Модели доменов.
В Windows NT Server существуют четыре модели структуры доверительных отношений между доменами.
Это модели:
• с одним доменом;
• с одним главным доменом;
• с несколькими главными доменами;
• с полностью доверительными отношениями.
Остановимся на каждой из них.
Модель с одним доменом - самая простая модель; все серверы и клиенты входят в один домен. Локальные и глобальные группы совпадают, а все администраторы могут администрировать все серверы. Поскольку домен один, нет необходимости в доверительных отношениях.
Сеть с одним доменом является эффективной моделью для ее использования на небольшом предприятии, где не так много серверов и пользователей, где все пользуются одним и тем же набором ресурсов, ресурсы расположены рядом (физически) и их просмотр в сети не занимает слишком много времени.
| Преимущества модели с одним доменом | Недостатки модели с одним доменом |
| Простота администрирования | Отсутствие группирования пользователей по подразделениям или другим признакам |
| Централизованное управление учетными записями пользователей | Снижение производительности управления при увеличении числа ресурсов |
| Отсутствие доверительных отношений и необходимости управлять ими | Отсутствие логического группирования ресурсов |
| Локальные группы задаются только один раз | Время на просмотр ресурсов растет с увеличением числа серверов |
Модель с одним главным доменом обеспечивает централизованное администрирование пользователей наряду с логической группировкой ресурсов по подразделениям. В эту модель входят один или несколько доменов подразделений (доменов ресурсов — secondary domain), которые доверяют одному главному домену (master domain).
Модель с одним главным доменом представляет собой очевидное развитие модели с одним доменом; рекомендуется для организации, имеющей сравнительно мало пользователей и в которой возможно логичное объединение ресурсов в группы, когда число ресурсов возрастает. Все учетные записи пользователей, а также глобальные группы создаются в главном домене. Но каждый домен подразделения может завести свои локальные группы. На рис. 8 представлена структура модели с одним главным доменом.
 |
Рис. 8. Модель с одним главным доменом.
Основной функцией главного домена является централизованное ведение учетных записей. Обязательно также наличие хотя бы одного резервного контроллера домена, так как база данных всех учетных записей пользователей хранится только на основном и резервных контроллерах главного домена. Все остальные домены (домены ресурсов) действуют в основном как распорядители ресурсов. У каждого из них имеется свой набор ресурсов, которые доступны во всей сети, но могут администрироваться на месте. Пользователи такого домена изначально будут видеть только «свои» ресурсы, что упрощает и ускоряет поиск ресурсов. Управление ресурсами может производиться на уровне подразделения, в то время как управление учетными записями осуществляется централизованно.
Есть все основания рассматривать модель с одним главным доменом как естественное развитие модели с одним доменом. Исходный домен, содержащий существующие учетные записи пользователей, становится главным доменом. Ресурсы перемещаются в новые домены ресурсов и образуют логические объединения ресурсов. Однако эта модель перестает быть пригодной, если число пользователей становится слишком большим. Производительность значительно снижается, так как подлинность каждой учетной записи проверяет один главный домен.
| Преимущества модели С одним главным доменом | Недостатки модели с одним главным доменом |
| Централизованное управление учетными записями пользователей | Снижение производительности при увеличении числа пользователей |
| Глобальные группы задаются только один раз | Зависимость от надежности контроллеров главного домена |
| Управление ресурсами на уровне подразделений | В каждом домене ресурсов требуется определять локальные группы |
| Для каждого домена ресурса требуется установить только одностороннее доверительное отношение |
Модель с несколькими главными доменам рекомендуется для организаций с большим числом пользователей и централизованной структурой управления. В ней обеспечивается централизованное администрирование двух и более главных доменов, а ресурсы распределены между доменами ресурсов (рис. 9).
Рис. 9. Модель с несколькими главными доменами.
В этой модели имеется небольшое число главных доменов, между которыми установлены двусторонние доверительные отношения. Учетные записи пользователей хранятся в главных доменах и распределены между ними сравнительно равномерно. Для каждого пользователя имеется только одна учетная запись в одном из главных доменов. Все домены ресурсов доверяют каждому главному домену, но наличие доверительных отношений между доменами ресурсов совсем не обязательно. Управление ресурсами, такими как принтеры и файлы, осуществляется на уровне доменов ресурсов.
Перед использованием данной модели необходимо решить распределение учетных записей пользователей. Делить их между главными доменами можно исходя из логического объединения пользователей в группы или чисто формально, например, по именам в алфавитном порядке. Если структура организации достаточно гибкая, когда пользователи часто меняют должности и переходят из одного отдела в другой, то группировать их логически сложно. Если использовать формальный (например, алфавитный) способ распределения, то значительно больше времени уйдет на создание глобальных групп и управление ими, зато не придется вносить изменения при переводе сотрудника в другой отдел или на другую должность.
| Преимущества модели С несколькими главными доменами | Недостатки модели с несколькими главными доменами |
| Централизованное управление учетными записями пользователей | Отсутствие единого места управления учетными записями пользователей и группами |
| Наращиваемость в соответствии с текущими требованиями | Необходимость определять глобальные и локальные группы несколько раз и вносить в них изменения в нескольких местах |
| Управление ресурсами на уровне подразделений | Возрастающая сложность доверительных отношений |
| Логическое объединение ресурсов |
Модель с несколькими главными доменами и полностью доверительными отношениями целесообразно использовать в организации со строгой, централизованной структурой управления, когда предпочтение отдается распределенному администрированию пользователей и ресурсов. В этом варианте между каждой парой доменов устанавливаются двусторонние доверительные отношения, а учетная запись пользователя создается в том домене, в который он будет входить по умолчанию (домен, в котором хранится учетная запись пользователя, известен еще как основной домен — home domain). Домены ресурсов отвечают за управление собственными пользователями и глобальными группами, при этом к соответствующим учетным записям имеется доступ из сети (рис. 10).
Рис. 10. Модель с несколькими главными доменами
и полностью доверительными отношениями.
Данная модель не подходит организациям, имеющим множество доменов. У каждого домена должны быть установлены двусторонние доверительные отношения со всеми остальными доменами. Таким образом, число доверительных отношений растет экспоненциально с увеличением числа доменов. Число доверительных отношений, которые требуется установить в сети с п доменами, равно п*(п-1). Если у вас пять доменов, то понадобится двадцать доверительных отношений, добавление еще одного домена приведет к необходимости установить дополнительно десять доверительных отношений.
 |
Причем все доверительные отношения двусторонние. Это означает, что, предоставляя пользователю доступ к ресурсам одного домена на основе доверительных отношений с другим доменом, вы полагаетесь на политику администрирования другого домена. Если доступ предоставляется большой группе пользователей, вы тем самым предоставляете доступ к ресурсам во всех доменах неуполномоченным пользователям, добавленным на другом домене, наряду с теми пользователями, которые имеют необходимые полномочия.
| Преимущества модели С несколькими главными доменами и полностью доверительными отношениями | Недостатки модели с несколькими главными доменами и полностью доверительными отношениями |
| Логическое объединение в группы пользователей и ресурсов | Отсутствие единого места управления учетными записями пользователей и группами |
| Управление ресурсами на уровне подразделений | Необходимость определять глобальные и локальные группы несколько раз и вносить в них изменения в нескольких местах |
| Наращиваемость в соответствии с текущими требованиями | Очень сложные доверительные отношения |
| Требуется полное взаимное доверие между администраторами всех доменов |
Каждый пользователь сети Windows NT Server должен иметь в одном из доменов свою учетную запись. Если в домене нет учетной записи пользователя, который пытается войти в него, то доступ к этому домену будет предоставлен только в случае, если у этого домена имеются доверительные отношения с тем доменом, в котором хранится учетная запись пользователя. В учетную запись заносятся имя пользователя, пароль, ограничения на работу в сети. В действительности при создании учетной записи создается скрытый код безопасности (security identifier — SID), который является уникальным для всей сети; при идентификации пользователя Windows NT Server использует именно SID, а не пользовательское имя.
Пользователей можно объединять в локальные и глобальные группы, имеющие единый набор разрешений и прав доступа. Локальная группа существует и сохраняет свои разрешения только в том домене, в котором она создана, в то время как глобальная группа находится в одном из доменов, но сохраняет разрешения во всех доменах-доверителях. Объединение пользователей в группы позволяет изменять права доступа и разрешения для всей группы одновременно.
В Windows NT Server имеется ряд встроенных глобальных и локальных групп, на основе которых можно начинать работу по управлению правами пользователей сети. Воспользовавшись преимуществами групп, можно регулировать права большого числа пользователей одновременно.
Создав группу и выдав ей необходимые разрешения, можно быстро добавить в нее пользователя или изменить разрешения для всей группы. Если, к примеру, вы создали группу пользователей, работающих с базой данных платежей и печатающих чеки, то легко сможете добавить в нее нового служащего, который автоматически получит все необходимые разрешения и доступ к домену или доменам, в которых находятся требуемые ресурсы.
Хорошо продуманная структура групп может сэкономить время на администрирование, а также предотвратить нежелательный доступ.
Итак,
• Домен — это группа компьютеров, которые совместно используют общую базу данных и общую политику безопасности. Он является основным организационным блоком сети Windows NT Server.
• Выбор модели доменов и доверительных отношений определит работу сети на настоящий момент и возможности для ее расширения в дальнейшем.
• Группы Windows NT Server представляют собой необходимый инструмент для эффективного управления множеством учетных записей пользователей.