Четыре базовые модели организации доменов
Механизм доменов можно использовать на предприятии различными способами. В зависимости от специфики предприятия можно объединить ресурсы и пользователей в различное количество доменов, а также по-разному установить между ними доверительные отношения.
Microsoft предлагает использовать четыре типовые модели использования доменов на предприятии:
- Модель с одним доменом
- Модель с главным доменом
- Модель с несколькими главными доменами
- Модель с полными доверительными отношениями
6.4.1. Модель с одним доменом
Эта модель подходит для организации, в которой имеется не очень много пользователей, и нет необходимости разделять ресурсы сети по организационным подразделениям. Главный ограничитель для этой модели - производительность, которая падает, с увеличением числа серверов в сети.
Преимущества и недостатки модели с одним доменом
Преимущества | Недостатки |
Наилучшая модель для предприятий с небольшим числом пользователей и ресурсов. |
Централизованное управление пользовательской учетной информацией.
Нет нужды в управлении доверительными отношениями.
Локальные группы нужно определять только однажды.
Невозможность группирования ресурсов.
Использование только одного домена также означает, что один сетевой администратор должен администрировать всю сеть. Разделение сети на несколько доменов позволяет назначать несколько администраторов, каждый из которых может администрировать отдельные серверы, входящие в разные домены.
6.4.2. Модель с главным доменом
Эта модель хорошо подходит для предприятий, где необходимо разбить ресурсы на группы в организационных целях, и в то же время количество пользователей и групп пользователей не очень велико. Эта модель сочетает централизацию администрирования с организационными преимуществами разделения ресурсов между несколькими доменами.
Рис. 6.2. Модель с главным доменом
Главный домен удобно рассматривать как чисто учетный домен, основное назначение которого - хранение и обработка пользовательских учетных данных. Остальные домены в сети - это домены ресурсов, они не хранят и не обрабатывают пользовательскую учетную информацию, а поставляют ресурсы (такие как разделяемые файлы и принтеры) для всей сети. В этой модели пользовательскую учетную информацию хранят только основной и резервный контроллеры главного домена.
Преимущества и недостатки модели с главным доменом
Преимущества | Недостатки |
Наилучшая модель для предприятия, у которого не очень много пользователей, а разделяемые ресурсы должны быть распределены по группам. |
Ресурсы логически группируются.
Домены отделов могут иметь своих администраторов, которые управляют ресурсами отдела.
Глобальные группы должны определяться только один раз (в главном домене).
6.4.3. Модель с несколькими главными доменами
Эта модель предназначена для больших предприятий, которые хотят поддерживать централизованное администрирование. Эта модель в наибольшей степени масштабируема.
В данной модели имеется небольшое число главных доменов. Главные домены используются как учетные домены, причем учетная информация каждого пользователя создается только в одном из главных доменов. Сотрудники отдела Автоматизированных Информационных Систем (АИС) предприятия могут администрировать все главные домены, в то время как ресурсные домены могут администрировать сотрудники соответствующих отделов.
Каждый главный домен доверяет всем остальным главным доменам. Каждый домен отдела доверяет всем главным доменам, но доменам отделов нет необходимости доверять друг другу.
Рис. 6.3. Модель с несколькими главными доменами
Так как все ресурсные домены доверяют всем главным, то данные о любом пользователе могут использоваться в любом отделе предприятия.
Использование глобальных групп в этой модели несколько сложнее, чем в предыдущих. Если нужно образовать глобальную группу из пользователей, учетная информация о которых хранится в разных главных доменах, то фактически приходится образовывать несколько глобальных групп - по одной в каждом главном домене. В модели с одним главным доменом нужно образовать только одну глобальную группу.
Чтобы упростить решение этой проблемы, целесообразно распределять пользователей по главным доменам по организационному принципу, а не по какому-либо иному, например, по алфавитному.
Преимущества и недостатки модели с несколькими главными доменами
Преимущества | Недостатки |
Наилучшая модель для предприятия с большим числом пользователей и центральным отделом АИС. |
Ресурсы логически группируются.
Домены отделов могут иметь своих администраторов, которые управляют ресурсами отдела.
В одном домене локализуются не все данные о пользователях.
6.4.4. Модель с полными доверительными отношениями
Эта модель обеспечивает распределенное администрирование пользователей и доменов. В этой модели каждый домен доверяет каждому. Каждый отдел может управлять своим доменом, определяя своих пользователей и глобальные группы пользователей, и они могут использоваться во всех доменах предприятия.
Рис. 6.4. Модель с полными доверительными отношениями
Из-за резкого увеличения числа доверительных отношений эта модель не подходит для больших предприятий. Для n доменов нужно установить n(n-1) доверительных отношений.
Перед созданием доверительных отношений с другим доменом администратор действительно должен быть уверен, что он доверяет администратору этого домена. Администратор доверяющего домена должен отдавать себе отчет в том, что после того, как он предоставляет права глобальным группам учетного (доверяющего) домена, администратор последнего может добавить в глобальную группу нежелательных или непроверенных пользователей. При администрировании главных доменов такая опасность также имеется. Но риск здесь ниже из-за того, что пользователей в главные домены добавляют сотрудники центрального отдела АИС, а не произвольно назначенный администратором сотрудник производственного отдела предприятия.
Преимущества и недостатки модели с полными доверительными отношениями
Преимущества | Недостатки |
Наилучшим образом подходит для предприятий, на которых нет централизованного отдела АИС |
Каждый отдел имеет полное управление над своими пользователями и ресурсами.
Как ресурсы, так и пользователи группируются по отделам.
Каждый отдел должен доверять администраторам других отделов том, что те не включат в состав своих глобальных групп нежелательных пользователей.