Active Directory. Леса, домены и доверительные отношения
Для непосвященного человека название статьи может показаться безумной попыткой слепить в одно совершенно несовместимые вещи. Однако для искушенного администратора эти понятия лежат в основе работы с Active Directory (AD, Активный каталог).
Доменом называют логическую группу пользователей и компьютеров, которые поддерживают централизованное администрирование и безопасность. Домен также является единицей для репликации – все контроллеры домена, которые входят в один домен, должны участвовать в репликации друг с другом. Домены принято именовать, используя пространство имен DNS (Domain Name Service), например sources.com.
Доверие – это “соглашение” между двумя доменами, устанавливающее разрешения на доступ к тем или иным объектам другого домена.
Деревом называется набор доменов, которые используют связанные (прилегающие) пространства имен. Например, можно создать дочерний домен, называемый comp, в домене sources.com, тогда его полное имя будет – comp.sources.com. Дочерний домен автоматически получает двухсторонние доверительные отношения с родительским доменом. Заметим, что при этом домен comp.sources.com продолжает оставаться отдельным доменом, а это значит, что он остается единицей для целей безопасности и репликации. Поэтому администраторы из домена sources.com не могут администрировать домен comp.sources.com до тех пор, пока им явно не будет дано такое право.
Лес является наиболее крупной структурой в Active Directory и объединяет деревья, которые поддерживают единую Схему (определение объектов, которые могут создаваться). В лесу все деревья объединены двунаправленными доверительными отношениями, что позволяет пользователям в любом дереве получать доступ к ресурсам в любом другом, если они имеют соответствующие разрешения и права на доступ. По умолчанию первый домен, создаваемый в лесу, считается его корневым доменом. Кроме того, в корневом домене по умолчанию хранится Схема. Вы не можете переименовать или удалить корневой домен – это вызовет удаление всего леса Active Directory. В отличие от доменов и доверительных отношений, лес не представлен ни как контейнер, ни как любой другой вид объекта Active Directory. Как уже говорилось, домены именуются с использованием пространств имен DNS. Считается, что домены, которые используют одно пространство имен, входят в одно доменное дерево. Например, домены comp_1.sources.com, comp_2.sources.com и sources.com – части доменного дерева sources.com. Дерево, состоящее из одного домена, является наиболее распространенным решением, однако в больших корпорациях, состоящих из множества компаний, используется в основном мультидоменное дерево. Каждая компания хочет поддерживать собственную информацию, а, следовательно, и свое пространство имен. Описание сценария построения Active Directory для корпорации – самый лучший способ показать отношения между лесами, доменами и деревьями. Допустим, каждая компания, входящая в состав корпорации, хочет, чтобы доменное имя их Активного Каталога соответствовало названию этой компании. Есть два способа это сделать:
Для каждой компании спроектировать доменное дерево в одном лесу;
Для каждой компании спроектировать отдельный лес.
Одним из главных отличий между этими двумя вариантами будет наличие доверительных отношений между доменами, находящимися в пределах одного леса, в то время как в отдельных лесах они полностью отсутствуют. Без доверительных отношений пользователь одного леса не сможет получить доступ к ресурсам домена, входящего в состав другого леса. Если же мы хотим, чтобы пользователь имел доступ к ресурсам любого домена, то система с множеством деревьев в одном лесу будет лучше, чем система с множеством отдельных лесов. Транзитивные доверительные отношения устанавливаются между корневыми доменами каждого доменного дерева, в результате чего каждый домен в лесу считается «доверенным». На рисунке 1 изображен пример с тремя доменными деревьями в лесу sources.com
Рис. 1 Лес sources.com, содержащий три дерева
Если же будет выбран вариант с отдельным лесом для каждой компании, то для создания модели, полностью покрываемой доверительными отношениями, придется создавать доверия между доменами в каждом лесу отдельно. При большом количестве доменов эта задача может занять много времени. В Windows Server 2003 Active Directory появилась возможность использовать новый тип доверительных отношений доверие между лесами (forest trusts).
Различают следующие типы доверительных отношений:
Транзитивные доверительные отношения;
Односторонние доверительные отношения;
Доверительные отношения леса;
Доверительные отношения области.
Источник
HOW-TO: Разбираемся с деревьями в лесу, изучая терминологию Active Directory
Впервые услышав термины «лес», «деревья» и связанные с ними «доверительные отношения», недолго и испугаться. Не меньше пугает и сама Active Directory, недаром слывущая одной из самых сложных технологий Microsoft. Чтобы успешно управлять AD и понимать, что там происходит, следует первым делом изучить базовую терминологию и понять, как компоненты связаны между собой. Об этом я и расскажу.
Высший уровень логической иерархии AD — это лес. Лесом называют полностью самостоятельную организацию Active Directory, которая имеет определенный набор атрибутов и является периметром безопасности организации.
В состав леса могут входить как один, так и несколько доменов. Все объекты, создаваемые внутри леса, имеют общий набор атрибутов. Например, объект «пользователь» содержит имя, фамилию, адрес, телефон, сведения о членстве в группах и другие параметры. Меняя этот набор, мы меняем его для всех объектов леса. Такой набор называется схемой AD. Она описывает все объекты, которые мы можем создать, и их структуру.
По умолчанию первый домен, который создан в лесу, считается его корневым доменом. Под доменом понимается логическая группа пользователей и компьютеров, которые поддерживают централизованное администрирование и настройки безопасности. Домен также служит единицей для репликации — все контроллеры домена, которые входят в один домен, должны участвовать в репликации друг с другом.
Домены принято именовать, используя пространство имен DNS. Доверие, в свою очередь, — это связь между двумя доменами, при которой устанавливаются разрешения на доступ к тем или иным объектам другого домена. Дерево — не что иное, как набор доменов, которые используют связанные пространства имен. К примеру, если домен называется xakep.ru, то дочерний домен test будет выглядеть как test.xakep.ru. Резюмируя, можно условно нарисовать такую схему: «Лес — дерево — домен».
Xakep #292. Flipper Zero
Чаще всего в организациях используют самую простую структуру. Один лес и в нем корневой домен, который содержит различные объекты, такие как пользователи и компьютеры. Развитая структура встречается в основном в крупных компаниях, с большим штатом ИТ-специалистов и разными уровнями ответственности. Зачастую полные права есть лишь у архитекторов, а рядовые администраторы имеют права только в своих доменах.
С первоначальной терминологией все. В одном из следующих выпусков расскажу о типах доверительных отношений.
Источник