Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Pierwszym krokiem podczas ustanawiania projektu wdrożenia dla usługi Active Directory Domain Service (AD DS) jest ustanowienie zespołów projektów projektowych i wdrożeniowych, które będą odpowiedzialne za zarządzanie fazą projektowania i fazą wdrażania cyklu projektu usługi Active Directory. Ponadto należy zidentyfikować osoby i grupy, które będą odpowiedzialne za posiadanie i utrzymanie katalogu po zakończeniu wdrażania.
Definiowanie ról specyficznych dla projektu
Ważnym krokiem w ustanowieniu zespołów projektu jest zidentyfikowanie osób, które mają posiadać role specyficzne dla projektu. Należą do nich sponsor wykonawczy, architekt projektu i kierownik projektu. Te osoby są odpowiedzialne za uruchomienie projektu wdrażania usługi Active Directory.
Po wyznaczeniu architekta projektu i kierownika projektu osoby te ustanawiają kanały komunikacji w całej organizacji, tworzą harmonogramy projektów i identyfikują osoby, które będą członkami zespołów projektu, począwszy od różnych właścicieli.
Executive sponsor
Wdrażanie infrastruktury, takiej jak usługi AD DS, może mieć szeroki wpływ na organizację. Dlatego ważne jest, aby mieć sponsora na poziomie wykonawczym, który rozumie wartość biznesową wdrożenia, wspiera projekt na poziomie kierownictwa i potrafi rozwiązywać konflikty w całej organizacji.
Project architect
Każdy projekt wdrażania usługi Active Directory wymaga architekta projektu do zarządzania procesem podejmowania decyzji dotyczących projektowania i wdrażania usługi Active Directory. Architekt zapewnia wiedzę techniczną, aby pomóc w procesie projektowania i wdrażania usług AD DS.
Note
Jeśli żaden istniejący personel w organizacji nie ma doświadczenia w projektowaniu katalogów, możesz zatrudnić zewnętrznego konsultanta, który jest ekspertem w zakresie projektowania i wdrażania usługi Active Directory.
Obowiązki architekta projektu usługi Active Directory obejmują następujące kwestie:
Zarządzanie projektem Active Directory
Zrozumienie i rejestrowanie uzasadnienia kluczowych decyzji projektowych
Zapewnienie, że projekt spełnia potrzeby biznesowe organizacji
Ustanawianie konsensusu między zespołami projektowymi, wdrożeniowymi i operacyjnymi
Zrozumienie potrzeb aplikacji zintegrowanych z usługami AD DS
Ostateczny projekt usługi Active Directory musi odzwierciedlać kombinację celów biznesowych i decyzji technicznych. W związku z tym architekt projektu musi przejrzeć decyzje projektowe, aby upewnić się, że są one zgodne z celami biznesowymi.
Project manager
Menedżer projektu ułatwia współpracę między jednostkami biznesowymi i między grupami zarządzania technologiami. W idealnym przypadku menedżer projektu wdrażania usługi Active Directory jest osobą z organizacji, która zna zarówno zasady operacyjne grupy IT, jak i wymagania projektowe dla grup, które przygotowują się do wdrożenia usług AD DS. Menedżer projektu nadzoruje cały projekt wdrażania, począwszy od projektowania i kontynuowania implementacji, i upewnia się, że projekt pozostaje zgodnie z harmonogramem i w budżecie. Obowiązki kierownika projektu obejmują następujące kwestie:
Zapewnianie podstawowego planowania projektu, takiego jak planowanie i budżetowanie
Postęp w projekcie projektowym i wdrożeniowym usługi Active Directory
Zapewnienie, że odpowiednie osoby są zaangażowane w każdą część procesu projektowania
Pełnienie funkcji jedynego punktu kontaktowego dla projektu wdrożenia Active Directory
Ustanawianie komunikacji między zespołami projektowymi, wdrożeniowymi i operacyjnymi
Ustanawianie i utrzymywanie komunikacji ze sponsorem wykonawczym w całym projekcie wdrażania
Ustanawianie właścicieli i administratorów
W projekcie wdrażania usługi Active Directory osoby, które są właścicielami, są pociągnięte do odpowiedzialności przez zarządzanie, aby upewnić się, że zadania wdrażania zostały ukończone i że specyfikacje projektu usługi Active Directory spełniają potrzeby organizacji. Właściciele nie muszą mieć bezpośredniego dostępu do infrastruktury katalogowej ani manipulować nią. Administratorzy są osobami odpowiedzialnymi za wykonywanie wymaganych zadań wdrażania. Administratorzy mają dostęp do sieci i uprawnienia niezbędne do manipulowania katalogami i jego infrastrukturą.
Rola właściciela jest strategiczna i kierownicza. Właściciele są odpowiedzialni za komunikowanie się administratorom zadań wymaganych do wdrożenia projektu usługi Active Directory, takiego jak tworzenie nowych kontrolerów domeny w lesie. Administratorzy są odpowiedzialni za implementację projektu w sieci zgodnie ze specyfikacjami projektowymi.
W dużych organizacjach różne osoby wypełniają role właściciela i administratora; jednak w niektórych małych organizacjach ta sama osoba może działać zarówno jako właściciel, jak i administrator.
Właściciele usług i danych
Zarządzanie Active Directory Domain Services na co dzień obejmuje dwa typy właścicieli.
- Właściciele usług, którzy są odpowiedzialni za planowanie i długoterminową konserwację infrastruktury usługi Active Directory oraz zapewnienie, że katalog nadal działa i że cele ustanowione w umowach dotyczących poziomu usług są utrzymywane.
- Właściciele danych, którzy są odpowiedzialni za konserwację informacji przechowywanych w katalogu. Obejmuje to zarządzanie kontami użytkowników i komputerów oraz zarządzanie zasobami lokalnymi, takimi jak serwery członkowskie i stacje robocze.
Ważne jest, aby wcześnie zidentyfikować właścicieli usług Active Directory i danych, aby mogli uczestniczyć w jak największej części procesu projektowania. Ponieważ właściciele usług i danych są odpowiedzialni za długoterminową konserwację katalogu po zakończeniu projektu wdrażania, ważne jest, aby osoby te dostarczyły danych wejściowych dotyczących potrzeb organizacji i zapoznać się z tym, jak i dlaczego są podejmowane pewne decyzje projektowe. Właściciele usług obejmują właściciela lasu, właściciela systemu nazw domen usługi Active Directory (DNS) i właściciela topologii lokacji. Właściciele danych obejmują właścicieli jednostek organizacyjnych.
Administratorzy usług i danych
Działanie usług AD DS obejmuje dwa typy administratorów: administratorów usług i administratorów danych. Administratorzy usług implementują decyzje dotyczące zasad podejmowane przez właścicieli usług i obsługują codzienne zadania związane z utrzymywaniem usługi katalogowej i infrastruktury. Obejmuje to zarządzanie kontrolerami domeny hostującymi usługę katalogową, zarządzanie innymi usługami sieciowymi, takimi jak DNS, które są wymagane dla usług AD DS, kontrolowanie konfiguracji ustawień całego lasu i zapewnienie, że katalog jest zawsze dostępny.
Administratorzy usługi są również odpowiedzialni za wykonywanie bieżących zadań wdrażania usługi Active Directory, które są wymagane po zakończeniu początkowego procesu wdrażania usługi Active Directory systemu Windows Server 2008. Na przykład w miarę wzrostu zapotrzebowania na katalog administratorzy usługi tworzą dodatkowe kontrolery domeny i w razie potrzeby ustanawiają lub usuwają relacje zaufania między domenami. Z tego powodu zespół wdrożeniowy usługi Active Directory musi uwzględnić administratorów usług.
Należy zachować ostrożność, aby przypisywać role administratora usługi tylko do zaufanych osób w organizacji. Ponieważ te osoby mają możliwość modyfikowania plików systemowych na kontrolerach domeny, mogą zmieniać zachowanie usług AD DS. Należy upewnić się, że administratorzy usług w organizacji są osobami, które znają zasady operacyjne i zabezpieczeń, które są stosowane w sieci i które rozumieją potrzebę wymuszania tych zasad.
Administratorzy danych są użytkownikami w domenie, którzy są odpowiedzialni zarówno za utrzymywanie danych przechowywanych w usługach AD DS, takich jak konta użytkowników i grup, oraz do obsługi komputerów, które są członkami ich domeny. Administratorzy danych kontrolują podzestawy obiektów w katalogu i nie mają kontroli nad instalacją ani konfiguracją usługi katalogowej.
Konta administratora danych nie są domyślnie udostępniane. Po ustaleniu, w jaki sposób zasoby mają być zarządzane dla organizacji, właściciele domeny muszą tworzyć konta administratora danych i delegować je odpowiednie uprawnienia na podstawie zestawu obiektów, dla których administratorzy mają być odpowiedzialni.
Najlepiej ograniczyć liczbę administratorów usług w organizacji do minimalnej liczby wymaganej do zapewnienia, że infrastruktura nadal działa. Większość pracy administracyjnej może wykonać administratorzy danych. Administratorzy usług wymagają znacznie szerszego zestawu umiejętności, ponieważ są odpowiedzialni za utrzymanie katalogu i infrastruktury, która ją obsługuje. Administratorzy danych wymagają tylko umiejętności niezbędnych do zarządzania ich częścią katalogu. Dzielenie zadań w ten sposób prowadzi do oszczędności kosztów w organizacji, ponieważ tylko niewielka liczba administratorów musi być przeszkolona do obsługi całego katalogu i jego infrastruktury.
Na przykład administrator usługi musi zrozumieć, jak dodać domenę do lasu domen. Obejmuje to sposób instalowania oprogramowania w celu konwersji serwera na kontroler domeny i sposobu manipulowania środowiskiem DNS, aby kontroler domeny można było bezproblemowo scalić w środowisku usługi Active Directory. Administrator danych musi tylko wiedzieć, jak zarządzać określonymi danymi, które są odpowiedzialne za takie jak tworzenie nowych kont użytkowników dla nowych pracowników w ich dziale.
Wdrażanie usług AD DS wymaga koordynacji i komunikacji między wieloma różnymi grupami zaangażowanymi w działanie infrastruktury sieciowej. Grupy te powinny wyznaczyć właścicieli usług i danych, którzy są odpowiedzialni za reprezentowanie różnych grup podczas procesu projektowania i wdrażania.
Po zakończeniu projektu wdrażania ci właściciele usług i danych nadal są odpowiedzialni za część infrastruktury zarządzanej przez ich grupę. W środowisku Active Directory właścicielem lasu jest właściciel, właściciel DNS dla usług AD DS, właściciel topologii lokacji oraz właściciel jednostki organizacyjnej. Role tych usług i właścicieli danych zostały wyjaśnione w poniższych sekcjach.
Forest owner
Właściciel lasu jest zazwyczaj starszym menedżerem technologii informatycznych w organizacji, który jest odpowiedzialny za proces wdrażania usługi Active Directory i który jest ostatecznie odpowiedzialny za utrzymanie dostarczania usług w lesie po zakończeniu wdrażania. Właściciel lasu przypisuje osoby do pełnienia innych ról własności, identyfikując kluczowy personel w organizacji, który może dostarczyć niezbędnych informacji na temat infrastruktury sieciowej i potrzeb administracyjnych. Właściciel lasu jest odpowiedzialny za następujące kwestie:
Konfiguracja domeny korzeniowej lasu w celu utworzenia lasu
Wdrożenie pierwszego kontrolera domeny w każdej domenie w celu utworzenia domen wymaganych dla lasu
Członkostwo w grupach administratorów usługi we wszystkich domenach lasu
Tworzenie projektu struktury jednostki organizacyjnej dla każdej domeny w lesie
Delegowanie urzędu administracyjnego do właścicieli jednostek organizacyjnych
Zmiany schematu
Zmiany ustawień konfiguracji całego lasu
Implementacja niektórych ustawień zasad grupy, w tym zasad konta użytkownika domeny, takich jak szczegółowe hasło i zasady blokady konta
Ustawienia zasad biznesowych, które mają zastosowanie do kontrolerów domeny
Wszystkie inne ustawienia zasad grupy, które są stosowane na poziomie domeny
Właściciel lasu ma uprawnienia do całego lasu. Właściciel lasu musi ustawić zasady grupy i zasady biznesowe oraz wybrać osoby, które są administratorami usług. Właściciel lasu jest właścicielem usługi.
Dns dla właściciela usług AD DS
Właściciel DNS dla usług AD DS to osoba, która ma gruntowną wiedzę na temat aktualnej infrastruktury DNS i przestrzeni nazw organizacji.
Serwer DNS dla właściciela usług AD DS jest odpowiedzialny za następujące kwestie:
Pełnienie roli łącznika między zespołem projektowym a grupą IT, która obecnie jest właścicielem infrastruktury DNS
Podanie informacji o istniejącej przestrzeni nazw DNS organizacji w celu ułatwienia tworzenia nowej przestrzeni nazw usługi Active Directory
We współpracy z zespołem wdrożeniowym upewnij się, że nowa infrastruktura DNS jest wdrożona zgodnie ze specyfikacjami zespołu projektowego i że działa prawidłowo
Zarządzanie systemem DNS dla infrastruktury usług AD DS, w tym usługi serwera DNS i danych DNS
DNS dla właściciela AD DS jest właścicielem usługi.
Właściciel topologii witryny
Właściciel topologii witryny zna fizyczną strukturę sieci organizacji, w tym rozmieszczenie poszczególnych podsieci, routerów i obszarów sieciowych połączonych łączami o niskiej prędkości. Właściciel topologii witryny jest odpowiedzialny za następujące kwestie:
Opis topologii sieci fizycznej i jej wpływu na usługi AD DS
Zrozumienie, w jaki sposób wdrożenie usługi Active Directory będzie miało wpływ na sieć
Określanie lokacji logicznych usługi Active Directory, które należy utworzyć
Aktualizowanie obiektów lokacji dla kontrolerów domeny po dodaniu, zmodyfikowaniu lub usunięciu podsieci
Tworzenie łączy lokalizacji, mostów łączy lokalizacji i obiektów połączenia ręcznego
Właściciel topologii lokalizacji jest właścicielem usługi.
OU owner
Właściciel jednostki organizacyjnej jest odpowiedzialny za zarządzanie danymi przechowywanymi w katalogu. Ta osoba musi zapoznać się z zasadami operacyjnymi i zasadami zabezpieczeń, które są wprowadzone w sieci. Właściciele jednostek organizacyjnych mogą wykonywać tylko te zadania, które zostały im delegowane przez administratorów usługi, i mogą wykonywać tylko te zadania na jednostkach organizacyjnych, do których są przypisane. Zadania, które mogą być przypisane do właściciela jednostki organizacyjnej, obejmują następujące elementy:
Wykonywanie wszystkich zadań zarządzania kontami w ramach przypisanej jednostki organizacyjnej
Zarządzanie stacjami roboczymi i serwerami członkowskimi, które są członkami przypisanej jednostki organizacyjnej
Delegowanie uprawnień do administratorów lokalnych w ramach przypisanej jednostki organizacyjnej
Właściciel jednostki organizacyjnej jest właścicielem danych.
Kompilowanie zespołów projektów
Zespoły projektów usługi Active Directory to tymczasowe grupy odpowiedzialne za wykonywanie zadań projektowania i wdrażania usługi Active Directory. Po zakończeniu projektu wdrażania usługi Active Directory właściciele przejmują odpowiedzialność za katalog, a zespoły projektów mogą się rozwiązać.
Rozmiar zespołów projektów różni się w zależności od rozmiaru organizacji. W małych organizacjach jedna osoba może obejmować wiele obszarów odpowiedzialności dla zespołu projektu i być zaangażowana w więcej niż jedną fazę wdrożenia. Duże organizacje mogą wymagać większych zespołów z różnymi osobami, a nawet różnymi zespołami obejmującymi różne obszary odpowiedzialności. Rozmiar zespołów nie jest ważny, o ile wszystkie obszary odpowiedzialności są przypisywane, a cele projektowe organizacji są spełnione.
Identyfikowanie potencjalnych właścicieli lasów
Zidentyfikuj grupy w organizacji, które są właścicielami i kontrolują zasoby niezbędne do dostarczania usług katalogowych użytkownikom w sieci. Te grupy są uważane za potencjalnych właścicieli lasów.
Rozdzielenie administracji usługą i danymi w AD DS umożliwia grupom IT infrastruktury organizacji zarządzanie usługami katalogowymi, podczas gdy administratorzy lokalni w każdej grupie zarządzają danymi, które należą do ich własnych grup. Potencjalni właściciele lasów mają wymaganą kontrolę nad infrastrukturą sieciową, aby wdrożyć i obsługiwać usługi AD DS.
W przypadku organizacji, które mają jedną scentralizowaną grupę IT infrastruktury, grupa IT jest zazwyczaj właścicielem lasu i dlatego potencjalnym właścicielem lasu w przypadku przyszłych wdrożeń. Organizacje, które obejmują wiele niezależnych grup IT infrastruktury, mają wielu potencjalnych właścicieli lasów. Jeśli Twoja organizacja ma już wdrożoną infrastrukturę usługi Active Directory, wszyscy obecni właściciele lasu są również potencjalnymi właścicielami lasów dla nowych wdrożeń.
Wybierz jednego z potencjalnych właścicieli lasów, którzy będą pełnić rolę właściciela lasu dla każdego lasu, który rozważasz na wdrożenie. Potencjalni właściciele lasów są odpowiedzialni za współpracę z zespołem projektowym w celu ustalenia, czy las zostanie wdrożony, czy też alternatywny przebieg akcji (na przykład dołączenie do innego istniejącego lasu) jest lepszym wykorzystaniem dostępnych zasobów i nadal spełnia ich potrzeby. Właściciel lasu (lub właściciele) w organizacji są członkami zespołu projektowego usługi Active Directory.
Ustanawianie zespołu projektowego
Zespół projektowy usługi Active Directory jest odpowiedzialny za zbieranie wszystkich informacji potrzebnych do podejmowania decyzji dotyczących projektu struktury logicznej usługi Active Directory.
Obowiązki zespołu projektowego obejmują następujące kwestie:
Określanie liczby wymaganych lasów i domen oraz relacji między lasami i domenami
Praca z właścicielami danych w celu zapewnienia, że projekt spełnia wymagania dotyczące zabezpieczeń i administracji
Praca z obecnymi administratorami sieci w celu zapewnienia, że bieżąca infrastruktura sieciowa obsługuje projekt i że projekt nie wpłynie negatywnie na istniejące aplikacje wdrożone w sieci
Współpraca z przedstawicielami grupy zabezpieczeń organizacji w celu zapewnienia, że projekt spełnia ustalone zasady zabezpieczeń
Projektowanie struktur jednostki organizacyjnej, które zezwalają na odpowiednie poziomy ochrony i odpowiednie delegowanie uprawnień do właścicieli danych
Współpraca z zespołem wdrożeniowym w celu przetestowania projektu w środowisku laboratoryjnym w celu zapewnienia, że działa zgodnie z planem i modyfikuje projekt zgodnie z potrzebami, aby rozwiązać wszelkie występujące problemy
Tworzenie projektu topologii lokacji spełniającego wymagania replikacji lasu, jednocześnie uniemożliwiając przeciążenie dostępnej przepustowości. Aby uzyskać więcej informacji na temat projektowania topologii lokacji, zobacz Projektowanie topologii lokacji dla systemu Windows Server 2008 AD DS.
Praca z zespołem wdrożeniowym w celu upewnienia się, że projekt został prawidłowo zaimplementowany
Zespół projektowy obejmuje następujących członków:
Potencjalni właściciele lasów
Project architect
Project manager
Osoby odpowiedzialne za ustanawianie i utrzymywanie zasad zabezpieczeń w sieci
Podczas procesu projektowania struktury logicznej zespół projektowy identyfikuje innych właścicieli. Osoby te muszą rozpocząć uczestnictwo w procesie projektowania, gdy tylko zostaną zidentyfikowane. Po przekazaniu projektu wdrożenia zespołowi wdrożeniowemu zespół projektowy jest odpowiedzialny za nadzorowanie procesu wdrażania w celu zapewnienia prawidłowego zaimplementowania projektu. Zespół projektowy wprowadza również zmiany w projekcie na podstawie opinii na temat testowania.
Ustanawianie zespołu wdrożeniowego
Zespół wdrożeniowy usługi Active Directory jest odpowiedzialny za testowanie i implementowanie projektu struktury logicznej usługi Active Directory. Obejmuje to następujące zadania:
Ustanawianie środowiska testowego, które wystarczająco emuluje środowisko produkcyjne
Testowanie projektu przez zaimplementowanie proponowanej struktury lasu i domeny w środowisku laboratoryjnym w celu sprawdzenia, czy spełnia ona cele każdego właściciela roli
Opracowywanie i testowanie wszelkich scenariuszy migracji proponowanych przez projekt w środowisku laboratoryjnym
Upewnij się, że każdy właściciel zatwierdza proces testowania, aby zapewnić, że są testowane prawidłowe funkcje projektowe.
Testowanie operacji wdrażania w środowisku pilotażowym
Po zakończeniu zadań projektowych i testowych zespół wdrożeniowy wykonuje następujące zadania:
Tworzy lasy i domeny zgodnie z projektem struktury logicznej usługi Active Directory
Tworzy witryny i obiekty łączy witryn zgodnie z potrzebami wynikającymi z projektu topologii witryn
Zapewnia, że infrastruktura DNS jest skonfigurowana do obsługi usług AD DS i że wszystkie nowe przestrzenie nazw są zintegrowane z istniejącą przestrzenią nazw organizacji
Zespół wdrożeniowy usługi Active Directory obejmuje następujących członków:
Forest owner
Dns dla właściciela usług AD DS
Właściciel topologii witryny
OU owners
Zespół wdrożeniowy współpracuje z administratorami usług i danych w fazie wdrażania, aby upewnić się, że członkowie zespołu operacyjnego znają nowy projekt. Pomaga to zapewnić bezproblemowe przejście własności po zakończeniu operacji wdrażania. Po zakończeniu procesu wdrażania odpowiedzialność za utrzymanie nowego środowiska usługi Active Directory jest przekazywana zespołowi operacyjnemu.
Dokumentowanie zespołów projektowych i wdrożeniowych
Dokumentowanie nazw i informacji kontaktowych dla osób, które będą uczestniczyć w projektowaniu i wdrażaniu usług AD DS. Określ, kto będzie odpowiedzialny za każdą rolę w zespołach projektowych i wdrożeniowych. Początkowo ta lista zawiera potencjalnych właścicieli lasów, kierownika projektu i architekta projektu. Podczas określania liczby wdrożonych lasów może być konieczne utworzenie nowych zespołów projektowych dla dodatkowych lasów. Należy pamiętać, że należy zaktualizować dokumentację w miarę zmiany członkostwa w zespole i identyfikowania różnych właścicieli usługi Active Directory podczas procesu projektowania. Aby uzyskać arkusz pomocny w dokumentowaniu zespołów projektowych i wdrożeniowych dla każdego lasu, pobierz Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip z Materiałów pomocniczych do zestawu wdrażania systemu Windows Server 2003 i otwórz "Informacje o zespołach projektowania i wdrażania" (DSSLOGI_1.doc).