Читайте также: |
|
Логічна структура ActiveDirectory залежить від потреб вашої організації. Логічні елементи ActiveDirectory це – ліси, дерева, домени і OU.
Домени
Домен уWindows 2000 дуженагадує домен уWindows NT. Для різнихнамірів і цілей домен є логічноюгрупоюкористувачів і комп'ютерів (об'єктів), якіпов'язані як одиниця для адміністрування і реплікації. Перш за все домен – цеадміністративнаодиниця. Отже, адміністраторцього домену можейогоадмініструвати і для цього не потрібенніхтоінший. Крім того, всіконтролери одного домену повинніздійснюватиреплікацію один з одним.
В Windows 2000 домениіменуютьсявідповіднодо угоди про іменування DNS, а не іменуванняNetBIOS. Прикладом імені домену в ActiveDirectoryможе бути 2000trainers.com. УWindows NT малиобмеженняза величиною, до якої вони могли збільшуватися і цейрозміробмежувавсядопустимимрозміромбазиданих SAM (40 Мб або близько того). Тому доводилосястворюватибезлічдоменівукомпанії, в якійдіялитисячікористувачів і комп'ютерів. Тепер же безлічдоменів не є необхідністю в подібномусценаріїпідWindows 2000, оскількиActiveDirectoryможевміщуватибагатомільйонівоб'єктів. Облікові записи користувачівуWindows 2000 існують так само як уWindows NT. ActiveDirectoryтакождозволяєматибезлічдоменів, формуючиструктури, якіназиваються деревами і лісами.
УWindows 2000 кількадоменівможуть все ж таки знадобитися, особливо у великих організаціях, якіпродовжуютьвимагатинадійного контролю над їхсередовищем, індивідуальністю (як у разірізнихорганізаційниходиниць для веденнябізнесу) і особливого адміністративного контролю. В ActiveDirectoryнабірдоменівможестворюватися в порядку, щонагадує структуру дерева. В цьомувипадку «дочірній» домен успадковуєсвоєім'явід «батьківського» домену:
Рисунок 3.2 – Домени
Кожен домен удереві є окремою і явно виразноюадміністративноюодиницею, так само як і межею для цілейреплікації. Тобто, якщови створили обліковийзапискористувача в домені filial1.firma.uа, то цейобліковийзапис, існуючий на контролері домену, буде реплікований на всіконтролери домену filial2.firma.uа.
Кожен новий «дочірній» домен має transitive (транзитивні) двонаправлені довірчі відносини з «батьківським» доменом. Цедосягається автоматично в ActiveDirectory і дозволяєкористувачам з одного домену дерева мати доступ до ресурсіввіншому. Навіть не маючипрямихдовірчихвідносин, користувачі в filial1 можутьмати доступ до ресурсів (для цього у них повинні бути відповіднідозволи) в filial2 і навпаки, до того ж довірчівідносинитранзитивні (filial1 довіряєсвоєму «батьківському» домену firma, який у свою чергу «довіряє» filial2 – таким чином filial1 довіряєfilial2 і навпаки).
Дерево, у загальних рисах, можна визначити як набір доменів, які пов'язаних відносинами «дочірній»/«батьківський» і підтримуючих пов'язаний простір імен.
Ліс
Ліс – термін, вживаний для описування сукупності ActiveDirectory дерев. Кожне дерево в лісі має власний окремий простір імен. Наприклад, наша фірма володіє ще однією дрібнішою фірмою – ПП Сідоров. ЩобПП Сідоров мало свійвласнийокремийпростірімен, можнадосягтицього,об'єднавши дерева і сформуватиліс, як показано нижче:
Рисунок 3.3 – Ліс
Домен Sidoroff.uа є частиною лісу, так само як і firma.uа, але як і раніше залишається доменом і може мати власне дерево. Слід відзначити, що тут існують транзитивні довірчі відносини між «кореневими» доменами кожного дерева в лісі – це дозволяє користувачам домену acmeplunbing.com мати доступ до ресурсів у дереві firma.uа і навпаки, в той же час відбувається підтримка на перевірку автентичності у власному домені.
Перший домен, створений в лісі, розглядається як «корінь» лісу. Одна з найважливішихособливостейлісу – це те, щокожнийокремий домен підтримуєзагальну схему визначення для різнихоб'єктів і пов'язаних з ними атрибутів, створенях улісі. Важливоусвідомити, щолісможе бути створений з одного дерева, яке міститьусього один домен. Це буде маленький ліс, але формально це буде ліс.
Організаційні одиниці
Організаційні одиниці (звично звані OU) – контейнери усередині ActiveDirectory, які створюються для об'єднання об'єктів з метою делегування адміністративних прав і використання групових політик у домені. OU можуть бути створені для організації об'єктів кількома шляхами відповідно до їх функцій, місцезнаходжень, ресурсами і так далі. Прикладом об'єктів, які можуть бути об'єднані в OU, можуть служити облікові записи користувачів, комп'ютерів, груп і т.д.
OU можемістититількиоб'єкти з того домену, в якому вони розташовані. Такожзверніть увагу, що структура OU може широко варіюватисявідкомпанії до компанії. Вона розробляється з метою полегшанняадмініструванняресурсів і використаннягруповихполітик. Тоді, як повнийадміністративний контроль може бути даний (делегований) користувачу через OU, для великих організацій можливістьматитільки один домен, в якомукожна структура буде мативласний контроль тільки над своєю OU.
Дата добавления: 2015-11-30; просмотров: 30 | Нарушение авторских прав