Windows 2000 наделена многочисленными новыми функциями и гибкими средствами проектирования. Однако за эти преимущества приходится платить: задача построения сетей значительно усложняется.
В течение некоторого времени новая модель функционировала успешно, но устанавливать доверительные отношения между доменами вручную иногда становилось весьма непросто. Кроме того, маятник вновь качнулся от более распределенной структуры IT к централизованному отделу информационных технологий. Выпуская Windows 2000, компания Microsoft отреагировала на эту новую тенденцию реализацией Active Directory (AD). Домены в организации стали частью более крупной единицы, называемой лесом. В лесу AD автоматически создает и поддерживает двусторонние транзитивные доверительные отношения между доменами, а централизованная административная группа контролирует все домены.
Построение оптимальной структуры AD - трудная задача. В процессе планирования AD требуется найти баланс между деловыми и техническими приоритетами, чтобы проект отвечал потребностям предприятия. Архитекторам предоставляется на выбор множество методик проектирования, с помощью которых можно обеспечить дополнительные уровни безопасности, контроль административного доступа и архитектурную гибкость. Один из полезных методов - выделенный корень леса.
ВЫДЕЛЕННЫЙ КОРЕНЬ ЛЕСА
Корневой домен - первый домен, установленный в лесу. Как основа AD-структуры, корневой домен имеет определенные функции и возможности, отличающие его от всех других доменов леса. Например, в корневом домене находятся две группы безопасности, группа Schema Administrators (администраторы схемы) и группа Enterprise Administrators (администраторы предприятия), отсутствующие во всех остальных доменах леса AD. Обе эти группы могут производить изменения во всем лесу, в частности, добавлять к лесу новые домены или изменять схему леса.
Выделенный корень леса - это корневой домен, содержащий лишь принимаемые по умолчанию встроенные административные учетные записи и группы; в нем нет учетных записей пользователей и компьютеров. Выделенный корень леса и корневой домен - это почти одно и то же, только в выделенный корень леса администратор не помещает учетные записи пользователей и компьютеров. Вместо этого он размещает учетные записи пользователей, групп и компьютеров в других доменах леса AD.
Выделенный корень леса предназначен для повышения безопасности и гибкости структуры AD, а также для устранения некоторых потенциальных организационных проблем. Однако не стоит надеяться, что с его помощью удастся преодолеть то обстоятельство, что прежде автономным отделам IT придется уступить роль администратора предприятия центральной IT-структуре. Выделенный корень леса обладает следующими достоинствами:
- повышенная степень контроля над изменениями и модификацией схемы;
- повышенная степень контроля над действиями, влияющими на весь лес AD;
- повышенная гибкость проектирования.
БЕЗОПАСНОСТЬ СХЕМЫ
Как упоминалось выше, в корневом домене размещаются две уникальные группы безопасности, наделенные правами изменения некоторых важных параметров всего леса. Одна из этих групп - Schema Administrators, контролирующая схему AD.
Схема AD - хранилище данных, в котором содержатся определения объектных классов и их атрибутов. Класс объекта определяет все свойства, которые можно связать с конкретным объектом. Например, пользователь jsmith - объект. Регистрационное имя, полное имя, описание и пароль - атрибуты объекта «пользователь» jsmith. Класс объекта user содержит список всех возможных атрибутов, которые можно ассоциировать с объектом «пользователь».
В AD имеется расширяемая схема, поэтому организации могут изменять ее в соответствии со своими потребностями. Например, можно дополнить объектный класс новыми атрибутами. Так, многие компании назначают своим сотрудникам идентификационные номера. Компания может расширить существующую схему и добавить к объектному классу user атрибут HR ID.
По умолчанию Windows 2000 устанавливает вместе с AD приблизительно 120 объектных классов и примерно 800 атрибутов. Однако многие прикладные программы, ориентированные на работу со службами каталогов, добавляют в схему новые классы и атрибуты. Например, Microsoft Exchange 2000 Server добавляет около 150 объектных классов и более 800 дополнительных атрибутов. По мере назначения атрибутов растет трафик тиражирования, передаваемый по сети. Кроме того, если изменить схему, то изменение можно потом только деактивировать, но удалить его нельзя. Поэтому планировать и вносить изменения в схему нужно с величайшей осторожностью.
В организациях, особенно в крупных компаниях со многими подразделениями, необходимо четко контролировать изменения в схеме. Выделенный корень леса предоставляет механизм, с помощью которого можно осуществить такой контроль. Чтобы изменить схему, пользователь должен быть членом группы Schema Administrators, расположенной в корневом домене. По умолчанию, только члены группы Enterprise Administrators и члены группы Domain Administrators (администраторы домена) корневого домена могут добавлять пользователей в группу Schema Administrators. Разделение этих трех административных групп по доменам ограничивает доступ к группе Schema Administrators. С помощью других методов (например, Group Policy) можно ограничить способность пользователей изменять членство в группах Windows 2000, но члены группы Domain Administrators корневого домена могут переопределить любые ограничения.
КОНТРОЛЬ АДМИНИСТРАТИВНОГО ДОСТУПА
Другая мощная административная группа в корневом домене - Enterprise Administrators. Члены группы Enterprise Administrators имеют полный административный контроль над всеми доменами леса. По умолчанию AD делает группу Enterprise Administrators членом группы Domain Administrators для каждого домена в лесу. Еще важнее, что только группа Enterprise Administrators может вносить изменения, распространяющиеся на весь лес в целом, например, добавлять или удалять новые домены, подсети, узлы и связи между узлами.
Третья важная административная группа расположена в корневом домене Domain Administrators. Как и в любом домене, члены группы Domain Administrators обладают полномочиями для администрирования всех функций внутри своего домена. Поскольку в корневой домен входит как группа Schema Administrators, так и Enterprise Administrators, члены группы Domain Administrators корневого домена могут изменять членство этих двух групп. Хотя члены группы Domain Administrators изначально не имеют возможности манипулировать схемой или управлять любыми другими доменами, члены Domain Administrators могут просто внести себя в группы Schema Administrators и Enterprise Administrators и получить полные права для работы с лесом. Очевидно, необходимо тщательно ограничить членство в группе Domain Administrators в корневом домене леса. Выделенный корень леса поможет строго контролировать членство группы Domain Administrators.
ПОВЫШЕННАЯ ГИБКОСТЬ ПРОЕКТИРОВАНИЯ
Проектирование AD-структуры, которую удобно обновлять путем поглощения, слияния и ликвидации составляющих частей - важная задача. Выделенный корень леса обеспечивает повышенную гибкость при изменении конфигурации в будущем. Предположим, что в настоящее время компания XYZ Corporation располагает доменной структурой NT 4.0. Руководство компании планирует осуществить переход на Windows 2000. Первым шагом будет проектирование структуры AD. В настоящее время XYZ состоит из двух подразделений, одно из которых (Division2), вероятно, в ближайшие два года будет продано. Руководство корпорации ведет переговоры о приобретении двух новых компаний в следующем году.
На Рисунке 1 показана текущая доменная структура NT 4.0. Одним из возможных способов построения AD будет образование единого домена с помощью организационных единиц (OU) и делегирования административных прав с целью распределения ресурсов и полномочий. Однако это недостаточно гибкий подход. Наличие единственного домена предусматривает, что все пользователи в обоих подразделениях будут иметь одинаковые параметры безопасности на доменном уровне, например, одинаковый срок действия и одинаковую длину пароля. Единственный домен также ограничивает выбор возможных моделей технической поддержки. Сложно будет реагировать на такие события, как слияния и приобретения компаний. Например, администраторы домена приобретенной компании потеряют контроль над параметрами всего домена, если все их подразделение станет OU в рамках гигантского корпоративного домена.
Альтернативным методом проектирования может быть использование специализированного корня леса. На Рисунке 2 показана структура AD с ненаселенным корневым доменом XYZRoot.XYZ.COM, в рамках которого два подразделения XYZ переведены на уровень доменов Windows 2000. Домены ресурсов вошли в доменную структуру в качестве OU. Одно из достоинств Windows 2000 заключается в том, что исчезла необходимость устанавливать доверительные отношения. В структуре NT 4.0 компании XYZ администратор должен установить отдельную доверительную связь от каждого домена ресурсов к каждому главному домену. В Windows 2000 можно размещать организационные единицы в любом домене, а доступ к ним автоматически возможен из любого места леса (при наличии соответствующих полномочий).
В данной модели Division1 и Division2 находятся по иерархии на одном уровне с корнем. Каждый из них представляет собой отдельное дерево леса, использующее независимое пространство имен. На Рисунке 3 показан альтернативный вариант - выделенный корень леса, содержащий поддомены. В этой среде существует непрерывное пространство имен; в каждый поддомен входят имена доменов верхнего уровня. Проектировщикам предоставляется право выбора - сформировать домены в виде отдельных деревьев или в виде двух ветвей одного дерева. Единое дерево обеспечивает непрерывное пространство имен во всей организации, но в этом случае полные имена объектов могут оказаться чересчур длинными. При использовании отдельных деревьев полные имена короче, но связи между доменами не столь очевидны.
В домене специализированного корня леса XYZRoot.XYZ.COM размещены как группа Schema Administrators, так и Enterprise Administrators. Администраторы домена Division1 и Division2 обладают полномочиями только в своих доменах. Они не имеют никаких прав в корневом домене, если им не выдано специальное разрешение на доступ туда. Выделенный корень выполняет двойную задачу - повышения безопасности и ограничения доступа к схеме специальными сотрудниками. Административные полномочия в корневом домене можно делегировать централизованной группе IT или кругу доверенных лиц из каждого подразделения. Появляется возможность продуманно организовать процесс управления изменениями схемы под контролем особой группы.
Когда компания XYZ продает подразделение Division2 и покупает две новые компании, корпоративная AD может быть легко преобразована без изменения административной модели, как показано на Рисунке 4. Новые компании могут самостоятельно выполнять административные функции, а подразделение Division2 может быть просто удалено из леса. В примере предполагается, что компании, приобретенные XYZ, работают с NT, а не с Windows 2000. Если бы эти компании уже работали с Windows 2000, то добавить новые домены в лес XYZ.COM было бы труднее, так как домены нельзя переименовывать или переносить из одного леса Windows 2000 в другой. Обратите внимание, что компания XYZ удалила Division2 из структуры леса, но Division2 не может существовать как автономный домен. Компании, купившей Division2, придется вручную добавлять пользователей и другие объекты из этого домена в свою доменную структуру.
Возможно, у вас возник вопрос, почему в исходном проекте для XYZ не был просто создан один домен, в котором Division1 и Division2 были бы организационными единицами. В конце концов, удалить OU так же легко, как и домен. Следует учесть, что в выборе доменной структуры мы руководствовались не только удобством будущего удаления Division2. Мы не хотели давать администраторам домена Division1 и Division2 доступ к группам Schema Administrators и Enterprise Administrators, кроме того, отозвать их полномочия Domain Administrators было бы непросто. Помимо этого, желательно сохранить возможность назначать разные меры безопасности для двух доменов. И, наконец, домен представляет собой границу тиражирования, поэтому мы предпочли разделить трафик тиражирования между двумя этими доменами. Таким образом, решение создать два домена вместо двух OU объясняется административными требованиями, а не предполагаемым разделом компании.
ПРЕДОСТЕРЕЖЕНИЕ
Для каждого установленного в лесу домена необходим по крайней мере один контроллер домена (DC). Разработчики Microsoft рекомендуют иметь по несколько DC в каждом домене для повышения надежности и производительности. Наиболее очевидный недостаток выделенного корня леса - расходы на приобретение дополнительных серверов, играющих роль DC. Например, если структура AD компании требует двух активных доменов, и принято решение использовать выделенный корень леса, то в действительности придется покупать оборудование для трех доменов (два активных и выделенный корень леса). Помимо стоимости аппаратуры дополнительный домен потребует затрат на администрирование и обслуживание. Поэтому в небольших компаниях преимущества выделенного корня леса, возможно, не оправдают затрат.
Кроме того, независимо от специализации, корневой домен должен быть оснащен избыточным DC. На корневой домен возложены критически важные функции леса, это фундамент, на котором выстраивается весь лес. Если в корневом домене имеется лишь один DC, и этот DC отказывает, его необходимо восстановить с резервного носителя - сложная и длительная операция. Полагаться лишь на резервные копии таких важных функций леса неблагоразумно. Кроме того, компании с филиалами в различных географических точках могут повысить эффективность доступа к ресурсам, если размещать дополнительные контроллеры домена в ключевых узлах сети. В результате повышается скорость ссылочного процесса Kerberos, необходимого для доступа к ресурсам, и некоторых операций DNS.
Выделенный корень леса позволяет строго контролировать схему, лучше делегировать права административного доступа и существенно оптимизировать структуру AD. За эти преимущества приходится расплачиваться дополнительными расходами на приобретение аппаратных средств и сложностью административных функций. Проектировщикам AD необходимо сопоставить затраты и достоинства специализированного корня леса и решить, нужен ли он их организации.
Примечание редакции. Данная статья написана на основе white paper, опубликованной фирмой Lucent Technologies NetworkCare Professional Services по адресу: http://www.ins.com/knowledge/whitepapers/win2kad.asp.Питер Салмери - консультант компании Lucent Technologies NetworkCare Professional Services, имеет сертификаты MCSE и CCNA. Работает в сфере IT более 6 лет и является членом группы Windows 2000 Level 3 фирмы NetworkCare. Его адрес: psalmeri@lucent.com.
Джеймс Барретт - старший консультант компании Lucent Technologies NetworkCare Professional Services. Сертифицированный аудитор информационных систем, имеет сертификаты MCSE+Internet, CCNA и CCDA. Работает в сфере IT более 7 лет. Его адрес: jimb@lucent.com.