Создание проекта инфраструктуры Active Directory крупной компании

Создание структуры OU, одинаковой для различных доменов, позволяет реализовать единый подход к администрированию и поддержке сети. OU нижних уровней (создаваемые в OU верхнего уровня) должны использоваться для более тонкого управления административными полномочиями или в других целях, например, для применения групповой политики.

При проектировании OU нижних уровней легко переусердствовать. Помните: ваша основная задача -- получить структуру, максимально облегчающую администрирование учетных записей и ресурсов. Поэтому ваша архитектура должна быть как можно проще. Если вы создадите слишком глубоко вложенную структуру OU, то не только будете иметь дело с более запутанной структурой, но и можете столкнуться со снижением производительности. Групповая политика может применяться к OU на разных уровнях -- на уровне домена, сайта и каждого из родительских OU. Чем больше политик нужно применить, тем больше время ответа и тем ниже производительность.

4.2.1 Применение OU для ограничения видимости объектов

В некоторых организациях определенные объекты должны быть скрыты от определенных администраторов или пользователей. Даже если вы запретите изменение атрибутов объекта, пользователи, имеющие доступ к контейнеру с таким объектом, все равно смогут видеть, существует ли этот объект. Однако вы можете скрыть объекты, поместив их в OU и ограничив круг пользователей, которые имеют разрешение Список содержимого (List Contents) для этой OU. Тогда объекты, помещенные в контейнер, будут невидимы пользователям, не имеющим этого разрешения. Пример такой архитектуры приведен на рис. 4-4.

4.2.2 Применение OU для управления групповой политикой

Групповая политика позволяет применять одни и те же параметры конфигурации сразу к нескольким объектам. С ее помощью можно определять параметры пользователей (например, ограничения, налагаемые на пароли) или компьютеров. При использовании групповой политики вы создаете объект групповой политики (Group Policy Object, GPO) -- объект, содержащий параметры конфигурации, которые вам нужно применить. Создав GPO, вы связываете его с доменом, сайтом или OU.

Гораздо лучше с самого начала продумать, как эффективнее применять GPO. Связывание GPO с OU как раз и дает такую схему применения. Создавая GPO для OU, вы управляете применением групповой политики гораздо эффективнее, поскольку отпадает необходимость в фильтрации параметров групповой политики.

Однако необходимо тщательное планирование. Создание GPO для OU означает, что придется управлять большим числом GPO. Возможны конфликты между GPO, поскольку OU бывают вложенными, а групповая политика наследуется от родительских OU; таким образом, к объекту в зависимости от места, которое он занимает в иерархии OU, могут применяться несколько GPO.

После того как вы создали структуру OU, управляющую делегированием административных полномочий в домене, в этой структуре можно создать дополнительные OU, управляющие применением групповой политики.

Проектируя структуру OU, управляющую применением групповой политики, старайтесь соблюдать следующие принципы.

* Планируйте структуру OU так, чтобы использовать как можно меньше GPO. Чем больше GPO связано с каким-либо объектом, тем больше времени потребуется пользователям, чтобы войти в сеть.

* Создавайте OU верхнего уровня, основанные на объектах или задачах, а затем создавайте OU более низких уровней, управляющие групповой политикой.

* Создавайте дополнительные OU, чтобы обойтись без фильтрации для изъятия группы пользователей из OU, связанной с GPO.

4.2.3 Планирование наследования

Каждый OU по умолчанию наследует разрешения, заданные для родительского OU. Аналогично объекты, содержащиеся в OU, наследуют разрешения, заданные для этого OU

(и для каждого из его родителей). Наследование -- эффективный способ предоставить или делегировать разрешения на доступ к объектам. Преимущество наследования в том, что администратор может управлять разрешениями на доступ ко всем объектам в OU, задавая разрешения для самого OU, а, не конфигурируя все дочерние объекты по отдельности. По сути, администратор может задавать разрешения на доступ к самому объекту, к объекту и его потомкам, только к потомкам или только к потомкам определенных типов (например, к компьютерам и пользователям).

При создании структуры OU следует в полной мере применять наследование. Логически упорядочивайте OU так, чтобы получить простую структуру, в которой механизм наследования выполняет за вас большую часть работы. Но бывают ситуации, где наследование препятствует решению нужных задач. Вам может потребоваться, чтобы некоторые разрешения на доступ к объекту переопределяли разрешения, наследуемые объектом от родителей. В таком случае заблокируйте наследование разрешений, применяемых к родительской OU, чтобы они не распространялись на дочернюю OU.

4.2.4 Параметры программ

Узел Параметры программ (Software Settings) содержит параметры, которые можно использовать для развертывания ПО на клиентских компьютерах, к которым применяется

групповая политика. Для этого клиентские компьютеры должны работать под управлением Windows 2000 Professional, Windows 2000 Server, Windows ХР Professional, Windows XP 64-Bit Edition или Windows Server 2003 и быть членами домена. Вы можете задать, для каких пользователей или на какие компьютеры будет установлено ПО, при необходимости указать обновления и даже удалить ПО.

Для поддержки этой функции нужны два взаимодействующих компонента.

* Служба установки Windows (Windows Installer service) -- служба, которая развертывает и обновляет ПО в соответствии с инструкциями в установочных пакетах Windows (Windows Installer packages).

* Установочные пакеты Windows (Windows Installer Packages) -- исполняемые файлы сценариев со всеми инструкциями, нужными Windows Installer для установки, обновления или восстановления ПО. Файлы Windows Installer Package имеют расширение msi.

Служба Windows Installer отслеживает состояние устанавливаемого приложения. Эта информация может использоваться для переустановки приложения, восстановления отсутствующих или поврежденных файлов и удаления больше не нужного приложения.

Существует два способа развертывания ПО с помощью групповой политики: публикация (publishing) и назначение (assigning). Когда приложение назначается пользователю, создается ярлык, доступный пользователю и показываемый в меню Пуск (Start) или на рабочем столе этого пользователя. Это называется предложением (advertising) приложения пользователю. Когда пользователь щелкает ярлык (или открывает файл, связанный с программой), запускается программа установки.

4.2.5 Параметры Windows

Категория Параметры Windows (Windows Settings) предназначена для изменения ряда

параметров конфигурации, связанных со средой Windows.

* Сценарии (Scripts). При настройке конфигурации компьютера можно задать сценарии, которые выполняются при его включении или выключении. При настройке конфигурации для пользователя можно задать сценарии, выполняемые при входе или выходе пользователя. Сценарии можно писать на любое языке сценариев с поддержкой ActiveX, в том числе на VBScript, JScript, Perl, языке командных файлов MS-DOS и др.

* Параметры безопасности (Security Settings). Это параметры безопасности, задаваемые для компьютеров и пользователей.

* Настройка Internet Explorer (Internet Explorer Maintenance). Этот узел доступен только для пользователей. Он служит для управления работой Internet Explorer на клиентских компьютерах.

* Службы удаленной установки (Remote Installation Services, RIS).

RIS позволяет автоматически выполнять удаленную установку операционной системы на новые клиентские компьютеры. Эти параметры тоже доступны только для конфигураций

пользователей. Они управляют удаленной установкой операционных систем. Перенаправление папок (Folder Redirection). Эти параметры доступны только для конфигураций пользователей. Они позволяют переопределить специальные папки Windows [такие как Мои документы (My Documents), Главное меню (Start Menu) и Application Data], изменив их местонахождение по умолчанию на сетевой каталог. Благодаря этому можно централизованно управлять папками пользователей.

4.2.6 Разрешение GPO из нескольких источников

Поскольку GPO, применяемые к пользователю или компьютеру, могут поступать из нескольких источников, нужен способ определения того, как эти GPO сочетаются друг с другом. GPO обрабатываются в следующем порядке.

* Локальный GPO -- обрабатывается локальный GPO компьютера, и применяются все параметры защиты, заданные в этом GPO.

* GPO сайта -- обрабатываются GPO, связанные с сайтом, к которому относится компьютер. Параметры, заданные на этом уровне, переопределяют любые параметры, заданные на предыдущем уровне, с которыми они конфликтуют. Если с сайтом связано несколько GPO, администратор сайта может задать, в каком порядке обрабатываются эти GPO.

* GPO домена -- обрабатываются GPO, связанные с доменом, к которому относится компьютер, и применяются содержащиеся в них параметры. Параметры, заданные на уровне домена, переопределяют параметры, примененные на локальном уровне или на уровне сайта, с которыми они конфликтуют. Если с доменом связано несколько GPO, администратор, как и в предыдущем случае, может задать порядок их обработки.

* GPO OU -- обрабатываются GPO, связанные с любыми OU, содержащими пользователя или компьютер. Параметры, заданные на уровне OU, переопределяют параметры, примененные на локальном уровне или уровне домена/сайта, с которыми они конфликтуют. Один и тот же объект может входить в несколько OU. В этом случае сначала обрабатываются GPO, связанные с OU, находящимся на самом высоком уровне иерархии Active Directory, затем -- с OU, находящимся на следующем уровне и т.д. Если с одной OU связано несколько GPO, администратор, как и в предыдущих случаях, может задать порядок их обработки.

4.2.7 Проектирование топологии сайтов

Сайты Active Directory позволяют отделить логическую организацию структуры каталогов (структуры лесов, доменов и OU) от физической структуры сети. Сайты представляют физическую структуру сети на основе Active Directory. Поскольку сайты не зависят от структуры доменов, в один домен может входить несколько сайтов или, наоборот, один сайт может содержать несколько доменов (рис. 5-2).

Сайты не входят в пространство имен Active Directory. Пользователь, просматривающий логическое пространство имен, видит компьютеры и пользователей, сгруппированных в домены и OU, но сайты при этом не показываются. Однако имена сайтов используются в записях DNS (Domain Name System), поэтому у сайтов должны быть допустимые DNS -имена.

Если вы не конфигурируете в Active Directory собственные сайты, все контроллеры доменов автоматически входят в один сайт по умолчанию с именем Default-First-Site-Name, который создается при создании первого домена. Сайты содержат объекты только двух типов: контролеры доменов, входящие в сайт, и связи сайтов (site links), настраиваемые для соединения с другими сайтами.

В целом, сайты служат для управления трафиком по WAN-каналам. А конкретнее,

сайты используются для управления:

* трафиком входа на рабочие станции;

* трафиком репликации;

* распределенной файловой системой (Distributed File System, DFS);

* службой репликации файлов (File Replication Service, FRS).

4.2.8 Выбор структуры сайтов

Чтобы разработать эффективную топологию сайтов, вы должны, прежде всего, собрать информацию о физической структуре сети.

В частности, нужна следующая информация:

* территориальное местонахождение филиалов компании;

* структура и скорость локальной сети (LAN) каждого филиала;

* сведения о TCP/IP-подсетях в каждом филиале;

* общая и доступная пропускные способности WAN-соединений, связывающих филиалы друг с другом.

Помимо информации о физической структуре сети, необходимы сведения о логической архитектуре Active Directory -- о плане лесов и доменов, административной иерархии. Следует также получить информацию о структуре DNS для Active Directory. Располагая всей этой информацией, вы сможете определить границы сайтов. Чаще всего сайты соответствуют территориальным подразделениям компании, поскольку в каждом из мест, где есть офисы компании, имеется своя высокоскоростная LAN. Однако это не всегда так. Если все участки сети связаны быстрыми и надежными каналами, можно использовать один сайт для целой сети.

Вообще говоря, при создании структуры сайтов следует руководствоваться следующими принципами.

* Создавайте сайт для каждой LAN или группы LAN, связанных высокоскоростной сетевой магистралью (опорной сетью). Обычно, но не всегда, эти LAN соответствуют территориальным подразделениям компании. Однако учтите, что даже при соединении двух удаленных друг от друга офисов высокоскоростным каналом задержка, возникающая при передаче данных между ними, часто является веской причиной для того, чтобы все равно создать отдельный сайт для каждого офиса.

* Создавайте сайт для каждого территориального участка, где вы планируете установить контроллер домена.

* Создавайте сайт для каждого участка, где есть сервер, на котором выполняется приложение, работающее с данными о сайтах.

При разработке структуры сайтов начинайте с построения простой схемы, представляющей все сайты сети (рис. 5-3). Пометьте общую и доступную пропускную способность соединений между сайтами. Для каждого сайта укажите следующую информацию.

Имя сайта. Это имя объекта-сайта, который вы создадите в Active Directory. Если имя сайта отличается от названия территориального участка, отметьте на схеме и название этого участка. Подсети, входящие в сайт. Перечислите диапазон IP-адресов подсети, имя, присвоенное объекту-подсети в Active Directory, и маску подсети.

Размещено на Allbest.ru