แนวคิดพื้นฐานของ Active Directory การวางแผนฟอเรสต์ Active Directory ในโครงสร้างพื้นฐานขององค์กร การสร้างฟอเรสต์ Active Directory

ฟอเรสต์ Active Directory กำหนดคอลเลกชันของโดเมนตั้งแต่หนึ่งรายการขึ้นไปที่ใช้สคีมา การกำหนดค่า และแค็ตตาล็อกส่วนกลางร่วมกัน นอกจากนี้ โดเมนทั้งหมดมีส่วนร่วมในความสัมพันธ์ที่เชื่อถือได้แบบสกรรมกริยาแบบสองทาง ให้เราใส่ใจกับคำศัพท์ที่ใช้ในคำจำกัดความของป่าไม้

  • โดเมน- โดเมนจัดให้มีวิธีการจัดระเบียบและปกป้องวัตถุ เช่น ผู้ใช้และคอมพิวเตอร์ ที่เป็นส่วนหนึ่งของเนมสเปซเดียวกัน..com คือโดเมน คอมพิวเตอร์ในแต่ละโดเมนใช้การกำหนดค่าโดเมนเดียวกัน และอาจอยู่ภายใต้นโยบายและข้อจำกัดที่กำหนดโดยผู้ดูแลระบบโดเมน การใช้โดเมนช่วยให้รักษาความปลอดภัยทั่วทั้งองค์กรได้ง่ายขึ้น
  • โครงการ- สคีมา Active Directory ถูกใช้ร่วมกันโดยโดเมนทั้งหมดภายในฟอเรสต์ สคีมาคือข้อมูลการกำหนดค่าที่ควบคุมโครงสร้างและเนื้อหาของไดเร็กทอรี
  • การกำหนดค่า- การกำหนดค่ากำหนดโครงสร้างเชิงตรรกะของฟอเรสต์ เช่น จำนวนและการกำหนดค่าของไซต์ภายในฟอเรสต์
  • แคตตาล็อกทั่วโลก- แคตตาล็อกทั่วโลกสามารถรับรู้เป็นไดเร็กทอรีสำหรับฟอเรสต์ แค็ตตาล็อกส่วนกลางประกอบด้วยข้อมูลเกี่ยวกับวัตถุฟอเรสต์ทั้งหมด รวมถึงข้อมูลเกี่ยวกับตำแหน่งของวัตถุ นอกจากนี้ ไดเร็กทอรีโกลบอลยังมีข้อมูลสมาชิกกลุ่มสากล
  • เชื่อมั่น- Trust ช่วยให้โดเมนต่างๆ สามารถทำงานร่วมกันได้ หากปราศจากความเชื่อถือ โดเมนจะทำงานเป็นเอนทิตีที่แยกจากกัน หมายความว่าผู้ใช้ในโดเมน A จะไม่สามารถเข้าถึงทรัพยากรในโดเมน B ได้ หากมีการสร้างความสัมพันธ์ที่เชื่อถือระหว่างโดเมน โดยที่โดเมน B เชื่อถือโดเมน A ดังนั้นผู้ใช้ในโดเมน A จะสามารถทำได้ เข้าถึงทรัพยากรในโดเมน B หากมีสิทธิ์ที่เหมาะสม

ความสัมพันธ์ของความไว้วางใจมีสามประเภทหลัก

  • สกรรมกริยา- ความสัมพันธ์ที่เชื่อถือได้แบบสกรรมกริยาจะถูกสร้างขึ้นโดยอัตโนมัติระหว่างโดเมนของฟอเรสต์เดียวกัน อนุญาตให้ผู้ใช้ในโดเมนใดๆ สามารถเข้าถึงทรัพยากรในโดเมนอื่นในฟอเรสต์นั้นได้ ตราบใดที่ผู้ใช้มีสิทธิ์การเข้าถึงที่เหมาะสม
  • ทางลัดคือความเชื่อถือระหว่างโดเมนในฟอเรสต์เดียวกันซึ่งมีความน่าเชื่อถือแบบสกรรมกริยาอยู่แล้ว ความน่าเชื่อถือนี้ให้การรับรองความถูกต้องที่รวดเร็วยิ่งขึ้นและการตรวจสอบการเข้าถึงทรัพยากรระหว่างโดเมนฟอเรสต์ที่ไม่อยู่ติดกัน
  • ภายนอก- ความไว้วางใจภายนอกอนุญาตให้โดเมนจากฟอเรสต์ที่แตกต่างกันสามารถแบ่งปันทรัพยากรได้ ความเชื่อถือเหล่านี้ไม่ใช่แบบสกรรมกริยา ซึ่งหมายความว่าจะมีผลกับโดเมนที่ถูกสร้างขึ้นเท่านั้น

เมื่ออธิบายความหมายของคำศัพท์พื้นฐานให้ชัดเจนแล้ว ลองพิจารณาตัวอย่างของฟอเรสต์กัน ต่อไปนี้เป็นฟอเรสต์เดียวที่ประกอบด้วยทรีโดเมนสองรายการ

รูปภาพแสดงโดเมนสี่โดเมน aw.net, west.aw.net, east.aw.net และ person.net โดเมน aw.net, west.aw.net และ east.aw.net อยู่ในโครงสร้างโดเมนเดียวกันเนื่องจากมีเนมสเปซเดียวกัน (aw.net)

โดเมน person.net อยู่ในโครงสร้างอื่นเนื่องจากไม่ได้เป็นส่วนหนึ่งของเนมสเปซ aw.net โปรดทราบว่าภายในโดเมน east.aw.net (ซึ่งไม่ได้ลงนาม) สัญลักษณ์ OU จะแสดงขึ้น คุณคือ หน่วยขององค์กร(หน่วยองค์กร) ซึ่งจะกล่าวถึงในบทความถัดไป

ลูกศรในรูปแสดงถึงความไว้วางใจแบบสกรรมกริยาที่สร้างขึ้นโดยอัตโนมัติเมื่อมีการกำหนดค่าโดเมนในขั้นต้นภายในฟอเรสต์ โปรดทราบว่าโดเมนย่อย (ตะวันออกและตะวันตก) ของโดเมน aw.net ไม่เกี่ยวข้องโดยตรงกับโดเมน person.net อย่างไรก็ตาม พวกเขาเชื่อถือโดเมน person.net

เหตุผลที่เชื่อถือก็คือโดเมนย่อยเชื่อถือโดเมน aw.net เนื่องจากโดเมน aw.net เชื่อถือโดเมน person.net โดเมนลูกของ aw.net จึงเชื่อถือโดเมน person.net ด้วยเช่นกัน เมื่อทราบสิ่งนี้แล้ว คุณจะนึกถึงโดเมน Active Directory ว่าเป็นโดเมนเล็กๆ พวกเขาเชื่อทุกสิ่งที่พ่อแม่พูดอย่างไม่มีเงื่อนไข หากผู้ปกครองบอกว่าโดเมนอื่นสามารถเชื่อถือได้ นั่นคือสิ่งที่เป็นอยู่

แต่ความแตกต่างระหว่างโดเมนลูกและโดเมนลูกก็คือ โดเมนลูกเห็นด้วยเสมอและไม่ตั้งคำถามกับผู้ปกครอง

เนื่องจาก Microsoft Windows Server 2003 และ Microsoft Exchange Server 2007 ขึ้นอยู่กับ Active Directory สำหรับบริการไดเรกทอรี คุณต้องกำหนดวิธีการรวม Exchange 2007 เข้ากับโครงสร้าง Active Directory ของคุณ Active Directory ประกอบด้วยองค์ประกอบทางลอจิคัลต่อไปนี้ ซึ่งรวมกันจะกำหนดโทโพโลยี Active Directory:

  • โดเมนตั้งแต่หนึ่งโดเมนขึ้นไป
  • ไซต์ Active Directory อย่างน้อยหนึ่งไซต์

ฟอเรสต์ Active Directory

ป่าแสดงถึงขอบเขตด้านนอกสุดของบริการไดเร็กทอรี ฟอเรสต์ดำเนินการในบริบทของการรักษาความปลอดภัยแบบ end-to-end เพื่อให้ทรัพยากรทั้งหมดภายในฟอเรสต์ไว้วางใจซึ่งกันและกันอย่างชัดเจน โดยไม่คำนึงถึงตำแหน่งในฟอเรสต์ แต่ละฟอเรสต์ใช้โครงสร้างไดเร็กทอรีทั่วไปและการกำหนดค่าบริการไดเร็กทอรี ฟอเรสต์สามารถประกอบด้วยหนึ่งโดเมนขึ้นไป โทโพโลยีฟอเรสต์มีสองประเภท: ฟอเรสต์เดี่ยวและฟอเรสต์หลายฟอเรสต์

โทโพโลยีฟอเรสต์เดี่ยว

ในโทโพโลยีฟอเรสต์เดี่ยว Exchange ได้รับการติดตั้งในฟอเรสต์ Active Directory เดียวที่ครอบคลุมทั้งองค์กร บัญชีผู้ใช้และกลุ่มทั้งหมด รวมถึงข้อมูลการกำหนดค่า Exchange ทั้งหมดอยู่ในฟอเรสต์เดียวกัน

หากองค์กรของคุณใช้ฟอเรสต์ Active Directory เดียว คุณจะสามารถติดตั้ง Exchange 2007 ในฟอเรสต์นั้นได้ เราขอแนะนำให้ใช้การออกแบบฟอเรสต์เดี่ยวของ Exchange เนื่องจากมีขีดความสามารถของระบบอีเมลที่หลากหลายที่สุด และเนื่องจากมีรูปแบบการดูแลระบบที่ง่ายที่สุด เนื่องจากทรัพยากรทั้งหมดอยู่ในฟอเรสต์เดียว GAL หนึ่งรายการจึงมีผู้ใช้ทั้งหมดจากฟอเรสต์ทั้งหมด กรณีนี้จะแสดงในรูปต่อไปนี้


ตัวเลือกโครงนั่งร้านเดี่ยวมีข้อดีดังต่อไปนี้:

  • ชุดคุณสมบัติระบบอีเมลที่สมบูรณ์ที่สุด
  • รูปแบบการบริหารจัดการที่เรียบง่าย
  • ใช้ประโยชน์จากโครงสร้าง Active Directory ที่มีอยู่ของคุณ
  • ไม่จำเป็นต้องซิงโครไนซ์ GAL

ข้อเสียเปรียบหลักที่เกี่ยวข้องกับฟอเรสต์เดียวคือผู้ดูแลระบบต้องกำหนดวิธีการรวมหรือแบ่งปันความรับผิดชอบในการจัดการวัตถุ Active Directory และ Exchange

โทโพโลยีแบบหลายฟอเรสต์

แม้ว่าจะแนะนำให้ใช้โทโพโลยีฟอเรสต์เดี่ยวเนื่องจากมีความสามารถในการส่งข้อความที่หลากหลายที่สุด แต่ก็มีสาเหตุหลายประการว่าทำไมคุณอาจต้องการใช้หลายฟอเรสต์ เหตุผลเหล่านี้อาจรวมถึง ตัวอย่างเช่น:

  • มีหลายแผนกที่ต้องแยกบริการส่งข้อความ
  • การมีอยู่ของหลายแผนกที่มีข้อกำหนดที่แตกต่างกันสำหรับโครงการนี้
  • การควบรวมกิจการ การเข้าซื้อกิจการ หรือการแบ่งส่วนที่เกิดขึ้น

ไม่ว่าในกรณีใด วิธีเดียวที่จะสร้างขอบเขตที่เข้มงวดระหว่างหน่วยองค์กรคือการสร้างฟอเรสต์ Active Directory แยกต่างหากสำหรับแต่ละหน่วยองค์กร เมื่อใช้การกำหนดค่า Active Directory นี้ วิธีที่ต้องการใช้ Exchange คือการสร้างฟอเรสต์ทรัพยากร Exchange สำหรับข้อมูลเพิ่มเติมเกี่ยวกับฟอเรสต์ทรัพยากร Exchange ดูส่วน "โทโพโลยีฟอเรสต์ทรัพยากร" ในหัวข้อนี้

แต่มีสถานการณ์ที่ทรัพยากรฟอเรสต์อาจไม่สามารถทำได้ (ตัวอย่างเช่น ในระหว่างการควบรวมกิจการหรือการซื้อกิจการ หรือเมื่อหลายฟอเรสต์มีอินสแตนซ์ Exchange ของตนเองที่ทำงานอยู่แล้ว) ในกรณีเหล่านี้ สามารถใช้โทโพโลยีแบบข้ามฟอเรสต์ได้

โทโพโลยีข้ามฟอเรสต์

ในโทโพโลยีข้ามฟอเรสต์ บริษัทใช้ฟอเรสต์ Active Directory หลายรายการ โดยแต่ละรายการมีองค์กร Exchange ไม่เหมือนกับโทโพโลยีฟอเรสต์ทรัพยากร บัญชีผู้ใช้จะไม่ถูกแยกออกจากกล่องจดหมายของพวกเขา บัญชีผู้ใช้และกล่องจดหมายที่เกี่ยวข้องจะอยู่ในฟอเรสต์เดียวกันแทน

ประโยชน์หลักของการใช้โทโพโลยีข้ามฟอเรสต์คือความสามารถในการแยกข้อมูลและขอบเขตความปลอดภัยระหว่างองค์กร Exchange แต่โทโพโลยีนี้มีข้อเสียดังต่อไปนี้:

  • ไม่มีชุดคุณสมบัติการรับส่งข้อความที่สมบูรณ์ที่สุด
  • เมื่อคุณย้ายกล่องจดหมายจากฟอเรสต์หนึ่งไปยังอีกฟอเรสต์ สิทธิ์ที่ได้รับมอบหมายจะไม่ถูกรักษาไว้หากไม่มีผู้ติดต่อในฟอเรสต์เป้าหมายที่จะมอบหมาย หรือหากคุณย้ายผู้รับมอบสิทธิ์กล่องจดหมายในเวลาเดียวกัน
  • แม้ว่าคุณจะสามารถซิงโครไนซ์ข้อมูลว่าง/ไม่ว่างข้ามฟอเรสต์เพื่อให้คุณสามารถใช้เพื่อจัดกำหนดการประชุมได้ แต่คุณไม่สามารถใช้ เปิดโฟลเดอร์ของผู้ใช้อื่นเพื่อดูข้อมูลปฏิทินของผู้ใช้จากฟอเรสต์อื่น
  • เนื่องจากกลุ่มจากฟอเรสต์อื่นจะแสดงเป็นผู้ติดต่อ คุณไม่สามารถดูสมาชิกของกลุ่มได้ จนกว่าจดหมายจะถูกส่งไปยังฟอเรสต์ที่มีกลุ่มที่แสดงโดยผู้ติดต่อ ความเป็นสมาชิกของกลุ่มจะไม่ขยาย
  • จำเป็นต้องมีการซิงโครไนซ์วัตถุไดเรกทอรีข้ามฟอเรสต์ เช่นเดียวกับการจำลองข้อมูลว่าง/ไม่ว่าง โซลูชันการซิงโครไนซ์ไดเรกทอรีที่ใช้กันมากที่สุดคือ Microsoft Identity Integration Server (MIIS) 2003 SP2 หรือ Identity Integration Feature Pack สำหรับ Microsoft Windows Server Active Directory Service Pack 2 สำหรับการแชร์ข้อมูลว่าง/ไม่ว่างและปฏิทินระหว่างองค์กร Exchange ในฟอเรสต์ต่างๆ บริการความพร้อมใช้งานของ Exchange 2007 สามารถใช้.


โทโพโลยีฟอเรสต์ทรัพยากร

ในบางกรณี คุณอาจต้องสร้างฟอเรสต์ Active Directory เฉพาะแยกต่างหากเพื่อเรียกใช้ Exchange ตัวอย่างเช่น อาจมีสถานการณ์ที่คุณต้องการรักษาฟอเรสต์ Active Directory ที่มีอยู่ หรือคุณอาจต้องการแยกการจัดการวัตถุ Active Directory ออกจากวัตถุ Exchange ดังนั้น คุณอาจต้องสร้างฟอเรสต์ Active Directory แยกต่างหากสำหรับใช้งาน Exchange โดยเฉพาะ ป่าเฉพาะแยกนี้เรียกว่า ป่าไม้แห่งทรัพยากรแลกเปลี่ยน. ในรูปแบบฟอเรสต์ทรัพยากร Exchange ได้รับการติดตั้งในฟอเรสต์ Active Directory ที่แยกจากฟอเรสต์ Active Directory ที่มีผู้ใช้ คอมพิวเตอร์ และเซิร์ฟเวอร์แอปพลิเคชัน โดยทั่วไปตัวเลือกนี้จะใช้โดยบริษัทที่ต้องการขอบเขตความปลอดภัยระหว่างการดูแลระบบ Active Directory และการดูแลระบบ Exchange

ฟอเรสต์ทรัพยากร Exchange มีไว้เพื่อใช้งาน Exchange และโฮสต์กล่องจดหมายโดยเฉพาะ บัญชีผู้ใช้มีอยู่ในฟอเรสต์หนึ่งหรือหลายที่เรียกว่า ป่าบัญชี- ฟอเรสต์บัญชีแยกจากฟอเรสต์ทรัพยากร Exchange ระหว่างป่าบัญชีกับป่า ทรัพยากรของ Exchange สร้างความน่าเชื่อถือแบบทางเดียวที่อนุญาตให้ฟอเรสต์ Exchange เชื่อถือบัญชีฟอเรสต์ เพื่อให้ผู้ใช้ในฟอเรสต์บัญชีสามารถเข้าถึงกล่องจดหมายในฟอเรสต์ทรัพยากร Exchange เนื่องจากองค์กร Exchange ไม่สามารถขยายขอบเขตฟอเรสต์ Active Directory แต่ละกล่องจดหมายที่สร้างขึ้นในฟอเรสต์ทรัพยากร Exchange ต้องมีวัตถุผู้ใช้ที่สอดคล้องกันในฟอเรสต์ทรัพยากร Exchange วัตถุผู้ใช้ในฟอเรสต์ทรัพยากร Exchange จะไม่ถูกใช้สำหรับการเข้าสู่ระบบของผู้ใช้ และถูกปิดใช้งานเพื่อป้องกันการใช้งาน ผู้ใช้มักจะไม่รู้ด้วยซ้ำเกี่ยวกับการมีอยู่ของบัญชีที่ซ้ำกัน เนื่องจากบัญชีในฟอเรสต์ทรัพยากร Exchange ถูกปิดใช้งาน และไม่ได้ใช้สำหรับการเข้าสู่ระบบ บัญชีผู้ใช้จริงในฟอเรสต์บัญชีจะต้องได้รับสิทธิ์ในการเข้าสู่ระบบไปยังกล่องจดหมาย ให้สิทธิ์การเข้าถึงโดยรวมตัวระบุความปลอดภัย (SID) ของวัตถุผู้ใช้จากฟอเรสต์บัญชีในแอตทริบิวต์ msExchMasterAccountSIDวัตถุผู้ใช้ที่ถูกปิดใช้งานในฟอเรสต์ทรัพยากร Exchange

หากคุณใช้ฟอเรสต์ทรัพยากร Exchange คุณอาจไม่จำเป็นต้องซิงโครไนซ์ไดเรกทอรี จากมุมมองของ Exchange และ Outlook วัตถุทั้งหมดที่แสดงอยู่ในบริการไดเรกทอรีมาจากที่เดียว ในกรณีนี้คือบริการไดเรกทอรีที่โฮสต์ฟอเรสต์ Exchange อย่างไรก็ตาม หากคุณมีข้อมูลที่เชื่อมโยงกับ GAL ในฟอเรสต์บัญชีของคุณ อาจจำเป็นต้องมีการซิงโครไนซ์เพื่อนำข้อมูลเข้าสู่ฟอเรสต์ทรัพยากร Exchange เพื่อใช้ใน GAL นอกจากนี้ คุณอาจต้องกำหนดค่ากระบวนการเพื่อให้เมื่อคุณสร้างบัญชีในฟอเรสต์บัญชีในฟอเรสต์ทรัพยากร Exchange บัญชีที่ถูกปิดใช้งานพร้อมกล่องจดหมายจะถูกสร้างขึ้น

ผู้ใช้ที่เปิดใช้งานในฟอเรสต์ทรัพยากรเชื่อมโยงกับกล่องจดหมายที่แนบกับผู้ใช้ที่ถูกปิดใช้งานในฟอเรสต์ทรัพยากร การกำหนดค่านี้ช่วยให้ผู้ใช้สามารถเข้าถึงกล่องจดหมายที่อยู่ในฟอเรสต์อื่น สถานการณ์นี้กำหนดค่าความสัมพันธ์ที่เชื่อถือได้ระหว่างฟอเรสต์ทรัพยากรและฟอเรสต์บัญชี คุณอาจต้องการกำหนดค่ากระบวนการจัดเตรียมเพื่อให้ทุกครั้งที่ผู้ดูแลระบบสร้างผู้ใช้ในฟอเรสต์บัญชี ผู้ใช้ที่ถูกปิดใช้งานพร้อมกล่องจดหมายจะถูกสร้างขึ้นในฟอเรสต์ทรัพยากร Exchange

เนื่องจากทรัพยากร Exchange ทั้งหมดอยู่ในฟอเรสต์เดียวกัน GAL หนึ่งรายการจึงจะมีผู้ใช้ทั้งหมดในฟอเรสต์ ประโยชน์หลักของสถานการณ์ฟอเรสต์เฉพาะของ Exchange คือขอบเขตความปลอดภัยระหว่าง Active Directory และการดูแลระบบ Exchange

มีข้อเสียหลายประการที่เกี่ยวข้องกับโทโพโลยีนี้มีดังต่อไปนี้:

  • การใช้ฟอเรสต์ทรัพยากรจะทำให้มีการแยกการดูแลระบบ Exchange และ Active Directory แต่ค่าใช้จ่ายที่เกี่ยวข้องกับการปรับใช้ฟอเรสต์ทรัพยากรอาจมีค่าเกินความจำเป็นสำหรับการแยกดังกล่าว
  • โฮสต์ Microsoft Windows ที่จะเรียกใช้ Exchange จะต้องมีการติดตั้งตัวควบคุมโดเมนเพิ่มเติมและเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลาง ซึ่งจะเพิ่มต้นทุน
  • จำเป็นต้องมีกระบวนการเริ่มต้นเพื่อแสดงการเปลี่ยนแปลง Active Directory ใน Exchange เมื่อคุณสร้างวัตถุในฟอเรสต์หนึ่ง คุณต้องแน่ใจว่า มีการสร้างวัตถุที่เกี่ยวข้องในฟอเรสต์อื่น ตัวอย่างเช่น หากคุณสร้างผู้ใช้ในฟอเรสต์หนึ่ง ตรวจสอบให้แน่ใจว่าได้สร้างตัวยึดตำแหน่งสำหรับผู้ใช้นั้นในฟอเรสต์อื่นในฟอเรสต์อื่น คุณสามารถสร้างออบเจ็กต์ที่เกี่ยวข้องได้ด้วยตนเอง หรือกระบวนการอาจเป็นแบบอัตโนมัติก็ได้

สถานการณ์ฟอเรสต์ทรัพยากรที่แตกต่างกันคือหลายฟอเรสต์ ซึ่งหนึ่งในนั้นโฮสต์การแลกเปลี่ยน เมื่อใช้ฟอเรสต์ Active Directory หลายรายการ การปรับใช้ Exchange จะขึ้นอยู่กับระดับความเป็นอิสระที่คุณวางแผนจะรักษาระหว่างฟอเรสต์ สำหรับบริษัทที่มีแผนกที่ต้องการขอบเขตความปลอดภัย (ฟอเรสต์) ของวัตถุไดเรกทอรี แต่สามารถแชร์วัตถุ Exchange ได้ คุณอาจพิจารณาปรับใช้ Exchange ในฟอเรสต์แห่งใดแห่งหนึ่ง และใช้ฟอเรสต์นั้นเพื่อโฮสต์กล่องจดหมายจากฟอเรสต์อื่นในบริษัท เนื่องจากทรัพยากร Exchange ทั้งหมดอยู่ในฟอเรสต์เดียวกัน GAL หนึ่งรายการจะมีผู้ใช้ทั้งหมดจากฟอเรสต์ทั้งหมด

สถานการณ์นี้มีข้อดีหลักดังต่อไปนี้:

  • การใช้โครงสร้าง Active Directory ที่มีอยู่
  • การใช้ตัวควบคุมโดเมนที่มีอยู่และเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลาง
  • สร้างขอบเขตความปลอดภัยที่เข้มงวดระหว่างป่าไม้

ข้อเสียของสถานการณ์นี้รวมถึงคุณลักษณะต่อไปนี้:

  • ความจำเป็นสำหรับกระบวนการเริ่มต้นที่สะท้อนถึงการเปลี่ยนแปลง Active Directory ใน Exchange ตัวอย่างเช่น คุณสามารถสร้างสคริปต์ที่เมื่อผู้ใช้ Active Directory ใหม่ถูกสร้างขึ้นใน Forest A จะสร้างวัตถุที่ถูกปิดใช้งานใน Forest B ด้วยสิทธิ์ที่ให้สิทธิ์ในการเข้าถึงกล่องจดหมาย
  • ความจำเป็นสำหรับผู้ดูแลระบบฟอเรสต์ในการกำหนดวิธีการรวมหรือแบ่งปันความรับผิดชอบในการจัดการวัตถุ Active Directory และ Exchange


โดเมนไดเรกทอรีที่ใช้งานอยู่

โดเมนคือชุดหลักการรักษาความปลอดภัยและหน่วยงานอื่นๆ ร่วมกันบริหารจัดการ โดเมนเป็นโครงสร้างที่ยืดหยุ่น ตัวเลือกสิ่งที่จะรวมอยู่ในโดเมนยังคงเปิดอยู่และขึ้นอยู่กับดุลยพินิจของผู้ดูแลระบบ ตัวอย่างเช่น โดเมนอาจเป็นตัวแทนของกลุ่มผู้ใช้และคอมพิวเตอร์ที่อยู่ในสถานที่เดียว หรืออาจเป็นตัวแทนของผู้ใช้และคอมพิวเตอร์ทั้งหมดจากหลายสถานที่ในภูมิภาคทางภูมิศาสตร์ขนาดใหญ่ ด้วยการรวมการดูแลระบบและโครงสร้างพื้นฐานเข้าด้วยกัน โดเมนมีแนวโน้มที่จะกระจายไปทั่วภูมิภาคทางภูมิศาสตร์ที่ใหญ่ขึ้นเพื่อลดต้นทุนการสนับสนุน แต่เมื่อบริการไดเร็กทอรีมีขนาดใหญ่ขึ้น ไดเร็กทอรีเป้าหมายจะต้องสามารถเข้าถึงทรัพยากรที่เกี่ยวข้องได้อย่างมีประสิทธิภาพมากที่สุด

ไซต์ไดเรกทอรีที่ใช้งานอยู่

ไซต์ Active Directory คือคอลเลกชันเชิงตรรกะของคอมพิวเตอร์ที่เชื่อมโยงอย่างปลอดภัยใน Active Directory ภายในไซต์ Active Directory คุณสามารถแยกคอมพิวเตอร์ไคลเอนต์เพื่อใช้ชุดหรือกลุ่มของทรัพยากรไดเร็กทอรีเฉพาะได้ ไซต์ Active Directory คือเครือข่ายย่อย TCP/IP ที่เชื่อมต่ออย่างดีตั้งแต่หนึ่งรายการขึ้นไป ซึ่งอนุญาตให้ผู้ดูแลระบบกำหนดค่าการเข้าถึง Active Directory และการจำลองแบบที่จำเป็น ซับเน็ตเหล่านี้อาจหรืออาจจะไม่สอดคล้องกับโทโพโลยีทางกายภาพ

รูปต่อไปนี้แสดงความสัมพันธ์ทั่วไปหลายประการระหว่างคำจำกัดความเชิงตรรกะของ Active Directory และตำแหน่งทางกายภาพ

สถานการณ์การปรับใช้ Active Directory

มีสี่สถานการณ์หลักในการรวม Exchange เข้ากับ Active Directory:

  • มีแต่ป่า.
  • ป่าไม้แห่งทรัพยากร
  • ข้ามป่า
  • การควบรวมกิจการ

ตารางต่อไปนี้สรุปคุณประโยชน์ของแต่ละสถานการณ์

สถานการณ์สมมติของไดเรกทอรีที่ใช้งานอยู่ คำอธิบาย เหตุใดจึงใช้สคริปต์นี้

มีแต่ป่า.

ผู้ใช้และกล่องจดหมายของพวกเขาอยู่ในฟอเรสต์เดียวกัน
  • ชุดฟังก์ชันระบบเมลที่สมบูรณ์ที่สุด
  • การบริหารแบบง่าย
  • การใช้โครงสร้าง Active Directory ที่มีอยู่
  • ไม่จำเป็นต้องซิงโครไนซ์กับป่าอื่น

ป่าไม้แห่งทรัพยากร

ฟอเรสต์แห่งหนึ่งมีไว้สำหรับใช้งาน Exchange และโฮสต์กล่องจดหมาย Exchange บัญชีผู้ใช้ที่เกี่ยวข้องกับกล่องจดหมายจะอยู่ในฟอเรสต์ที่แยกจากกันอย่างน้อยหนึ่งรายการ
  • ขอบเขตความปลอดภัยระหว่าง Active Directory และการดูแลระบบ Exchange
  • การปรับใช้ Exchange แบบง่ายในสภาพแวดล้อมแบบ Multi-Forest
  • การจำกัดการจัดการโครงสร้างพื้นฐานเครือข่ายและบัญชีผู้ใช้

ข้ามป่า

Exchange ทำงานในฟอเรสต์ที่แยกจากกัน แต่ฟีเจอร์อีเมลนั้นมีให้ใช้งานในฟอเรสต์อื่น
  • หลายแผนกที่ต้องการการแยกข้อมูลและบริการ
  • หลายแผนกที่มีข้อกำหนดสคีมาที่แตกต่างกัน
  • การควบรวมกิจการหรือการแบ่งแยก

การควบรวมกิจการ

การควบรวมกิจการมักเกี่ยวข้องกับการอยู่ร่วมกันขององค์กร Exchange ก่อนที่จะควบรวมกิจการ ปัญหาการวางแผนจะคล้ายกับสถานการณ์หลายฟอเรสต์พร้อมข้อควรพิจารณาในการโยกย้ายเพิ่มเติม

การควบรวมกิจการถือเป็นกรณีพิเศษของการปรับใช้หลายฟอเรสต์ที่ต้องให้ความสนใจเพิ่มเติมเกี่ยวกับปัญหาการย้ายถิ่น

ในเอกสารก่อนหน้านี้ เราได้พูดคุยถึงปัญหาทั่วไปที่เกี่ยวข้องกับบริการไดเรกทอรีและ Active Directory ตอนนี้ถึงเวลาที่จะฝึกฝนต่อไป แต่อย่ารีบไปที่เซิร์ฟเวอร์ ก่อนที่จะปรับใช้โครงสร้างโดเมนในเครือข่ายของคุณ คุณต้องวางแผนและมีความเข้าใจที่ชัดเจนเกี่ยวกับวัตถุประสงค์ของเซิร์ฟเวอร์แต่ละเครื่องและกระบวนการโต้ตอบระหว่างกัน

ก่อนที่จะสร้างตัวควบคุมโดเมนตัวแรก คุณต้องตัดสินใจเลือกโหมดการทำงานของตัวควบคุมโดเมนก่อน โหมดการทำงานจะกำหนดความสามารถที่มีอยู่และขึ้นอยู่กับเวอร์ชันของระบบปฏิบัติการที่ใช้ เราจะไม่พิจารณาโหมดที่เป็นไปได้ทั้งหมด ยกเว้นโหมดที่เกี่ยวข้องในขณะนี้ มีสามโหมดดังกล่าว: Windows Server 2003, 2008 และ 2008 R2

ควรเลือกโหมด Windows Server 2003 เฉพาะเมื่อมีการปรับใช้เซิร์ฟเวอร์ที่ใช้ระบบปฏิบัติการนี้ในโครงสร้างพื้นฐานของคุณแล้ว และคุณวางแผนที่จะใช้เซิร์ฟเวอร์เหล่านี้ตั้งแต่หนึ่งเซิร์ฟเวอร์ขึ้นไปเป็นตัวควบคุมโดเมน ในกรณีอื่นๆ คุณต้องเลือกโหมด Windows Server 2008 หรือ 2008 R2 ขึ้นอยู่กับสิทธิ์การใช้งานที่ซื้อ ควรจำไว้ว่าสามารถเพิ่มโหมดการทำงานของโดเมนได้เสมอ แต่จะไม่สามารถลดระดับลงได้ (เว้นแต่จะกู้คืนจากข้อมูลสำรอง) ดังนั้นให้แก้ไขปัญหานี้อย่างระมัดระวังโดยคำนึงถึงส่วนขยายที่เป็นไปได้ ใบอนุญาตในสาขา ฯลฯ ฯลฯ

ตอนนี้เราจะไม่พิจารณารายละเอียดเกี่ยวกับกระบวนการสร้างตัวควบคุมโดเมน เราจะกลับมาที่ปัญหานี้ในภายหลัง แต่ตอนนี้เราต้องการดึงความสนใจของคุณไปที่ข้อเท็จจริงที่ว่าในโครงสร้าง Active Directory ที่ครบถ้วนของตัวควบคุมโดเมนควรมี อย่างน้อยสอง- มิฉะนั้น คุณจะเสี่ยงโดยไม่จำเป็น เพราะหากตัวควบคุมโดเมนตัวเดียวของคุณล้มเหลว โครงสร้าง AD ของคุณก็จะเป็นเช่นนั้น ถูกทำลายอย่างสมบูรณ์- เป็นเรื่องดีถ้าคุณมีข้อมูลสำรองที่ทันสมัยและสามารถกู้คืนได้ ไม่ว่าในกรณีใด เครือข่ายของคุณจะเป็นอัมพาตตลอดเวลา

ดังนั้นทันทีหลังจากสร้างตัวควบคุมโดเมนตัวแรก คุณจะต้องปรับใช้ตัวควบคุมโดเมนตัวที่สอง โดยไม่คำนึงถึงขนาดเครือข่ายและงบประมาณ ควรจัดเตรียมตัวควบคุมตัวที่สองในขั้นตอนการวางแผน และหากไม่มีตัวควบคุมดังกล่าว ก็ไม่ควรดำเนินการปรับใช้ AD ด้วยซ้ำ นอกจากนี้ คุณไม่ควรรวมบทบาทของตัวควบคุมโดเมนกับบทบาทเซิร์ฟเวอร์อื่น ๆ เพื่อให้มั่นใจถึงความน่าเชื่อถือของการดำเนินการกับฐานข้อมูล AD บนดิสก์ แคชการเขียนถูกปิดใช้งาน ซึ่งทำให้ประสิทธิภาพลดลงอย่างมาก ระบบย่อยของดิสก์ (ซึ่งยังอธิบายถึงเวลาโหลดที่ยาวนานของตัวควบคุมโดเมน)

ด้วยเหตุนี้ เครือข่ายของเราจึงควรอยู่ในรูปแบบต่อไปนี้:

ตรงกันข้ามกับความเชื่อที่นิยม ตัวควบคุมทั้งหมดในโดเมนมีความเท่าเทียมกัน กล่าวคือ ตัวควบคุมแต่ละตัวมีข้อมูลที่ครบถ้วนเกี่ยวกับออบเจ็กต์โดเมนทั้งหมดและสามารถตอบสนองคำขอของลูกค้าได้ แต่นี่ไม่ได้หมายความว่าตัวควบคุมสามารถใช้แทนกันได้ ความล้มเหลวในการทำความเข้าใจประเด็นนี้มักจะนำไปสู่ความล้มเหลวของ AD และการหยุดทำงานของเครือข่ายองค์กร ทำไมสิ่งนี้ถึงเกิดขึ้น? ถึงเวลารำลึกถึงบทบาทของ FSMO

เมื่อเราสร้างคอนโทรลเลอร์ตัวแรก คอนโทรลเลอร์จะมีบทบาทที่มีอยู่ทั้งหมด และยังเป็นไดเร็กทอรีส่วนกลางด้วย เมื่อคอนโทรลเลอร์ตัวที่สองเข้ามา บทบาทของโครงสร้างพื้นฐานหลัก ต้นแบบ RID และโปรแกรมจำลอง PDC จะถูกถ่ายโอนไปยังตัวควบคุมนั้น จะเกิดอะไรขึ้นหากผู้ดูแลระบบตัดสินใจปิดการใช้งานเซิร์ฟเวอร์ DC1 ชั่วคราว เช่น เพื่อทำความสะอาดฝุ่น เมื่อมองแวบแรก ไม่มีอะไรผิดปกติ โดเมนจะเปลี่ยนเป็นโหมดอ่านอย่างเดียว แต่จะใช้งานได้ แต่เราลืมเกี่ยวกับแค็ตตาล็อกส่วนกลาง และหากเครือข่ายของคุณมีแอปพลิเคชันที่ต้องการใช้งาน เช่น Exchange คุณจะทราบเกี่ยวกับเรื่องนี้ก่อนที่คุณจะถอดฝาออกจากเซิร์ฟเวอร์ คุณจะได้เรียนรู้จากผู้ใช้ที่ไม่พอใจ และฝ่ายบริหารก็ไม่น่ายินดีเลย

จากข้อสรุปดังต่อไปนี้: จะต้องมีไดเร็กทอรีส่วนกลางอย่างน้อยสองไดเร็กทอรีในฟอเรสต์ และควรมีหนึ่งไดเร็กทอรีในแต่ละโดเมน เนื่องจากเรามีโดเมนเดียวในฟอเรสต์ เซิร์ฟเวอร์ทั้งสองจึงต้องเป็นแค็ตตาล็อกส่วนกลาง ซึ่งจะช่วยให้คุณสามารถนำเซิร์ฟเวอร์ใดๆ เข้ารับการบำรุงรักษาได้โดยไม่มีปัญหาใดๆ การไม่มีบทบาท FSMO ใดๆ ชั่วคราวไม่ได้นำไปสู่ความล้มเหลวของ AD แต่เพียงแต่ทำให้เกิดปัญหาเท่านั้น ไม่สามารถสร้างวัตถุใหม่ได้

ในฐานะผู้ดูแลระบบโดเมน คุณต้องทราบอย่างชัดเจนว่าบทบาท FSMO มีการกระจายระหว่างเซิร์ฟเวอร์ของคุณอย่างไร และเมื่อเลิกใช้งานเซิร์ฟเวอร์เป็นเวลานาน ให้โอนบทบาทเหล่านี้ไปยังเซิร์ฟเวอร์อื่น จะเกิดอะไรขึ้นหากเซิร์ฟเวอร์ที่มีบทบาท FSMO ล้มเหลวอย่างถาวร? ตามที่เราได้เขียนไปแล้ว ไม่เป็นไร ตัวควบคุมโดเมนใด ๆ มีข้อมูลที่จำเป็นทั้งหมด และหากเกิดปัญหาดังกล่าว คุณจะต้องยึดบทบาทที่จำเป็นโดยตัวควบคุมตัวใดตัวหนึ่ง ซึ่งจะช่วยให้คุณสามารถกู้คืนการทำงานเต็มรูปแบบของ บริการไดเรกทอรี

เวลาผ่านไป องค์กรของคุณเติบโตขึ้นและมีสาขาอยู่อีกด้านหนึ่งของเมือง และจำเป็นต้องรวมเครือข่ายไว้ในโครงสร้างพื้นฐานทั่วไปขององค์กร เมื่อมองแวบแรก ไม่มีอะไรซับซ้อน คุณตั้งค่าช่องทางการสื่อสารระหว่างสำนักงานและวางตัวควบคุมเพิ่มเติมในนั้น ทุกอย่างคงจะดี แต่มีสิ่งหนึ่งที่ คุณไม่สามารถควบคุมเซิร์ฟเวอร์นี้ได้ดังนั้นจึงเป็นไปได้ที่จะเข้าถึงเซิร์ฟเวอร์นี้โดยไม่ได้รับอนุญาตและผู้ดูแลระบบท้องถิ่นทำให้เกิดข้อสงสัยเกี่ยวกับคุณสมบัติของเขา จะทำอย่างไรในสถานการณ์เช่นนี้? เพื่อวัตถุประสงค์เหล่านี้ มีตัวควบคุมชนิดพิเศษ: ตัวควบคุมโดเมนแบบอ่านอย่างเดียว (RODC)ฟังก์ชันนี้ใช้งานได้ในโหมดการทำงานของโดเมนโดยเริ่มตั้งแต่ Windows Server 2008 ขึ้นไป

ตัวควบคุมโดเมนแบบอ่านอย่างเดียวประกอบด้วยสำเนาที่สมบูรณ์ของออบเจ็กต์โดเมนทั้งหมดและสามารถเป็นไดเร็กทอรีส่วนกลางได้ แต่ไม่อนุญาตให้ทำการเปลี่ยนแปลงโครงสร้างโฆษณาใด ๆ มันยังอนุญาตให้คุณกำหนดผู้ใช้ใด ๆ ให้เป็นผู้ดูแลระบบท้องถิ่นซึ่งจะอนุญาต เพื่อให้บริการเซิร์ฟเวอร์นี้อย่างเต็มที่ แต่ไม่มีการเข้าถึงบริการ AD อีกครั้ง ในกรณีของเรานี่คือสิ่งที่แพทย์สั่ง

เราตั้งค่าไว้ที่สาขา RODC ทุกอย่างใช้งานได้ คุณใจเย็น แต่ผู้ใช้เริ่มบ่นเกี่ยวกับการเข้าสู่ระบบที่ยาวนานและค่าเข้าชมเมื่อสิ้นเดือนแสดงว่ามีส่วนเกิน เกิดอะไรขึ้น? ถึงเวลาที่ต้องจำอีกครั้งเกี่ยวกับความเท่าเทียมกันของคอนโทรลเลอร์ในโดเมน ไคลเอนต์สามารถส่งคำขอของเขาไปยังตัวควบคุมโดเมนใดก็ได้ แม้แต่อันที่อยู่ในสาขาอื่นด้วยซ้ำ คำนึงถึงช่องทางการสื่อสารที่ช้าและมีแนวโน้มว่าจะแออัด นี่คือสาเหตุของความล่าช้าในการเข้าสู่ระบบ

ปัจจัยต่อไปที่เป็นพิษต่อชีวิตของเราในสถานการณ์นี้คือการจำลองแบบ ดังที่คุณทราบ การเปลี่ยนแปลงทั้งหมดที่ทำบนตัวควบคุมโดเมนตัวใดตัวหนึ่งจะถูกเผยแพร่ไปยังตัวอื่นโดยอัตโนมัติ และกระบวนการนี้เรียกว่าการจำลองแบบ ซึ่งจะช่วยให้คุณมีสำเนาข้อมูลบนตัวควบคุมแต่ละตัวที่เป็นปัจจุบันและสม่ำเสมอ บริการการจำลองแบบไม่ทราบเกี่ยวกับสาขาของเราและช่องทางการสื่อสารที่ช้า ดังนั้นการเปลี่ยนแปลงทั้งหมดในสำนักงานจะถูกจำลองแบบไปที่สาขาทันที โหลดช่องทางและเพิ่มปริมาณการใช้ข้อมูล

ที่นี่เราเข้าใกล้แนวคิดของไซต์ AD ซึ่งไม่ควรสับสนกับไซต์อินเทอร์เน็ต ไซต์ไดเรกทอรีที่ใช้งานอยู่แสดงถึงวิธีการแบ่งโครงสร้างบริการไดเร็กทอรีทางกายภาพออกเป็นพื้นที่ที่แยกออกจากพื้นที่อื่นโดยลิงก์การสื่อสารที่ช้าและ/หรือไม่เสถียร ไซต์ถูกสร้างขึ้นบนพื้นฐานของเครือข่ายย่อยและคำขอไคลเอนต์ทั้งหมดจะถูกส่งไปยังตัวควบคุมของไซต์เป็นหลัก ยังเป็นที่ต้องการอย่างมากที่จะมีไดเร็กทอรีส่วนกลางของตัวเองในแต่ละไซต์ ในกรณีของเรา เราจะต้องสร้างไซต์สองแห่ง: ไซต์โฆษณา 1สำหรับสำนักงานกลางและ ไซต์โฆษณา 2สำหรับสาขาหรือสาขาหนึ่ง เนื่องจากโดยค่าเริ่มต้น โครงสร้าง AD มีไซต์ที่รวมออบเจ็กต์ที่สร้างไว้ก่อนหน้านี้ทั้งหมดอยู่แล้ว ตอนนี้เรามาดูกันว่าการจำลองแบบเกิดขึ้นในเครือข่ายที่มีหลายไซต์อย่างไร

สมมติว่าองค์กรของเราเติบโตขึ้นเล็กน้อยและสำนักงานใหญ่มีตัวควบคุมโดเมนมากถึงสี่ตัว เรียกว่าการจำลองแบบระหว่างตัวควบคุมของไซต์เดียว ภายในไซต์และมันเกิดขึ้นทันที โทโพโลยีการจำลองแบบถูกสร้างขึ้นตามโครงร่างวงแหวนโดยมีเงื่อนไขว่าไม่มีขั้นตอนการจำลองแบบเกินสามขั้นตอนระหว่างตัวควบคุมโดเมนใดๆ โครงร่างวงแหวนได้รับการดูแลให้มีตัวควบคุมสูงสุด 7 ตัว ตัวควบคุมแต่ละตัวจะสร้างการเชื่อมต่อกับเพื่อนบ้านที่ใกล้ที่สุดสองตัว โดยมีตัวควบคุมจำนวนมากขึ้น การเชื่อมต่อเพิ่มเติมจะปรากฏขึ้น และวงแหวนทั่วไปจะกลายเป็นกลุ่มของวงแหวนที่ซ้อนทับกัน

อินเตอร์ไซต์การจำลองแบบเกิดขึ้นแตกต่างกัน ในแต่ละโดเมน หนึ่งในเซิร์ฟเวอร์ (เซิร์ฟเวอร์บริดจ์เฮด) จะถูกเลือกโดยอัตโนมัติ ซึ่งสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ที่คล้ายกันบนไซต์อื่น ตามค่าเริ่มต้น การจำลองแบบจะเกิดขึ้นทุกๆ 3 ชั่วโมง (180 นาที) อย่างไรก็ตาม เราสามารถกำหนดตารางเวลาการจำลองแบบของเราเองได้ และเพื่อประหยัดการรับส่งข้อมูล ข้อมูลทั้งหมดจะถูกส่งในรูปแบบบีบอัด ถ้ามีเพียง RODC ในไซต์ การจำลองแบบจะเกิดขึ้นแบบทิศทางเดียว

แน่นอนว่าหัวข้อที่เราพูดคุยกันนั้นลึกซึ้งมากและในเนื้อหานี้เราได้พูดคุยกันเพียงเล็กน้อยเท่านั้น อย่างไรก็ตาม นี่เป็นความรู้ขั้นต่ำที่จำเป็นที่คุณต้องมีก่อนการใช้งานจริงของ Active Directory ในโครงสร้างพื้นฐานขององค์กร วิธีนี้จะช่วยให้คุณหลีกเลี่ยงข้อผิดพลาดโง่ๆ ระหว่างการใช้งานและสถานการณ์ฉุกเฉินเมื่อบำรุงรักษาและขยายโครงสร้าง และแต่ละหัวข้อที่ยกมาจะมีการพูดคุยโดยละเอียดมากขึ้น

ดังที่คุณทราบ ก่อนที่จะปรับใช้โครงสร้างพื้นฐานเซิร์ฟเวอร์ในองค์กรและหลีกเลี่ยงช่วงเวลาที่ไม่พึงประสงค์ส่วนใหญ่เมื่อสิ้นสุดการใช้งาน ควรมีการวางแผนอย่างรอบคอบ เนื่องจาก Active Directory Services ถูกปรับใช้เป็นที่เก็บข้อมูลกลางสำหรับการจัดเก็บข้อมูลตลอดจนข้อมูลนโยบายและการกำหนดค่าพร้อมกับสคริปต์การเข้าสู่ระบบสำหรับผู้ใช้ คอมพิวเตอร์ และบริการเครือข่าย พร้อมการสนับสนุน LDAP มาตรฐานอุตสาหกรรมที่ใช้ในการสืบค้นและเปลี่ยนแปลงข้อมูลไดเร็กทอรี ตรรกะและ โครงสร้างทางกายภาพขององค์กรต้องได้รับการออกแบบเพื่อให้การจัดการแม้แต่เครือข่ายที่ใหญ่ที่สุดและซับซ้อนที่สุดเป็นจุดเดียวที่สามารถปรับใช้การตั้งค่าในหลายระบบได้ เมื่อคุณสรุปข้อกำหนดทางธุรกิจ ข้อตกลงระดับการให้บริการ และเอกสารประกอบสิ่งที่คุณค้นพบแล้ว คุณจะต้องเริ่มออกแบบโครงสร้างพื้นฐานเชิงตรรกะและทางกายภาพขององค์กรของคุณ ในขั้นตอนนี้ คุณจะต้องวางแผนอย่างเหมาะสมเกี่ยวกับจำนวน โครงสร้าง และการออกแบบฟอเรสต์ที่จะประกอบด้วยองค์กร ซึ่งหลังจากการวางแผนแล้ว บริการโดเมน Active Directory จะถูกปรับใช้

ตามคำนิยาม ป่าเป็นระดับสูงสุดของลำดับชั้นโครงสร้างเชิงตรรกะของบริการโดเมนที่ถือเป็นขอบเขตของการจำลองแบบและการรักษาความปลอดภัยในองค์กร และประกอบด้วยโดเมน Active Directory หนึ่งโดเมนขึ้นไป เรียกว่าตัวควบคุมโดเมนแรกที่ติดตั้งในฟอเรสต์ ราก- ฟอเรสต์มีคำอธิบายการกำหนดค่าเดียวและอินสแตนซ์หนึ่งของไดเร็กทอรีสคีมา นี่เป็นอินสแตนซ์แบบปิดเดียวของไดเร็กทอรีที่ไม่มีการจำลองข้อมูล ดังนั้นฟอเรสต์จึงกำหนดขอบเขตการรักษาความปลอดภัยขององค์กร คอมโพเนนต์บริการโดเมน Active Directory ต่อไปนี้จะใช้ร่วมกับฟอเรสต์:

  • โครงการทั่วไป- ตัวควบคุมโดเมนทั้งหมดในฟอเรสต์ใช้สคีมาทั่วไป ซึ่งจัดเก็บไว้ในบริการโดเมน Active Directory ในพาร์ติชันไดเรกทอรีสคีมา และยังถูกจำลองแบบไปยังตัวควบคุมทั้งหมดในฟอเรสต์อีกด้วย วิธีเดียวที่จะปรับใช้สองสคีมาที่แตกต่างกันในองค์กรคือการปรับใช้สองฟอเรสต์ที่แยกจากกัน
  • แคตตาล็อกส่วนกลางที่ใช้ร่วมกัน- แค็ตตาล็อกส่วนกลางคือพาร์ติชันที่เก็บข้อมูลเกี่ยวกับทุกวัตถุในฟอเรสต์ นั่นคือ เมื่อผู้ใช้จากโดเมนหนึ่งค้นหาออบเจ็กต์โดเมนในไม่กี่วินาที แค็ตตาล็อกส่วนกลางจะแสดงผลลัพธ์ของคิวรี แค็ตตาล็อกส่วนกลางทั่วไปประกอบด้วยข้อมูลเกี่ยวกับออบเจ็กต์ทั้งหมดในฟอเรสต์ทั้งหมด ดังนั้น ประสิทธิภาพของการค้นหาวัตถุในฟอเรสต์และการบันทึกผู้ใช้ในโดเมนใดๆ ของฟอเรสต์โดยใช้ UPN จึงเพิ่มขึ้น
  • ส่วนทั่วไปของไดเร็กทอรีการกำหนดค่า- ส่วนการกำหนดค่าประกอบด้วยออบเจ็กต์ที่ให้โครงสร้างลอจิคัลของฟอเรสต์ โดยเฉพาะโครงสร้างโดเมนและโทโพโลยีการจำลอง วัตถุที่เก็บไว้ในพาร์ติชันการกำหนดค่าจะต้องถูกจำลองแบบระหว่างตัวควบคุมโดเมนทั้งหมดในโดเมนฟอเรสต์ทั้งหมด และใช้คอนเทนเนอร์การกำหนดค่าเดียว ข้อมูลการกำหนดค่าประกอบด้วยรายการโดเมน แผนผัง และฟอเรสต์ทั้งหมด ตลอดจนตำแหน่งของตัวควบคุมโดเมนและแค็ตตาล็อกส่วนกลาง พาร์ติชันไดเร็กทอรีการกำหนดค่ายังใช้โดยแอปพลิเคชัน Active Directory เช่น Exchange Server และ Share Point;
  • ชุดหลักการปฏิบัติงานและผู้ดูแลระบบระดับฟอเรสต์ทั่วไป- ในฐานข้อมูลที่ถูกจำลองแบบใดๆ การเปลี่ยนแปลงบางอย่างจะต้องทำโดยแบบจำลองเดียวเท่านั้น เนื่องจากเป็นไปไม่ได้ที่เพื่อนทั้งหมดจะสร้างขึ้นมา ชุดการดำเนินการที่จำกัดบางอย่างไม่สามารถทำได้ในสถานที่ที่แตกต่างกันในเวลาเดียวกัน แต่ทำได้เฉพาะในตัวควบคุมโดเมนเดียวหรือในฟอเรสต์เดียวเท่านั้น เรียกว่าตัวควบคุมโดเมนที่ทำหน้าที่พิเศษ ต้นแบบการดำเนินงาน- มีการเพิ่มบทบาทที่ยืดหยุ่น FSMO (Flexible Single-Master Operations) เข้าไป Active Directory Domain Services มีบทบาทหลักในการดำเนินงานห้าบทบาท สองบทบาทสำหรับฟอเรสต์ และสามบทบาทสำหรับโดเมน บทบาท Schema Master และ Domain Naming Master ได้รับการกำหนดค่าที่ระดับฟอเรสต์ แต่ละฟอเรสต์มีต้นแบบสคีมาเพียงอันเดียวและต้นแบบการตั้งชื่อโดเมนหนึ่งอัน และกลุ่มความปลอดภัยสองกลุ่มจะถูกสร้างขึ้นในโดเมนรากของฟอเรสต์ด้วยสิทธิ์เฉพาะของตนเอง ตัวช่วยสร้างการดำเนินการจะกล่าวถึงรายละเอียดในบทความถัดไป
  • การกำหนดค่าความน่าเชื่อถือทั่วไป- โดเมนทั้งหมดในฟอเรสต์ได้รับการกำหนดค่าโดยอัตโนมัติให้เชื่อถือโดเมนอื่นๆ ทั้งหมดในฟอเรสต์ แนวคิดเรื่องความไว้วางใจจะมีการหารือแยกกันด้วย

เมื่อวางแผนฟอเรสต์ขององค์กร ขั้นตอนแรกคือตัดสินใจว่าจะสร้างฟอเรสต์ Active Directory จำนวนเท่าใด หลังจากนี้ คุณจะต้องเลือกแบบจำลองฟอเรสต์ และในขั้นตอนนี้ นโยบายการแก้ไขโครงการจะถูกสร้างขึ้น ซึ่งสรุปกลุ่มบุคคลที่มีอำนาจในการจัดการโครงการและควบคุมกลไกของการปรับเปลี่ยนการบริหารที่ส่งผลกระทบต่อฟอเรสต์โดยรวม คุณจะได้เรียนรู้รายละเอียดทั้งหมดนี้จากบทความนี้

กำหนดข้อกำหนดและการอนุญาตสคีมาฟอเรสต์

ก่อนที่คุณจะออกแบบการออกแบบฟอเรสต์ขององค์กร คุณต้องให้ความสนใจเป็นพิเศษกับข้อกำหนดการใช้งานจริงที่การออกแบบบริการโดเมนของคุณจะได้รับการตอบสนอง Directory Services ช่วยให้คุณสามารถออกแบบโครงสร้างพื้นฐานที่รองรับทีมที่มีข้อกำหนดการจัดการที่แตกต่างกันและไม่เหมือนใคร ข้อกำหนดที่องค์กรอาจมีเมื่อออกแบบบริการโดเมน Active Directory ได้แก่:

  • ข้อกำหนดโครงสร้างองค์กร- ความเข้าใจที่ถูกต้องเกี่ยวกับโครงสร้างองค์กรขององค์กรมีความสำคัญอย่างยิ่งเมื่อออกแบบโครงสร้างฟอเรสต์ เพื่อประหยัดเงิน บางส่วนขององค์กรสามารถใช้โครงสร้างพื้นฐานร่วมกันในขณะที่ดำเนินการอย่างเป็นอิสระจากส่วนที่เหลือขององค์กร ตัวอย่างเช่น หนึ่งในข้อกำหนดเหล่านี้อาจเป็นการแยกแผนกเฉพาะขององค์กรชั่วคราวในช่วงระยะเวลาหนึ่ง ซึ่งจำเป็นต้องติดตั้งไดเร็กทอรีแอปพลิเคชันที่เปลี่ยนแปลงสคีมา Active Directory ในกรณีนี้ หากหน่วยดังกล่าวอยู่ในฟอเรสต์เดียวกันกับที่ผู้ใช้ส่วนที่เหลือขององค์กรตั้งอยู่ องค์กรเองก็อาจได้รับความเสียหายอย่างมาก ดังนั้น เพื่อรวบรวมข้อกำหนดด้านโครงสร้างองค์กร วิธีที่ดีที่สุดคือเริ่มต้นด้วยการระบุกลุ่มหลักความปลอดภัยต่างๆ ที่จะใช้ในบริการโดเมน Active Directory จากนั้น ให้พิจารณาว่ากลุ่มใดควรทำงานแยกจากส่วนอื่นๆ ในองค์กร หากมีการระบุกลุ่มดังกล่าวในองค์กรของคุณ ให้พิจารณาว่ากลุ่มเหล่านั้นอาจก่อให้เกิดอันตรายต่อทั้งองค์กรหรือไม่ โดยทั่วไป กลุ่มที่มีข้อกำหนดที่แตกต่างจากส่วนที่เหลือขององค์กรจะถูกจัดอยู่ในฟอเรสต์ที่แยกจากกัน
  • ข้อกำหนดทางกฎหมาย- ในระหว่างกระบวนการออกแบบ คุณควรทราบถึงข้อกำหนดทางกฎหมายที่องค์กรต้องปฏิบัติตาม ในบางองค์กร สัญญาธุรกิจระบุว่ากฎหมายกำหนดให้มีเงื่อนไขการปฏิบัติงานบางอย่าง เช่น การจำกัดการเข้าถึงทรัพยากรบางอย่าง การไม่ปฏิบัติตามข้อกำหนดดังกล่าวอาจส่งผลให้มีการยกเลิกสัญญาและอาจถึงขั้นถูกดำเนินคดีทางกฎหมาย ดังนั้น เมื่อออกแบบโครงสร้างนั่งร้าน เมื่อรวบรวมข้อกำหนดทางกฎหมาย ให้เริ่มต้นด้วยการระบุภาระผูกพันทางกฎหมายขององค์กร เพื่อให้เป็นไปตามข้อกำหนดด้านความปลอดภัย บางองค์กรต้องดำเนินการบนเครือข่ายภายในที่แยกออกจากกัน
  • ข้อกำหนดการดำเนินงาน- เมื่อคุณกำหนดข้อกำหนดด้านโครงสร้างองค์กรและกฎหมายแล้ว คุณต้องเริ่มรวบรวมข้อกำหนดในการปฏิบัติงานที่จะมีอิทธิพลต่อการออกแบบโครงสร้างฟอเรสต์ บางครั้งมีสถานการณ์ที่บางส่วนขององค์กรกำหนดข้อจำกัดเฉพาะในการกำหนดค่าบริการไดเร็กทอรี ความพร้อมใช้งานหรือความปลอดภัยของบริการนั้น หรือใช้แอปพลิเคชันที่กำหนดข้อจำกัดเฉพาะในไดเร็กทอรี แต่ละส่วนขององค์กรสามารถปรับใช้แอปพลิเคชันที่ส่วนอื่นๆ ขององค์กรไม่มีซึ่งเปลี่ยนไดเร็กทอรีสคีมา องค์กรต่างๆ เช่น บริษัททหารหรือบริษัทโฮสติ้งที่ให้บริการโฮสติ้งอาจมีข้อกำหนดในการปฏิบัติงานเฉพาะตัว เพื่อกำหนดข้อกำหนดในการปฏิบัติงาน วิธีที่ดีที่สุดคือเริ่มต้นด้วยรายการของกลุ่มปฏิบัติการพร้อมกับข้อกำหนดในการปฏิบัติงานสำหรับแต่ละกลุ่ม
  • ข้อกำหนดด้านการสื่อสารที่จำกัด- สุดท้ายนี้ การระบุข้อกำหนดด้านการสื่อสารที่มีข้อจำกัดเป็นสิ่งสำคัญสำหรับการออกแบบโครงสร้างนั่งร้าน หลายองค์กรมีสำนักงานสาขาที่มีเครือข่ายแยกซึ่งมีแบนด์วิธจำกัด เมื่อออกแบบป่าไม้ วิธีที่ดีที่สุดคือเริ่มต้นด้วยการระบุกลุ่มทั้งหมดที่อยู่ห่างจากสำนักงานกลาง

เมื่อคุณเสร็จสิ้นรายการข้อกำหนดพื้นฐานนี้แล้ว คุณสามารถไปยังการกำหนดอำนาจของผู้ดูแลระบบและเจ้าของข้อมูลและบริการได้

กิจกรรมการดูแลระบบมีหลายประเภทใน Active Directory Domain Services รวมถึงการกำหนดค่าข้อมูลและการจัดการข้อมูลในบริการไดเรกทอรี ในองค์กรขนาดใหญ่ บทบาทผู้ดูแลระบบบริการโดเมนแบ่งออกเป็นหลายประเภท วิธีหนึ่งในการอธิบายหมวดหมู่ต่างๆ คือการแยกแยะระหว่างเจ้าของฟอเรสต์ เจ้าของข้อมูลและผู้ดูแลระบบ และเจ้าของบริการและผู้ดูแลระบบ

  • เจ้าของฟอเรสต์มีหน้าที่รับผิดชอบในการเลือกและดูแลรักษาผู้ดูแลระบบบริการ ดังนั้นการไว้วางใจเจ้าของฟอเรสต์ต้องอาศัยผู้ดูแลระบบที่ไว้วางใจสำหรับบริการที่จัดการโดยเจ้าของฟอเรสต์
  • เจ้าของข้อมูลและผู้ดูแลระบบมีหน้าที่รับผิดชอบต่อข้อมูลที่จัดเก็บไว้ในบริการโดเมน Active Directory เจ้าของข้อมูลกำหนดนโยบายและกระบวนการสำหรับการกำกับดูแลข้อมูล และผู้ดูแลระบบข้อมูลมีสิทธิ์และสิทธิพิเศษในการสร้างออบเจ็กต์ AD DS ในโครงสร้างที่กำหนดโดยเจ้าของบริการและผู้ดูแลระบบ
  • เจ้าของบริการและผู้ดูแลระบบมีหน้าที่รับผิดชอบบริการบริการโดเมนและสามารถควบคุมข้อมูลและบริการได้อย่างสมบูรณ์บนตัวควบคุมทั้งหมดในฟอเรสต์ เจ้าของบริการจะตัดสินใจเกี่ยวกับจำนวนฟอเรสต์ โดเมน และไซต์ที่จำเป็นต่อการตอบสนองความต้องการบริการไดเรกทอรี Active Directory ของบริษัท และในทางกลับกัน ผู้ดูแลระบบบริการก็มีความสามารถดังต่อไปนี้:
    • การแก้ไขซอฟต์แวร์ระบบบนตัวควบคุมโดเมน ข้ามการตรวจสอบความปลอดภัยตามปกติ ทำให้สามารถดูและจัดการออบเจ็กต์ทั้งหมดในโดเมนได้ ไม่ว่า ACL จะอนุญาตให้ทำเช่นนั้นหรือไม่
    • แก้ไขข้อบกพร่องที่เกี่ยวข้องกับรายการควบคุมการเข้าถึงออบเจ็กต์ ช่วยให้ผู้ดูแลระบบบริการสามารถอ่าน แก้ไข และลบออบเจ็กต์ได้ ไม่ว่าพวกเขาจะได้รับอนุญาตให้ทำเช่นนั้นในรายการควบคุมการเข้าถึงหรือไม่
    • รีเซ็ตรหัสผ่านและเปลี่ยนการเป็นสมาชิกกลุ่มผู้ใช้
    • การใช้นโยบายความปลอดภัย “กลุ่มที่ถูกจำกัด”ออกแบบมาเพื่อให้สิทธิ์การเข้าถึงระดับผู้ดูแลระบบแก่ผู้ใช้และกลุ่มในคอมพิวเตอร์ที่เข้าร่วมโดเมน ช่วยให้ผู้ดูแลระบบบริการสามารถอ่าน แก้ไข และลบออบเจ็กต์ได้ ไม่ว่าพวกเขาจะได้รับอนุญาตให้ทำเช่นนั้นในรายการควบคุมการเข้าถึงหรือไม่
    • เข้าถึงโดเมนอื่นๆ ในฟอเรสต์โดยการเปลี่ยนซอฟต์แวร์ระบบบนตัวควบคุมโดเมน ผู้ดูแลระบบบริการสามารถดูหรือเปลี่ยนแปลงข้อมูลการกำหนดค่าฟอเรสต์ ดูหรือเปลี่ยนแปลงข้อมูลที่จัดเก็บไว้ในโดเมนใดก็ได้ และดูหรือเปลี่ยนแปลงข้อมูลบนคอมพิวเตอร์ที่เข้าร่วมโดเมน

เนื่องจากผู้ดูแลระบบบริการมีอำนาจนี้ จึงแนะนำให้มีจำนวนผู้ดูแลระบบบริการขั้นต่ำในองค์กรของคุณ ตามค่าเริ่มต้น กลุ่มจะมีสิทธิ์เหล่านี้ “ผู้ดูแลโดเมน”ในป่าราก "ผู้ดูแลระบบองค์กร"และ “ผู้บริหารโครงการ”.

การสร้างฟอเรสต์ที่ปลอดภัยตามความต้องการขององค์กร

นอกเหนือจากข้อกำหนดข้างต้นแล้ว คุณต้องพิจารณาว่าโครงสร้างป่าไม้จะสมบูรณ์ในตัวเองหรือแยกออกจากกัน

การปกครองตนเองเข้าควบคุมดูแลระบบโดยสมบูรณ์สำหรับส่วนประกอบฟอเรสต์บางส่วนในระดับฟอเรสต์ โดเมน หรือหน่วยองค์กร เมื่อบรรลุถึงความเป็นอิสระ ผู้ดูแลระบบจะมีอำนาจในการจัดการทรัพยากรอย่างเป็นอิสระ อย่างไรก็ตาม ความเป็นอิสระไม่ได้หมายถึงการได้รับการควบคุมแต่เพียงผู้เดียว มีผู้ดูแลระบบที่มีอำนาจมากกว่าซึ่งสามารถจัดการทรัพยากรเหล่านี้ได้ และหากจำเป็น ก็สามารถเพิกถอนอำนาจของผู้ดูแลระบบรองได้ โครงสร้างโลจิคัลของบริการโดเมนได้รับการออกแบบด้วยความเป็นอิสระประเภทใดประเภทหนึ่งต่อไปนี้:

  • ความเป็นอิสระในการให้บริการ- ความเป็นอิสระในการให้บริการหมายถึงความสามารถในการจัดการโครงสร้างพื้นฐานโดยไม่ต้องมีการควบคุมแต่เพียงผู้เดียว กล่าวคือ หากกลุ่มจำเป็นต้องทำการเปลี่ยนแปลงโครงสร้างพื้นฐาน เนมสเปซ หรือสคีมาโดยไม่ได้รับอนุญาตจากเจ้าของฟอเรสต์ ความเป็นอิสระของบริการอาจจำเป็นสำหรับกลุ่มที่ต้องสามารถควบคุมระดับการบริการใน Active Directory Domain Services หรือโดยกลุ่มที่ต้องสามารถติดตั้งแอปพลิเคชันที่รองรับไดเร็กทอรีที่ต้องมีการเปลี่ยนแปลงสคีมา
  • ความเป็นอิสระของข้อมูล- รวมถึงการควบคุมข้อมูลทั้งหมดหรือบางส่วนที่เก็บอยู่ในไดเร็กทอรีหรือบนคอมพิวเตอร์สมาชิกที่เชื่อมต่อกับโดเมน ความเป็นอิสระของข้อมูลหมายความว่ากลุ่มหรือองค์กรสามารถจัดการข้อมูลของตนเองได้ เช่นเดียวกับการตัดสินใจด้านการบริหารเกี่ยวกับข้อมูลและดำเนินงานที่จำเป็นทั้งหมดโดยไม่ต้องขอความช่วยเหลือจากหน่วยงานอื่น หากไม่จำเป็นต้องปกป้องข้อมูลเฉพาะจากผู้ดูแลระบบรายอื่นในฟอเรสต์ กลุ่มเฉพาะสามารถร้องขอให้มีความสามารถในการจัดการข้อมูลของตนเองที่เกี่ยวข้องกับโครงการเฉพาะได้

การแยกทางการบริหารเกี่ยวข้องกับการได้รับการควบคุมพิเศษเหนือส่วนประกอบไดเร็กทอรี ในกรณีของการแยกผู้ดูแลระบบ ไม่มีใครอื่นนอกจากผู้ดูแลระบบที่ระบุสามารถรับสิทธิ์ในการจัดการทรัพยากรได้ และไม่มีผู้ดูแลระบบคนใดที่สามารถลิดรอนสิทธิ์เหล่านี้ได้ เช่นเดียวกับความเป็นอิสระในการดูแลระบบ โครงสร้างโลจิคัลของบริการโดเมนได้รับการออกแบบโดยมีการแยกประเภทใดประเภทหนึ่งต่อไปนี้:

  • การแยกบริการ- การแยกบริการช่วยให้ผู้ดูแลระบบสามารถควบคุมการทำงานของบริการเพื่อให้เฉพาะผู้ดูแลระบบที่ได้รับสิทธิ์ดังกล่าวเท่านั้นที่สามารถแทรกแซงได้ กลุ่มที่ต้องการการแยกบริการกำหนดให้ไม่มีผู้ดูแลระบบภายนอกกลุ่มที่สามารถมีอิทธิพลต่อการดำเนินงานของบริการไดเร็กทอรีได้ ตัวอย่างเช่น หากองค์กรของคุณให้บริการเว็บโฮสติ้งแก่ลูกค้า และลูกค้าแต่ละรายต้องการการแยกบริการ เพื่อให้การหยุดให้บริการหลักไม่ส่งผลกระทบต่อไคลเอนต์รายอื่น
  • การแยกข้อมูล- การแยกข้อมูลจะป้องกันไม่ให้บุคคลอื่นนอกเหนือจากผู้ดูแลระบบที่ได้รับมอบหมายควบคุมหรือดูชุดย่อยของข้อมูลในไดเร็กทอรีหรือบนคอมพิวเตอร์ของสมาชิกที่เข้าร่วมกับโดเมน ผู้ดูแลระบบบริการสามารถปฏิเสธความสามารถในการจัดการทรัพยากรของผู้ดูแลระบบข้อมูลได้ และผู้ดูแลระบบข้อมูลไม่สามารถปฏิเสธการเข้าถึงทรัพยากรที่ผู้ดูแลระบบจัดการได้ ดังนั้น หากกลุ่มต้องการการแยกข้อมูล กลุ่มนั้นก็ต้องรับผิดชอบในการจัดการบริการด้วย วิธีเดียวสำหรับกลุ่มดังกล่าวที่จะได้รับการแยกคือการสร้างฟอเรสต์แยกต่างหากสำหรับข้อมูลนี้ ตัวอย่างเช่น หากสถาบันการเงินจำเป็นต้องตรวจสอบให้แน่ใจว่าเฉพาะผู้ใช้ ผู้ดูแลระบบ และคอมพิวเตอร์ที่อยู่ในเขตอำนาจศาลนั้นเท่านั้นที่สามารถเข้าถึงข้อมูลลูกค้าที่อยู่ในเขตอำนาจศาลใดเขตหนึ่งได้ เนื่องจากฝ่ายบริหารมีความมั่นใจอย่างเต็มที่ในผู้ดูแลระบบบริการของเขตอำนาจศาลระยะไกล ดังนั้น ในสถาบันดังกล่าว จึงจำเป็นต้องแยกข้อมูลจากผู้ดูแลระบบบริการที่อยู่นอกเขตอำนาจศาลที่กำหนด

นอกเหนือจากตัวอย่างง่ายๆ เหล่านี้แล้ว Active Directory Domain Services ยังมอบวิธีอื่นๆ อีกมากมายในการปรับใช้ความเป็นอิสระและการแยกส่วนในการดูแลระบบ โปรดจำไว้ว่าผู้ดูแลระบบที่ต้องการเพียงความเป็นอิสระจะต้องยอมรับว่าผู้ดูแลระบบคนอื่นๆ ที่มีอำนาจในการจัดการที่เท่าเทียมกันหรือมากกว่านั้นสามารถควบคุมการจัดการบริการหรือข้อมูลได้เท่าเทียมกันหรือมากกว่า ในขณะที่ผู้ดูแลระบบที่ต้องการการแยกส่วนจะสามารถควบคุมการจัดการบริการหรือข้อมูลได้อย่างสมบูรณ์ . บริษัทหลายแห่งต้องการความเป็นอิสระในการบริหารโดยมีความมั่นใจว่าผู้ดูแลระบบจากพาร์ติชันอื่นๆ ในฟอเรสต์จะไม่ดำเนินการที่เป็นอันตราย เป็นที่น่าสังเกตว่าการพัฒนาวงจรแบบสแตนด์อโลนโดยทั่วไปมีราคาถูกกว่าการพัฒนาวงจรแยก

การเลือกปริมาณนั่งร้านที่ต้องการ

เมื่อคุณปฏิบัติตามข้อกำหนดข้างต้นทั้งหมดแล้ว คุณจะต้องกำหนดจำนวนฟอเรสต์ที่จำเป็นสำหรับโครงสร้างพื้นฐานขององค์กรของคุณ หากต้องการกำหนดจำนวนฟอเรสต์ที่จะปรับใช้ ให้ทำความเข้าใจความต้องการความเป็นอิสระและการแยกของแต่ละกลุ่มในองค์กรของคุณ จากนั้นนำข้อกำหนดเหล่านั้นไปใช้ในไดอะแกรมแบบจำลองฟอเรสต์ อย่าลืมว่าการแยกป่าหนึ่งออกเป็นสองเป็นเรื่องยากมาก เมื่อพัฒนาฟอเรสต์สำหรับไดเร็กทอรีระบบปฏิบัติการเครือข่าย (NOS) การใช้ฟอเรสต์เพียงฟอเรสต์เดียวก็เพียงพอแล้ว ในกรณีส่วนใหญ่ การปรับใช้บริการโดเมน Active Directory จะดำเนินการในฟอเรสต์เดียว เนื่องจากสำหรับหลายบริษัท ประโยชน์ของแค็ตตาล็อกส่วนกลางที่ใช้ร่วมกัน ความสัมพันธ์ที่เชื่อถือได้ในตัว และพาร์ติชันการกำหนดค่าที่ใช้ร่วมกันมีความสำคัญมากกว่าการแยกบทบาทผู้ดูแลระบบทั้งหมดโดยสมบูรณ์ หากต้องการกำหนดจำนวนฟอเรสต์ที่องค์กรของคุณจะใช้ ให้พิจารณาสถานการณ์ต่อไปนี้:

  • กำหนดความจำเป็นในการแยกป่าหรือเอกราช ความจำเป็นในการแยกจะจำกัดการเลือกแผนงาน ดังนั้น คุณจะต้องปรับใช้ฟอเรสต์เพิ่มอีกอย่างน้อยหนึ่งรายการสำหรับองค์กรของคุณ
  • ในการกำหนดจำนวนป่าไม้ จะต้องคำนึงถึงความสมดุลระหว่างต้นทุนและผลประโยชน์ แบบจำลองฟอเรสต์เดี่ยวนั้นประหยัดที่สุดโดยต้องใช้ต้นทุนการจัดการน้อยที่สุด หากคุณต้องการทำงานแบบอิสระด้วยบริการด้านการดูแลระบบ จะประหยัดกว่าในการเลือกบริการของกลุ่มไอทีที่เชื่อถือได้ ซึ่งจะช่วยให้คุณจัดการข้อมูลโดยไม่ต้องเสียค่าใช้จ่ายในการจัดการบริการเอง
  • องค์กรไอทีสองแห่งที่แตกต่างกันและเป็นอิสระไม่ควรเป็นเจ้าของฟอเรสต์เดียวกัน เนื่องจากเป้าหมายของทีมไอทีอาจแตกต่างกันอย่างมาก ส่งผลให้ขั้นตอนการทำงานของแต่ละองค์กรหยุดชะงัก ดังนั้น บางบริษัทจึงปรับใช้ฟอเรสต์บริการโดเมนที่แยกต่างหากในโซนปลอดทหาร เพื่อปรับปรุงความปลอดภัยเครือข่ายภายใน หลายองค์กรปรับใช้เซิร์ฟเวอร์ที่มีการเข้าถึงอินเทอร์เน็ตโดยตรงใน DMZ อย่างไรก็ตาม คุณสามารถใช้การจัดการผู้ใช้และคอมพิวเตอร์ใน Active Directory ในขณะที่ยังคงการแยกฟอเรสต์ภายในไว้ได้
  • เพื่อวัตถุประสงค์ด้านความปลอดภัย ขอแนะนำให้จัดเตรียมการเข้าถึงข้อมูลเครือข่ายบางอย่างให้กับแต่ละหน่วยองค์กร ขณะเดียวกันก็ใช้การแยกข้อมูลเครือข่ายโดยสมบูรณ์ โดยที่ข้อมูลเกี่ยวกับฟอเรสต์หนึ่งจะไม่แสดงในอีกที่หนึ่ง การว่าจ้างบุคคลภายนอกเพื่อบริหารจัดการบริการนั้นไม่เหมาะสม โดยเฉพาะอย่างยิ่งหากเป็นองค์กรข้ามชาติที่ตั้งอยู่ในประเทศหรือภูมิภาคต่างๆ เนื่องจากการกระทำของคู่ค้าบางรายอาจส่งผลต่อบริการที่ผู้อื่นจัดหาให้ คู่ค้าจะต้องปฏิบัติตามข้อตกลงระดับการให้บริการเนื่องจากกลุ่มเหล่านี้ไม่สามารถแยกออกจากกันได้เนื่องจากภายในฟอเรสต์โดเมนทั้งหมดใช้ความสัมพันธ์ที่เชื่อถือได้แบบสกรรมกริยา
  • เมื่อใช้รูปแบบการปรับใช้แอปพลิเคชันเฉพาะ โดยมีการเปลี่ยนแปลงที่เข้ากันไม่ได้ในแผนข้ามแผนกต่างๆ ในองค์กร ขอแนะนำให้สร้างฟอเรสต์แยกกัน
  • นอกจากนี้ ฟอเรสต์แต่ละแห่งยังถูกปรับใช้หากหน่วยองค์กรไม่ดำเนินงานด้วยการบริหารแบบรวมศูนย์ หรือไม่ยอมรับขั้นตอนการบริหารแบบรวมศูนย์

การกำหนดแบบจำลองป่าไม้

เมื่อกำหนดจำนวนฟอเรสต์ในการออกแบบบริการไดเร็กทอรีแล้ว จะมีการเลือกแบบจำลองฟอเรสต์ขององค์กรแบบใดแบบหนึ่งจากสี่แบบต่อไปนี้:

  • แบบจำลองป่าไม้หนึ่ง;
  • แบบจำลองฟอเรสต์ขององค์กร
  • แบบจำลองทรัพยากรป่าไม้
  • โมเดลป่าไม้ที่มีการจำกัดการเข้าถึง>?/li

แบบจำลองป่าไม้แห่งหนึ่ง

โมเดลนี้เป็นโมเดลฟอเรสต์ที่ง่ายที่สุด และถือเป็นระดับต่ำเนื่องจากออบเจ็กต์ไดเร็กทอรีทั้งหมดอยู่ในฟอเรสต์เดียว และทรัพยากรเครือข่ายทั้งหมดถูกควบคุมโดยกลุ่ม IT แบบรวมศูนย์กลุ่มเดียว โครงการดังกล่าวต้องการค่าใช้จ่ายในการบริหารขั้นต่ำและถือว่าคุ้มค่าที่สุดในบรรดาทุกรุ่น โมเดลฟอเรสต์เดี่ยวเป็นตัวเลือกที่ดีสำหรับองค์กรขนาดเล็กและขนาดกลางที่มีกลุ่มไอทีเพียงกลุ่มเดียวและสาขาทั้งหมดได้รับการจัดการโดยกลุ่มนี้จากสำนักงานกลาง

ข้าว. 1. แบบจำลองป่าแห่งหนึ่ง

ข้อดี ข้อบกพร่อง
โอกาสในการร่วมมือ- การแลกเปลี่ยนข้อความอิเล็กทรอนิกส์ การเข้าถึงอินเทอร์เน็ตทั่วไป เอกสารทั่วไป กลไกทั่วไปสำหรับการรับรองความถูกต้อง การอนุญาต และการค้นหาไม่สามารถจัดหาได้- ไม่สามารถรับประกันความเป็นอิสระของบริการภายในฟอเรสต์เดียวได้ หากไม่มีข้อตกลงในการกำหนดค่าบริการ
การรับรองความถูกต้องของ Kerberos- ให้การรับรองความถูกต้องร่วมกันและการมอบอำนาจไม่สามารถแยกตัวจากเจ้าของบริการได้- ผู้ดูแลระบบองค์กรสามารถแทนที่การตั้งค่าความปลอดภัยที่กำหนดโดยเจ้าของโดเมนแต่ละรายได้
ความไว้วางใจสกรรมกริยาอัตโนมัติ- ความสัมพันธ์ที่เชื่อถือได้แบบสกรรมกริยาจะถูกสร้างขึ้นระหว่างโดเมนทั้งหมดในฟอเรสต์ตามลำดับชั้นปัญหาการจำลองแบบเนื่องจากขนาดไดเร็กทอรีขนาดใหญ่- ปัญหาของข้อมูลระดับฟอเรสต์ที่จะจำลอง โดยเฉพาะข้อมูลการกำหนดค่าและสคีมา ปัญหาการจำลองข้อมูลแค็ตตาล็อกส่วนกลางไปยังเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลางทั้งหมดในฟอเรสต์ เมื่อมีข้อมูลมากเกินไป การจำลองแบบจะช้าอย่างไม่อาจยอมรับได้
แค็ตตาล็อกอ็อบเจ็กต์ระดับโลกหนึ่งรายการ- ข้อมูลสำหรับวัตถุฟอเรสต์ทั้งหมดจะถูกจัดเก็บไว้ในไดเร็กทอรีที่สามารถค้นหาได้

แบบจำลองฟอเรสต์ขององค์กร

ตามแบบจำลองนี้ ฟอเรสต์ Active Directory แยกจะถูกสร้างขึ้นสำหรับแต่ละแผนก โมเดลฟอเรสต์ได้รับการออกแบบตามเกณฑ์ขององค์กรบางประการ สิ่งนี้ทำให้มั่นใจได้ถึงความเป็นอิสระและการแยกข้อมูลหรือบริการของหน่วยองค์กร ในขณะที่ฟอเรสต์ได้รับการกำหนดค่าในลักษณะที่ไม่สามารถเข้าถึงได้จากภายนอก ผู้ดูแลระบบสามารถให้สิทธิ์การเข้าถึงทรัพยากรในฟอเรสต์อื่นได้ หากจำเป็น หน่วยสามารถมีความสัมพันธ์ที่เชื่อถือได้กับฟอเรสต์อื่นเพื่อแบ่งปันทรัพยากร บันทึกทางบัญชี ทรัพยากร และการจัดการดำเนินการอย่างเป็นอิสระในแบบจำลองนี้

ข้าว. 2. แบบจำลองป่าองค์กร

ข้อดี ข้อบกพร่อง
ความเป็นอิสระจากเจ้าของบริการ- แต่ละหน่วยองค์กรมีฟอเรสต์ของตัวเอง รับรองความเป็นอิสระของข้อมูลและบริการค่าใช้จ่ายในการดำเนินการสูง- รุ่นที่แพงที่สุดในแง่ของการบริหารที่เกี่ยวข้องกับการฝึกอบรมเจ้าหน้าที่บำรุงรักษา การติดตั้งฮาร์ดแวร์และซอฟต์แวร์เพิ่มเติม
- ข้อมูลและบริการจะถูกแยกออกจากเจ้าของโดยสิ้นเชิงในหน่วยองค์กรที่แยกต่างหาก
- สมาชิกของแต่ละฟอเรสต์อาจไม่อยู่ในความไว้วางใจระหว่างฟอเรสต์ทั้งหมดโดยอัตโนมัติ การควบคุมความสัมพันธ์ที่ไว้วางใจมีความเข้มแข็ง

โมเดลนี้สามารถใช้ในบริษัทที่มีหลายหน่วยองค์กร ในบริษัทที่แต่ละหน่วยตั้งอยู่ในภูมิภาคต่างๆ ในองค์กรที่ก่อตั้งขึ้นผ่านการควบรวมกิจการหรือการซื้อกิจการ

แบบจำลองทรัพยากรป่าไม้

โมเดลนี้ช่วยให้แผนกต่างๆ แบ่งปันฟอเรสต์เดียว ซึ่งดูแลโดยกลุ่มไอทีที่แยกจากกัน ในขณะที่แผนกอื่นๆ สามารถปรับใช้ฟอเรสต์ที่แยกจากกันเพื่อการแยกหรือเป็นอิสระ การจัดการทรัพยากรในรูปแบบนี้ดำเนินการผ่านฟอเรสต์ที่แยกจากกันซึ่งไม่มีบัญชีอื่นนอกเหนือจากที่จำเป็นในการจัดการบริการและให้ทางเลือกในการเข้าถึงทรัพยากรในฟอเรสต์ ในการเข้าถึงป่าอื่นๆ ความสัมพันธ์ระหว่างความไว้วางใจจะถูกสร้างขึ้นระหว่างกัน ในกรณีส่วนใหญ่ มีการกำหนดค่าความน่าเชื่อถือแบบทางเดียว แม้ว่าจะไม่รวมความน่าเชื่อถือแบบสองทางและความน่าเชื่อถือภายนอกที่มีการรับรองความถูกต้องแบบเลือกก็ตาม การจัดการบัญชีผู้ใช้และกลุ่มจะถูกแยกออกจากการจัดการทรัพยากรโดยการสร้างฟอเรสต์แยกกันสำหรับแต่ละฟังก์ชัน การแชร์ได้รับการกำหนดค่าบนเซิร์ฟเวอร์ในฟอเรสต์ทรัพยากรอย่างน้อยหนึ่งรายการ

ข้าว. 3. แบบจำลองทรัพยากรป่าไม้

ข้อดี ข้อบกพร่อง
ลดต้นทุนด้วยการแบ่งปันทรัพยากร- ใช้ประโยชน์จากแคตตาล็อกวัตถุทั่วโลก ต้นทุนที่เกี่ยวข้องกับการจัดการป่าไม้ลดลงค่าใช้จ่ายในการดำเนินการสูง
ความเป็นอิสระจากเจ้าของบริการ- รับรองความเป็นอิสระของข้อมูลหน่วยองค์กรโดยสมบูรณ์เมื่อปรับใช้ฟอเรสต์ใหม่ขาดแค็ตตาล็อกออบเจ็กต์ส่วนกลางรายการเดียว- แค็ตตาล็อกส่วนกลางจะไม่ถูกจำลองแบบข้ามฟอเรสต์
การแยกตัวจากเจ้าของบริการ- ตรวจสอบให้แน่ใจว่ามีการแยกข้อมูลหน่วยขององค์กรโดยสมบูรณ์เมื่อปรับใช้ฟอเรสต์ใหม่ไม่เหมาะสมกับองค์กรที่กำลังพัฒนา- เมื่อมีการเปลี่ยนแปลงที่สำคัญ การมีป่าหลายแห่งส่งผลให้มีการเคลื่อนย้ายข้อมูลจากป่าหนึ่งไปยังอีกป่าหนึ่งบ่อยครั้ง
การสร้างความไว้วางใจอย่างชัดเจน- สมาชิกของแต่ละฟอเรสต์ไม่สามารถเป็นสมาชิกของความไว้วางใจระหว่างฟอเรสต์ทั้งหมดได้โดยอัตโนมัติ

โมเดลฟอเรสต์การเข้าถึงที่จำกัด

โมเดลนี้จัดเตรียมตัวแปรของโมเดลองค์กรแบบนั่งร้าน โดยจะสร้างฟอเรสต์แยกต่างหากเพื่อจัดเก็บบัญชีผู้ใช้และทรัพยากรที่ใช้ร่วมกัน ซึ่งแยกออกจากส่วนย่อยอื่นๆ ฟอเรสต์นี้แตกต่างจากฟอเรสต์ขององค์กรเนื่องจากไม่สามารถกำหนดค่าความสัมพันธ์ที่เชื่อถือได้ระหว่างสองโดเมนได้ มันจัดให้มีการแยกทางการบริหาร นั่นคือบัญชีผู้ใช้ฟอเรสต์ที่อยู่นอกฟอเรสต์ไม่ได้รับอนุญาตหรือเข้าถึงข้อมูลในฟอเรสต์นั้น และต้องใช้บัญชีแยกต่างหากเพื่อเข้าถึงฟอเรสต์ที่ถูกจำกัด แบบจำลองนี้สร้างฟอเรสต์แยกต่างหากด้วยบัญชีผู้ใช้และข้อมูลแยกจากส่วนที่เหลือขององค์กร แบบจำลองฟอเรสต์นี้ให้การแยกข้อมูลเมื่อมีการละเมิดการรักษาความลับและส่งผลร้ายแรง การขาดความไว้วางใจทำให้ไม่สามารถให้ผู้ใช้ฟอเรสต์อื่นเข้าถึงข้อมูลได้อย่างจำกัด

ข้าว. 4. โมเดลป่าไม้ที่มีการเข้าถึงอย่างจำกัด

ข้อดี ข้อบกพร่อง
การแยกทรัพยากรอย่างสมบูรณ์- ฟอเรสต์ที่แยกจากกันถูกสร้างขึ้นเพื่อจัดเก็บบัญชีผู้ใช้และทรัพยากรที่ใช้ร่วมกันขาดความสัมพันธ์ที่ไว้วางใจ- การไม่สามารถจัดหาทรัพยากรจากฟอเรสต์หนึ่งให้กับผู้ใช้ฟอเรสต์อื่นได้
การแยกทางการบริหาร- บัญชีผู้ใช้ที่อยู่นอกฟอเรสต์ที่ถูกจำกัดไม่ได้รับอนุญาตหรือเข้าถึงข้อมูลใดๆ ในฟอเรสต์นั้นการสร้างบัญชีแยกกัน- ผู้ใช้มีบัญชีสำหรับเข้าถึงทรัพยากรที่ใช้ร่วมกันและบัญชีแยกต่างหากเพื่อเข้าถึงข้อมูลที่ละเอียดอ่อน และต้องมีเวิร์กสเตชันสองเครื่องที่แตกต่างกัน เครื่องหนึ่งเชื่อมต่อกับฟอเรสต์ขององค์กร และอีกเครื่องหนึ่งเชื่อมต่อกับฟอเรสต์ที่ถูกจำกัด
รับประกันการแยกข้อมูล- เพื่อขจัดผลกระทบร้ายแรงหากมีการละเมิดการรักษาความลับของข้อมูลโครงการค่าใช้จ่ายในการดำเนินการสูง- ค่าใช้จ่ายในการบริหารจัดการเพิ่มขึ้นตามสัดส่วนของจำนวนฟอเรสต์ที่สร้างขึ้นเนื่องจากการฝึกอบรมบุคลากร ฮาร์ดแวร์และซอฟต์แวร์เพิ่มเติม
การสนับสนุนเครือข่ายทางกายภาพ- องค์กรที่ทำงานในโครงการที่มีความละเอียดอ่อนจะสร้างฟอเรสต์แบบจำกัดบนเครือข่ายที่แยกจากกันเพื่อรักษาความปลอดภัยไม่มีการรับรองความถูกต้อง Kerberos ข้ามฟอเรสต์ตามค่าเริ่มต้น- ฟอเรสต์สองแห่งไม่สามารถใช้ Kerberos เพื่อรับรองความถูกต้องซึ่งกันและกันตามค่าเริ่มต้น
ขาดแค็ตตาล็อกออบเจ็กต์ส่วนกลางรายการเดียว- แค็ตตาล็อกส่วนกลางจะไม่ถูกจำลองแบบข้ามฟอเรสต์

ผู้ดูแลระบบเครือข่าย Windows ไม่สามารถหลีกเลี่ยงการทำความคุ้นเคยกับ. บทความทบทวนนี้จะเน้นว่า Active Directory คืออะไรและใช้กับอะไร

ดังนั้น Active Directory จึงเป็นการนำบริการไดเร็กทอรีจาก Microsoft ไปใช้ ในกรณีนี้ บริการไดเรกทอรีหมายถึงชุดซอฟต์แวร์ที่ช่วยให้ผู้ดูแลระบบทำงานกับทรัพยากรเครือข่าย เช่น โฟลเดอร์ที่ใช้ร่วมกัน เซิร์ฟเวอร์ เวิร์กสเตชัน เครื่องพิมพ์ ผู้ใช้ และกลุ่ม

Active Directory มีโครงสร้างแบบลำดับชั้นที่ประกอบด้วยวัตถุ วัตถุทั้งหมดแบ่งออกเป็นสามประเภทหลัก

  • บัญชีผู้ใช้และคอมพิวเตอร์
  • ทรัพยากร (เช่น เครื่องพิมพ์)
  • บริการ (เช่น อีเมล)

แต่ละวัตถุมีชื่อเฉพาะและมีลักษณะเฉพาะหลายประการ สามารถจัดกลุ่มวัตถุได้

คุณสมบัติผู้ใช้

Active Directory มีโครงสร้างฟอเรสต์ ป่ามีต้นไม้หลายต้นที่มีโดเมน ในทางกลับกัน โดเมนจะมีออบเจ็กต์ที่กล่าวมาข้างต้น


โครงสร้าง Active Directory

โดยทั่วไป ออบเจ็กต์ในโดเมนจะถูกจัดกลุ่มเป็นหน่วยขององค์กร แผนกต่างๆ ทำหน้าที่สร้างลำดับชั้นภายในโดเมน (องค์กร แผนกอาณาเขต แผนก ฯลฯ) นี่เป็นสิ่งสำคัญอย่างยิ่งสำหรับองค์กรที่กระจัดกระจายตามพื้นที่ทางภูมิศาสตร์ เมื่อสร้างโครงสร้าง แนะนำให้สร้างโดเมนให้น้อยที่สุดเท่าที่จะทำได้ โดยสร้างการแบ่งส่วนหากจำเป็น มันสมเหตุสมผลแล้วที่จะใช้นโยบายกลุ่ม

คุณสมบัติเวิร์กสเตชัน

อีกวิธีหนึ่งในการจัดโครงสร้าง Active Directory คือ เว็บไซต์- ไซต์เป็นวิธีการจัดกลุ่มทางกายภาพแทนที่จะเป็นแบบลอจิคัลตามส่วนเครือข่าย

ดังที่ได้กล่าวไปแล้ว แต่ละออบเจ็กต์ใน Active Directory มีชื่อไม่ซ้ำกัน ตัวอย่างเช่น เครื่องพิมพ์ HPLaserJet4350dtnซึ่งตั้งอยู่ในแผนก ทนายความและในโดเมน primer.ruจะมีชื่อ CN=HPLaserJet4350dtn,OU=ทนายความ,DC=ไพรเมอร์,DC=ru. ซีเอ็นเป็นชื่อสามัญ อู๋- แผนก, ดี.ซี— คลาสอ็อบเจ็กต์โดเมน ชื่อออบเจ็กต์สามารถมีส่วนต่างๆ ได้มากกว่าในตัวอย่างนี้

การเขียนชื่อวัตถุอีกรูปแบบหนึ่งมีลักษณะดังนี้: primer.ru/ทนายความ/HPLaserJet4350dtn- นอกจากนี้ แต่ละออบเจ็กต์ยังมีตัวระบุที่ไม่ซ้ำกันทั่วโลก ( แนวทาง) คือสตริง 128 บิตที่ไม่ซ้ำใครและไม่เปลี่ยนรูปซึ่งใช้ใน Active Directory สำหรับการค้นหาและการจำลอง วัตถุบางอย่างยังมี UPN ( ยูพีเอ็น) ในรูปแบบ วัตถุ@โดเมน.

ต่อไปนี้เป็นภาพรวมว่า Active Directory คืออะไร และเหตุใดจึงจำเป็นบนเครือข่ายท้องถิ่นที่ใช้ Windows ท้ายที่สุด มันสมเหตุสมผลที่จะบอกว่าผู้ดูแลระบบสามารถทำงานกับ Active Directory จากระยะไกลได้ เครื่องมือการดูแลเซิร์ฟเวอร์ระยะไกลสำหรับ Windows 7 (KB958830)(ดาวน์โหลด) และ เครื่องมือการดูแลเซิร์ฟเวอร์ระยะไกลสำหรับ Windows 8.1 (KB2693643) (ดาวน์โหลด).



บทความที่เกี่ยวข้อง