152
Глава 4
рами, то такой рисунок будет напоминать
дерево
с вершиной, ветвями, листьями.
Этот термин и сохранен для описания такой структуры.
П
РИМЕЧАНИЕ
Обратите внимание, что при удалении OU будут удалены и содержащиеся в нем объ-
екты (например, учетные записи компьютеров — тогда компьютеры уже не будут чле-
нами домена).
Лес
На одном предприятии может существовать несколько доменов с различными про-
странствами имен — например:
example.com
и
example.ru
. В этом случае представ-
ленная
структура будет напоминать
лес
. Лес — это коллекция (одного или более)
доменов Windows 20
xх
, объединенных общей схемой, конфигурацией и двусторон-
ними транзитивными доверительными отношениями.
Нужно понимать, что деревья в лесу не самостоятельны. Все эти деревья создаются
внутри одного предприятия
, а администраторы централизованно управляют ими.
Если оперировать терминами логической организации сети, между любыми доме-
нами внутри предприятия существуют
доверительные двусторонние отношения
.
На практике это означает, что администратор предприятия является «начальником»
администратора
любого домена, а пользователь, прошедший аутентификацию
в одном домене, уже «известен» в другом домене предприятия.
При работе с сетями с централизованным управлением необходимо полностью до-
верять администраторам, которым принадлежат корневые права, поскольку они
имеют возможность получить доступ к любым объектам и назначать любые права.
Сайты
Active Directory объединяет логическую и физическую структуру сети. Логическая
структура Active Directory состоит из организационного подразделения, домена,
дерева доменов и леса доменов. А к физической структуре относятся такие элемен-
ты, как подсеть и сайт.
Сайты предназначены для описания
территориальных
делений
.
Считается, что
внутри одного сайта
присутствуют скоростные каналы связи (обычно компьютеры
сайта находятся в одном сегменте локальной сети). А различные сайты связаны
друг с другом относительно медленными каналами связи. Именно поэтому между
сайтами создаются специальные механизмы репликации данных — можно задать
график репликации, выбрать используемый протокол (по электронной почте или
посредством протокола IP) и т. д.
Соотношение территориальной и логической структуры выбирается исходя из кон-
кретной конфигурации предприятия. Например, можно создать несколько сайтов
в одном домене или сформировать в каждом сайте свой домен и т. п.
Сайты обычно используются для настройки доступа к каталогу и репликации. Так-
же создание дополнительных сайтов может быть способом балансировки
нагрузки
Информационные системы предприятия
153
между контроллерами домена, потому что алгоритм выбора контроллера домена
рабочей станции использует структуру сайтов.
DN и RDN
Для успешной работы с каталогами необходимо ориентироваться в терминах DN
(Distinguished Name, отличительное имя) и RDN (Relative Distinguished Name, отно-
сительное отличительное имя).
Объекты каталога хранятся в иерархической структуре. Условно можно сравнить
такую структуру со структурой файловой системы. Есть корневой каталог, есть
вложенные в него каталоги, в них, в свою очередь, могут
храниться как сами фай-
лы, так и другие каталоги. В этой аналогии термин DN подобен
полному пути име-
ни файла
— в DN приводится полный путь к объекту, начиная с самой «верхней»
точки иерархии каталога.
RDN подобен
относительному
пути к файлу. Это может быть только само имя
файла (обычный RDN) или относительный путь (многоатрибутный RDN). Напри-
мер, на предприятии может быть заведен пользователь
Иванов
. Если на этом пред-
приятии в разных отделах работают два Иванова, то только по фамилии невозмож-
но определить конкретного работника. Но если использовать многоатрибутный
RDN,
состоящий, например, из фамилии и названия отдела, то работник будет обо-
значен точно:
cn = Петров + ou = IT
Управление структурой домена предприятия
Проектировщик логической структуры компьютерной сети предприятия должен
учитывать различные факторы, например: бизнес-процессы, требования безопасно-
сти, количество и расположение офисов и т. д.
Создание разветвленной структуры сети имеет смысл только в крупной компании.
В небольших компаниях в такой структуре нет смысла, поскольку внутри компании
будет применяться всего несколько групповых политик. По мере увеличения коли-
чества компьютеров в сети сеть начнет становиться все более сложной.
Обычно логическая структура домена повторяет организационную структуру ком-
пании. В небольших компаниях обычно не стоит вопрос
организации и размещения
контроллеров домена (в
главе 5
мы рассмотрим ситуацию с удаленным офисом).
В большинстве случаев производительности одного сервера хватит на обслужива-
ние нескольких сотен рабочих станций. Однако рекомендуется иметь не менее двух
контроллеров — на случай неисправности одного из них.
Начиная с Windows 2000, Active Directory — сердце доменов на базе Microsoft Win-
dows. Практически все задачи администрирования затрагивают технологию Active
Directory, которая была создана, чтобы помочь вам определить четкую структуру
сети вашего предприятия.
