Доверительные отношения доменов

Для того, чтобы не заводить учетную информацию на одного и того же пользователя в разных доменах, между доменами можно установить доверительные отношения.

Доверительные отношения обеспечивают транзитную аутентификацию, при которой пользователь имеет только одну учетную запись в одном домене, но может получить доступ к ресурсам всех доменов сети.

Доверяющий домен - trusting - предоставляет доступ к своим ресурсам пользователям из другого домена - доверяемого или trusted. Иногда доверяющий домен называют ресурсным, так как в нем находятся серверы, к ресурсам которых получают доступ пользователи, учетная информация которых находится в SAM контроллеров доверяемого домена, который называют поэтому учетным.

Доверительные отношения не являются транзитивными. Например, если домен А доверяет домену В, а В доверяет С, то это не значит, что А автоматически доверяет С.

Отношение доверия означает, что администратор доверяющего, домена может определять права доступа к ресурсам своего домена не только для своих пользователей, но и для пользователей доверяемого, домена. Таким образом, право доступа к ресурсам доверяющего домена для пользователей доверяемого домена является потенциальным, реализуемым только при условии согласия администратора доверяющего домена.

Базовые модели организации доменов

Механизмы организации доменов:

- с одним доменом;

- с главным доменом;

- с несколькими главными доменами;

- с полными доверительными отношениями.

Модель с одним доменом:

Подходит для организации, в которой имеется не очень много пользователей, и нет необходимости разделять ресурсы сети по организационным подразделениям. Главный ограничитель для этой модели – производительность, которая падает, с увеличением числа серверов в сети.

Модель с главным доменом

В модели с одним главным доменом нужно образовать только одну глобальную группу.

Чтобы упростить решение этой проблемы, целесообразно распределять пользователей по главным доменам по организационному принципу, а не по какому – либо иному, например по алфавитному.

Преимущества: наилучшая модель для предприятия с большим числом пользователей и центральным отделом АИС. Хорошо масштабируется. Ресурсы логически группируются. Домены отделов могут иметь своих администраторов, которые управляют ресурсами отдела.

Недостатки: как локальные, так и глобальные группы должны определяться по несколько раз в каждом учетном домене. Необходимо управлять большим доверительных отношений. В одном домене локализуется не все данные о пользователяхМодель с несколькими главными доменами.

Эта модель предназначена для больших предприятий, которые хотят поддерживать централизованное администрирование. Эта модель в наибольшей степени масштабируема. В данной модели имеется небольшое число главных доменов. Главные домены используются как учетные домены, причем учетная информация каждого пользователя создается только в одном из главных доменов. Сотрудники отдела АИС предприятия могут администрировать все главные домены, в то время как ресурсные домены могут администрировать сотрудники соответствующих отделов.

Модель с полными доверительными отношениями:

Эта модель обеспечивает распределенное администрирование пользователей и доменов. В этой модели каждый домен доверяет каждому. Каждый отдел может управлять своим доменом, определяя своих пользователей и глобальные группы пользователей, и они могут использоваться во всех доменах предприятия.

 

Модель с одним доменом

Эта модель подходит для организации, в которой имеется не очень много пользователей, и нет необходимости разделять ресурсы сети по организационным подразделениям. Главный ограничитель для этой модели - производительность, которая падает, с увеличением числа серверов в сети.

+Наилучшая модель для предприятий с небольшим числом пользователей и ресурсов.

Централизованное управление пользовательской учетной информацией.

Нет нужды в управлении доверительными отношениями.

Локальные группы нужно определять только однажды.

-Низкая производительность, если домен имеет слишком много пользователей и/или серверов.

Невозможность группирования ресурсов.

 

Модель с главным доменом

Эта модель хорошо подходит для предприятий, где необходимо разбить ресурсы на группы в организационных целях, и в то же время количество пользователей и групп пользователей не очень велико. Эта модель сочетает централизацию администрирования с организационными преимуществами разделения ресурсов между несколькими доменами.

Главный домен удобно рассматривать как чисто учетный домен, основное назначение которого - хранение и обработка пользовательских учетных данных. Остальные домены в сети - это домены ресурсов, они не хранят и не обрабатывают пользовательскую учетную информацию, а поставляют ресурсы (такие как разделяемые файлы и принтеры) для всей сети. В этой модели пользовательскую учетную информацию хранят только основной и резервный контроллеры главного домена.