обезличена, и если в вашей сети есть несколько сотрудников, которые отвечают за настройку и безопасность сети желательно для каждого из них создать в домене учетные записи и назначить по возможности разные права в зависимости от выполняемых функций. После того как вы причислили свою учетную запись к администраторам домена, желательно на учетную запись «Администратор» сменить пароль, запечатать его в конверт и отдать руководителю на сохранение. Для добавления или удаления пользователя в любую группу, в том числе и группу «Администраторы домена» необходимо через оснастку «Active Directory — Пользователи и компьютеры», найти нужного пользователя и открыть его свойства. В свойствах есть закладка «Член групп», в которой перечислены группы, в которых состоит пользователь.
Для добавления пользователя в группу нажмите кнопку «Добавить…», введите имя группы и нажмите кнопку «Проверить имена». Если вы не помните точное имя группы, то можете ввести хотя бы первые символы в названии группы. В результате будет предложено выбрать одну из нескольких найденных групп соответствующих начальным буквам введенного запроса или если будет найдено точное соответствие, то имя группы в строке запроса будет подчеркнута.
После добавления группы пользователю нажмите «Ок»
Добавлять пользователей в группу безопасности можно и по-другому. Найдите в каталоге домена нужную группу, и в ее свойствах откройте вкладку «Члены группы» и нажмите кнопку «Добавить…». Аналогичным образом введите начальные символы в строке запроса, за исключением того что вам нужно вводить уже не имя группы, а сетевое имя пользователя, например p_petrov. Кстати группа «Администраторы домена» по умолчанию входит в группу «Администраторы», и следовательно пользователям данной группы по умолчанию будут представлены все права доступа и управления. Отличие этих групп состоит в том, что группа безопасности «Администраторы» является локальной по отношению к данному домену, в отличии от группы безопасности «Администраторы домена» которая является глобальной, если у вас в сети несколько доменов объеденных в лес. После того как вы добавили себя в группу «Администраторы домена» зайдите на контроллер домена под своей учетной записью для дальнейшего управления службой каталогов.
По умолчанию в новом созданном домене есть уже одна политика безопасности которая применяется ко всему домену. Открыть для редактирования ее можно путем открытия свойств домена и перехода на вкладку «Групповая политика».
Данная политика имеет имя «Default Domain Policy» и распространяет свое действие на весь домен, все его объекты, пользователей, компьютеры, серверы. Обычно в данной групповой политике безопасности определяют такие параметры как аудит событий безопасности, политику паролей, общие права доступа пользователей и другие политики безопасности. Частные политики и настройки касающиеся отдельных процессов и задач решаемых пользователями создаются отдельными групповыми политиками и применяются для отдельных организационных юнитов и даже для отдельных групп пользователей, но об этом по порядку.
Для редактирования данной политики нажмите на данной вкладке кнопку «Изменить». При этом откроется оснастка редактора объекта групповой политики.
Любая групповая политика имеет два раздела — «Конфигурация компьютера» и «Конфигурация пользователя». Отличаются они, кроме составом параметров, еще и тем что политики «Настройка компьютера» применяется к настройкам связанным с настройкой операционной системы и применяется при загрузке операционной системы на компьютере добавленному в домен, еще до момента ввода пользователем пароля и логина. Групповая политика пользователя применяется к настройкам пользователя после прохождения им аутентификации в сети. Таким образом для разных пользователей, даже работающих на одном компьютере могут быть централизовано настроены разные политики. При создании частных политик безопасности для отдельных организационных юнитов в групповой политике компьютера можно, например, определить к каким папкам на компьютере будут иметь доступ пользователи, к какому центру обновлений операционной системы будет подключен данный компьютер, какие программы должны стоять на данном компьютере, и т.п. В групповой политике пользователя обычно настраивают параметры обозревателя Internet Explorer, параметры рабочего стола, разграничивать доступ пользователей к различным ресурсам операционной системы и т.п. Также с помощью групповой политики можно удаленно запускать на компьютере пользователя в момент загрузки операционной системы и аутентификации пользователей различные Java и VB скрипты. Обо всех данных настройках я буду рассказывать в своих последующих статьях, а сейчас давайте рассмотрим поподробней что можно сделать с групповой политикой домена «Default Domain Policy».
Итак, любая политика как я уже говорил, состоит из «Конфигурации компьютера» и «Конфигурации пользователя», которые в свою очередь делятся на три группы — Конфигурация программ, Конфигурация Windows и Административные шаблоны. Конфигурация программ позволяет устанавливать на компьютеры пользователей типовые программы. Данную настройку можно произвести и в данной политике домена, например, настроить установку программного обеспечения которое должно стоять на всех компьютерах пользователей включенных в домен (например, антивирус) но желательно такие настройки все-таки применять к отдельным организационным юнитам, т.к. в домен входят еще и сервера или сторонние компьютеры на которые установка должна проводится выборочно и вручную. Об установке программ на компьютеры пользователей с использованием групповой политики я расскажу в отдельной своей статье. Административные шаблоны в настройках компьютера и пользователя обычно влияют на определенные ветки реестра, влияющие на настройки операционной системы, и применять их на уровне домена также нецелесообразно по той же причине что и установка программ. Оставшаяся политика «Конфигурация Windows» содержит такие настройки как «Параметры безопасности», которые как раз стоит определить на уровне домена. На это есть ряд причин одними из которых является то что некоторые параметры безопасности применяются только на уровне домена (например политика паролей), и то что политика безопасности должна быть одной для всех.
В данных параметрах безопасности, прежде всего, стоит определить политику паролей, блокировки учетных записей, назначение прав пользователя и параметры безопасности.
При двойном щелчке на любом из параметров безопасности открываются его настройки. На вкладке «Описание данного параметра» выводится подробное описание, для чего он служит и на что влияет его включение и отключение.
В таких параметрах безопасности как «Назначение прав пользователя» можно установить права доступа пользователям на определенные виды выполнения задач.
В «Параметрах безопасности» можно настроит общие параметры безопасности компьютера, например, переименовать и отключить системные учетные записи.
Кстати установленные параметры в групповой политике уровня домена можно перекрыть (переопределить) другой политикой, которая применяется к определенному организационному юниту. Например, политику паролей, определенную к домену и соответственно к контроллеру домена, на котором аутентифицируются пользователи, можно переопределить для локальных учетных записей персональных компьютеров пользователей, применив ее к организационному юниту в котором находятся объекты службы каталогов «Компьютеры»
Для того чтобы создать политику необходимо также открыть свойства домена или организационного юнита и перейти на вкладку «Групповая политика». В открывшемся окне можно создать новую, нажав соответствующую кнопку, или выбрать уже существующую, нажав кнопку «Добавить…» и выбрать уже созданную политику в другом организационном юните.
При создании политики, система предложит ввести ее имя. Имена желательно вводить понятными и осмысленными, дабы потом не запутаться в них.
После создания политики можно перейти к ее редактированию путем двойного нажатия кнопкой мышки по ней или нажав кнопку изменить. При этом откроется оснастка редактора только что созданной групповой политики. Стоит отметить, если вы создаете групповую политику для организационного юнита в котором находятся только учетные записи пользователей, то и политику следует настраивать в части «Конфигурация пользователей», и наоборот по отношению к компьютерам.
В заключение сегодняшней статьи хочется сказать о безопасности самой групповой политики безопасности. Открыв свойства групповой политики безопасности, кроме просмотра ее параметров можно изменить параметры безопасности. Основным параметром безопасности, а именно разграничением доступа является, конечно «Чтение» политики и ее применение «Применение групповой политики». По умолчанию политика читается и применяется соответственно всеми кто прошел проверку в домене, т.е. компьютеры, сервера и пользователи, зарегистрированные в домене — встроенный участник безопасности «Прошедшие проверку» в которую входят все объекты службы каталогов.
Это разграничение доступа можно изменить, а именно применение групповой политики безопасности можно ограничить группой компьютеров или группой пользователей. Редактирование политики (запись) по умолчанию разрешено только администраторам. Это правило тоже можно изменить, назначить какого-то отдельно выделенного сотрудника и предоставить ему доступ на запись групповой политики.
На сегодня это все о чем я хотел рассказать. В следующих статьях я постараюсь более подробно останавливаться и рассказывать, на что влияют те или иные параметры групповой политики безопасности.
Разграничение доступа к ресурсам в защищенных версиях операционной системы Windows
Лабораторная работа №4
Цель работы: освоение средств защищенных версий операционной системы Windows, предназначенных для
· разграничения доступа субъектов к принтерам;
· разграничения доступа к разделам реестра;
· обеспечения конфиденциальности папок и файлов с помощью шифрующей файловой системы.
Подготовка к выполнению работы: по материалам лекций вспомнить и подготовить для
включения в отчет о лабораторной работе определения понятий
· монитор безопасности объектов;
· реестр операционной системы;
· контроль целостности объектов;
· ключ симметричного шифрования;
· ключи асимметричного шифрования.
Подготовить для включения в отчет о лабораторной работе ответы на следующие вопросы:
1) каковы возможные пути нарушения политики безопасности в компьютерной системе?
2) какие факторы влияют на определение размеров доменов безопасности?
3) какая информация хранится в реестре Windows?
Порядок выполнения работы:
1. После собеседования с преподавателем и получения допуска к работе войти в систему с указанным общим именем учетной записи (с правами обычного пользователя).
2. Освоить средства разграничения доступа к разделам реестра операционной системы:
· с помощью команды «Выполнить» меню «Пуск» запустить программу редактирования системного реестра regedit;
· с помощью команды «Разрешения» меню «Правка» редактора реестра определить и включить в отчет сведения о правах доступа пользователей к корневым разделам реестра, их владельцах и параметрах политики аудита (кнопка «Дополнительно», вкладки «Разрешения», «Аудит», «Владелец»);
· включить в отчет копии экранных форм, использованных при выполнении данного пункта, и ответ на вопрос, в чем, по-вашему мнению, отличие определения прав на доступ к разделам реестра по сравнению с определением прав на доступ к папкам и файлам.
3. Освоить средства обеспечения конфиденциальности папок и файлов с помощью шифрующей файловой системы:
· выполнить команду «Свойства» контекстного меню папки, содержащей отчеты о ранее выполненных лабораторных работах (или любой другой), и на вкладке «Общие» окна свойств нажать кнопку «Другие»;
· включить выключатель «Шифровать содержимое для защиты данных», нажать кнопку «Применить» и в окне подтверждения изменения атрибутов нажать кнопку «Ok»;
· включить в отчет ответ на вопрос, как визуально выделяются имена зашифрованных файлов и папок;
· выполнить команду «Свойства» контекстного меню папки с отчетами о ранее выполненных лабораторных работах;
· нажать кнопку «Другие» и включить в отчет ответ на вопрос, доступна ли кнопка «Подробно»;
· повторить два предыдущих пункта для одного из файлов с отчетами о ранее выполненных лабораторных работах;
· выйти из системы и войти повторно под именем индивидуальной учетной записи, созданной при выполнении лабораторной работы №1;
· создать произвольный файл (например, с копией описания данной лабораторной работы) в папке «Мои документы» и обеспечить шифрование этого файла;
· выйти из системы и снова войти под именем общей учетной записи, под которой работали первоначально;
· выполнить команду «Свойства» контекстного меню одного из файлов с отчетами о ранее выполненных лабораторных работах, нажать последовательно кнопки «Другие» и «Подробно»;
· в окне подробностей шифрования нажать кнопку «Добавить» и в окне выбора пользователя выбрать имя индивидуальной учетной записи, созданной при выполнении лабораторной работы №1 (или создайте новую учетную запись с правами администратора);
· повторить два предыдущих пункта для всех файлов с отчетами о ранее выполненных работах;
· снова выйти из системы и войти повторно под именем индивидуальной учетной записи, созданной при выполнении лабораторной работы №1;
· убедиться, что под индивидуальной учетной записью можно просматривать и редактировать отчеты о ранее выполненных лабораторных работах;
· включить в отчет копии экранных форм, использованных при выполнении данного пункта, сведения о порядке использования шифрующей файловой системы и ответы на вопросы
¨ как формируется список пользователей, из которого возможен выбор субъектов для совместного доступа к зашифрованным файлам;
¨ связан ли этот список с зарегистрированными в системе пользователями и группами;
¨ каковы функции агента восстановления зашифрованных файлов и как он может быть назначен (воспользуйтесь Справкой Windows).
4. Включить в отчет о лабораторной работе ответы на контрольные вопросы:
· какие дополнительные возможности разграничения доступа к информационным ресурсам предоставляет шифрующая файловая система?
· насколько, на Ваш взгляд, удобно использование шифрующей файловой системы (в том числе при необходимости совместной работы над документами)?
5. Подготовить отчет о выполнение лабораторной работы, который должен включать в себя:
· титульный лист с названиями университета, факультета, кафедры, учебной
· дисциплины и лабораторной работы, номером варианта, фамилиями и инициалами
· студента (студентов) и преподавателя, города и года выполнения работы;
· содержание отчета с постраничной разметкой;
· ответы на вопросы, данные в ходе подготовки к выполнению работы;
· сведения о выполнении работы по пунктам с включением содержания задания,
· копий экранных форм и ответов на вопросы;
· ответы на контрольные вопросы.
Порядок защиты лабораторной работы:
- К защите лабораторной работы допускаются студенты, выполнившие ее в компьютерном классе, предъявившие результаты своей работы преподавателю и подготовившие отчет о выполнении лабораторной работы, содержание которого соответствует п. 9 порядка выполнения работы;
- На защите студенты предъявляют отчет о выполнении лабораторной работы, дают пояснения по деталям выполнения задания и отвечают на вопросы преподавателя.
- По результатам защиты каждому студенту выставляется дифференцированная оценка, учитываемая в при определении его итогового рейтинга за семестр.
- В случае неудовлетворительной оценки по результатам защиты лабораторной работы или пропуска соответствующего занятия студент должен защитить работу повторно в другой день.
Домен безопасности
«. Домен безопасности (security domain): часть автоматизированной системы, которая реализует одни и те же политики безопасности. «
Источник:
» ГОСТ Р ИСО/МЭК ТО 19791-2008. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем»
(утв. и введен в действие Приказом Ростехрегулирования от 18.12.2008 N 525-ст)
«. Домен безопасности (security domain): совокупность активов и ресурсов, подчиненных единой политике безопасности. «
Источник:
» ГОСТ Р ИСО/МЭК 18028-1-2008. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности»
(утв. и введен в действие Приказом Ростехрегулирования от 18.12.2008 N 523-ст)
- POU-домен — POU-domain — .Высококонсервативный элемент семейства ДНК-взаимодействующих регуляторных белков, связывающийся с октамерным мотивом АТГЦАААТ, обнаруженным в составе промоторов
Хорошо иметь собственный домен
Хорошо иметь собственный домен Вспомни, что вызвало у тебя сильные чувства, какое занятие тебя взволновало, и опиши это так, чтобы читатель почувствовал то же самое. Эрнест Хемингуэй Придумав новое слово, запишите его, порадуйтесь своей изобретательности и сразу же идите
2. Королевский домен
Домен чжоуского вана
Домен чжоуского вана Столица вана была перемещена на восток примерно за полвека до наступления периода Чуньцю. Эти полвека — как, впрочем, и первые десятилетия периода Чуньцю — были использованы для обустройства нового местожительства, домена вана в районе Лои
Домен вана, царства Вэй, Сун и Чжэн
Домен вана, царства Вэй, Сун и Чжэн В обстановке постоянных споров и войн, которые вели между собой сильные царства, будь то цивилизованные Цзинь и Ци либо полуварварские Цинь и Чу, осуществляли свою политику и защищали свои интересы царства менее крупные, к числу которых
Домен вана
Домен вана Домен вана, который давно уже не играл в чжоуском Китае ведущей политической роли, оставался сакральным центром Поднебесной. Правда, с течением времени и эта его сакральная функция постепенно деградировала. По воле одного из чжоуских правителей домен в период
Домен
6.1.4. Как домен
6.1.4. Как домен Если проанализировать все параметры, которые мы будем рассматривать в этом разделе, то станет очевидно, что Samba способна заменить Windows- сервер, и рабочие станции на базе Windows не заметят неудобств:? local master = yes — позволяет сделать ваш Samba-сервер основным
Глава 4 Виртуальная география или домен SU
Глава 4 Виртуальная география или домен SU В 1990 году Советский Союз вливался в виртуальное пространство Интернета. В качестве первого решительного шага СССР выделили виртуальный участок в глобальном адресном пространстве – так появился домен SU, который формально
Глава 12 Право на домен
Глава 12 Право на домен Доменные имена давно превратились в важный инструмент бизнеса. Нередки случаи, когда доменное имя представляет собой единственный действительно ценный ресурс той или иной коммерческой компании, а потеря домена эквивалентна потере всего бизнеса.
Отдай мой домен
Отдай мой домен Что нужно знать начинающему администратору домена о правовых хитростях, окружающих доменные имена? Прежде всего необходимо уяснить для себя реальный статус доменов в российском законодательстве. Как ни странно, их статус можно довольно точно описать
АНАЛИЗЫ: Домен — читальня
АНАЛИЗЫ: Домен — читальня Автор: Родион НасакинВ июне прошлого года общественная значимость отечественных электронных библиотек была неожиданно для многих признана государством и оценена в один миллион рублей. Федеральное агентство по печати и массовым коммуникациям
2 Домен Archaea
2 Домен Archaea ФИЛА[4] А1 CrenarchaeotaКЛАСС 1 Thermoprotei (Thermoproteus, Sulfolobus, Acidianus)ФИЛА А2 EuryarchaeotaКЛАСС 1 Methanobacteria (Methanobacterium)КЛАСС 2 Methanococci (Methanococcus, Methanosarcina)КЛАСС 3 Halobacteria (Halobacterium, Natronobacterium)КЛАСС 4 Thermoplasmata (Thermoplasma)КЛАСС 5 Thermococci (Thermococcus)КЛАСС 6 Archaeoglobi (Archaeoglobus)КЛАСС 7 Methanopyri (Methanopyrus)Домен BacteriaФИЛА B1
Домен Людовика
Домен Людовика Когда на сцену вышел Людовик VI[246] – все переменилось. Людовику также была свойственна навязчивая идея всех Капетингов: держаться за столицу королевства, защищать подступы к ней, контролировать дороги, которые к ней ведут, увеличивая вокруг нее свой домен,
Домен
Домен Домен – это адрес сайта или определенная зона, которая имеет свое имя, не похожее ни на одно другое общей в системе доменных имен. Другими словами – это адрес проживания Вашего интернет ресурса.Домены бывают разных уровней. Например, домен первого уровня обычный
Домен
Домен Очень хорошо, если в названии интернет-магазина будет фигурировать какое-то ключевое слово, потому что в дальнейшем это станет преимуществом при его продвижении (это один из факторов ранжирования вашего сайта в поисковых системах). Посмотрите ключевые слова и
Иллюстрированный самоучитель по Microsoft Windows 2003
Доменная структура Active Directory. Домены.
Понятие домена является ключевым для Active Directory. Домены выступают в качестве основного средства формирования пространства имен каталога. Другие уровни формирования структуры каталога сосредотачиваются либо на административной иерархии, либо на физической структуре сети.
Домены
Операционные системы Windows традиционно использовали понятие «домена» для логического объединения компьютеров, совместно использующих единую политику безопасности. Домен традиционно выступает в качестве основного способа создания областей административной ответственности. Как правило, каждым доменом управляет отдельная группа администраторов. В Active Directory понятие домена было расширено.
Перечислим задачи, которые могут быть решены путем формирования доменной структуры.
Создание областей административной ответственности.
Используя доменную структуру, администратор может поделить корпоративную сеть на области (домены), управляемые отдельно друг от друга. Каждый домен управляется своей группой администраторов (администраторы домена). Однако хотелось бы еще раз отметить, что существуют и другие способы формирования административной иерархии (организация подразделений), речь о которых пойдет дальше. С другой стороны, построение доменной иерархии является отличным способом реализации децентрализованной модели управления сетью, когда каждый домен управляется независимо от других. Для этого каждую административную единицу необходимо выделить в отдельный домен.
Создание областей действия политики учетных записей.
Политика учетных записей определяет правила применения пользователями учетных записей и сопоставленных им паролей. В частности задается длина пароля, количество неудачных попыток ввода пароля до блокировки учетной записи, а также продолжительность подобной блокировки. Поскольку эти вопросы решаются организационно на уровне всего домена, данный комплекс мер принято называть политикой учетных записей. (Эти политики нельзя определять на уровне подразделений!)
Разграничение доступа к объектам.
Каждый домен реализует собственные настройки безопасности (включая идентификаторы безопасности и списки контроля доступа). Разнесение пользователей в различные домены позволяет эффективно управлять доступом к важным ресурсам. С другой стороны, применение доверительных отношений (trust relationships) позволяет обеспечить пользователям одного домена доступ к ресурсам других доменов.
Создание отдельного контекста имен для национальных филиалов.
В случае, если компания имеет филиалы, расположенные в других странах, может потребоваться создать отдельный контекст имен для каждого такого филиала. Можно отразить в имени домена географическое либо национальное местоположение филиала.
Изоляция трафика репликации.
Для размещения информации об объектах корпоративной сети используются доменные разделы каталога. Каждому домену соответствует свой раздел каталога, называемый доменным. Все объекты, относящиеся к некоторому домену, помещаются в соответствующий раздел каталога. Изменения, произведенные в доменном разделе, реплицируются исключительно в пределах домена. Соответственно, выделение удаленных филиалов в отдельные домены может позволить существенно сократить трафик, вызванный репликацией изменений содержимого каталога. Необходимо отметить, однако, что домены являются не единственным (и даже не основным) способом формирования физической структуры каталога. Того же самого результата администратор может добиться за счет использования механизма сайтов.
Ограничение размера копии кaталога.
Каждый домен Active Directory может содержать до миллиона различных объектов. Тем не менее, реально использовать домены такого размера непрактично. Следствием большого размера домена является большой размер копии каталога. Соответственно, огромной оказывается нагрузка на серверы, являющиеся носителями подобной копии. Администратор может использовать домены как средство регулирования размера копии каталога.
