Модель с единственным доменом

Выбор модели с единственным доменом

Модель с единственным доменом идеально подходит для многих организаций, а с уче­том возможных модификаций — для очень многих. Структура с единственным доменом обладает несколькими преимуществами, главным из которых является простота. Любой администратор или инженер с опытом реальной работы согласится с тем, что чаще всего самое простое решение является наилучшим. Чрезмерное усложнение архитектуры систе­мы привносит потенциальный риск и усложняет устранение неполадок в этих системах. Следовательно, объединение сложных доменных структур в более простую структуру с единственным доменом AD DS позволяет уменьшить расходы на администрирование и ми­нимизировать связанные с этим проблемы.

Еще одним преимуществом, получаемым в случае создания структуры с единственным доменом, является возможность централизованного администрирования. Многие органи­зации с сильной централизованной IT-структурой желают сосредоточить контроль над всеми информационными структурами и пользователями в одном месте. AD DS и, в част­ности, модель с единственным доменом, обеспечивает более высокий уровень администра­тивного управления и возможность делегировать задачи администраторам более низкого уровня. Это стало серьезным стимулом для использования AD DS.

Недостатки модели с единственным доменом

Но не все структуры AD DS могут состоять из единственного домена, и существуют неко­торые факторы, которые ограничивают применение структуры с единственным доменом. При наличии в организации таких факторов может возникнуть необходимость в расшире­нии доменной модели таким образом, чтобы она включала в себя другие домены в лесу и, следовательно, структуры этих других доменов. Например, единая граница безопасности, образуемая одним доменом, может оказываться не совсем не такой, какая необходима орга­низации. Для делегирования прав на администрирование связанных с безопасностью эле­ментов могут использоваться организационные единицы (OU), но члены группы Domain Admins (Администраторы домена) все равно смогут перекрывать разрешения в разных OU. Если контуры безопасности внутри организации должны иметь точные границы, то един­ственный домен может оказаться не подходящим вариантом. Например, если отдел кадров требует, чтобы ни у кого из пользователей IT-отдела не было доступа к ресурсам его среды, то структуру домена понадобится расширить так, чтобы она позволяла удовлетворять это дополнительное требование, связанное с безопасностью.

Еще одним недостатком модели с единственным доменом является то, что при наличии в лесу единственного домена компьютер с ролью мастера схемы тоже должен находиться именно в этом домене. То есть мастер схемы должен располагаться в том же домене, в кото­ром содержатся все пользовательские учетные записи. Хотя доступ к мастеру схемы можно жестко контролировать посредством соответствующих административных мер, риск рас­крытия схемы повышается, когда роль мастера схемы размещена в пользовательском доме­не.

2016  Командная строка Windows  
top Яндекс.Метрика