Повысить режим работы домена можно лишь в том случае, если на его контроллерах установлены соответствующие этому режиму версии Windows.
Подразделения
Подразделением(organizational unit, OU) называется контейнер, служащий цели систематизации объектов домена в рамках логической административной группы. Подразделения позволяют решать разного рода административные задачи — в частности, связанные с администрированием пользователей и ресурсов (к счастью, эти объекты выражают минимальную область действия делегируемых административных полномочий). В составе подразделения могут содержаться такие объекты, как пользовательские учетные записи, группы, компьютеры, принтеры, приложения, общие файлы, а также другие подразделения, принадлежащие к этому домену. Иерархия подразделений в рамках домена независима от иерархической структуры подразделений в других доменах — таким образом, в каждом домене можно реализовать индивидуальную иерархию. За счет помещения одних подразделений в другие (иначе говоря, за счет их вложения) административное управление приобретает иерархический характер.
Изображенный на рис. 5 домен microsoft.comотражает структуру транспортной компании, разделенной на три подразделения - US, Ordersи Disp, при этом два последних вложены в первое. В летние месяцы количество заказов на перевозки увеличилось, в связи с чем руководство приняло решение ввести в отдел Ordersнового сотрудника — помощника администратора. Его полномочия должны ограничиваться созданием пользовательских учетных записей и предоставлением пользователям полномочий доступа к файлам отдела Ordersи общим принтерам. Вместо того, чтобы создавать новый домен, лучше наделить помощника администратора соответствующими разрешениями и разместить его в подразделении Orders.
 |
Рисунок 5. Решение административных задач с помощью подразделения
Если впоследствии помощнику администратора понадобятся полномочия на создание пользовательских учетных записей во всех подразделениях (US, Ordersи Disp), соответствующие разрешения ему можно будет выделить отдельно для каждого подразделения. Впрочем, поскольку подразделения Ordersи Dispвложены в US, эффективнее будет единожды прописать разрешения в USи включить их наследование двумя оставшимися подразделениями. Все дочерние объекты (подразделения Ordersи Disp) в рамках Active Directory наследуют разрешения от своих родителей (то есть в данном случае — от подразделения US) по умолчанию. За счет назначения разрешений на высоком уровне и их последующего наследования можно упростить выполнение административных задач.
Деревья
Деревом(tree) называется группировка или иерархическая система одного или нескольких доменов Windows Server 2003. Формируется дерево путем введения одного или нескольких дочерних доменов в состав существующего родительского домена. Все входящие в дерево домены характеризуются смежными пространствами имен и иерархической структурой имен. Согласно стандартам DNS, доменное имя дочернего домена формируется как его относительное имя в сочетании с именем родительского домена. На рис. 6 microsoft.comвыступает в роли родительского домена, а us.microsoft.comи uk.microsoft.com — в роли дочерних доменов. В свою очередь, по отношению к uk.microsoft.comдочерним является домен sls.uk.microsoft.com. Создание в рамках дерева иерархической системы доменов позволяет поддерживать на должном уровне безопасность и осуществлять административные функции в масштабах подразделения или отдельного домена, входящего в состав дерева. Древовидная структура легко поддается модификации, отражающей изменения в организационной структуре.
 |
Рисунок 6. Дерево доменов
Леса
Лесом(forest) называется группировка или иерархическая система, состоящая из одного или нескольких полностью независимых друг от друга деревьев доменов. Ниже перечислены общие характеристики лесов.
r Все домены в составе леса построены на основе общей схемы.
r Все домены леса связаны неявными двусторонними транзитивными доверительными отношениями.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.