Active Directory. Леса, домены и доверительные отношения
Для непосвященного человека название статьи может показаться безумной попыткой слепить в одно совершенно несовместимые вещи. Однако для искушенного администратора эти понятия лежат в основе работы с Active Directory (AD, Активный каталог).
Доменом называют логическую группу пользователей и компьютеров, которые поддерживают централизованное администрирование и безопасность. Домен также является единицей для репликации – все контроллеры домена, которые входят в один домен, должны участвовать в репликации друг с другом. Домены принято именовать, используя пространство имен DNS (Domain Name Service), например sources.com.
Доверие – это “соглашение” между двумя доменами, устанавливающее разрешения на доступ к тем или иным объектам другого домена.
Деревом называется набор доменов, которые используют связанные (прилегающие) пространства имен. Например, можно создать дочерний домен, называемый comp, в домене sources.com, тогда его полное имя будет – comp.sources.com. Дочерний домен автоматически получает двухсторонние доверительные отношения с родительским доменом. Заметим, что при этом домен comp.sources.com продолжает оставаться отдельным доменом, а это значит, что он остается единицей для целей безопасности и репликации. Поэтому администраторы из домена sources.com не могут администрировать домен comp.sources.com до тех пор, пока им явно не будет дано такое право.
Лес является наиболее крупной структурой в Active Directory и объединяет деревья, которые поддерживают единую Схему (определение объектов, которые могут создаваться). В лесу все деревья объединены двунаправленными доверительными отношениями, что позволяет пользователям в любом дереве получать доступ к ресурсам в любом другом, если они имеют соответствующие разрешения и права на доступ. По умолчанию первый домен, создаваемый в лесу, считается его корневым доменом. Кроме того, в корневом домене по умолчанию хранится Схема. Вы не можете переименовать или удалить корневой домен – это вызовет удаление всего леса Active Directory. В отличие от доменов и доверительных отношений, лес не представлен ни как контейнер, ни как любой другой вид объекта Active Directory. Как уже говорилось, домены именуются с использованием пространств имен DNS. Считается, что домены, которые используют одно пространство имен, входят в одно доменное дерево. Например, домены comp_1.sources.com, comp_2.sources.com и sources.com – части доменного дерева sources.com. Дерево, состоящее из одного домена, является наиболее распространенным решением, однако в больших корпорациях, состоящих из множества компаний, используется в основном мультидоменное дерево. Каждая компания хочет поддерживать собственную информацию, а, следовательно, и свое пространство имен. Описание сценария построения Active Directory для корпорации – самый лучший способ показать отношения между лесами, доменами и деревьями. Допустим, каждая компания, входящая в состав корпорации, хочет, чтобы доменное имя их Активного Каталога соответствовало названию этой компании. Есть два способа это сделать:
Для каждой компании спроектировать доменное дерево в одном лесу;
Для каждой компании спроектировать отдельный лес.
Одним из главных отличий между этими двумя вариантами будет наличие доверительных отношений между доменами, находящимися в пределах одного леса, в то время как в отдельных лесах они полностью отсутствуют. Без доверительных отношений пользователь одного леса не сможет получить доступ к ресурсам домена, входящего в состав другого леса. Если же мы хотим, чтобы пользователь имел доступ к ресурсам любого домена, то система с множеством деревьев в одном лесу будет лучше, чем система с множеством отдельных лесов. Транзитивные доверительные отношения устанавливаются между корневыми доменами каждого доменного дерева, в результате чего каждый домен в лесу считается «доверенным». На рисунке 1 изображен пример с тремя доменными деревьями в лесу sources.com
Рис. 1 Лес sources.com, содержащий три дерева
Если же будет выбран вариант с отдельным лесом для каждой компании, то для создания модели, полностью покрываемой доверительными отношениями, придется создавать доверия между доменами в каждом лесу отдельно. При большом количестве доменов эта задача может занять много времени. В Windows Server 2003 Active Directory появилась возможность использовать новый тип доверительных отношений доверие между лесами (forest trusts).
Различают следующие типы доверительных отношений:
Транзитивные доверительные отношения;
Односторонние доверительные отношения;
Доверительные отношения леса;
Доверительные отношения области.
Источник
Модели архитектуры леса
Вы можете применить одну из следующих трех моделей проектирования леса в среде Active Directory:
- Модель леса организации
- Модель леса ресурсов
- Модель леса ограниченного доступа
Скорее всего, вам потребуется использовать комбинацию этих моделей для удовлетворения потребностей всех разных групп в организации.
Модель леса организации
В модели леса организации учетные записи пользователей и ресурсы содержатся в лесу и управляются независимо. Лес организации можно использовать для обеспечения автономности службы, изоляции службы или изоляции данных, если лес настроен для предотвращения доступа к любому пользователю за пределами леса.
Если пользователям в лесу организации требуется доступ к ресурсам в других лесах (или обратном), отношения доверия можно установить между одним лесом организации и другими лесами. Это позволяет администраторам предоставлять доступ к ресурсам в другом лесу. На следующем рисунке показана модель леса организации.
Каждый проект Active Directory включает по крайней мере один лес организации.
Модель леса ресурсов
В модели леса ресурсов для управления ресурсами используется отдельный лес. Леса ресурсов не содержат учетные записи пользователей, отличные от учетных записей, необходимых для администрирования службы, и тех, которые необходимы для предоставления альтернативного доступа к ресурсам в этом лесу, если учетные записи пользователей в лесу организации становятся недоступными. Доверия лесов устанавливаются таким образом, чтобы пользователи из других лесов могли получить доступ к ресурсам, содержащимся в лесу ресурсов. На следующем рисунке показана модель леса ресурсов.
Леса ресурсов обеспечивают изоляцию служб, которая используется для защиты областей сети, которые должны поддерживать состояние высокой доступности. Например, если ваша компания включает производственный объект, который должен продолжать работать, когда возникают проблемы в остальной части сети, можно создать отдельный лес ресурсов для производственной группы.
Модель леса ограниченного доступа
В модели леса ограниченного доступа создается отдельный лес для хранения учетных записей пользователей и данных, которые должны быть изолированы от остальной части организации. Леса ограниченного доступа обеспечивают изоляцию данных в ситуациях, когда последствия компрометации данных проекта являются серьезными. На следующем рисунке показана модель леса ограниченного доступа.
Пользователям из других лесов не удается предоставить доступ к ограниченным данным, так как доверие не существует. В этой модели у пользователей есть учетная запись в лесу организации для доступа к общим ресурсам организации и отдельной учетной записи пользователя в лесу ограниченного доступа для доступа к классифицированным данным. Эти пользователи должны иметь две отдельные рабочие станции, один подключен к лесу организации и другой, подключенный к лесу ограниченного доступа. Это защищает от возможности того, что администратор службы из одного леса может получить доступ к рабочей станции в ограниченном лесу.
В крайних случаях лес ограниченного доступа может поддерживаться в отдельной физической сети. Организации, работающие над классифицированными государственными проектами, иногда поддерживают леса ограниченного доступа в отдельных сетях в соответствии с требованиями безопасности.
Источник