Проектирование моделей лесов и доменов

Применение одного домена

Простейшая модель Active Directory — единственный домен (рис. 3−1). Подавляющее большинство сетей во всем мире позволяет использовать единственный домен, поэтому такая модель, хотя и может показаться не столь гибкой, как другие, обычно заслуживает самого тщательного рассмотрения. В сущности, при планировании структуры Active Directory полезно всегда исходить из предположения, что будет использоваться один домен, и пытаться остаться в рамках этой модели. Это хороший способ отличить соблазн создать более сложную структуру от действительной необходимости так поступить.

В модели с единственным доменом все объекты находятся в одной зоне безопасности, поэтому не приходится заниматься планированием доверительных отношений с другими доменами или реализовать кросс — доменные аутентификацию и разрешения. Кроме того, при использовании одного домена ИТ отделу гораздо проще обеспечить централизованное управление сетью.

Модель с единственным доменом упрощает управление пользователями и группами, а также реализацию групповых политик. По сути, становится легче выполнять почти все операции по управлению сетью, а значит, требуется меньше усилий на планирование, администрирование и устранение неполадок, что в итоге приведет к сокращению общих затрат.

Домены Active Directory масштабируемы в гораздо большей мере, чем домены Windows NT. Поэтому исчезает существенное препятствие, не позволявшее применять однодоменные сети на основе Windows NT, в которых диспетчер учетных записей безопасности (Security Accounts Manager, SAM) поддерживал только до 40 000 объектов в домене. В отличие от Windows NT в домен Active Directory может входить более миллиона объектов. Для еще большей масштабируемости доменов Active Directory используются два типа элементов: организационные единицы (ОU) и сайты.

В однодоменной модели для делегирования административных разрешений на доступ к объектам домена применяются OU. В Active Directory организационные единицы представляют собой наименьшие элементы, которыми может управлять администратор. В этом состоит отличие Active Directory от доменов Windows NT (в которых наименьшим элементом администрирования был домен), благодаря чему больше нет нужды определять домены исключительно для делегирования административных полномочий. Фактически OU — это контейнеры, в которые можно помещать объекты домена. OU можно назначить административные разрешения и даже вкладывать в другие OU (создавать OU внутри других OU), чтобы обеспечить более тонкое управление.

Как правило, структура OU соответствует функциональной или бизнес-структуре организации. Например, мы могли бы создать по одной OU для каждого территориального участка вашей организации, чтобы местные администраторы получили возможность управлять ресурсами этих участков; при этом все объекты входили бы в один домен. На рис. 3−2 показан один домен, разбитый на OU по географическому принципу.

Рис. 3-2. Применение OU для разделения административных функций между территориальными участками

OU предназначены для логического деления домена, что позволяет делегировать административные полномочия, а сайты используются, чтобы физически разбить домен для управления трафиком репликации между контроллерами домена, связанными WAN — каналами. Сайт — это группа контроллеров домена, находящихся в одной или нескольких IP-подсетях и связанных быстрым и надежным сетевым соединением. Быстрыми считаются соединения со скоростью от 1 Мбит/с. Другими словами, сайт обычно ограничен рамками локальной сети (LAN). Если различные LAN объединены между собой с помощью WAN, мы, скорее всего, создадим по одному сайту для каждой LAN.