Планирование структуры доменов Active Directory на предприятии

После того как вы определили количество лесов в своей организации, вам нужно спроектировать структуру доменов в каждом лесу. Доменом называется административная единица, внутри которой совместно используются определенные характеристики и возможности. Также домен является областью действия административных политик, причем, политики, конфигурируемые в одном домене, влияют на все учетные записи, которые в нем содержатся и не оказывают влияние на учетные записи в других доменах. Изначально домены используются для разделения леса на небольшие компоненты в целях администрирования и репликации. За создание проектов домена обычно отвечает владелец леса. Задача проектирования доменов включает в себя обеспечения наиболее эффективной работы доменных служб, имеющиеся возможности сетевой инфраструктуры с последующим созданием структуры доменов, а также изучение требований к репликации. Домены следует проектировать с целью повышения эффективности топологии репликации при умеренной пропускной способности сети, причем необходимо определить требования модели домена, требуемое количество доменов, нужно ли обновлять существующие или разворачивать дополнительные домены, спроектировать корневой домен леса, доменные деревья, а также модели доверительных отношений доменов. Обо всех этих моментах вы узнаете из этой статьи.

Прежде всего, до определения модели и количества доменов вам нужно учесть границы безопасности, администрирования и репликации, которые помогут определить наилучший вариант разделения леса на домены.

  • Границы безопасности. При проектировании структуры доменов, границы политики безопасности имеют одно из важнейших значений. Некоторые политики безопасности, используемые на уровне домена, применяются ко всем учетным записям пользователей в этом домене. К таким политикам можно отнести политики паролей, политики блокировки учетных записей, политики Kerberos и многое другое. При сборе требований безопасности на уровне домена, вы должны учесть все возможные требования безопасности, которые будут применяться для всех групп вашей организации. В некоторых отделах группы пользователей могут нуждаться в более защищенных паролях к учетным записям, и поэтому вам приходится создавать подробные политики паролей, но когда количество таких пользователей увеличится, на поддержание безопасности таких групп вам понадобятся затратить большие административные усилия. В идеальном случае, для любой группы, которая имеет уникальные требования безопасности, рекомендуется разворачивать отдельный домен;
  • Административные границы. Сбор административных сведений позволит вам понять, каким образом будет реализовываться управление доменами и как можно эффективно разработать доменную структуру. Стоит учесть, что границы доменов также являются границами доступа к ресурсам. Изначально пользователи из одного домена не получают доступ к ресурсам в другом домене, если у них не отконфигурированы доверительные связи. На этом этапе вам нужно определить команды обслуживающего персонала, которые будут ответственны за управление доменными службами в вашей организации. Если какая-либо группа требует у вас административных привилегий, то для такой группы вам нужно будет создать новый домен;
  • Границы репликации. Границы домена являются границами репликации каталогов домена и информации, распложенной в папке SYSVOL на всех контролерах домена. Прежде всего, вам нужно определиться с расположением, в котором будут находиться пользователи, после чего, для каждого расположения определить количество пользователей и бизнес-единиц, к которым принадлежат пользователи. При проектировании структуры доменов важно учитывать доступную пропускную способность, использование сети и сведений о соединениях для каждого расположения вашей организации. В Active Directory предполагается, что на предприятии используется два типа сетей: высокоскоростные и более медленные. В том случае, если все расположения объединены в высокоскоростные сети, которые имеют широкую пропускную способность, дополнительная пропускная способность сети для репликации не потребуется, это означает, что будет достаточно только одного домена. Но если в вашей организации есть несколько филиалов, которые подключаются к центральному узлу с помощью ссылок WAN и могут оказаться перегруженными, дорогостоящими и нестабильными, целесообразно в таких случаях разворачивать дополнительные домены. Стоит обратить внимание на то, что репликация каталогов домена выполняется только в пределах своего домена.

Определение модели домена

После определения основных требований нужно выбрать модель домена Active Directory, которая будет использоваться в вашей организации. Для того чтобы определиться с выбором, прежде всего, следует разобраться с существующими моделями доменов, которые предоставляет компания Microsoft. В принципе, выбор можно сделать практически сразу, так как существует всего две модели доменов. Еще на этапе проектирования доменов лучше всего свести к минимуму количество развертываемых в лесу доменов, что позволит вам снизить сложность развертывания и, тем самым, снизить свои расходы. Рассмотрим каждую модель:

  • Однодоменная модель. Модель из одного домена является самой простой схемой доменов. В такой схеме любой контроллер домена может проверить подлинность любого контроллера домена в лесу, все контроллеры домена могут быть серверами глобального каталога, а также все сведения реплицируются на все контроллеры домена. Так как модель состоит из леса с одним доменом, этот домен является корневым доменом леса. Стоит отметить, что с точки зрения управления и обслуживания такая схема считается самой дешевой, но в том случае, если контроллеры доменов являются децентрализованными и находятся в различных географических расположениях, при репликации возникает интенсивный расход сетевого трафика. Если в организации много пользователей, развертывание нескольких доменов позволит разбить данные на части и лучше управлять интенсивностью трафика репликации, проходящего через определенное сетевое подключение. При возникновении острой необходимости, вы всегда можете развернуть дополнительные региональные домены, тем самым, изменив существующую модель на модель региональных доменов;
  • Модель региональных доменов. Региональная модель, по сути, состоит из одного корневого домена леса и, по крайней мере, одного регионального домена, расположенного в отличном от корневого географическом расположении. Так как данные внутри домена реплицируются на все его контроллеры домена, а пользователи между центральным офисом и региональными объединяются посредством глобальной сети WAN, для уменьшения интенсивности трафика через подключение WAN, целесообразно разворачивать региональные домены. Такая модель позволяет поддерживать наиболее стабильную среду. Во время проектирования доменов вам предстоит определить, какой домен будет считаться корневым доменом леса, и сколько нужно развернуть дополнительных доменов для удовлетворения потребностей репликации.

Определение количества доменов

После того как будет определена доменная модель перед вами встанет задача, связанная с определением количества доменов в вашей организации, которые могут изменяться, в зависимости от выбранной вами модели доменов. Несмотря на то, что большинство организаций развертывают только один лес, количество доменов, внутри этого леса может быть довольно большим. Любой лес всегда начинается с одного домена. Максимальное количество пользователей, которое может содержать однодоменный лес, зависит от самого медленного подключения, через которое будет осуществляться репликация между контроллерами доменов и от пропускной способности, которую планируется выделить доменным службам Active Directory. Очевидно, что проще всего управлять одним доменом, поскольку один домен предусматривает самое простое окружение для пользователей. Одним доменом вы можете ограничиться в том случае, если в вашем лесу содержится меньше пользователей, чем может в себя вместить домен. Несмотря на это, вы должны учесть тот факт, что в будущем общее количество пользователей может увеличиться. А в том случае, если общее количество пользователей превысит максимально допустимое значение для однодоменного леса, то для репликации необходимо зарезервировать большую долю пропускной способности, разделить организацию на региональные домены или увеличить скорость подключения. Тем не менее, существует ряд причин, на основании которых многие компании предпочитают разворачивать множество доменов. Если одного леса достаточно для размещения всех пользователей, необходимо определить их максимальное число, которое может поддерживать каждый регион, исходя из скорости самого медленного подключения.

Один домен целесообразно использовать для небольших и средних организаций исходя из следующих соображений:

  • Хранилище данных доменных служб Active Directory может хранить более миллиона объектов, то есть множество объектов не является причиной создания множества доменов;
  • При реорганизации или переходе пользователей из одного подразделения в другое, их проще перемещать между организационными единицами в пределах одного домена;
  • Отдельным доменом проще управлять, так как для него задействован один набор администраторов и политик домена;
  • Администрировать нужно только один набор контроллеров домена;
  • При необходимости административной автономии используются организационные единицы и на его уровне решаются административные задачи;
  • При необходимости административной изоляции требуется развертывание множества лесов, так как домены не обеспечивают границы административной безопасности;
  • Среда одного домена — наиболее простой сценарий управления групповыми политиками;
  • Объекты групповой политики автоматически реплицируются на все контроллеры при наличии одного домена;
  • Один домен обеспечивает наиболее простую среду проектирования проверки подлинности доступа к ресурсам, при этом не нужно создавать доверительные отношения и назначать доступ к ресурсам для пользователей других доменов. Для назначения доступа к ресурсам имеет смысл использовать одну группу, не конфигурируя группы учетных записей и ресурсов;
  • В одном домене все контроллеры могут являться серверами глобального каталога, при этом не применяются ограничения мастера инфраструктуры.

К преимуществам использования одного домена можно отнести то, что пользователей не нужно перемещать из одного домена в другой при переходе в другое место; не нужно обеспечивать дублирование групповых политик групп; аутоинтефикацию пользователя может производить любой контроллер домена; упрощается процесс администрирования и снижается уровень расходов.

К недостаткам использования одного домена относятся возможность громоздкости репликации и значительная нагрузка на сеть; отсутствие изоляции в средине леса; невозможности защиты данных или конфигурации служб от вмешательства администраторов; администратор может вносить изменение в конфигурацию, нарушающую работу служб каталогов домена.

Максимальное количество пользователей, содержащихся в домене, варьируется в зависимости от пропускной способности сети, предназначенной для репликации между доменами. Интенсивность трафика репликации существенно зависит от количеств изменений в каталоге за определенный промежуток времени. Например, если все контроллеры домена связаны сетью, скорость которой равняется 64 килобит в секунду с пяти процентной пропускной способностью для репликации доменных служб, то количество пользователей в домене составит 75 000, а при скорости 1500 килобит в секунду и пяти процентной пропускной способностью, максимальное количество пользователей составит 100 000.

Региональные домены целесообразно использовать в том случае, если поместить всех пользователей в один домен невозможно. Наилучшим способом разделения организации на регионы, является ее разделение на основании структуры и структуры сети. Например, если за рубежом разделяют домены на регионы в том случае, если границами выступают границы континентов, то в нашей стране принято определять границы доменов в зависимости от регионального размещения областей или автономных республик. В любом случае рекомендуется сводить к минимуму количество региональных доменов. Несмотря на то, что в лесах может быть неопределённое количество доменов, рекомендуется делить свою организацию не более чем на 10 доменов. Их выбор предопределяется следующими составляющими:

  • Необходимость ограничения трафика репликации, так как папка SYSVOL и раздел каталогов домена, являющийся наиболее модифицированным разделом каталога, реплицируется на все контроллеры в одном и том же домене;
  • При использовании связей SMTP требуется конфигурировать все расположения компании как отдельные домены;
  • Ограничение доступа к ресурсам и административным полномочиям, согласно юридическим и бизнес-требованиям;
  • Необходимость различных политик паролей, так как для управления различными политиками паролей для нескольких групп пользователей требуется дополнительная административная нагрузка;
  • Необходимость разных пространственных имен для различных организационных единиц, что является важным параметром при слиянии компаний для поддержки уникальной идентичности.

К преимуществам использования региональных доменов можно отнести то, что пользователей не нужно перемещать из одной организационной единицы в другую при изменении рабочего места; наличие простейшего обслуживания и администрирования; администраторы служб отделены от администраторов домена; наличия разделения трафика репликации; поддержка согласованных параметров групповой политики во всех доменах; получение доступа к ресурсам посредствам доверительных отношений.

К недостаткам использования региональных доменов относится незащищённость от безответственности администраторов при разграничении сферы ответственности владельца леса и владельца домена; усложнение процесса администрирования в связи с возрастанием количества доменов; увеличение затрат на администрирование; увеличение объема репликации на уровне леса.

Региональные домены изначально используются для снижения объема трафика репликации и подходят организациям с большим количеством географически разделенных пользователей. Некоторые организации предпочитают создавать дополнительные домены в соответствии со своими организационными единицами, что позволяет реализовать достаточную автономию организационных единиц с обеспечением отдельного именного пространства. Также вы можете создавать отдельные домены с целью разделения доменов учетных записей и ресурсов, что позволяет администраторам в домене ресурсов получать полный доступ ко всем единицам управления ресурсами без необходимости в доступе к системе управления учетными записями.

Проектирование корневого домена леса

Как уже было указано ранее, первый домен, который развертывается в доменном лесу, называется корневым доменом леса и в течение всего жизненного цикла развертывания Active Directory данный домен остается корневым доменом леса. Но во время проектирования доменных служб Active Directory с множеством доменом, вам еще предстоит принять решение относительно развертывания выделенного корневого домена леса, который играет важнейшую роль в инфраструктуре доменных служб и называется пустым корнем. Выделенным корневым доменом леса называется домен, который создается специально для назначения на роль корневого домена леса. В том случае, если в вашей организации развернут один домен, то этот домен и является корневым доменом леса. Корневой домен содержит такие административные группы уровня леса, как «Администратор предприятия» и «Администратор схемы», а также контроллеры домена с ролями хозяев операций уровня леса, а именно мастера именования и мастера схемы. В случае использования выделенного корневого домена, операции администраторов служб леса и администраторов служб домена разделяются, причем члены группы «Администраторы домена» и встроенной группы «Администраторы» в региональных доменах не могут с помощью стандартных средств и процедур добавить себя в группы администраторов служб на уровне леса. Тем не менее, если строго ограничить количество администраторов в группах администраторов предприятия и администраторов схемы в корневом домене леса можно модифицировать список членства для этих групп. Помимо этого момента, при анализе развертывания выделенного корневого домена леса следует тщательно проанализировать следующие факторы:

  • Выделенным корневым доменом намного проще управлять, чем корневым доменом, который содержит множество объектов, так как размер базы данных каталога у него сравнительно небольшой. Стоит еще отметить, что корневой домен нельзя заменить и в случае его повреждения придется по-новому восстанавливать весь лес;
  • Выделенный корневой домен не представляет конкретный регион и на него не влияют реорганизации и изменения, которые могут привести к переименованию или изменению структуры доменов;
  • Выделенный корневой домен не устаревает;
  • Выделенный корневой домен также считается нейтральным корнем, так как не один регион не подчинен другому и все региональные домены в доменной структуре могут быть равноправными;
  • Выделенный корневой домен без особых усилий реплицируется на другие сайты. Учтите, что корневой домен леса должен всегда быть доступным при входе пользователей или получении доступа к ресурсам не в своем домене.

Конфигурация выделенного корневого домена не всегда применима к другим доменам леса и, если решено не развертывать выделенный корневой домен леса, необходимо выбрать региональный домен, который бы выполнял его функции. Так как корневой домен содержит роли хозяев операций уровня леса, такой домен должен быть родительским по отношению ко всем остальным региональным доменам.

Каждому домену в лесе должны быть назначены владельцы доменом, которые являются администраторами подразделений в регионах, где располагается сам домен. Владельцы домена вправе создавать политики безопасности на уровне домена, создавать высший уровень организационных единиц в своем домене, проектировать конфигурации групповых политик на уровне домена, управлять административными группами, а также делегировать административные полномочия внутри своего домена.

Дмитрий Буланов

Источник: Microsoft

Вы можете задать вопрос по статье специалисту.

Проводим анализ инфраструктуры Active Directory, подготовим отчет о состоянии леса Active Directory, найденных ошибках, их критичности и даем рекомендации по исправлению.

Помните, что все действия Вы выполняете на свой страх и риск и загрузка неверных данных может повлечь за собой крах системы и потерю информации. Администрация сайта не несет ответственность за Ваши действия.