Поделиться через

Использование модели леса домена организации

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В модели леса домена организации несколько автономных групп принадлежат каждому домену в лесу. Каждая группа управляет управлением службой уровня домена, что позволяет им управлять определенными аспектами управления службами автономно, а владелец леса управляет управлением службами на уровне леса.

На следующем рисунке показана модель леса домена организации.

using the org domain forest model

Автономия службы уровня домена

Модель леса домена организации позволяет делегированию полномочий для управления службами уровня домена. В следующей таблице перечислены типы управления службами, которые можно контролировать на уровне домена.

Тип управления службами Связанные задачи
Управление операциями контроллера домена — создание и удаление контроллеров домена
— мониторинг функционирования контроллеров домена
— управление службами, работающими на контроллерах домена
— резервное копирование и восстановление каталога
Настройка параметров на уровне домена — создание политик учетной записи пользователя домена и домена, таких как пароль, Kerberos и политики блокировки учетных записей
— Создание и применение групповой политики на уровне домена
Делегирование администрирования уровня данных — Создание подразделений (OUS) и делегирование администрирования
- Исправление проблем в структуре подразделения, у которых владельцы подразделений не имеют достаточных прав доступа для устранения
Управление внешним доверием — создание отношений доверия с доменами за пределами леса

Другие типы управления службами, такие как схема или управление топологией реплика, являются ответственностью владельца леса.

Владелец домена

В модели леса домена организации владельцы доменов отвечают за задачи управления службами уровня домена. Владельцы доменов имеют полномочия по всему домену, а также доступ ко всем другим доменам в лесу. По этой причине владельцы доменов должны быть доверенными лицами, выбранными владельцем леса.

Делегировать управление службами уровня домена владельцу домена, если выполнены следующие условия:

  • Все группы, участвующие в лесу, доверяют новому владельцу домена и методам управления службами нового домена.

  • Новый владелец домена доверяет владельцу леса и всем другим владельцам домена.

  • Все владельцы доменов в лесу согласны с тем, что новый владелец домена имеет политики управления администраторами служб и политики выбора, равные или более строгим, чем их собственные.

  • Все владельцы доменов в лесу согласны с тем, что контроллеры домена, управляемые новым владельцем домена в новом домене, физически защищены.

Обратите внимание, что если владелец леса делегирует управление службами уровня домена владельцу домена, другие группы могут не присоединяться к нему, если они не доверяют владельцу домена.

Все владельцы доменов должны знать, что при изменении любого из этих условий в будущем может потребоваться переместить домены организации в несколько развертываний леса.

Примечание.

Другой способ свести к минимуму риски безопасности для домена Active Directory Windows Server 2008 — использовать разделение ролей администратора, которое требует развертывания контроллера домена только для чтения (RODC) в инфраструктуре Active Directory. RODC — это новый тип контроллера домена в операционной системе Windows Server 2008, в котором размещаются секции базы данных Active Directory только для чтения. Перед выпуском Windows Server 2008 все действия по обслуживанию сервера на контроллере домена должны выполняться администратором домена. В Windows Server 2008 вы можете делегировать локальные административные разрешения для любого пользователя домена, не предоставляя этим пользователям права администратора для домена или других контроллеров домена. Это позволяет делегированным пользователям входить в RODC и выполнять обслуживание, например обновление драйвера на сервере. Однако этот делегированный пользователь не может войти в любой другой контроллер домена или выполнить любую другую административную задачу в домене. Таким образом, любой доверенный пользователь может делегировать возможность эффективного управления RODC без ущерба для безопасности остальной части домена. Дополнительные сведения о контроллерах домена см. в ad DS: контроллеры домена только для чтения.