• Статья

Active Directory — трудности перевода. Часть 3

К концу второй части наша организации доросла до двух офисов, и вы познакомились с понятием сайтов. Вполне может быть, что на этом ваша сеть и остановится в росте, но мы пойдем дальше.

К вам опять подходит Шеф, но теперь сообщает другую новость о том что сегодня за завтраком он купил еще одну фирму . И теперь очень хочет от вас услышать, как вы видите дальнейшую организацию вашей сети. Прежде чем делать какие-то выводы, вы обязаны задать несколько ключевых вопросов.

Первый из которых: Какая схема администрирования будет использоваться?

Вариант А – Централизованная. Это значит, что мы будем иметь один отдел Ай-Ти, пусть и разнесенный территориально. В новой фирме будет сидеть системный администратор, функции и задачи которого будут целиком диктоваться из центрального офиса.

Вариант Б – Децентрализованная. Что в свою очередь определяет наличие двух отделов Ай-Ти, каждый из которых живет по своим правилам с соблюдением партнерских отношений между отделами.

Второй ключевой вопрос: Будет ли связана работа пользователей этих двух компаний?

Вариант А – Совместная работа. Это значит, сотрудники обеих компаний используют общие сервера, общие приложения, базы данных и вдобавок часто ездят друг к другу «в гости» с ноутбуками.

Вариант Б – Самостоятельные фирмы. Как правило, такая схема будет использоваться, если области действия юридических лиц никак не пересекаются. Каждый участник имен свою самостоятельную ай-ти инфраструктуру.

Естественно в жизни возможны не столь четко выраженные ситуации и где-то вы встретите, то что называется «Смешанной схемой» - вроде и не А, но и не Б. В такой ситуации нужен более глубокий анализ, я же буду основываться на комбинации вышеописанных вариантов.

Сценарий 1. Самостоятельные фирмы с Децентрализованным управлением.

Получается, что наши фирмы мало, что объединяет, поэтому введение «новичков» в существующий домен Active Directory будет неправильно как с точки зрения безопасности, так и с точки зрения администрирования. Водитель в машине всегда должен быть один и AD здесь не исключение. Будет правильным создание второй отдельной организации Active Directory, но в документации такое понятие как «организация AD» просто не существует, вместо него используется «Лес Active Directory». Что вкладывается в это понятие?

Лес Active Directory – это самостоятельная организация, использующая Active Directory для аутентификации своих клиентов. В рамках леса любой созданный объект будет нести одинаковый набор атрибут. Создавая, например объект пользователя вы получаете его с несколькими десятками параметров (таких как имя, фамилия, путь к профилю, членство в группах). Если вдруг вы добавите к создаваемым атрибутам еще один, он будет появится для каждого пользователя вне зависимости от того в какой части вашего леса он создан.

В документации это называется схемой Active Directory, если перевести на русский язык получается что схема это концепция, которая определяет какие объекты, мы сможем создать в Active Directory, и как они будут выглядеть. Схема для всего леса едина.

Создав новый лес Active Directory для купленной компании, мы обеспечим максимальную изолированность этих сетей, поскольку лес является границей безопасности. Т.е аутентифицировавшись в своем лесу получить доступ к ресурсам за его пределами по-умолчанию нельзя. Точно также никто не сможет получить доступ к вам.

Рис 1. Схема использования двух лесов

Сценарий 2. Централизованное администрирование связанных компаний.

При таком сценарии с точки зрения налоговой инспекции это разные юридические лица, а если смотреть на айти-инфраструктуру , то компания одна. (общие сервера и общие администраторы). Будет вполне логично ввести компьютеры новой фирмы в существующий домен в нашей организации Active Directory (а правильней лес Active Directory).

Что же произойдет при объединении компьютеров в рамках одного домена?

Во-первых, все будут использовать общие контроллеры домена. Каждый контроллер домена будет знать обо всех учетных записях нашего леса Active Directory. Вдобавок к этому члены группы Администраторы домена будут иметь административные привилегии над всеми членами нашего домена. Также все участники получат общие групповые политики (настройки), которые прописаны для всего домена.

Рис 1. Схема использования одного леса и одного домена.

Сценарий 3. Децентрализованное администрирование связанных компаний.

Если же получается сценарий двух разных фирм с разными Ай-Ти отделами (пусть и с высокой степенью доверия) но общими элементами Ай-Ти инфраструктуры (ими могут быть Exchange сервера, сервера с порталами SharePoint и многое другое) то вводить все в один домен очень рискованно. Рано или поздно начнется борьба за звание того «Кто Главнее» между техническими специалистами, а в случае проблем в работе сети перевод стрелок между администраторами будет неизбежен.

Поскольку создание еще одного леса приведет к массе неудобств, нам ничего не остается, как создать еще один самостоятельный домен в уже существующем лесу Active Directory.В одном лесу доменов Active Directory может несколько.

Разбивая нашу сеть на несколько доменов, мы получаем:

  • — Четкое разделение полномочий отделов ай-ти. Каждый отвечает за свой домен.
  • — Спокойствие и уверенность в том, что эксперименты администраторов другово домена не приведут к неработоспособности вашей сети.
  • — Применение разных политик для каждого домена.
  • — Хранения учетных записей вашего домена только на ваших контроллерах домена.
  • — Возможность легко открыть доступ к ресурсам вашего домена для пользователей домена другой фирмы.

Создание нескольких доменов в рамках одного леса подразумевает очень высокую степень доверия между администраторами и связано это с возможностью получить неправомерные привилегии в соседнем домене у всех доменных администраторов леса.

Каждый домен Active Directory имеет собственное имя, базирующееся на системе имен DNS и если представить, что ваш первый домен назывался itband.ru, то возникает вопрос: «Как будет называться новый домен?»

Вариантов несколько:

Первый. Использовать новое уникальное имя домена, например itcommunity.ru. Такой вариант развертывания называется построением нового дерева Active Directory.

Второй. Создать домен, используя существующее пространство имен itband.ru, пример имени нового домена corp.itband.ru. Вариант установки называется “добавить домен в существующее дерево”.

Какой вариант использовать полностью зависит от вас, особой разницы с точки зрения дальнейшей работы Active Directory нет.

Рис 3. Варианты добавления второго домена в лес Active Directory

Резюмируя можно сделать вывод:

Когда вы разворачиваете Active Directory в вашей организации, создается лес, в котором все работают. Лес может состоять из одного или нескольких доменов. Если в лесу только один домен, значит, лес состоит из одного дерева, которое в свою очередь состоит из одного домена. Добавляя новые домены, вы либо расширяете существующее дерево, либо создаете новое.

Рис 4. Диалоговое окно при  установке Active Directory

При запуске установки контроллера домена одно из первых диалоговых окон предлагает выбрать какой вариант развертывания Active Directory вы планируете. На Рис.4 производится установка контроллера домена в существующем лесу с созданием нового дерева. В зависимости от выбора на администратора в этом окне строится дальнейший диалог развертывания.

Автор статьи:Илья Рудь