Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De eerste stap bij het opzetten van een implementatieproject voor Active Directory Domain Service (AD DS) is het instellen van de ontwerp- en implementatieprojectteams die verantwoordelijk zijn voor het beheer van de ontwerpfase en implementatiefase van de Active Directory-projectcyclus. Daarnaast moet u de personen en groepen identificeren die verantwoordelijk zijn voor het bezitten en onderhouden van de directory nadat de implementatie is voltooid.
Projectspecifieke rollen definiëren
Een belangrijke stap bij het samenstellen van de projectteams is het identificeren van de personen die projectspecifieke rollen moeten vervullen. Dit zijn onder meer de uitvoerend sponsor, de projectarchitect en de projectmanager. Deze personen zijn verantwoordelijk voor het uitvoeren van het Active Directory-implementatieproject.
Nadat u de projectarchitect en projectmanager hebt aangesteld, zetten deze personen communicatiekanalen op in de hele organisatie, stellen ze projectschema's op en identificeren ze de personen die lid zullen zijn van de projectteams, te beginnen met de verschillende eigenaren.
Executive sponsor
Het implementeren van een infrastructuur zoals AD DS kan een brede impact hebben op een organisatie. Om deze reden is het belangrijk om een executive sponsor te hebben die de zakelijke waarde van de implementatie begrijpt, het project op uitvoerend niveau ondersteunt en kan helpen bij het oplossen van conflicten in de hele organisatie.
Project architect
Voor elk Active Directory-implementatieproject is een projectarchitect nodig om het Active Directory-ontwerp en het besluitvormingsproces voor de implementatie te beheren. De architect biedt technische expertise om te helpen bij het proces van het ontwerpen en implementeren van AD DS.
Note
Als er geen bestaand personeel in uw organisatie is dat ervaring heeft met het ontwerpen van directory's, kunt u een externe consultant inhuren die een expert is op het gebied van het ontwerpen en implementeren van Active Directory.
De verantwoordelijkheden van de projectarchitect van Active Directory omvatten het volgende:
Eigenaar zijn van het Active Directory-ontwerp
Inzicht in en registratie van de grondgedachte voor belangrijke ontwerpbeslissingen
Ervoor zorgen dat het ontwerp voldoet aan de zakelijke behoeften van de organisatie
Consensus bereiken tussen ontwerp-, implementatie- en operationele teams
Inzicht in de behoeften van AD DS-geïntegreerde applicaties
Het uiteindelijke Active Directory-ontwerp moet een combinatie van bedrijfsdoelstellingen en technische beslissingen weerspiegelen. Daarom moet de projectarchitect ontwerpbeslissingen herzien om ervoor te zorgen dat ze in overeenstemming zijn met de bedrijfsdoelstellingen.
Project manager
De projectmanager faciliteert de samenwerking tussen business units en tussen technologiemanagementgroepen. In het ideale geval is de projectmanager voor Active Directory-implementatie iemand binnen de organisatie die bekend is met zowel het operationele beleid van de IT-groep als de ontwerpvereisten voor de groepen die zich voorbereiden op de implementatie van AD DS. De projectmanager houdt toezicht op het gehele implementatieproject, te beginnen met het ontwerp en de implementatie, en zorgt ervoor dat het project op schema en binnen het budget blijft. De verantwoordelijkheden van de projectmanager omvatten het volgende:
Het verstrekken van basisprojectplanning zoals planning en budgettering
Voortgang stimuleren bij het ontwerp- en implementatieproject van Active Directory
Ervoor zorgen dat de juiste personen bij elk onderdeel van het ontwerpproces worden betrokken
Fungeren als één aanspreekpunt voor het Active Directory-implementatieproject
Communicatie tot stand brengen tussen ontwerp-, implementatie- en operationele teams
Het tot stand brengen en onderhouden van communicatie met de executive sponsor gedurende het implementatieproject
Eigenaren en beheerders instellen
In een Active Directory-implementatieproject worden personen die eigenaar zijn, door het management verantwoordelijk gehouden om ervoor te zorgen dat implementatietaken worden voltooid en dat de ontwerpspecificaties van Active Directory voldoen aan de behoeften van de organisatie. Eigenaren hebben niet noodzakelijkerwijs rechtstreeks toegang tot de directory-infrastructuur of manipuleren deze niet. Beheerders zijn de personen die verantwoordelijk zijn voor het voltooien van de vereiste implementatietaken. Beheerders hebben de netwerktoegang en machtigingen die nodig zijn om de directory en de infrastructuur ervan te manipuleren.
De rol van de eigenaar is strategisch en bestuurlijk. Eigenaren zijn verantwoordelijk voor het communiceren aan beheerders van de taken die nodig zijn voor de implementatie van het Active Directory-ontwerp, zoals het maken van nieuwe domeincontrollers in het forest. De beheerders zijn verantwoordelijk voor het implementeren van het ontwerp op het netwerk volgens de ontwerpspecificaties.
In grote organisaties vervullen verschillende personen de rol van eigenaar en beheerder; In sommige kleine organisaties kan dezelfde persoon echter zowel als eigenaar als beheerder optreden.
Eigenaren van services en gegevens
Bij het dagelijks beheer van AD DS zijn twee soorten eigenaren betrokken:
- Service-eigenaren die verantwoordelijk zijn voor de planning en het onderhoud op lange termijn van de Active Directory-infrastructuur en ervoor zorgen dat de directory blijft functioneren en dat de doelen die zijn vastgelegd in service level agreements worden gehandhaafd.
- Gegevenseigenaren die verantwoordelijk zijn voor het onderhoud van de informatie die in de directory is opgeslagen. Dit omvat het beheer van gebruikers- en computeraccounts en het beheer van lokale bronnen, zoals lidservers en werkstations.
Het is belangrijk om de Active Directory-service en gegevenseigenaren in een vroeg stadium te identificeren, zodat ze kunnen deelnemen aan een zo groot mogelijk deel van het ontwerpproces. Omdat de service- en gegevenseigenaren verantwoordelijk zijn voor het onderhoud van de directory op lange termijn nadat het implementatieproject is voltooid, is het belangrijk dat deze personen input leveren over de behoeften van de organisatie en bekend zijn met hoe en waarom bepaalde ontwerpbeslissingen worden genomen. Service-eigenaren zijn onder andere de forest-eigenaar, de eigenaar van het Active Directory Domain Naming System (DNS) en de eigenaar van de sitetopologie. Gegevenseigenaren zijn onder meer eigenaren van de organisatie-eenheid (OE).
Service- en gegevensbeheerders
Bij de werking van AD DS zijn twee soorten beheerders betrokken: servicebeheerders en gegevensbeheerders. Servicebeheerders implementeren beleidsbeslissingen van service-eigenaren en voeren de dagelijkse taken uit die verband houden met het onderhouden van de directoryservice en infrastructuur. Dit omvat het beheer van de domeincontrollers die als host fungeren voor de directoryservice, het beheren van andere netwerkservices, zoals DNS die vereist zijn voor AD DS, het beheren van de configuratie van forestbrede instellingen en ervoor zorgen dat de directory altijd beschikbaar is.
Servicebeheerders zijn ook verantwoordelijk voor het voltooien van lopende Active Directory-implementatietaken die nodig zijn nadat het eerste implementatieproces van Windows Server 2008 Active Directory is voltooid. Naarmate er bijvoorbeeld meer wordt gevraagd aan de directory, maken servicebeheerders extra domeincontrollers en stellen ze indien nodig vertrouwensrelaties tussen domeinen in of verwijderen ze. Om deze reden moet het Active Directory-implementatieteam servicebeheerders bevatten.
U moet ervoor zorgen dat u de rollen van servicebeheerder alleen toewijst aan personen in de organisatie die vertrouwd zijn. Omdat deze personen de mogelijkheid hebben om de systeembestanden op domeincontrollers te wijzigen, kunnen ze het gedrag van AD DS wijzigen. U moet ervoor zorgen dat de servicebeheerders in uw organisatie personen zijn die bekend zijn met het operationele en beveiligingsbeleid dat op uw netwerk van kracht is en die de noodzaak begrijpen om dat beleid af te dwingen.
Gegevensbeheerders zijn gebruikers binnen een domein die verantwoordelijk zijn voor het onderhouden van gegevens die zijn opgeslagen in AD DS, zoals gebruikers- en groepsaccounts, en voor het onderhouden van computers die lid zijn van hun domein. Gegevensbeheerders beheren subsets van objecten in de directory en hebben geen controle over de installatie of configuratie van de directoryservice.
Gegevensbeheerdersaccounts worden niet standaard verstrekt. Nadat het ontwerpteam heeft bepaald hoe resources voor de organisatie moeten worden beheerd, moeten domeineigenaren gegevensbeheerdersaccounts maken en deze de juiste machtigingen delegeren op basis van de set objecten waarvoor de beheerders verantwoordelijk moeten zijn.
Het is het beste om het aantal servicebeheerders in uw organisatie te beperken tot het minimumaantal dat nodig is om ervoor te zorgen dat de infrastructuur blijft functioneren. Het grootste deel van het administratieve werk kan worden gedaan door gegevensbeheerders. Servicebeheerders hebben veel bredere vaardigheden nodig omdat ze verantwoordelijk zijn voor het onderhouden van de directory en de infrastructuur die deze ondersteunt. Gegevensbeheerders hebben alleen de vaardigheden nodig die nodig zijn om hun deel van de directory te beheren. Het op deze manier verdelen van werktoewijzingen levert kostenbesparingen op voor de organisatie, omdat slechts een klein aantal beheerders hoeft te worden opgeleid om de volledige directory en de bijbehorende infrastructuur te bedienen en te onderhouden.
Een servicebeheerder moet bijvoorbeeld begrijpen hoe hij een domein aan een forest kan toevoegen. Denk hierbij aan het installeren van de software om een server om te zetten naar een domeincontroller en het manipuleren van de DNS-omgeving zodat de domeincontroller naadloos kan worden samengevoegd in de Active Directory-omgeving. Een gegevensbeheerder hoeft alleen te weten hoe hij de specifieke gegevens moet beheren waarvoor hij verantwoordelijk is, zoals het aanmaken van nieuwe gebruikersaccounts voor nieuwe medewerkers op zijn afdeling.
Het implementeren van AD DS vereist coördinatie en communicatie tussen veel verschillende groepen die betrokken zijn bij de werking van de netwerkinfrastructuur. Deze groepen moeten service- en gegevenseigenaren aanwijzen die verantwoordelijk zijn voor het vertegenwoordigen van de verschillende groepen tijdens het ontwerp- en implementatieproces.
Zodra het implementatieproject is voltooid, blijven deze service- en gegevenseigenaren verantwoordelijk voor het deel van de infrastructuur dat door hun groep wordt beheerd. In een Active Directory-omgeving zijn deze eigenaren de forest-eigenaar, de eigenaar van de DNS voor AD DS, de eigenaar van de sitetopologie en de eigenaar van de OU. De rollen van deze service- en gegevenseigenaren worden in de volgende secties uitgelegd.
Forest owner
De foresteigenaar is doorgaans een senior IT-manager (Information Technology) in de organisatie die verantwoordelijk is voor het implementatieproces van Active Directory en die uiteindelijk verantwoordelijk is voor het onderhouden van de servicelevering binnen het forest nadat de implementatie is voltooid. De foresteigenaar wijst personen toe om de andere eigendomsrollen te vervullen door sleutelpersoneel binnen de organisatie te identificeren dat in staat is om de nodige informatie over netwerkinfrastructuur en administratieve behoeften bij te dragen. De boseigenaar is verantwoordelijk voor het volgende:
Implementatie van het forestrootdomein om het forest te maken
Implementatie van de eerste domeincontroller in elk domein om de domeinen te maken die nodig zijn voor het forest
Lidmaatschappen van de groepen servicebeheerders in alle domeinen van het forest
Creatie van het ontwerp van de OU-structuur voor elk domein in het bos
Delegatie van administratieve bevoegdheid aan OU-eigenaren
Wijzigingen in het schema
Wijzigingen in configuratie-instellingen voor het hele forest
Implementatie van bepaalde instellingen voor groepsbeleid, waaronder beleid voor domeingebruikersaccounts, zoals fijnmazig beleid voor wachtwoorden en accountvergrendeling
Instellingen voor bedrijfsbeleid die van toepassing zijn op domeincontrollers
Alle andere groepsbeleidsinstellingen die op domeinniveau worden toegepast
De boseigenaar heeft gezag over het hele bos. Het is de verantwoordelijkheid van de foresteigenaar om het groepsbeleid en het bedrijfsbeleid in te stellen en de personen te selecteren die servicebeheerders zijn. De boseigenaar is een service-eigenaar.
DNS voor AD DS-eigenaar
De eigenaar van DNS voor AD DS is een persoon met een grondige kennis van de bestaande DNS-infrastructuur en de bestaande naamruimte van de organisatie.
De eigenaar van DNS voor AD DS is verantwoordelijk voor het volgende:
Fungeren als contactpersoon tussen het ontwerpteam en de IT-groep die momenteel eigenaar is van de DNS-infrastructuur
Het verstrekken van de informatie over de bestaande DNS-naamruimte van de organisatie om te helpen bij het maken van de nieuwe Active Directory-naamruimte
Samenwerken met het implementatieteam om ervoor te zorgen dat de nieuwe DNS-infrastructuur wordt geïmplementeerd volgens de specificaties van het ontwerpteam en dat deze goed werkt
Beheer van de DNS voor AD DS-infrastructuur, inclusief de DNS Server-service en DNS-gegevens
De DNS voor AD DS-eigenaar is een service-eigenaar.
Eigenaar van de sitetopologie
De eigenaar van de sitetopologie is bekend met de fysieke structuur van het organisatienetwerk, inclusief het in kaart brengen van individuele subnetten, routers en netwerkgebieden die zijn verbonden door middel van langzame verbindingen. De eigenaar van de sitetopologie is verantwoordelijk voor het volgende:
Inzicht in de fysieke netwerktopologie en hoe deze AD DS beïnvloedt
Inzicht in de gevolgen van de implementatie van Active Directory voor het netwerk
Bepalen van de logische Active Directory-sites die moeten worden gemaakt
Siteobjecten bijwerken voor domeincontrollers wanneer een subnet wordt toegevoegd, gewijzigd of verwijderd
Sitekoppelingen, sitekoppelingsbruggen en handmatige verbindingsobjecten maken
De eigenaar van de sitetopologie is een service-eigenaar.
OU owner
De eigenaar van de OU is verantwoordelijk voor het beheer van de gegevens die in de directory zijn opgeslagen. Deze persoon moet bekend zijn met het operationele en beveiligingsbeleid dat op het netwerk van kracht is. OU-eigenaren kunnen alleen de taken uitvoeren die door de servicebeheerders aan hen zijn gedelegeerd, en ze kunnen alleen die taken uitvoeren op de organisatie-eenheden waaraan ze zijn toegewezen. Taken die aan de eigenaar van de organisatie-eenheid kunnen worden toegewezen, zijn onder andere:
Het uitvoeren van alle accountbeheertaken binnen de aan hen toegewezen OU
Beheer van werkstations en lidservers die lid zijn van de aan hen toegewezen organisatie-eenheid
Autoriteit delegeren aan lokale beheerders binnen de aan hen toegewezen organisatie-eenheden
De eigenaar van de organisatie-eenheid is eigenaar van de gegevens.
Projectteams samenstellen
Active Directory-projectteams zijn tijdelijke groepen die verantwoordelijk zijn voor het voltooien van Active Directory-ontwerp- en implementatietaken. Wanneer het Active Directory-implementatieproject is voltooid, nemen de eigenaren de verantwoordelijkheid voor de directory op zich en kunnen de projectteams worden ontbonden.
De grootte van de projectteams varieert afhankelijk van de grootte van de organisatie. In kleine organisaties kan één persoon meerdere verantwoordelijkheidsgebieden in een projectteam bestrijken en betrokken zijn bij meer dan één fase van de implementatie. Grote organisaties kunnen grotere teams nodig hebben met verschillende individuen of zelfs verschillende teams die de verschillende verantwoordelijkheidsgebieden bestrijken. De grootte van de teams is niet belangrijk, zolang alle verantwoordelijkheidsgebieden maar worden toegewezen en de ontwerpdoelen van de organisatie worden gehaald.
Potentiële boseigenaren identificeren
Identificeer de groepen binnen uw organisatie die eigenaar zijn van en beheer hebben over de resources die nodig zijn om directoryservices te leveren aan gebruikers in het netwerk. Deze groepen worden beschouwd als potentiële boseigenaren.
De scheiding van service en gegevensbeheer in AD DS maakt het mogelijk voor de infrastructuur-IT-groep (of groepen) van een organisatie om de directoryservice te beheren, terwijl lokale beheerders in elke groep de gegevens beheren die tot hun eigen groepen behoren. Potentiële foresteigenaren hebben de vereiste bevoegdheid over de netwerkinfrastructuur om AD DS te implementeren en te ondersteunen.
Voor organisaties die één gecentraliseerde IT-groep voor infrastructuur hebben, is de IT-groep over het algemeen de forest-eigenaar en dus de potentiële forest-eigenaar voor toekomstige implementaties. Organisaties die een aantal onafhankelijke IT-groepen voor infrastructuur omvatten, hebben een aantal potentiële forest-eigenaren. Als uw organisatie al over een Active Directory-infrastructuur beschikt, zijn de huidige foresteigenaren ook potentiële foresteigenaren voor nieuwe implementaties.
Selecteer een van de potentiële foresteigenaren om op te treden als foresteigenaar voor elk forest dat u overweegt te implementeren. Deze potentiële boseigenaren zijn verantwoordelijk voor het samenwerken met het ontwerpteam om te bepalen of hun bos daadwerkelijk zal worden ingezet of dat een alternatieve handelwijze (zoals het samenvoegen van een ander bestaand bos) een beter gebruik van de beschikbare hulpbronnen is en nog steeds aan hun behoeften voldoet. De forest-eigenaren (of -eigenaren) in uw organisatie zijn lid van het Active Directory-ontwerpteam.
Samenstellen van een ontwerpteam
Het Active Directory-ontwerpteam is verantwoordelijk voor het verzamelen van alle informatie die nodig is om beslissingen te nemen over het ontwerp van de logische structuur van Active Directory.
De verantwoordelijkheden van het ontwerpteam omvatten het volgende:
Bepalen hoeveel forests en domeinen er nodig zijn en wat de relaties zijn tussen de forests en domeinen
Samenwerken met gegevenseigenaren om ervoor te zorgen dat het ontwerp voldoet aan hun beveiligings- en administratieve vereisten
Samenwerken met de huidige netwerkbeheerders om ervoor te zorgen dat de huidige netwerkinfrastructuur het ontwerp ondersteunt en dat het ontwerp geen nadelige invloed heeft op bestaande applicaties die op het netwerk worden geïmplementeerd
Samenwerken met vertegenwoordigers van de beveiligingsgroep van de organisatie om ervoor te zorgen dat het ontwerp voldoet aan het vastgestelde beveiligingsbeleid
Het ontwerpen van OU-structuren die de juiste beschermingsniveaus en de juiste delegatie van autoriteit aan de gegevenseigenaren mogelijk maken
Samenwerken met het implementatieteam om het ontwerp in een laboratoriumomgeving te testen om ervoor te zorgen dat het functioneert zoals gepland en het ontwerp indien nodig aan te passen om eventuele problemen op te lossen die zich voordoen
Het maken van een sitetopologieontwerp dat voldoet aan de replicatievereisten van het forest en tegelijkertijd overbelasting van de beschikbare bandbreedte voorkomt. Zie De sitetopologie ontwerpen voor Windows Server 2008 AD DS voor meer informatie over het ontwerpen van de sitetopologie.
Samenwerken met het implementatieteam om ervoor te zorgen dat het ontwerp correct wordt geïmplementeerd
Het ontwerpteam bestaat uit de volgende leden:
Potentiële boseigenaren
Project architect
Project manager
Personen die verantwoordelijk zijn voor het opstellen en onderhouden van beveiligingsbeleid op het netwerk
Tijdens het ontwerpproces van de logische structuur identificeert het ontwerpteam de andere eigenaren. Deze personen moeten beginnen deel te nemen aan het ontwerpproces zodra ze zijn geïdentificeerd. Nadat het implementatieproject is overgedragen aan het implementatieteam, is het ontwerpteam verantwoordelijk voor het toezicht op het implementatieproces om ervoor te zorgen dat het ontwerp correct wordt geïmplementeerd. Het ontwerpteam brengt ook wijzigingen aan in het ontwerp op basis van feedback uit testen.
Een implementatieteam samenstellen
Het Active Directory-implementatieteam is verantwoordelijk voor het testen en implementeren van het logische structuurontwerp van Active Directory. Het gaat om de volgende taken:
Het opzetten van een testomgeving die de productieomgeving voldoende nabootst
Het ontwerp testen door de voorgestelde forest- en domeinstructuur te implementeren in een labomgeving om te controleren of deze voldoet aan de doelen van elke roleigenaar
Het ontwikkelen en testen van alle migratiescenario's die door het ontwerp worden voorgesteld in een laboratoriumomgeving
Ervoor zorgen dat elke eigenaar het testproces ondertekent om er zeker van te zijn dat de juiste ontwerpkenmerken worden getest
Testen van de implementatiebewerking in een testomgeving
Wanneer de ontwerp- en testtaken zijn voltooid, voert het implementatieteam de volgende taken uit:
Maakt de forests en domeinen volgens het logische structuurontwerp van Active Directory
Maakt de sites en sitekoppelingsobjecten naar behoefte op basis van het ontwerp van de sitetopologie
Zorgt ervoor dat de DNS-infrastructuur is geconfigureerd om AD DS te ondersteunen en dat eventuele nieuwe naamruimten worden geïntegreerd in de bestaande naamruimte van de organisatie
Het Active Directory-implementatieteam bestaat uit de volgende leden:
Forest owner
DNS voor AD DS-eigenaar
Eigenaar van de sitetopologie
OU owners
Het implementatieteam werkt tijdens de implementatiefase samen met de service- en gegevensbeheerders om ervoor te zorgen dat leden van het operationele team bekend zijn met het nieuwe ontwerp. Dit zorgt voor een soepele overdracht van eigendom wanneer de implementatiebewerking is voltooid. Na voltooiing van het implementatieproces wordt de verantwoordelijkheid voor het onderhouden van de nieuwe Active Directory-omgeving overgedragen aan het operationele team.
Documenteren van de ontwerp- en implementatieteams
Documenteer de namen en contactgegevens van de personen die zullen deelnemen aan het ontwerp en de implementatie van AD DS. Identificeer wie verantwoordelijk is voor elke rol in de ontwerp- en implementatieteams. In eerste instantie bevat deze lijst de potentiële boseigenaren, de projectmanager en de projectarchitect. Wanneer u het aantal forests bepaalt dat u gaat implementeren, moet u mogelijk nieuwe ontwerpteams maken voor extra forests. Houd er rekening mee dat u uw documentatie moet bijwerken wanneer teamlidmaatschappen worden gewijzigd en wanneer u de verschillende Active Directory-eigenaren identificeert tijdens het ontwerpproces. Als u een werkblad wilt hebben om u te helpen bij het documenteren van de ontwerp- en implementatieteams voor elk forest, downloadt u Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip uit de Job Aids for Windows Server 2003 Deployment Kit en opent u 'Informatie over het ontwerp- en implementatieteam' (DSSLOGI_1.doc).