Проектирование структуры леса

Самое главное решение, которое вы должны принять на раннем этапе разработки, - сколько лесов вам потребуется. Развертывание единственного леса Active Directory означает, что будет возможно простое совместное использование ресурсов и доступ к информации в пределах компании. Использование единственного леса для большой корпорации требует высокой степени доверия между разнообразными и, возможно, разъединенными деловыми подразделениями. В конечном счете, количество развертываемых лесов зависит от того, что является наиболее важным для вашей компании: легкость совместного использования информации в пределах всех доменов леса или поддержка полностью автономного и изолированного управление частями структуры каталога.

Участие бизнес-заказчиков в проектировании Active Directory

Когда вы проектируете Active Directory для корпорации, важно вовлечь управление компании в этот процесс. Пользователи-бизнесмены являются основными потребителями услуг, которые обеспечивает инфраструктура информационных технологий (IT), поэтому необходимо, чтобы ваш проект удовлетворял их требованиям и имел поддержку со стороны руководства.

Степень участия деловых подразделений в проектировании сильно зависит от компаний. Практически в каждой организации она выражается, по крайней мере, в одобрении высокоуровневых задач проекта. Эти задачи касаются вопросов доступности информации, безопасности, простоты управления и практичности. Менеджеры обычно включаются в принятие решений, которые не могут быть изменены сразу после развертывания. Среди этих решений — вопрос о том, сколько лесов и доменов требуется сети и сколько должно быть развернуто доменных пространств имен.

Леса и проект Active Directory

Лес Active Directory предназначен для того, чтобы быть отдельным самодостаточным модулем. Внутри леса легко совместно использовать информацию и сотрудничать с другими пользователями из того же самого подразделения. Однако действия одного человека могут воздействовать на каждого члена леса. Проектируя самый высокий уровень инфраструктуры Active Directory, вы должны решить, нужно ли вам развертывать один лес или несколько. Каждый лес является интегрированным модулем, потому что он включает следующее.

• Глобальный каталог. Лес имеет один глобальный каталог (GC). Каталог GC облегчает поиск объектов в любом домене леса и вход на любой домен леса независимо от того, на каком домене зарегистрирована учетная запись пользователя.
• Раздел конфигурации каталога. Все контроллеры домена совместно используют один и тот же раздел конфигурации каталога. Эта информация используется для оптимизации репликации информации в пределах леса, для хранения приложений и информации Active Directory, поддерживающей приложения, и для совместного использования информации с помощью раздела приложений каталога.
• Доверительные отношения. Все домены в лесу связаны двухсторонними транзитивными доверительными отношениями. Не существует никакой опции, позволяющей изменить это.

Примечание. Использования одного леса для облегчения сотрудничества можно рассмотреть на примере Microsoft Exchange Server 2000. Граница леса является также границей организации в Exchange Server 2000. Exchange Server 2000 хранит большую часть своей конфигурационной информации в разделе конфигурации каталога, облегчая управление маршрутизацией сообщений в пределах большой организации. Глобальный список адресов (GAL - Global Address List) состоит из всех почтовых получателей в каталоге GC. Наличие единой организации Exchange Server 2000 желательно для большинства компаний. В пределах одной организации календарная информация и общие папки доступны каждому, многие типы сотрудничества допускаются по умолчанию. Как только вы развернете несколько лесов, многие из этих преимуществ будут потеряны или их будет труднее конфигурировать.

В то время как служба Active Directory облегчает совместное использование информации, она предписывает множество ограничений, которые требуют, чтобы различные подразделения в компании сотрудничали различными способами. Эти ограничения включают следующее.

• Одна схема. Все домены в лесу используют одну схему. Это обстоятельство как будто упрощает дело, но оно может быть одной из причин развертывания нескольких лесов в корпорации. Если одно подразделение решает развертывать приложение, которое изменяет схему, то это оказывает воздействие на все подразделения. Возможно, вам покажется, что такое событие не будет иметь большого воздействия на всю службу, но оно может стать непреодолимым, если двадцать подразделений решат, что им требуется развернуть приложения, изменяющие схему. Каждая модификация схемы должна быть проверена для гарантии того, что она не находится в противоречии с другими изменениями схемы. Это потребует значительного времени и усилий.
• Централизованное управление. Развертывание единственного леса означает, что некоторые компоненты сетевого управления должны быть централизованы. Например, единственная группа, обладающая правом изменять схему, — это группа Schema Admins (Администраторы схемы). Единственная группа, обладающая правом добавлять и удалять домены из леса, - это группа Enterprise Admins (Администраторы предприятия). Группа Enterprise Admins автоматически добавляется к домену локальной группы Administrators (Администраторы) на каждом контроллере домена в лесу. Для некоторых компаний этот тип централизованной администрации неприемлем. Это относится к компаниям, осуществляющим переход от Windows NT 4, которая не предписывают централизованное управление между несколькими доменами.
• Политика управления изменениями. Поскольку изменения леса могут затрагивать каждый домен и должны выполняться только централизованно, требуется четкая политика управления изменениями.
• Доверенные администраторы. Развертывание одного леса требует определенной степени доверия администраторам всех доменов. Любой администратор, обладающий правами управления контроллером домена, может сделать такие изменения, которые затронут весь лес. Это означает, что все администраторы доменов должны быть высоко доверенными людьми.

Обдумывая вопрос, касающийся количества развертываемых лесов, вы должны оценить каждый из этих факторов для определения своих собственных потребностей.

Один или несколько лесов

Как сказано выше, наиболее существенный вопрос, на который вам надо ответить при создании вашего проекта - будете ли вы иметь один лес или несколько лесов. Это решение должно быть сделано перед началом развертывания, потому что после эту структуру очень трудно изменить. Не существует одношагового процесса слияния лесов - вы должны переместить из старого леса все объекты, которые нужны в новом лесу. Нет никакого простого способа разбить отдельный лес на два. Вы должны создать отдельный лес, а затем перемещать объекты из одного леса в другой.

Почти все компании развертывают один лес. Для большинства компаний выгоды от общедоступного каталога GC, встроенных доверительных отношений и общего раздела конфигурации каталога более важны, чем поддержка полной независимости всех административных ролей. При проектировании службы Active Directory ваш первый выбор должен всегда состоять в развертывании одного леса. Предполагая это, будете готовы к тому, что, возможно, вам придется поступить иначе.

Существуют очевидные ситуации, в которых несколько лесов являются наилучшим выбором для компании.

• Некоторые компании не имеют высоких требований к сотрудничеству внутри компании. В них подразделения работают независимо друг от друга, с небольшой потребностью обмена информацией иначе, чем по электронной почте. Эти компании ничего не теряют, развертывая несколько лесов.
• Некоторые компании требуют полного разделения сетевой информации. По юридическим причинам или из соображений безопасности компании может потребоваться гарантия того, что некоторая сетевая информация не будет доступна кому-либо за пределами данного подразделения. По умолчанию информация одного леса невидима в другом лесу.
• Некоторым компаниям требуются несовместимые конфигурации схемы. Если две части организации требуют уникальной схемы, потому что они развертывают приложения, которые делают взаимно несовместимые изменения в схеме, то вы должны создавать отдельные леса.
• Некоторые компании не могут договориться о централизованной политике администрирования, о политиках для леса или об управлении изменениями схемы. В этом случае нужно развернуть отдельные леса.
• Некоторые компании должны ограничить область доверительных отношений. В пределах леса все домены совместно используют транзитивные доверительные отношения, и нет никакой опции, которая позволяет нарушить их. Если ваша сетевая среда требует конфигурации доверия, в которой не может быть двухсторонних транзитивных доверительных отношений между всеми доменами, вы должны использовать несколько лесов.

Вовлечение пользователей в проектирование леса

Немногие компании имеют технические причины для развертывания более одного леса. Лес может содержать несколько доменов, в каждом из которых имеются сотни тысяч объектов. Домены могут быть развернуты с несколькими пространствами имен и с различным администрированием для каждого домена.

Однако как только вы представите сотрудникам, ответственным за принятие решения в вашей организации, список требований для леса, например, централизованное управление, общая схема или доверенные администраторы, вы наверняка встретите сопротивление. Единственная серьезная причина, по которой компании развертывают несколько лесов, — это политика компании или неспособность различных отделов и подразделений выработать способ обращения к централизованным компонентам управления лесом. В некоторых случаях компания не может договориться о модификации леса или схемы. В других случаях тот факт, что администратор одного домена может влиять на все другие домены леса, означает, что один лес неприемлем. Это справедливо, когда множество прежде независимых компаний должны теперь работать вместе из-за поглощения или слияния компаний.

Отдельные леса могли бы быть хорошим выходом для некоторых из этих компаний, но вы должны предупреждать ответственных за принятие решений о том, что они потеряют, если будут настаивать на развертывании нескольких лесов. Использование нескольких лесов означает, что каждый получает полную автономию, а значит, будет гораздо труднее совместно пользоваться информацией между деловыми подразделениями.

Для некоторых компаний развертывание нескольких лесов является привлекательным вариантом. Однако это придает значительную сложность сетевой инфраструктуре. Возникает ряд проблем.

• Увеличение административных усилий, необходимых для управления сетью. По крайней мере, один домен, а также конфигурация уровня леса должны управляться отдельно в каждом лесу.
• Уменьшение способности пользователей к сотрудничеству. Один из примеров этого - поиск ресурсов в сети. Пользователи не смогут искать GC-ресурсы в другом лесу и должны быть обучены тому, как искать ресурсы, расположенные вне каталога GC.
• Дополнительные административные усилия, которые требуются для того, чтобы пользователи могли обратиться к ресурсам другого леса. Администраторы должны сконфигурировать доверительные отношения вместо использования встроенных. Если какая-либо информация должна быть синхронизована между лесами, то это также надо сконфигурировать.

Практический опыт. Административная автономия и административная изоляция - за и против< Для некоторых компаний выбор между развертыванием одного или нескольких лесов сведется к тому, нужна ли компании административная автономия или административная изоляция между подразделениями. В Active Directory есть много типов административной деятельности, включая конфигурирование служб каталога (леса, размещения контроллеров домена, доменной системы имен) и управление данными в службе каталога (объектами пользователей или групп, групповыми политиками и т.д.).

Административная автономия означает, что вы имеете полный административный контроль над некоторыми компонентами леса на уровне леса, домена или OU. Однако это не подразумевает эксклюзивного управления. Например, вы имеете возможность полностью управлять своим доменом, но группа Enterprise Admins (Администраторы предприятия) также имеет административные разрешения на управление вашим доменом.

Административная изоляция, с другой стороны, означает, что вы имеете исключительный контроль над компонентом каталога. Если у вас административная изоляция, то никто не сможет контролировать вашу часть леса, изменять конфигурацию службы каталога или данные.

Служба Active Directory обеспечивает много способов достичь административной автономии. Администраторы домена могут делать в нем все, что захотят. Администраторам OU можно давать полные права создавать и управлять любыми типами объектов в OU. Один лес в Active Directory проектируется для делегирования администрирования и автономии.

Однако если вам требуется административная изоляция, единственный способ достичь этого состоит в создании отдельных лесов. Причина этого частично связана с тем, как разработана Active Directory. Группа Enterprise Admins автоматически добавляется к местной группе Administrators каждого домена. Группа Domain Admins (Администраторы домена) имеет полный административный контроль над каждым объектом в домене и автоматически добавляется к группе Administrators на каждом компьютере в домене. В то время как заданная по умолчанию конфигурация может быть модифицирована, а группы могут быть удалены из административных групп низшего уровня, администраторы более высокого уровня всегда могут восстанавливать управление объектами низшего уровня. Это означает, что никакая часть леса не является административно изолированной.

Другая причина того, что отдельный лес может быть необходим для административной изоляции, состоит в возможности злонамеренных действий со стороны администраторов в домене. Любой человек с административным доступом к контроллеру домена может нарушить административную изоляцию любого другого раздела в лесу. Администратор может устанавливать программное обеспечение на контроллере домена, которое изменяет информацию каталога для всех доменов в лесу. Администратор может изменять свой собственный идентификатор защиты (SID) так, чтобы казалось, что он является членом группы Enterprise Admins, а затем использовать этот доступ, чтобы сделать изменения, касающиеся всего леса.

Аналогично, если пользователь может выключить и перезапустить контроллер домена в режиме Directory Services Restore (Восстановление службы каталога), то он сможет изменить информацию в Active Directory так, что это затронет весь лес.

Все контроллеры домена и разделы леса тесно связаны, и любое изменение, сделанное на одном контроллере домена, будет реплицироваться на остальные контроллеры домена. Нет никакой проверки законности реплицируемой информации, есть только проверка при создании изменений к информации каталога. Поэтому если злонамеренный администратор сумеет сделать изменение к информации каталога, то все другие контроллеры домена получат реплицируемое изменение без вопросов.

По этим причинам вы должны создать отдельные леса, если требуется административная изоляция. В некоторых случаях вам может потребоваться полная гарантия изоляции раздела каталога. В этом случае вы должны пойти на увеличение административной работы и потерю простоты в сотрудничестве, которые влечет за собой развертывание нескольких лесов.

Многие компании, однако, требуют административной автономии наряду с разумной гарантией того, что администраторы из другого раздела леса не будут действовать злонамеренно. Эта разумная гарантия может быть достигнута путем выполнения следующих действий.

• Помещение только администраторов с высоким уровнем доверия в группы, которые имеют административный контроль над контроллерами домена. Эти группы включают группу Domain Admins (Администраторы домена), а также локальные группы Administrators (Администраторы), Server Operators (Операторы сервера) и Backup Operators (Операторы резервного копирования). Административные задачи, которые не требуют доступа к контроллерам домена, должны быть делегированы другим группам.
• Физическая защита контроллеров домена путем разрешения доступа к серверам только администраторам, имеющим высокий уровень доверия.
• Аудит всех действий, выполняемых администраторами высокого уровня.

Администраторы высокого уровня должны входить в систему, используя административную учетную запись, только при необходимости. Они должны иметь обычные учетные записи пользователя для ежедневной работы.

Определение владельцев леса

Независимо от того, сколько развертывается лесов, для каждого леса вы должны идентифицировать его владельцев. В технических терминах просто определить, кто является владельцем леса. Группы Schema Admins (Администраторы схемы), Enterprise Admins (Администраторы предприятия) и Domain Admins (Администраторы домена) в корневом домене могут быть определены как владельцы леса, потому что они управляют теми изменениями, которые могут быть сделаны в лесу. Это роли чисто технические, и люди в этих группах почти не имеют окончательных полномочий на то, будут ли на самом деле сделаны модификации к лесу. Например, группа Schema Admins может изменять схему, но член группы Schema Admins обычно не имеет полномочий для принятия заключительного решения относительно того, будет ли запрос на изменение схемы одобрен.

Владельцы леса должны обладать комбинацией технической компетенции и понимания бизнеса. Они должны быть людьми, которые знают общие деловые требования организации и в то же время понимают техническое значение выполнения всех этих требований. Владельцы леса могут решить, что будет развернуто приложение, изменяющее схему, потому что оно принесет значительную деловую пользу компании, а затем администратору схемы дают задание изменить схему так, как это требуется.

В компании с несколькими деловыми подразделениями группа владельцев леса должна состоять из представителей всех подразделений. Это важно для эффективного функционирования, т.е. представители группы должны находиться на рабочем месте, чтобы группа могла быстро принять решение о реализации изменений уровня леса. Если реализация глобальных изменений будет занимать много времени, то отдельные подразделения могут пожалеть, что они вообще согласились на развертывание единственного леса.

Политика управления изменениями леса

Первая задача для владельцев леса состоит в определении политики управления изменениями леса. Это политика определяет то, какие изменения могут быть сделаны к конфигурации уровня леса и при каких обстоятельствах. Существует два типа изменений леса: изменения схемы и изменения раздела конфигурации каталога (например, добавление или удаление доменов и разделов приложений каталога, изменение конфигурации сайта).

Политика управления изменениями леса также определяет процедуры тестирования, одобрения и реализации любых изменений леса. Это важно для изменений схемы, поскольку их нелегко восстановить, поэтому любое изменение схемы должно быть совместимо со всеми другими изменениями. Политика управления изменениями леса должна определить процедуру тестирования изменений схемы, и владельцы леса должны поддерживать испытательную лабораторию для тестирования этих изменений. Политика управления изменениями леса должна требовать полного испытания всех изменений уровня леса и гарантировать, что тестирование закончится быстро. Если каждый запрос на изменение будет занимать много времени на обработку, то уровень расстройства пользователей будет постоянно возрастать.

Политика управления изменениями леса должна быть сформирована прежде, чем вы начнете развертывать Active Directory. В компаниях с разнообразными и обособленными деловыми подразделениями пояснение этой политики может быть трудным делом и занять много времени, но и после развертывания Active Directory делать это совсем не легче. Если деловые подразделения не смогут договориться о политике управления изменениями леса перед развертыванием, вы должны принять решение о развертывании нескольких лесов.