Table of contents
TOC
Свернуть оглавление
Развернуть оглавление

С помощью модели корпоративного домена леса

Bill Mathers|Последнее обновление: 10.03.2017
|
1 Участник

Применимо к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В модели леса домена организации несколько автономной групп каждого владельцем домена леса. Каждая группа управляет Администрирование служб уровне домена, который позволяет управлять определенными аспектами службы управления автономно, если владелец леса управляет леса службы управления им.

На следующем рисунке показан модель леса домена организации.

с помощью модели организационной домена леса

Служба на уровне домена независимости

Модель леса домена организации позволяет делегирования полномочий для управления службой уровне домена. В таблице ниже перечислены типы управления службами, которыми можно управлять на уровне домена.

Тип службы управленияСвязанные задачи
Управление операций контроллера домена-Создание и удаление контроллеров домена
-Мониторинг работы контроллеров домена
-Управление службами, работающими на контроллерах домена
-Резервное копирование и восстановление каталога
Настройки параметров для всего домена-Создание домена и пользователя домена политики учетных записей, например паролей, Kerberos и политики блокировки учетных записей
-Создание и применение групповой политики домена
Делегирование администрирования уровень данных-Создание подразделений (OU) и делегирование администрирования
-Устранения неполадок в структуру Подразделений, владельцы Подразделение не имеют права доступа для исправления
Управление внешние доверия-Установления отношения доверия с доменами вне леса

Другие типы управление службами, например схемы и управление топологии репликации, являются ответственности владельца леса.

Владелец домена

В модели леса домена организации домен владельцев несете ответственность за задач управления на уровне домена службы. Владельцы домена имеют право по всему домену, а также доступ к другим доменам в лесу. По этой причине владельцев домена должен быть выбран владелец леса доверенных лиц.

Делегировать управление уровне домена службы владельцу домена, если выполняются следующие условия:

  • Все группы, участвующих в лесу доверять новый владелец домена и службы управления нового домена.

  • Новый владелец домена, которым доверяет Владелец леса и всех других владельцев.

  • Все владельцы домена в лесу соглашаетесь с тем, что новый владелец домена имеет администратора управление службами и политик выделения и рекомендации, равной или более строгие, чем собственные.

  • Все владельцы домена в лесу соглашаетесь контроллеров домена, управляется владелец домена в домене физически безопасны.

Обратите внимание, что если леса владельца делегаты уровне домена управление службами владелец домена, другие группы могут отказаться от присоединиться к этой леса, если они не доверяете, владелец домена.

Все владельцы домена необходимо помнить, что при изменении любого из этих условий в будущем, она может возникнуть необходимость переместить организации доменов в нескольких развертывания леса.

Примечание

Другой способ снизить угрозу безопасности для домена Windows Server 2008 Active Directory — использовать разделение ролей администратора, который требует развертывания домена только для чтения контроллер в инфраструктуру Active Directory. RODC — это новый тип контроллера домена в операционной системе Windows Server 2008, на котором размещается только для чтения разделы базе данных Active Directory. До выпуска Windows Server 2008 должен выполнить администратор домена было какую-либо работу сервера обслуживания на контроллере домена. В Windows Server 2008 вы можете делегировать локальные административные разрешения для контроллеру домена ТОЛЬКО для любого пользователя домена без предоставления этому пользователю любой правами администратора для домена или контроллеры домена. Это позволяет делегированные пользователю выполнить вход контроллеру домена только и выполнять задачи обслуживания, такие как обновления драйвера, на сервере. Тем не менее это делегированные пользователя не удается войти контроллерах домена или выполнять другие задачи администрирования в домене. Таким образом, любой доверенный пользователь может быть делегировать возможность эффективно управлять RODC без ущерба для безопасности остальной части домена. Дополнительные сведения о RODC см. в разделе AD DS: Read-Only контроллеров домена (http://go.microsoft.com/fwlink/?LinkId=106616).

© 2017 Microsoft