Порядок поділу лісів на домени та планування доменів - Планування та розгортання служби доступу до інформаційних ресурсів підприємства

Процес планування доменів [4], як і при плануванні лісу, починається так само з аналізу компанії і формулювання вимог доцільності побудови плану доменів.

Домен - єдина область, в межах якої забезпечується безпека даних в комп'ютерній мережі [2]. Це найважливіша частина в ієрархічній структурі корпоративної мережі. Їй підпорядковані абсолютно всі інші структурні одиниці, такі як сервери, додатки, призначені для користувача пристрої і навіть мережні принтери.

Найпростіша модель "Active Directory" - єдиний домен [2]. У моделі з єдиним доменом всі об'єкти знаходяться в одній зоні безпеки, тому не доводиться займатися плануванням довірчих відносин з іншими доменами. Крім того, при використанні єдиного домену простіше забезпечити централізоване управління мережею. Модель з єдиним доменом спрощує управління користувачами і групами, а також реалізацію групових політик. Стає легше виконувати операції з управління мережею.

Хоча модель єдиного домену дає суттєву перевагу - простоту, іноді доводиться використовувати декілька доменів. Використання кількох доменів[3] є кращим у тих випадках, якщо:

    1) Трафік реплікації повинен бути обмеженим. 2) Між офісами компанії існують повільні мережеві підключення або в офісах є багато користувачів. 3) Необхідність мати різну політику паролів, політику блокування облікових записів і політику квитків "Kerberos". 4) Необхідно обмежувати доступ до ресурсів і мати адміністративні дозволу.

Важливі характеристики домену яких слід враховувати при проектуванні і розгортанню "Active Directory" [4]:

    1) Кордон реплікації. У межах домену реплікується каталог домену, який знаходиться в папці "SYSVOL". Дані зберігаються в "SYSVOL" - це загальнодоступні файли, реплікуємі між усіма контролерами даного домену. Зокрема в ньому зберігаються сценарії реєстрації та деякі об'єкти групової політики. 2) Кордон доступу до ресурсів. Саме кордону домену визначають межі доступу до ресурсів мережі. Межі домену є навіть межами для доступу до ресурсів. За замовчуванням користувачі одного домену не можуть звертатися до ресурсів, розташованим в іншому домені, якщо тільки їм не будуть явно дано відповідні дозволи. 3) Кордон політики безпеки. Ці політики, такі як політика паролів, політика блокування облікових записів і політика квитків Kerberos, застосовуються до всіх облікових записів домену. Ці політики можуть бути змінні на трьох рівнях, а саме:
      - на рівні домену; - на рівні сайту; - на рівні підрозділів.

При цьому варто відзначити, що краще планувати домени так, щоб всі вони входили в одне дерево доменів. Під доменним деревом розуміється набір доменів, що мають загальну логічну структуру і конфігурацію, і утворюють безперервний простір імен. Так як всі домени в одному дереві ділять один простір імен, адміністративні витрати будуть значно нижчими, ніж при використанні декількох дерев.

Оскільки виробничо-комерційна компанія "ANTLERS&;HOOFS" має територіально-розподілену організаційну структуру кращою моделлю розбиття лісу представляється проектування декількох доменів у відповідність з територіальним ознакою.

Також, регіональні домени є дочірніми, між ними і центральним офісом автоматично створюються транзитивні довірчі відносини, що позбавляє адміністратора від ручного конфігурування довіри між доменами.

Похожие статьи




Порядок поділу лісів на домени та планування доменів - Планування та розгортання служби доступу до інформаційних ресурсів підприємства

Предыдущая | Следующая