Введение
В каждой организации при проектировании службы каталогов Active Directory, вам нужно уделить особое внимание разработке структуры подразделений, назначению ролей владельцев подразделений, а также созданию подразделений учетных записей и ресурсов. Подразделения, или организационные единицы (англ. Organization Unit, OU) предназначены для упрощения администрирования доменных служб Active Directory путем сокращения масштаба. По сути, подразделения позволяют вам обеспечить автономность администрирования и предоставляют средства управления видимостью объектов в Active Directory. Помимо этого, они обеспечивают изоляцию администраторов данных и тот факт, что владельцы подразделений управляют поддеревом объектов, не лишает владельца леса возможности полностью контролировать все поддеревья. Стоит обратить внимание на то, что структура подразделений является уникальной только для домена, а не для леса и, учитывая то, что домен может содержать миллионы объектов, управление таким количеством объектов без возможности их организации в логические группы может значительно усложнить вам работу. Подразделения позволяют вам создавать иерархическую структуру внутри домена, представляя собой объекты-контейнеры, которые могут содержать объекты службы каталогов таких типов, как: компьютеры, пользователи, группы, контакты, принтеры, общие папки, inetOrgPerson, а также другие подразделения. Каждое подразделение в домене должно иметь своего владельца, который по существу является диспетчером данных, и управляет поддеревом объектов в доменных службах Active Directory. Владельцы подразделений могут создавать новые поддеревья и делегировать администрирование подразделений в этих поддеревьях.
Как я упомянул выше, подразделения в большинстве случаев делятся на подразделения учетных записей и подразделения ресурсов.
Подразделения учетных записей содержит объекты учетных записей пользователей, групп отдела, а также их компьютеров. Иногда администраторы разбивают подразделения учетных записей на подразделения, содержащие группы, подразделения, которые содержат пользовательские учетные записи, а также специальные подразделения для удаленных пользователей. В свою очередь, владелец леса обязан создать структуру подразделений, позволяющую управлять этими объектами, а затем передать управление структурой владельцу подразделения. В том случае, если вы развернете новый домен Active Directory, вам нужно будет и в этом домене создать подразделение учетных записей для последующей передачи управления ими. Многие администраторы при планировании подразделений учетных записей создают еще подразделения рабочих станций, которые содержат объекты компьютеров ваших пользователей, тем самым позволяя добавлять в подразделения учетных записей только объекты пользователей и групп.
Подразделения ресурсов содержит ресурсы, привязанные к отделу, которые могут включать такие объекты, как локальные группы домена, принтеры, общие папки, серверы, а также учетные записи, необходимые для управления этими ресурсами. В этом случае, владелец леса также должен создать структуру подразделения, позволяющую управлять этими ресурсами и передать управление этой структурой владельцу подразделения. Проектирование подразделений ресурсов следует тщательно продумывать и создавать только по мере необходимости. В свою очередь, если определенная группа пользователей и ресурсов работает с отдельным проектом или приложением, для которого требуется уникальная система управления, которая называется подразделениями приложений и проектов. В этом случае обычно создается структура подразделений, после чего в этом подразделении группируются подразделения пользователей, ресурсов и компьютеров.
В процессе создания структуры подразделений важной частью является документирование дизайна списка подразделений, которые будут созданы. В такой документ вам следует вносить список и назначение каждого подразделения, тип каждого подразделения, сведения о его владельце, родительское подразделение, а также происхождение подразделения. На каждом уровне подразделения вам нужно задокументировать делегируемые права, если подразделения используются для делегирования административных задач. Еще важным моментом является документирование конфигурации групповых политик, которые привязываются к каждой единице подразделений.
К счастью для многих администраторов, для проектирования всех подразделений не существует единого сценария и существует множество моделей, которые могут послужить базисом для создания вашей уникальной структуры подразделений. В этой статье вы узнаете о разнообразных концепциях структуры подразделений, а также о назначении делегирования администрирования с помощью объектов подразделений.
Модели структуры подразделений
Не стоит забывать о том, что в первую очередь подразделения создаются для таких целей как применение групповой политики, ограничение видимости объектов и делегирования администрирования. В большинстве случаев системные администраторы стараются распределить подразделения согласно физической структуре отделов компании, что в некоторых случаях может оказаться неэффективным решением. Иерархия подразделений может и не совпадать с иерархией отделов вашей компании. Например, создав подразделения, которые будут соответствовать разграничению административных обязанностей, вы сможете управлять полномочиями администраторов. Вы можете создать подразделение, в которое будут входить все учетные записи серверов и администраторов этих серверов и, после чего, настроить параметры безопасности текущего подразделения таким образом, чтобы к нему имели доступ только администраторы данных соответствующей группы. Также обратите внимание на то, что если вы хотите применять объекты групповых политик к определенным пользователям, вам нужно всех этих пользователей поместить в конкретное подразделение, а затем применить к подразделению групповую политику. В свою очередь, структура подразделений Active Directory конечным пользователям не видна, так как она является рабочим средством администраторов служб и данных и легко поддается изменениям. Количество уровней подразделений может быть бесконечным, но для эффективного управления вашими подразделениями, не стоит создавать более десяти уровней, так как управление такой структурой окажется очень сложным. Вы можете на каждом уровне создавать неограниченное количество подразделений, что позволит вам наиболее эффективно применять групповую политику к определенной группе пользователей или ресурсов. Таким образом, предварительный анализ корпоративной структуры и организационной модели считается отличной стартовой точкой для проектирования подразделений. И если в вашей компании предусмотрена автономия подразделений или офисы размещены в географически разных точках, все это вам нужно отразить в структуре подразделений организации. Существует несколько распространенных моделей иерархии подразделений, которые описаны в следующих подразделах.
Географическая модель
Географические модели подразделений структурируются в виде иерархии с учетом постоянного географического местонахождения. Например, верхний уровень подразделений, как правило, создается на базе континента. Второй – на базе стран, третий – на базе еще меньших географических образований, таких как области или города.
Преимущества | Недостатки |
Подразделения первого уровня изменяются не так часто, как в других моделях. Это связано с тем, что географическое местоположение достаточно стабильно. | Может не отображать административную модель предприятия. |
Физическое местонахождение ресурсов легко определимо. | Не подходит для больших доменов, так как многоуровневыми структурами сложно управлять. |
| Не подходит для тех предприятий, персонал которых часто изменяет свое местоположение в связи со слиянием или развитием нового бизнеса. При этом географическое местоположение предприятия стабильно, а размещение персонала и ресурсов – нет. |
Организационная модель
Организационная модель имеет структуру, подобную предыдущей модели, но при этом первый уровень может представлять основные подразделения предприятия, такие как маркетинговый, финансовый; другие уровни – меньшие группы, в границах данного предприятия.
Преимущества | Недостатки |
Удобно для пользователей, которые производят поиск ресурсов, поскольку в ее основе находятся известные факты о структуре предприятия. | Может требовать реструктуризации. Частая реструктуризация приводит к изменению структуры и содержания подразделений. |
Легко просматриваемые материалы создания запросов. Ресурсы, как правило, расположены в четко определенных местах. | Может не отображать административную модель предприятия. |
Простота использования групповых политик. Политики, уникальные для определенного подразделения, легко применимы к ресурсам подразделения. | |
Объектная модель
Объектная модель характерна для структур, в которых подразделения образовываются на основе классов объектов, таких как учетные записи пользователей, групп, компьютеров, принтеров.
Преимущества | Недостатки |
Легкое администрирование ресурсов, поскольку организационные ресурсы определены классом объекта. | Большое количество подразделений, исходя из большого количества классов объектов, подлежащих администрированию. |
Возможность быстрого создания общих списков контроля доступа. Для одинаковых типов ресурса девствуют одинаковые требования доступа. | Неудобство для пользователей. Сложно определять конкретные объекты в подразделениях, в связи с недостатком информации для поиска конкретного ресурса. |
Простая передача делегирования администрирования. Администрирование ресурсов можно настраивать в соответствии с уровнем администрирования организационных единиц. | |
Четко отображает административную модель предприятия. | |
Модель на основании проектов
В данной модели структура подразделений разрабатывается на основе корпоративных проектов.
Преимущества | Недостатки |
Хорошая защита проектов, так как доступ к проектам контролируется благодаря отдельным иерархиям. | Недолговечность. Ограничено время действия проектов, а, соответственно, период существования подразделения. |
Простота отслеживания средств и расходов. При этом все объекты размещены в подразделении, для которого выделен сервер. | Большие объемы работ по обслуживанию. Частое изменение проектов приводит к большим издержкам на их обслуживание. |
| Увеличенные объемы репликации. При этом трафик репликации увеличивается пропорционально росту количества проектов. |
Административная модель
Административная модель иерархии создается на основе административной модели предприятия. Например, на первом уровне размещается центральный офис с использованием информационных технологий, а на втором уровне – его ИТ-подразделения.
Преимущества | Недостатки |
Упрощенное администрирование, так как ресурсы организованы в виде логичной ИТ-структуры. | Сложность для пользователя. Возникают трудности с поиском объектов в связи с тем, что подразделение ориентировано на конкретный отдел компании. |
Легко определяемые администраторы подразделений. | Издержки на управление. Структурные единицы эффективнее, когда они относятся к административной модели предприятия. При перемещении ресурсов или людей соответствующие изменения приходится вносить в каталог, что может привести к непредвиденным издержкам на управление объектами каталогов |
Делегирование администрирования с помощью подразделений
После того как вы определились с моделью структуры подразделений, перед вами встанет задача группирования объектов с целью их администрирования. Одной из важнейших причин создания подразделений является предоставление возможности делегирования административных задач. Именно при помощи подразделений вы можете делегировать отдельным пользователям или группам администрирование таких объектов, как учетные записи пользователей и компьютеров. Одни предприятия делегируют администрирование каждого размещения в отдельности, а другие – лишь особые административные задачи. Например, организации с множеством размещений и локальными системными администраторами могут в каждом сайте делегировать администрирование каждого размещения. Доменные службы позволяют управлять с высокой гибкостью теми административными задачами, которые доступны для делегирования, то есть, компания поручает одному или двум администраторам в каждом подразделении задачу сброса паролей и изменения данных пользовательских учетных записей в конкретном подразделении. А второй группе администраторов может быть предоставлена возможность создания и удаления учетных записей пользователей в том же подразделении. Кроме этого, отдельной группе могут быть предоставлены все возможности управления всеми объектами данного подразделения.
Эти разрешения могут передаваться по наследству, то есть распространяться на дочерние подразделения. Некоторые подразделения и контейнеры создаются по умолчанию и управляются администраторами служб. Для передачи управления объектами в каталоге, удобно создавать из таких объектов дополнительные подразделения и, соответственно, передавать управления ими администраторам данных. Все эти возможности должны предусматриваться при создании структуры подразделений и делегировании административного доступа. При этом может быть предоставлен практически любой уровень административного доступа – как полный, включая создание дочерних структур и делегирование полномочий другим администраторам, так и предоставления особых (отдельных) полномочий.
Делегирование администрирования контейнеров и подразделений по умолчанию
При установке доменных служб Active Directory, каждый домен получает стандартный набор контейнеров и подразделений, который состоит из:
- Контроллера домена – корневого контейнера иерархии. Изменение политик или списка управления доступом данного контейнера влияет на весь домен. Контейнерами домена должны управлять администраторы служб;
- Встроенного контейнера, содержащего учетные записи администраторов служб по умолчанию;
- Контейнера пользователей, в котором размещаются учетные записи пользователей и групп, созданных в домене по умолчанию.
- Контейнера компьютеров, в котором размещаются учетные записи созданных в домене компьютеров по умолчанию. В процессе обновления учетные записи пользователей и компьютеров автоматически размещаются в соответствующих контейнерах. Не стоит менять параметры по умолчанию контейнеров пользователей и компьютеров при необходимости делегировать управление пользователями и компьютерами. В этом случае удобнее создавать по мере необходимости новые подразделения и перемещать туда объекты пользователей и компьютеров из контейнера по умолчанию. Делегирование управления новыми подразделениями также выполняется по мере необходимости. Пользователей, которые управляют контейнерами по умолчанию менять нежелательно. К заданным по умолчанию контейнерам пользователей и компьютеров, нельзя применять параметры групповой политики. Для этого целесообразно также создавать новые подразделения и переносить туда соответствующие объекты пользователей и компьютеров. К созданным подразделениям возможно применение параметров групповых политик.
- Подразделения контроллеров доменов, в котором размещаются учетные записи компьютеров, выступающих в роли контроллеров доменов по умолчанию. При добавлении контроллеров домена в домен, соответствующие объекты компьютеров автоматически перемещаются в подразделение контроллеров домена, и к ним применяется набор групповых политик по умолчанию.
Увеличить рисунок
Параметры групповой политики используются для изменения и управления конфигурации рабочих мест. При этом пользователи получают стандартную конфигурацию рабочего места, включая автоматическую установку набора приложений. Параметры групповой политики применяются также для настройки параметров безопасности. При планировании структуры подразделения рекомендуется группировать объекты, в которых применяются одни и те же параметры групповых политик. По умолчанию все параметры групповой политики наследуются от родительских подразделений
Делегирование администрирования подразделений учетных записей и подразделений ресурсов
Структура подразделений учетных записей является поддеревом подразделений учетных записей всех типов, которые требуют независимого управления. При необходимости делегировать группам и компьютерам структуру подразделений учетных записей, администраторам данных нужно создать и изменить соответствующие объекты пользователей, групп и компьютеров.
Группам, управляющим дочерними подразделениями, предоставляется полный контроль только над определенным классом объектов, за управление которыми они отвечают. Типы групп для передачи управления связаны с положением учетных записей в соответствии со структурой подразделений. В том случае, если все учетные записи административных пользователей находятся в одном домене, для делегирования необходимо создавать глобальные группы. При наличие отдела, управляющего всеми своими учетными записями и охватывающего несколько регионов имеет смысл создать группу администраторов данных, отвечающих за учетные записи в нескольких доменах. Если учетные записи администраторов данных находятся в одном домене, а структуры подразделений в разных доменах, то управление структурами подразделений целесообразно осуществлять в каждом домене отдельно. Если администраторы учётных записей, которым передается управление структурой подразделений, относятся к разным доменам – есть необходимость использовать универсальную группу, в которую входят пользователи из разных доменов и, соответственно, управление также можно передавать в несколько доменов.
Делегирование администрирования подразделений ресурсов
Подразделение ресурсов позволяет управлять доступом к ресурсам, в котором владелец создает учетные записи компьютеров для присоединенных к домену серверов и содержит файловые ресурсы общего доступа, базы данных и принтеры. Для управления доступом ресурсов, владелец подразделения создает группы для их управления. Подразделение ресурсов может находиться на уровень ниже корня домена или быть дочерним подразделением в административной иерархии подразделений. У подразделений ресурсов отсутствуют стандартные дочерние подразделения. Владельцу подразделения ресурсов принадлежат объекты подразделений, но не сам контейнер подразделения.
Увеличить рисунок
Для каждого подразделения ресурсов в домене создается глобальная группа, которая полностью управляет объектами групп и компьютеров, содержащихся в подразделении, но не самим контейнером. Управлять объектами учетных записей, но при этом не быть администратором компьютера, владельцу подразделения позволяет размещение учетных записей подразделения ресурсов. Владелец леса может добавлять владельцев подразделений ресурсами в группу администраторы, применив групповую политику «Группы с ограниченным доступом».