Практические аспекты внедрения и эксплуатации active...

Живые встречи http://meeting.intertax.ru/

Практические аспектывнедрения и

эксплуатацииActive Directory

Масалов АндрейТренер Softline EducationMCT, MCITP Enterprise Administrator


Содержание«Два слова» про Active Directory

Рекомендации Microsoft по построению архитектуры Active Directory

Практические советы по внедрению Active Directory

Организационные сложности внедрения Active Directory


«Два слова» проActive Directory


Active DirectoryActive Directory (AD) - основа для корпоративных сетей под управлением WindowsAD хранит информацию о пользователях, компьютерах и других объектах сетиAD позволяет аутентифицировать пользователей и компьютерыAD и ее службы позволяют во многом упростить администрирование сети


Основные понятия ADДомен – основная административная единица в сети предприятия, в которую входят все сетевые объекты

Дерево – иерархическая структура доменов

Лес – объединение деревьев

Контроллер домена – сервер обеспечивающий работоспособность домена


Иллюстрация

office.zavod.ru

zavod.rubank.ru

It.bank.ru office.bank.ru

ДеревоДерево

Лес


Рекомендации Microsoft по построению

архитектуры Active Directory


Необходимые документы

РискиОбщий документ

Структурапроекта

Описаниелогической

структуры

Описаниефизическойструктуры

Описаниеконцепций

Главныйпланпроекта

Функцио-нальнаяспеци-фикация

Главноерасписаниепроекта


Компоненты проектаActive Directory

Планлеса

Пландомена

Планпространства имен DNS

Плансайтов

ПланПодразделе-ний

ПроектActiveDirectory

Планконтроллеров домена

Планфункцио-нальных уровней


Разработка проекта Active Directory

Active Directory для бизнеса

Ваша структура Active Directory будет постоянно меняться

Делайте все как можно проще

Компромиссы между задачами бизнеса и особенностями проектирования возможны


Проектирование лесовНазвани

еОписание Пример

Организа-ционная модель

В каждом лесу хранятся учетные записи и ресурсы

Единственный лес организации и лес организации партнера для доступа к ресурсам

Модель ресурсов

В одном лесу находятся ресурсы, в других учетные записи пользователей

Лес содержащий сервера и лес содержащий пользователей, для защиты серверов от действий пользователей.

Ограничен-ная модель

Выделение части предприятия в отдельный лес

Один лес для организации и другой лес для бухгалтерии


Проектирование доменов

Название Описание

Модель с единственным доменом

Проста в управлениеПроста в обслуживанииЛюбой контроллер домена может аутентифицировать всех пользователейВсе контроллеры домена могут содержать глобальный каталог

Регионально распределенная модель

Уменьшение трафика между сетямиОтдельные политики уровня доменаДецентрализованное администрирование


Проектирование сайтов

Имя сайта

Географическое распределение сетей

Список IP-подсетей для каждого сайта

Список WAN соединений, их тип, скорость


Проектирование контроллеров доменов

Критерий Кол-во контроллеров домена

Меньше 1,000 пользователей Один

От 1,000 до 10,000 пользователей Два

Больше 10,000 пользователей

Один на каждые 5000 пользователей

Для поддержки доступности Добавьте один

Для поддержки репликации между сайтами

Добавьте один на каждые 15 соединений


Проектирование DNS

Название

DNS имя провайдера DNS имя домена

Одно имя Zavod.ru Zavod.ruДочерний домен Zavod.ru Ad.zavod.ruДругое имя Zavod.ru Zavod.local


Модели администрированияЦентрализованное IT подразделение

Децентрализованное IT подразделение

Централизованное IT подразделение с децентрализованным администрированием

Внешнее IT управление


Советы по выбору модели

администрированияБазируйте модель администрирования на структуре вашего IT подразделения

Соблюдайте баланс между простотой администрирования и детальностью плана

Создавайте свою модель основываясь на четких принципах безопасности


Модели подразделенийМодель Описание

Географически распределенная

ИТ-структура является централизованной, но администрирование сети делится на географически распределенные участки

Организационная структура

ИТ-структура делится на группы таким образом, что каждый подразделение организации имеет свою собственную ИТ-группу

ФункциональнаяИТ-структура является децентрализованной, но строит свою административную модель на бизнес-функций в рамках организации

Географическая – организационная

Подразделения основанные на географическом распределении делятся на организационные структуры предприятия

Организационная – географическая

Подразделения основанные на организационной структуре предприятия делятся на географически распределенные


Делегирование полномочий

Модель Описание Пример

Полный контроль

Администратор управляет всеми объектами внутри подразделения

Администратор ответственен за все компьютеры находящиеся в своем филиале

Полномочия для выполнения задач

Администратор решает конкретные задачи внутри подразделения

Администратор выполняет задачи связанные с восстановлением пароля во всей организации


Привязка структуры подразделений к GPOСоздавайте GPO для подразделенияДобавляйте подразделения для поддержки GPO

Разделяйте подразделения для применения различных GPOСоздавайте новые подразделения на основе местоположенияСоздавайте новые подразделения для различных типов объектов


Стратегии именованияИмя учетной записи пользователя должно полностью идентифицировать пользователя

Имя учетной записи компьютера должно идентифицировать владельца, расположение и тип

Имя группы должно определять ее расположение , членов и цели


Практические советы


Простота – залог успехаДелайте все как можно проще

Избегайте нагромождения

Нарисуйте хотя бы простой план на листочке, а лучше в Visio


Разбить на этапыСоставить план

Первый этап – установка AD DC, тестирование на нескольких пользователях

Второй этап – введение всех пользователей в AD

Третий этап – постепенное применение GPO


Несколько доменовСкорей всего можно обойтись одним доменом

Напишите 10 причин того почему Вам необходим второй домен

Напишите 10 причин того почему Вам не нужен второй домен


СайтыЕсли есть удаленный офис с контроллером домена – создайте сайт

Не нужно создавать сайты если нет контроллера домена в нем


БезопасностьНе используйте учетную запись Administrator

Используйте делегирование полномочий


РезервированиеПоднимите второй контроллер

Делаете резервную копию – проверяйте ее работоспособность

Составьте инструкцию к действиям


ПользователиПомогайте пользователям

Скопируйте профили из локальных в доменные

Используйте инструменты экспорта и импорта


Организационные сложности

внедрения Active Directory


ДокументацияПроектная документация

Инструкция по безопасности

Приказы по предприятию


Проектная документация

Помогает понять что необходимо

Страница на документ рекомендуемый Microsoft – уже хорошо


Инструкция по безопасности

Описать возможные риски

Описать меры предосторожности

Правила пользование сетью


ПользователиОбучение основам (курсы, обучение сотрудниками, инструкции)

Понимание ответственности пользователя при работе в локальной сети


РуководствоФункции AD необходимо утвердить у руководства

Включить функции в проектную документацию

Соответствие функций и стандартов предприятия


Заключение


МатериалыТренинг Microsoft 2282 – Внедрение AD Windows Server 2003Тренинг Microsoft 6425 – Конфигурирование AD Windows Server 2008 R2http://www.intuit.ru/department/os/msactivedir/http://msbro.ru/index.php/archives/500http://technet.microsoft.com/en-us/library/cc787010(WS.10).aspx

http://www.intuit.ru/department/os/msactivedir/



http://msbro.ru/index.php/archives/500

http://msbro.ru/index.php/archives/500

http://technet.microsoft.com/en-us/library/cc787010(WS.10).aspx




Контакты[email protected]

Skype: p_n_c_k

ICQ: 311-849-957

Практические аспекты внедрения и эксплуатации active...

Documents