"Белая книга" компании Microsoft "Design Considerations for Delegation of Administration in Active Directory" («Рекомендации по делегированию административных полномочий в Active Directory») была опубликована в ноябре 2001 г. Ее можно загрузить с Web-сайта компании (см. URL ниже).
В документе рассмотрены проблемы доверительных отношений, устанавливаемых с владельцами служб. Джон Энк, сотрудник компании Gartner Group и бывший менеджер лаборатории Windows NT Magazine, обратил мое внимание на содержащиеся в нем рекомендации.
http://www.microsoft.com/windows2000/techinfo/ planning/activedirectory/addeladmin.asp
В заключительном разделе говорится, что компании "могут развернуть единственный лес с одной ИТ-организацией, которая выполняет все обязанности по обслуживанию леса и домена, и поручить обеспечение автономии или изоляции данных другим организациям, используя организационные подразделения (OU)." Далее в документе говорится: "Некоторые организации предъявляют к автономии и изоляции особые требования, в свете которых нерационально устанавливать доверительные отношения с владельцем центральной службы. Такие организации могут развернуть несколько лесов и наладить обмен между лесами через дополнительные системы управления, например, Microsoft Metadirectory Services (MMS)".Итак, необходимо тщательно выстраивать инфраструктуру Active Directory (AD), так как "владельцы доменов не могут лишить владельцев лесов возможности контролировать работу их служб и предоставление доступа к данным", и каждый, кто присоединяется к лесу, должен доверять его владельцам. Кроме того, в документе указывается на ряд потенциальных опасностей, возникающих при доверительных отношениях с владельцами служб в модели с одним лесом. Поэтому, чтобы обеспечить максимальную безопасность AD, необходимо использовать несколько лесов. Более подробно о недостатках модели с одним лесом можно узнать, прочитав документ.
Марк Джозеф Эдвардс - Редактор журнала Windows 2000 Magazine и ведущий еженедельных рассылок Security UPDATE http://win2000mag.net/email. Он является автором книги «Internet Security with Windows NT (29th Street Press)». Его адрес: mark@ntsecurity.net.