Организация active directory в компании
Самое главное решение, которое необходимо принять на раннем этапе разработки Active Directory, — сколько лесов потребуется. Развертывание единственного леса означает, что будет возможно простое совместное использование ресурсов и доступ к информации в пределах компании. Использование единственного леса для большой корпорации требует высокой степени доверия между разнообразными и, возможно… Читать ещё >
Организация active directory в компании (реферат, курсовая, диплом, контрольная)
При проектировании логической и физической инфраструктуры предприятия необходимо правильно спланировать количество, структуру и дизайн лесов, из которых будет состоять предприятие, где после планирования будут развертываться доменные службы Active Directory.
Служба каталогов Active Directory позволяет:
обеспечивать защиту информации от вмешательства посторонних лиц в рамках, установленных администратором системы;
распространять каталог среди других компьютеров в сети;
проводить репликацию (тиражирование) каталога, делая его доступным для большего числа пользователей и более защищенным от потери данных;
разделять каталог на несколько частей, обеспечивая возможность хранения очень большого числа объектов.
Выбор концепции леса
Самое главное решение, которое необходимо принять на раннем этапе разработки Active Directory, — сколько лесов потребуется. Развертывание единственного леса означает, что будет возможно простое совместное использование ресурсов и доступ к информации в пределах компании. Использование единственного леса для большой корпорации требует высокой степени доверия между разнообразными и, возможно, разъединенными деловыми подразделениями. В конечном счете количество развертываемых лесов зависит от того, что является наиболее важным для компании: легкость совместного использования информации в пределах всех доменов леса или поддержка полностью автономного и изолированного управления частями структуры каталога.
Лес Active Directory предназначен для того, чтобы быть отдельным самодостаточным модулем. Внутри леса должна быть реализована возможность совместно использовать информацию и сотрудничать с другими пользователями из того же самого подразделения. Проектируя самый высокий уровень инфраструктуры Active Directory, необходимо решить, нужно ли развертывать один лес или несколько. Каждый лес является интегрированным модулем Есть несколько случаев, описанных далее, в которых может потребоваться реализация нескольких лесов, однако в принципе следует по возможности избегать использования модели из нескольких лесов по причинам, указанным ниже.
Случаи реализации нескольких лесов:
Объединение двух существующих организаций. Независимо от того, слияние это или поглощение, можно столкнуться с тем, что появятся два полностью раздельных леса, которые нужно связать друг с другом для совместного использования ресурсов.
Создание автономного подразделения. Поскольку леса являются крайними зонами безопасности, отдельный лес можно использовать для того, чтобы создать сеть, в которой администрирование в значительной мере независимо от основного леса.
Создание изолированного подразделения. В изолированном лесу гарантируется, что администратор вне леса не сможет повлиять на управление им.
Недостатки структуры из нескольких лесов. Прежде чем приступить к планированию структуры нескольких лесов, необходимо принять к сведению, что большая часть функциональности, доступной в пределах одного леса, недоступна между лесами. Кроме того, поддержка нескольких лесов требует значительно больше усилий в администрировании, чем поддержка одного леса.
Модель одного леса. Данная модель является простейшей моделью леса и считается низкоуровневой, так как все объекты каталога принадлежат одному лесу и все сетевые ресурсы контролирует одна централизованная ИТ-группа. Такой проект требует минимальных административных расходов и считается самым рентабельным среди всех моделей. Модель одного леса является удачным выбором для малых и средних организаций, где действует лишь одна ИТ-группа и все ее филиалы управляются этой группой из центрального офиса. (Рисунок 2.1.1).
Преимущества.
Возможность сотрудничества. Обмен электронными сообщениями; общий доступ к Интернет-сети; общие документы; общий механизм аутентификации, авторизации и поиска.
Аутентификация Kerberos. Обеспечивает обоюдную аутентификацию и делегирование полномочий.
Автоматические транзитивные доверительные отношения. Между всеми доменами в лесе созданы транзитивные доверительные отношения в иерархическом порядке.
Один глобальный каталог объектов. Информация всех объектов леса сохраняется в каталоге, в котором можно выполнять поиск.
Недостатки.
Невозможность обеспечить независимость от владельцев служб. Невозможность обеспечить автономность службы одного леса, если нет согласия в настройке конфигурации службы.
Невозможно обеспечить изоляцию от владельцев служб. Администратор организации может аннулировать параметры безопасности, установленные владельцами отдельных доменов.
Проблемы репликации из-за больших объемов каталога. Проблема информации уровня леса, подлежащего репликации, в частности данные конфигурации и схема; проблема репликации информации глобального каталога на все серверы глобальных каталогов леса; при избытке информации репликация становится недопустимо медленной.
Исходя из всех достоинств и недостатков, перечисленных выше, в данной организации будет разработана модель одного леса.