Примечание J

Обратите внимание, что при удалении OU будут удалены и содержащиеся в нем объекты (например, учетные записи компьютеров).

Если на одном предприятии существуют несколько доменов с различными пространствами имен (например, testorg.ru и testorg.es), то представленная графически такая структура будет напоминать лес. Лес — это коллекция (од­ного или более) доменов Windows 2000/2003, объединенных общей схемой, конфигурацией и двусторонними транзитивными доверительными отноше­ниями.

Обратите внимание, что деревья в таком лесу не самостоятельны. Все эти де­ревья создаются внутри одной организации и управляются централизованно администраторами предприятия. Говоря терминами логической организации сети, между любыми доменами внутри предприятия существуют довери­тельные двусторонние отношения.

Практически это означает, что администратор предприятия является "началь­ником" администратора любого домена, а пользователь, прошедший аутен­тификацию в одном домене, уже "известен" в другом домене предприятия.

I

Многие администраторы доменов в структуре леса заблуждаются, считая что только они могут управлять безопасностью объектов. Даже если они явно за­претили доступ каким-либо пользователям, то владелец корневого домена (ле­са) Windows всегда имеет возможность получить доступ к объектам и назна­чить собственные права. Иными словами, в сети с централизованным управле-

нием необходимо полностью доверять тем администраторам, которым принад­лежат корневые права.

Сайты

Если домены и OU описывают логическую организацию, то сайты (Sites) предназначены для описания территориальных делений. Считается, что внутри одного сайта присутствуют скоростные каналы связи (обычно ком­пьютеры сайта находятся в одном сегменте локальной сети). А различные сайты связаны друг с другом относительно медленными каналами связи. По­этому между ними создаются специальные механизмы репликации данных. Например, можно задать график репликации (использовать периоды наи­меньшей загрузки каналов связи), выбрать используемый протокол (IP или путем приема/передачи сообщений по протоколу SMTP) и т. п.

Соотношение территориальной и логической структуры выбирается из ко кретной конфигурации предприятия. Например, можно создать несколь сайтов в одном домене или сформировать в каждом сайте свой домен и т. п.

Поскольку алгоритм выбора контроллера домена рабочей станцией использует
структуру сайтов, то создание дополнительных сайтов может быть способом
балансировки нагрузки между контроллерами домена. I

Режимы совместимости доменов и леса

Домены Windows могут обслуживаться контроллерами на базе операционных
систем Windows NT 4.0 Server или Windows 200*. Более новая операционная
система обеспечивает большие возможности в управлении доменами и боль-
шую безопасность. Однако в целях обратной совместимости домены
Windows могут работать в различных режимах (mode). Если в вашей сети нет
контроллеров на базе предыдущих версий ОС, то следует перевести домен в
режим наибольшей безопасности. 1

Данная операция доступна в свойствах домена в оснастке управления, а для леса— в соответствующей оснастке управления сайтами и службами (в свойствах соответствующего объекта).

Хозяева операций

Если в домене Windows NT 4.0 один контроллер всегда является основн (primary), а все остальные выполняют роль резервных систем, то в Windows 200.V все контроллеры равнозначны.

Однако для обеспечения правильной синхронизации данных между различ­ными контроллерами некоторые функции зафиксированы только за одной

стемой. Такие функции носят название Flexible Single Master Operation role SMO). В доменах Windows 200л: их пять:

Schema master (один на лес);

Domain naming master (один на лес);

RID master (один на домен);

PDC emulator (один на домен);

Infrastructure master (один на домен).

1ри первоначальной установке домена все пять ролей зафиксированы за пер-м контроллером. Впоследствии их можно переносить на другие контрол-ы, учитывая специфику структуры организации. Важно только, чтобы при ключении контроллера домена администратор контролировал, что все эти пять операций не потеряли хозяина.

Смена хозяев операций

ри роли (PDC, RID, Infrastructure) легко переносятся с помощью оснастки D Пользователи и компьютеры. Необходимо просто открыть оснастку, дключиться к тому контроллеру домена, на который планируется перене­соответствующую роль, и выполнить соответствующую команду в меню.

Все операции по переносу ролей можно выполнить в командной строке. Для этого используется утилита ntdsutil. Главное, что эту утилиту можно ис­пользовать не только для переноса ролей при работающих контроллерах, но и для назначения нового владельца роли в случае аварийного выхода из строя прежнего хозяина.

Утилита сначала попытается корректно перенести выбранную роль, и лишь при недоступности соответствующего контроллера будет выполнена опера­ция перезаписи.