Домен – это основная административная единица в
сетевой инфраструктуре предприятия, в которую входят все сетевые
объекты, такие как пользователи, компьютеры, принтеры, общие ресурсы и
т.д. Совокупность (иерархия) доменов называется лесом. У каждой компании
может быть внешний и внутренний домен.
Microsoft Active Directory стала стандартом систем
единого каталога предприятия. Домен на базе Active Directory внедрён
практически во всех компаниях мира, и на этом рынке у Microsoft
практически не осталось конкурентов.
Active Directory (Служба каталогов) представляет собой
распределённую базу данных, которая содержит все объекты домена.
Доменная среда Active Directory является единой точкой аутентификации и
авторизации пользователей и приложений в масштабах предприятия. Именно с
организации домена и развёртывания Active Directory начинается
построение ИТ-инфраструктуры предприятия. База данных Active Directory
хранится на выделенных серверах – контроллерах домена. Служба Active
Directory является ролью серверных операционных систем Microsoft Windows
Server
Развёртывание службы каталогов Active Directory по сравнению с рабочей группой (Workgroup) даёт следующие преимущества:
- Единая точка аутентификации. Когда компьютеры работают в рабочей
группе, у них нет единой базы данных пользователей, у каждого компьютера
она своя. Поэтому по умолчанию ни один из пользователей не имеет
доступа по сети к компьютеру другого пользователя или серверу. А, как
известно, смысл сети, как раз в том, чтобы пользователи могли
взаимодействовать. Сотрудникам требуется совместный доступ к документам
или приложениям. В рабочей группе на каждом компьютере или сервере
придётся вручную добавлять полный список пользователей, которым
требуется сетевой доступ. Если вдруг, один из сотрудников захочет
сменить свой пароль, то его нужно будет поменять на всех компьютерах и
серверах. Хорошо, если сеть состоит из 10 компьютеров, но если их 100
или 1000, то использование рабочей группы будет неприемлемым. При
использовании домена Active Directory все учётные записи пользователей
хранятся в одной базе данных, и все компьютеры обращаются к ней за
авторизацией. Все пользователи домена включаются в соответствующие
группы, например, «Бухгалтерия», «Кадры», «Финансовый отдел» и т.д.
Достаточно один раз задать разрешения для тех или иных групп, и все
пользователи получат соответствующий доступ к документам и приложениям.
Если в компанию приходит новый сотрудник, для него создаётся учётная
запись, которая включается в соответствующую группу, и всё! Через пару
минут новый сотрудник получает доступ ко всем ресурсам сети, к которым
ему должен быть разрешён доступ, на всех серверах и компьютерах. Если
сотрудник увольняется, то достаточно заблокировать или удалить его
учётную запись, и он сразу потеряет доступ ко всем компьютерам,
документам и приложениям.
- Единая точка управления политиками. В одноранговой сети (рабочей
группе) все компьютеры равноправны. Ни один из компьютеров не может
управлять другим, все компьютеры настроены по-разному, невозможно
проконтролировать ни соблюдение единых политик, ни правил безопасности.
При использовании единого каталога Active Directory, все пользователи и
компьютеры иерархически распределяются по организационным
подразделениям, к каждому из которых применяются единые групповые
политики. Политики позволяют задать единые настройки и параметры
безопасности для группы компьютеров и пользователей. При добавлении в
домен нового компьютера или пользователя, он автоматически получает
настройки, соответствующие принятым корпоративным стандартам. Также при
помощи политик можно централизованно назначить пользователям сетевые
принтеры, установить необходимые приложения, задать параметры
безопасности Интернет-браузера, настроить приложения Microsoft Office и
т.д.
- Интеграции с корпоративными приложениями и оборудованием. Большим
преимуществом Active Directory является соответствие стандарту LDAP,
который поддерживается сотнями приложений, такими как почтовые сервера
(Exchange, Lotus, Mdaemon), ERP-системы (Dynamics, CRM), прокси-серверы
(ISA Server, Squid) и др. Причем это не только приложения под Microsoft
Windows, но и серверы на базе Linux. Преимущества такой интеграции
заключается в том, что пользователю не требуется помнить большое
количество логинов и паролей для доступа к тому или иному приложению, во
всех приложениях пользователь имеет одни и те же учётные данные, т.к.
его аутентификация происходит в едином каталоге Active Directory. Кроме
того, сотруднику не требуется по нескольку раз вводить свой логин и
пароль, достаточно при запуске компьютера один раз войти в систему, и в
дальнейшем пользователь будет автоматически аутентифицироваться во всех
приложениях. Windows Server для интеграции с Active Directory
предоставляет протокол RADIUS, который поддерживается большим
количеством сетевого оборудования. Таким образом, можно, например,
обеспечить аутентификацию доменных пользователей при подключении к
маршрутизатору CISCO по VPN.
- Единое хранилище конфигурации приложений. Некоторые приложения хранят
свою конфигурацию в Active Directory, например Exchange Server или
Office Communications Server. Развёртывание службы каталогов Active
Directory является обязательным условием для работы этих приложений.
Также в службе каталогов можно хранить конфигурацию сервера доменных
имён DNS. Хранение конфигурации приложений в службе каталогов является
выгодным с точки зрения гибкости и надёжности. Например, в случае
полного отказа сервера Exchange, вся его конфигурация останется
нетронутой, т.к. хранится в Active Directory. И для восстановления
работоспособности корпоративной почты, достаточно будет переустановить
Exchange сервер в режиме восстановления.
- Повышенный уровень информационной безопасности. Использование Active
Directory значительно повышает уровень безопасности сети. Во-первых –
это единое и защищённое хранилище учётных записей. В одноранговой сети
учётные данные пользователей хранятся в локальной базе данных учётных
записей (SAM), которую теоретически можно взломать, завладев
компьютером. В доменной среде все пароли доменных пользователях хранятся
на выделенных серверах контроллерах домена, которые, как правило,
защищены от внешнего доступа. Во-вторых при использовании доменной среды
для аутентификации используется протокол Kerberos, который значительно
безопаснее, чем NTLM, использующийся в рабочих группах. Кроме того, для
входа пользователей в систему можно использовать двухфакторную
аутентификацию при помощи смарт-карт. Т.е. чтобы сотрудник получил
доступ к компьютеру, ему потребуется ввести свой логин и пароль, а также
вставить свою смарт-карту.
Масштабируемость и отказоустойчивость службы каталогов Active Directory.
Служба каталогов Microsoft Active Directory имеет широкие возможности
масштабирования. В лесе Active Directory может быть создано более 2-х
миллиардов объектов, что позволяет внедрять службу каталогов в компаниях
с сотнями тысяч компьютеров и пользователей. Иерархическая структура
доменов позволяет гибко масштабировать ИТ-инфраструктуру на все филиалы и
региональные подразделения компаний. Для каждого филиала или
подразделения компании может быть создан отдельный домен, со своими
политиками, своими пользователями и группами. Для каждого дочернего
домена могут быть делегированы административные полномочия местным
системным администраторам. При этом всё равно дочерние домены
подчиняются родительским.
Кроме того, Active Directory позволяет настроить доверительные
отношения между доменными лесами. Каждая компания имеет собственный лес
доменов, каждый из которых имеет собственные ресурсы. Но иногда бывает
нужно предоставить доступ к своим корпоративным ресурсам сотрудникам из
компаний-партнёров. Например, при участии в совместных проектах
сотрудникам из компаний партнёром может совместно понадобиться работать с
общими документами или приложениями. Для этого между лесами организаций
можно настроить доверительные отношения, что позволит сотрудникам из
одной организации авторизоваться в домене другой.
Oтказоустойчивость службы каталогов обеспечивается путём развёртывания
2-х и более серверов - контроллеров домена в каждом домене. Между
контроллерами домена обеспечивается автоматическая репликация всех
изменений. В случае выхода из строя одного из контроллеров домена,
работоспособность сети не нарушается, т.к. продолжают работать
оставшиеся. Дополнительный уровень отказоустойчивости обеспечивает
размещение серверов DNS на контроллерах домена в Active Directory, что
позволяет в каждом домене получить несколько серверов DNS, обслуживающих
основную зону домена. И в случае отказа одного из DNS серверов,
продолжат работать оставшиеся, причём они будут доступны, как на чтение,
так и на запись, что нельзя обеспечить, используя, например, DNS
сервера BIND на базе Linux.
Преимущества перехода на Windows Server 2008 R2.
Даже если в вашей компании уже развёрнута служба каталогов Active
Directory на базе Windows Server 2003, то вы можете получить целый ряд
преимуществ, перейдя на Windows Server 2008 R2. Windows Server 2008 R2
предоставляет следующие дополнительные возможности:
- Контроллер домена только для чтения RODC (Read-only Domain
Controller). Контроллеры домена хранят учётные записи пользователей,
сертификаты и много другой конфиденциальной информации. Если серверы
расположены в защищённых ЦОД-ах, то о сохранности данной информации
можно быть спокойным, но что делать, если котроллер домена стоит в
филиале в общедоступном месте. В данном случае существует вероятность,
что сервер украдут злоумышленники и взломают его. А затем используют эти
данные для организации атаки на вашу корпоративную сеть, с целью кражи
или уничтожения информации. Именно для предотвращения таких случаев в
филиалах устанавливают контролеры домена только для чтения (RODC).
Во-первых RODC-контроллеры не хранят пароли пользователей, а лишь
кэшируют их для ускорения доступа, а во-вторых они используют
одностороннюю репликацию, только из центральных серверов в филиал, но не
обратно. И даже, если злоумышленники завладеют RODC контроллером
домена, то они не получат пароли пользователей и не смогут нанести ущерб
основной сети.
- Восстановление удалённых объектов Active Directory. Почти каждый
системный администратор сталкивался с необходимостью восстановить
случайно удалённую учётную запись пользователя или целой группы
пользователей. В Windows 2003 для этого требовалось восстанавливать
службу каталогов из резервной копии, которой зачастую не было, но даже
если она и была, то восстановление занимало достаточно много времени. В
Windows Server 2008 R2 появилась корзина Active Directory. Теперь при
удалении пользователя или компьютера, он попадает в корзину, из которой
он может быть восстановлен за пару минут в течение 180 дней с
сохранением всех первоначальных атрибутов.
- Упрощённое управление. В Windows Server 2008 R2 были внесены ряд
изменений, значительно сокращающих нагрузку на системных администраторов
и облегчающих управление ИТ-инфраструктурой. Например появились такие
средства, как: Аудит изменений Active Directory, показывающий, кто, что и
когда менял; политики сложности паролей настраеваемые на уровне групп
пользователей, ранее это было возможно сделать только на уровне домена;
новые средства управления пользователями и компьютерами; шаблоны
политик; управление при помощи командной строки PowerShell и т.д.
Внедрение службы каталогов Active Directory.
Служба каталогов Active Directory – является сердцем ИТ-инфраструктуры
предприятия. В случае её отказа вся сеть, все сервера, работа всех
пользователей будут парализованы. Никто не сможет войти в компьютер,
получить доступ к своим документам и приложениям. Поэтому служба
каталогов должна быть тщательно спроектирована и развёрнута, с учётом
всех возможных нюансов. Например, структура сайтов должна строиться на
основе физической топологии сети и пропускной способности каналов между
филиалами или офисами компании, т.к. от этого напрямую зависит скорость
входа пользователей в систему, а также репликация между контроллерами
домена. Кроме того, на основании топологии сайтов Exchange Server
2007/2010 осуществляет маршрутизацию почты. Также нужно правильно
рассчитать количество и размещение серверов глобального каталога,
которые хранят списки универсальных групп, и множество других часто
используемых атрибутов всех доменов леса. Именно поэтому
компании возлагают задачи по внедрению, реорганизации или миграции
службы каталогов Active Directory на квалифицированных специалистов.
Специалисты нашей
компании обладают большим опытом и квалификацией в вопросах связанных с
развёртыванием Active Directory и внедрением серверных решений компании
Microsoft.
Компания «SKSS» разработает ИТ-инфраструктуру, развернёт службу
каталогов Active Directory и обеспечит консолидацию всех имеющихся
ресурсов предприятия в единое информационное пространство. Внедрение
Active Directory поможет снизить совокупную стоимость владения
информационной системой, а также повысить эффективность совместного
использования общих ресурсов.