Когда добавлять дополнительные домены

Рекомендуется начать создание Active Directory в Windows Server 2003 с одного домена, а затем добавлять домены только в случаях абсолютной необходимости. Добавление дочерних доменов в существующую доменную структуру может оказаться необходимым, если инфрастуктура обладает перечисленными ниже свойствами.

  • Децентрализованное администрирование. Когда различные филиалы органи­зации в основном управляют своей собственной IT-структурой и не планируется их объединение в централизованную модель, то идеальным решением могут оказаться несколько взаимосвязанных доменов. Каждый домен действует как граница безопасности для большинства видов деятельности и может быть на­строен на блокировку администрирования за границами доменов. Этот подход действует примерно так же, как и домены NT, и наследует многие из их ограни­чений. Другими словами, перед тем как разворачивать Active Directory, лучше попытаться централизовать администрирование, чтобы воспользоваться до­полнительными преимуществами AD.
  • Географические ограничения. Если различные части компании связаны мед­ленными или ненадежными каналами либо разделены огромными географиче­скими расстояниями, целесообразно будет разбить пользователей на отдельные домены. Это поможет ограничить интенсивность междоменных репликаций и облегчить поддержку различных часовых поясов. Имейте в виду, что только лишь медленные каналы не являются основанием для создания нескольких до­менов, поскольку для регулирования репликаций по медленным каналам Active Directory Windows Server 2003 использует понятие сайтов Active Directory. Ос­новная причина создания домена из-за географической удаленности — гибкость администрирования. То есть при возникновении проблемы с сетью в Японии местный администратор имеет больше возможностей администрирования ази­атского домене и может не звонить среди ночи североамериканским админист­раторам.
  • Необходимость уникального пространства имен DNS. Если два организаци­онных элемента хотят использовать для Active Directory свое пространство имен, зарегистрированное в Internet, но используют общий лес наподобие
  • hotmail.com или microsoft.com, эти домены должны быть добавлены как от­дельные домены. Этот тип доменной модели более подробно описан далее в этой главе, в разделе «Модель с несколькими деревьями в одном лесу».

  • Специальные политики паролей. Поскольку политики паролей устанавливаются на уровне доменов, то если в разных доменах устанавливаются разные политики, для разделения этих политик нужны разные домены. На практике редко бывает, чтобы эта проблема была единственной причиной создания нового домена, но знание о таком ограничении может быть полезным в процессе создания.
  • Требование повышенной безопасности. В зависимости от потребностей ор­ганизации может оказаться целесообразным выделение роли мастера схемы в домен, отдельный от пользователей. В этом случае модель с единственным до­меном неприменима, и более уместными будут такие модели как модель с выде­ленным корнем или с фиктивным доменом.
  • При обдумывании необходимости дополнительных доменов не забывайте о прин­ципе «чем проще, тем лучше». Но все же если в процессе проектирования возникает особая необходимость добавить новые домены, обязательно соблюдайте правила соз­дания, иначе ваша среда рискует приобрести вид беспорядочной груды NT-доменов, которой надо всячески избегать.

    Аналогичные записи: Вы можете оставить комментарий, или ссылку на Ваш сайт.

    Оставить комментарий

    Вы должны быть авторизованы, чтобы разместить комментарий.