Выбор модели с единственным доменом
Модель с единственным доменом идеально подходит для многих организаций, а с учетом возможных модификаций — для очень многих. Структура с единственным доменом обладает несколькими преимуществами, главным из которых является простота. Любой администратор или инженер с опытом реальной работы согласится с тем, что чаще всего самое простое решение является наилучшим. Чрезмерное усложнение архитектуры системы привносит потенциальный риск и усложняет устранение неполадок в этих системах. Следовательно, объединение сложных доменных структур в более простую структуру с единственным доменом AD DS позволяет уменьшить расходы на администрирование и минимизировать связанные с этим проблемы.
Еще одним преимуществом, получаемым в случае создания структуры с единственным доменом, является возможность централизованного администрирования. Многие организации с сильной централизованной IT-структурой желают сосредоточить контроль над всеми информационными структурами и пользователями в одном месте. AD DS и, в частности, модель с единственным доменом, обеспечивает более высокий уровень административного управления и возможность делегировать задачи администраторам более низкого уровня. Это стало серьезным стимулом для использования AD DS.
Недостатки модели с единственным доменом
Но не все структуры AD DS могут состоять из единственного домена, и существуют некоторые факторы, которые ограничивают применение структуры с единственным доменом. При наличии в организации таких факторов может возникнуть необходимость в расширении доменной модели таким образом, чтобы она включала в себя другие домены в лесу и, следовательно, структуры этих других доменов. Например, единая граница безопасности, образуемая одним доменом, может оказываться не совсем не такой, какая необходима организации. Для делегирования прав на администрирование связанных с безопасностью элементов могут использоваться организационные единицы (OU), но члены группы Domain Admins (Администраторы домена) все равно смогут перекрывать разрешения в разных OU. Если контуры безопасности внутри организации должны иметь точные границы, то единственный домен может оказаться не подходящим вариантом. Например, если отдел кадров требует, чтобы ни у кого из пользователей IT-отдела не было доступа к ресурсам его среды, то структуру домена понадобится расширить так, чтобы она позволяла удовлетворять это дополнительное требование, связанное с безопасностью.
Еще одним недостатком модели с единственным доменом является то, что при наличии в лесу единственного домена компьютер с ролью мастера схемы тоже должен находиться именно в этом домене. То есть мастер схемы должен располагаться в том же домене, в котором содержатся все пользовательские учетные записи. Хотя доступ к мастеру схемы можно жестко контролировать посредством соответствующих административных мер, риск раскрытия схемы повышается, когда роль мастера схемы размещена в пользовательском домене.