Учитывая финансовую нестабильность последних лет, именно эти компании были подвержены многим проблемам на пути своего существования. Сторонникам open source решений, сторонникам использовать под каждую задачу свой софт, или иметь софт с повторяющимся функционалом будет не совсем привычно читать этот цикл, поскольку я буду ориентироваться на платформу Microsoft Windows. Именно на платформу, а не на отдельные её части. Такая стандартизация также влияет на работоспособность компании, её затраты. Сравните стоимость лицензионного программного продукта, интерфейс которого знаком почти каждому, и затраты на обучение и консультации пользователя, который будет работать с неизвестным, но бесплатным софтом. А поддержка этого продукта? А его обновление или безопасность? Это тема для отдельной статьи, и к ней мы вернемся. 
Идея написать этот цикл родилась не спонтанно. Давно были мысли простым языком рассказать об ИТ для людей, которые не входят в число технических специалистов, но которые в той или иной степени зависят от работы ИТ. Писать об азах для технических специалистов мне было не интересно – кто это будет читать? Писать для руководителей о возможностях новой платформы или нового продукта – они и старым-то не пользовались.
Я даже на примере своих родственников, друзей, знакомых, которые работают в разных отраслях промышленности и сферы услуг, вижу многие проблемы и несоответствия (чему?). Есть разные уровни проблем, одни для руководства, другие для простых сотрудников. Но они есть! И я очень надеюсь, что смогу в своих статьях помочь в их решении. Пусть этот разрыв станет меньше, повышая производительность труда, что соответственно будет способствовать увеличению прибыли компании и наполнению кошельков сотрудников.
Будучи хорошо знакомым с малым бизнесом изнутри, меня всегда интересовали следующие вопросы. Объясните, почему сотрудник должен пользоваться на рабочем компьютере тем браузером, который нравится сисадмину? Или взять любое другое программное обеспечение, например, тот же архиватор, почтовый клиент, клиент мгновенных сообщений… Это я плавно намекаю на стандартизацию, причем не по признакам личной симпатии сисадмина, а по признакам достаточности функционала, стоимости обслуживания и поддержки этих программных продуктов. Давайте начнем считать ИТ точной наукой, а не ремеслом, когда каждый делает так, как у него получается. Опять-таки, с этим в малом бизнесе тоже очень много проблем. Представьте, что компания в нелегкое кризисное время меняет нескольких таких администраторов, что в такой ситуации делать бедным пользователям? Постоянно переучиваться?
Давайте посмотрим с другой стороны. Любой руководитель должен понимать, что у него сейчас происходит в компании (в том числе и в ИТ). Это необходимо для отслеживания текущей ситуации, для оперативного реагирования на возникновение разного рода проблем. Но это понимание является более важным для стратегического планирования. Ведь, имея крепкий и надежный фундамент, мы можем строить дом на 3 этажа или на 5, делать крышу разной формы, делать балконы или зимний сад. Точно также и в ИТ, имеем надежную основу – можем в дальнейшем использовать более сложные продукты и технологии для решения бизнес-задач.
В первой статье и пойдет речь о таком фундаменте – службах Active Directory. Именно они призваны стать крепким фундаментом ИТ-инфраструктуры компании любого размера и любого направления деятельности. Что это такое? Вот давайте об этом и поговорим…
А разговор начнем с простых понятий – домена и служб Active Directory.
Домен – это основная административная единица в сетевой инфраструктуре предприятия, в которую входят все сетевые объекты, такие как пользователи, компьютеры, принтеры, общие ресурсы и многое другое. Совокупность таких доменов называется лесом.
Службы Active Directory (службы активного каталога) представляют собой распределённую базу данных, которая содержит все объекты домена. Доменная среда Active Directory является единой точкой аутентификации и авторизации пользователей и приложений в масштабах предприятия. Именно с организации домена и развёртывания служб Active Directory начинается построение ИТ-инфраструктуры предприятия.
База данных Active Directory хранится на выделенных серверах – контроллерах домена. Службы Active Directory являются ролью серверных операционных систем Microsoft Windows Server. Службы Active Directory имеют широкие возможности масштабирования. В лесу Active Directory может быть создано более 2-х миллиардов объектов, что позволяет внедрять службу каталогов в компаниях с сотнями тысяч компьютеров и пользователей. Иерархическая структура доменов позволяет гибко масштабировать ИТ-инфраструктуру на все филиалы и региональные подразделения компаний. Для каждого филиала или подразделения компании может быть создан отдельный домен, со своими политиками, своими пользователями и группами. Для каждого дочернего домена могут быть делегированы административные полномочия местным системным администраторам. При этом всё равно дочерние домены подчиняются родительским.
Кроме того, службы Active Directory позволяют настроить доверительные отношения между доменными лесами. Каждая компания имеет собственный лес доменов, каждый из которых имеет собственные ресурсы. Но иногда бывает нужно предоставить доступ к своим корпоративным ресурсам сотрудникам другой компании – работа с общими документами и приложениями в рамках совместного проекта. Для этого между лесами организаций можно настроить доверительные отношения, что позволит сотрудникам одной организации авторизоваться в домене другой.
Для обеспечения отказоустойчивости служб Active Directory необходимо развернуть два или более контроллера домена в каждом домене. Между контроллерами домена обеспечивается автоматическая репликация всех изменений. В случае выхода из строя одного из контроллеров домена работоспособность сети не нарушается, ведь оставшиеся продолжают работать. Дополнительный уровень отказоустойчивости обеспечивает размещение серверов DNS на контроллерах домена в Active Directory, что позволяет в каждом домене получить несколько серверов DNS, обслуживающих основную зону домена. И в случае отказа одного из DNS серверов, продолжат работать остальные. О роли и значимости DNS серверов в ИТ-инфраструктуре мы еще поговорим в одной из статей цикла.
Но это всё технические аспекты внедрения и поддержания работоспособности служб Active Directory. Давайте поговорим о тех преимуществах, которые получает компания, отказываясь от одноранговой сети с использованием рабочих групп.
1. Единая точка аутентификации
В рабочей группе на каждом компьютере или сервере придётся вручную добавлять полный список пользователей, которым требуется сетевой доступ. Если вдруг один из сотрудников захочет сменить свой пароль, то его нужно будет поменять на всех компьютерах и серверах. Хорошо, если сеть состоит из 10 компьютеров, но если их больше? При использовании домена Active Directory все учётные записи пользователей хранятся в одной базе данных, и все компьютеры обращаются к ней за авторизацией. Все пользователи домена включаются в соответствующие группы, например, «Бухгалтерия», «Финансовый отдел». Достаточно один раз задать разрешения для тех или иных групп, и все пользователи получат соответствующий доступ к документам и приложениям. Если в компанию приходит новый сотрудник, для него создаётся учётная запись, которая включается в соответствующую группу, — сотрудник получает доступ ко всем ресурсам сети, к которым ему должен быть разрешён доступ. Если сотрудник увольняется, то достаточно заблокировать — и он сразу потеряет доступ ко всем ресурсам (компьютерам, документам, приложениям).
2. Единая точка управления политиками
В рабочей группе все компьютеры равноправны. Ни один из компьютеров не может управлять другим, невозможно проконтролировать соблюдение единых политик, правил безопасности. При использовании единого каталога Active Directory, все пользователи и компьютеры иерархически распределяются по организационным подразделениям, к каждому из которых применяются единые групповые политики. Политики позволяют задать единые настройки и параметры безопасности для группы компьютеров и пользователей. При добавлении в домен нового компьютера или пользователя, он автоматически получает настройки, соответствующие принятым корпоративным стандартам. При помощи политик можно централизованно назначить пользователям сетевые принтеры, установить необходимые приложения, задать параметры безопасности браузера, настроить приложения Microsoft Office.
3. Повышенный уровень информационной безопасности
Использование служб Active Directory значительно повышает уровень безопасности сети. Во-первых – это единое и защищённое хранилище учётных записей. В доменной среде все пароли доменных пользователях хранятся на выделенных серверах контроллерах домена, которые, как правило, защищены от внешнего доступа. Во-вторых, при использовании доменной среды для аутентификации используется протокол Kerberos, который значительно безопаснее, чем NTLM, использующийся в рабочих группах.
4. Интеграция с корпоративными приложениями и оборудованием
Большим преимуществом служб Active Directory является соответствие стандарту LDAP, который поддерживается другими системами, например, почтовыми серверами (Exchange Server), прокси-серверами (ISA Server, TMG). Причем это не обязательно только продукты Microsoft. Преимущество такой интеграции заключается в том, что пользователю не требуется помнить большое количество логинов и паролей для доступа к тому или иному приложению, во всех приложениях пользователь имеет одни и те же учётные данные – его аутентификация происходит в едином каталоге Active Directory. Windows Server для интеграции с Active Directory предоставляет протокол RADIUS, который поддерживается большим количеством сетевого оборудования. Таким образом, можно, например, обеспечить аутентификацию доменных пользователей при подключении по VPN извне, использование Wi-Fi точек доступа в компании.
5. Единое хранилище конфигурации приложений
Некоторые приложения хранят свою конфигурацию в Active Directory, например, Exchange Server. Развёртывание службы каталогов Active Directory является обязательным условием для работы этих приложений. Хранение конфигурации приложений в службе каталогов является выгодным с точки зрения гибкости и надёжности. Например, в случае полного отказа сервера Exchange, вся его конфигурация останется нетронутой. Для восстановления работоспособности корпоративной почты, достаточно будет переустановить Exchange Server в режиме восстановления.
Подводя итоги, хочется еще раз акцентировать внимание на том, что службы Active Directory являются сердцем ИТ-инфраструктуры предприятия. В случае отказа вся сеть, все сервера, работа всех пользователей будут парализованы. Никто не сможет войти в компьютер, получить доступ к своим документам и приложениям. Поэтому служба каталогов должна быть тщательно спроектирована и развёрнута, с учётом всех возможных нюансов, например, пропускной способности каналов между филиалами или офисами компании (от этого напрямую зависит скорость входа пользователей в систему, а также обмен данными между контроллерами домена).
В следующих статьях мы рассмотрим различные надстройки над службами Active Directory, которые помогут упростить жизнь техническому персоналу и эффективнее решать бизнес-задачи остальным специалистам компании. Также планируется к каждой статье делать небольшой скрин-каст или демонстрацию.
Алексей Найда
AD — служба каталогов позволяющая: управлять пользователями и группами пользователей; распределять доступы к файлам, устройствам и т.д.; централизованно устанавливать обновления и сторонее ПО; хранить информацию о пользователях и их настройках. Это чуть ли не стандарт во многих компаниях нашей необъятной страны.
Зачем это нужно? Хочу спросить не зачем нужно, например, управлять доступом пользователей, а зачем это нужно с точки зрения организации рабочего процесса на современном предприятии? Именно под эти углом хочу рассмотреть AD, т.к.компании нужены компьютеры, ПО, сотрудники для организации работы, которая направленна на получение прибыли компании.
1. Распределение доступа к файлам.
Распределять доступ к файлам и папкам это удобно. Например, бухгалтерия хранит файлы на в папке Fin на неком сетевом диске. Туда имеет доступ только группа из бухгатеров и несколько директоров, а остальные не должны иметь доступа.
Отличное решение, именно так и был организован процесс 10 лет назад. Сейчас появились системы документооборота. Они точно хранят документы, распределяют права доступа к ним, но кроме этого делают систему маршрутизации документооборота и управление заданиями.
Пример.
Решаем некому сотруднику повысить з.п., начальник отдела, где работает сотрудник, создает прошение по повышении своему директору и нажимает кнопку отправить на согласование своему директору, тот отправляет в бухгалтерию, а она уже отправляет гендиректору на утверждение. В системах документооборота это занимает несколько минут, у каждого из этой цепочки появляются соответствующие задания, чтобы не забыть. А сколько бы это заняло в путем обмена файлами? Еще нужно каждому из этой цепочки написать письмо или напомнить, чтобы напомнить.
Именно системы документооборота вытеснили обмен документов через общие файлы и папки. Зачем еще нужны файлы и папки? Хранить фотографии с последнего корпаратива, интересную киношку которую хочется показать коллегам или тонны музыки? Все это не относится к работе, но если так нужно, то системы документооборота позволяют хранить разную информацию, так что можно это засунуть туда. Так что удаленные файлы и папки особо не нужны современному бизнесу, т.к. есть другие более совеременные инструменты.
2. Установка ПО и обновлений.
Что обычно устанавливают Office и антивирус. Они прекрасно ставятся удаленно, но установка спецефического ПО часто проще делается напрямую. Мне один админ жаловался, что при установке Zlock (ничего не хочу сказать, хорошая программа) из сотни компьютеров встала только на половину, на остальных с разными ошибками отказалась, а на трех привело к краху винды и пришлось полностью переустанавливать их.
Можно ведь ПО не устанавливать, а удаленно доставлять или те же системы документаоборота, которые имеют обычно все, что нужно для работы. В крупные компании обычно поставляются компьютеры у уже предустановленным ПО. AD для обновлений вообще не нужен.
3. Информация о пользователях и настройках.
А что хранить, если все что нужно лежит в системе документооборота для каждого пользователя. Есть секретные данные? Для этого существуют системы шифрования дисков, флешек, папок, в качестве ключа использовать etoken.
4. Управления пользователями и группами.
Управлять то особо получается нечем. Но если все-таки нужно централизованно это делать, то есть LDAP.
Обращаясь к прошлому посту, в общем и целом инфраструктура компании на основе Windows и Active Directory не нужна. Системы документооборота попросту уничтожили AD. А есть и более мощные решения например системы управления предприятие.
Стоит заметить, что сущестувуют компании которые уже не смогут отказаться от Microsoft, например, те, что внедрили Axapta.
P.S. Этот пост всего лишь мнение автора и попытка взглянуть на Active Directory с другой точки зрения.
Какова ситуация на вашем предприятии
В одном из соседних разделов я кратко описал, какие встречаются ситуации с сетями в российских компаниях. Когда руководитель решается на установку Windows Server, он, как правило, еще не очень понимает, зачем ему это нужно. Он либо слышал, что сеть должна создаваться с сервером, либо его наемный системный администратор сказал: «так надо!». В итоге приобретатется системный блок тысяч за 20, на него устанавливается Windows Server, хорошо, если 2008. Встречаются такие горе-сисадмины, которые «ставят» Windows Server 2003. Потом на сервер устанавливается 1С, и всё. На этом все возможности, которые дает Windows Server и заканчиваются. Ну, иногда, к серверу настраивается терминальный доступ, чтобы бухгалтеры могли работать в 1С. Говорю «иногда» потому что зачастую 1С если и лицензионная, то с лицензией только для 1 пользователя. Ну и сами понимаете… какой смысл настраивать терминальный доступ в системе, которая поддерживает возможность одновременной работы сотен пользователей, если в 1С, которая установлена в этой системе, может работать только один.
Кратко об Active Directory я уже писал в соседнем разделе. Active Directory (AD) позволяет следующее:
- создавать группы пользователей;
- создавать пользователей, присваивая им членство в созданных группах;
- создавать правила, уровни доступа для групп;
- наследовать правила, уровни доступа пользователям от групп, которым они принадлежат;
- создавать правила, уровни доступа для конкретных пользователей;
- устанавливать программное обеспечение на всех компьютерах, являющихся членами домена;
- обновлять программное обеспечение на всех компьютерах, являющихся членами домена;
- устанавливать системные обновления на всех компьютерах, являющихся членами домена;
- устанавливать порядок пользования носителями информациии на пользовательских компьютерах, являющихся членами домена;
- разделять доступ разных пользователей к общим ресурсам предприятия;
- разделять и властвовать;
- многое друое.
Программное обеспечение и Active Directory
Что обычно происходит, когда вам на все компьюетры в офисе нужно установить одну и ту же программу, произвести в ней одни и те же настройки? Вы говорите своему системному администратору (который не всегда есть), что вам нужно сделать всё это. Системный администратор приходит в офис и начинает поочередно отвлекать от работы одного работника за другим. Потом он вставляет флэшку, устанавливает с неё приложение, запускает, настраивает. Если у вас в офисе 2–3 сотрудника, это вроде бы и не страшно. А если у вас 20–30 сотрудников? Каждому системный администратор уделяет 10–15 минут. В итоге эта работа занимает… 5–8 часов. Весь рабочий день системный администратор поочередно отвлекает сотрудников. И ведь не будет так, что на каждом компьютере всё установится без проблем. Где-то придётся посидеть, поискать причину неудачи. А это дополнительные затраты времени.
А как происходит установка системных обновлений на компьютерах ваших сотрудников? Уверен, что скорость вашего интернет-соединения не превышает 2 мбит/сек. Обновления порой поставляются размером и по 20, 30, 40 и более Мегабайт. Один компьютер будет скачивать такое обновление довольно быстро. А 5 таких компьютеров? А 10? А если каждый день? Я уверен, что на компьютерах ваших пользователей установка системных обновлений вообще отключена.
Если у вас есть Windows Server, если на нём настроен Active Directory, если компьютеры ваших сотрудников являются членами вашего домена, всё происходит гораздо проще. Установка ПО настраивается в самом домене. Указывается кому, когда и с какими настройками ПО будет установлено. А системные обновления скачиваются один раз самим сервером. После чего они также в домене устанавливаются на пользовательские компьютеры. А как у вас устанавливается и обновляется антивирус на пользовательских компьютерах? Думаю, что точно также.
Кому необходимо использовать Active Directory
Всем. Всем предприятиям необходимо её использовать, если есть локальная сеть, и, тем более, если в офисе есть компьютер, выполняющий роль сервера. Не жадничайте, не экономьте на приобретении лицензионного программного обеспечения. Вы не пожалеете о том, что купили его. Windows Server, настроенный Active Directory, антивирус в редакции для предприятий — это что, что точно должно быть на вашем предприятии. Вам кажется, что за всем этим будет сложно следить, ведь вечно что-то ломается, выходит из строя… а вы и здесь не жадничайте. Нанимайте специалистов, способных справиться с поставленными задачами. Если специалисты хорошие, у вас всё будет работать. Если к грамотно выбранному программному обеспечению разумно подобрано «железо», у вас всё будет работать без сбоев. Форс-мажор и непредвиденные обстоятельства, конечно же, бывают везде и у всех. Но вам стоит минимизировать влияние человеческого фактора на ваш бизнес.
Аутсорсинг
Не думайте, что для всего описанного вам теперь придется еще и нанимать системного администратора. Не придется. Сегодня всё больше и больше компаний познают прелесть аутсорсинга. Нанимайте специалиста со стороны, не принимайте его на работу к себе. Или же работайте с ним по договору подряда. Пусть результат работы будет проблемой нанятого вами специалиста, а не вашей. Поверьте, такая схема сотрудничества в области IT для вас более выгодна. Даже такие крупные корпорации как ИНПРОМ, ЕВРАЗ пользовались и пользуются услугами аутсорсинга в сфере IT.
Данная статья открывает цикл статей «Сервера в малом бизнесе: просто и доступно», демонстраций, веб- и скрин-кастов для малого бизнеса. Почему для малого? Да потому что именно в нем ярко выражен колоссальный разрыв между руководством, техническими специалистами и непосредственно работниками компании. Зачастую этот разрыв слишком велик, что приносит много проблем:
· Руководству – отсутствие понимания того, что есть сейчас и что возможно в перспективе,
· Техническому специалисту – начинается «звездная» болезнь, так как никто не понимает и, по сути, не контролирует,
· Персоналу – приходится использовать то, что есть, а это зачастую идет не на пользу производительности и удобству работы.
Учитывая финансовую нестабильность последних лет, именно эти компании были подвержены многим проблемам на пути своего существования. Сторонникам open source решений, сторонникам использовать под каждую задачу свой софт, или иметь софт с повторяющимся функционалом будет не совсем привычно читать этот цикл, поскольку я буду ориентироваться на платформу Microsoft Windows. Именно на платформу, а не на отдельные её части. Такая стандартизация также влияет на работоспособность компании, её затраты. Сравните стоимость лицензионного программного продукта, интерфейс которого знаком почти каждому, и затраты на обучение и консультации пользователя, который будет работать с неизвестным, но бесплатным софтом. А поддержка этого продукта? А его обновление или безопасность? Это тема для отдельной статьи, и к ней мы вернемся. J
Идея написать этот цикл родилась не спонтанно. Давно были мысли простым языком рассказать об ИТ для людей, которые не входят в число технических специалистов, но которые в той или иной степени зависят от работы ИТ. Писать об азах для технических специалистов мне было не интересно – кто это будет читать? Писать для руководителей о возможностях новой платформы или нового продукта – они и старым-то не пользовались.
Я даже на примере своих родственников, друзей, знакомых, которые работают в разных отраслях промышленности и сферы услуг, вижу многие проблемы и несоответствия (чему?). Есть разные уровни проблем, одни для руководства, другие для простых сотрудников. Но они есть! И я очень надеюсь, что смогу в своих статьях помочь в их решении. Пусть этот разрыв станет меньше, повышая производительность труда, что соответственно будет способствовать увеличению прибыли компании и наполнению кошельков сотрудников.
Будучи хорошо знакомым с малым бизнесом изнутри, меня всегда интересовали следующие вопросы. Объясните, почему сотрудник должен пользоваться на рабочем компьютере тем браузером, который нравится сисадмину? Или взять любое другое программное обеспечение, например, тот же архиватор, почтовый клиент, клиент мгновенных сообщений… Это я плавно намекаю на стандартизацию, причем не по признакам личной симпатии сисадмина, а по признакам достаточности функционала, стоимости обслуживания и поддержки этих программных продуктов. Давайте начнем считать ИТ точной наукой, а не ремеслом, когда каждый делает так, как у него получается. Опять-таки, с этим в малом бизнесе тоже очень много проблем. Представьте, что компания в нелегкое кризисное время меняет нескольких таких администраторов, что в такой ситуации делать бедным пользователям? Постоянно переучиваться?
Давайте посмотрим с другой стороны. Любой руководитель должен понимать, что у него сейчас происходит в компании (в том числе и в ИТ). Это необходимо для отслеживания текущей ситуации, для оперативного реагирования на возникновение разного рода проблем. Но это понимание является более важным для стратегического планирования. Ведь, имея крепкий и надежный фундамент, мы можем строить дом на 3 этажа или на 5, делать крышу разной формы, делать балконы или зимний сад. Точно также и в ИТ, имеем надежную основу – можем в дальнейшем использовать более сложные продукты и технологии для решения бизнес-задач.
В первой статье и пойдет речь о таком фундаменте – службах Active Directory. Именно они призваны стать крепким фундаментом ИТ-инфраструктуры компании любого размера и любого направления деятельности. Что это такое? Вот давайте об этом и поговорим…
А разговор начнем с простых понятий – домена и служб Active Directory.
Домен – это основная административная единица в сетевой инфраструктуре предприятия, в которую входят все сетевые объекты, такие как пользователи, компьютеры, принтеры, общие ресурсы и многое другое. Совокупность таких доменов называется лесом.
Службы Active Directory (службы активного каталога) представляют собой распределённую базу данных, которая содержит все объекты домена. Доменная среда Active Directory является единой точкой аутентификации и авторизации пользователей и приложений в масштабах предприятия. Именно с организации домена и развёртывания служб Active Directory начинается построение ИТ-инфраструктуры предприятия.
База данных Active Directory хранится на выделенных серверах – контроллерах домена. Службы Active Directory являются ролью серверных операционных систем Microsoft Windows Server. Службы Active Directory имеют широкие возможности масштабирования. В лесу Active Directory может быть создано более 2-х миллиардов объектов, что позволяет внедрять службу каталогов в компаниях с сотнями тысяч компьютеров и пользователей. Иерархическая структура доменов позволяет гибко масштабировать ИТ-инфраструктуру на все филиалы и региональные подразделения компаний. Для каждого филиала или подразделения компании может быть создан отдельный домен, со своими политиками, своими пользователями и группами. Для каждого дочернего домена могут быть делегированы административные полномочия местным системным администраторам. При этом всё равно дочерние домены подчиняются родительским.
Кроме того, службы Active Directory позволяют настроить доверительные отношения между доменными лесами. Каждая компания имеет собственный лес доменов, каждый из которых имеет собственные ресурсы. Но иногда бывает нужно предоставить доступ к своим корпоративным ресурсам сотрудникам другой компании – работа с общими документами и приложениями в рамках совместного проекта. Для этого между лесами организаций можно настроить доверительные отношения, что позволит сотрудникам одной организации авторизоваться в домене другой.
Для обеспечения отказоустойчивости служб Active Directory необходимо развернуть два или более контроллера домена в каждом домене. Между контроллерами домена обеспечивается автоматическая репликация всех изменений. В случае выхода из строя одного из контроллеров домена работоспособность сети не нарушается, ведь оставшиеся продолжают работать. Дополнительный уровень отказоустойчивости обеспечивает размещение серверов DNS на контроллерах домена в Active Directory, что позволяет в каждом домене получить несколько серверов DNS, обслуживающих основную зону домена. И в случае отказа одного из DNS серверов, продолжат работать остальные. О роли и значимости DNS серверов в ИТ-инфраструктуре мы еще поговорим в одной из статей цикла.
Но это всё технические аспекты внедрения и поддержания работоспособности служб Active Directory. Давайте поговорим о тех преимуществах, которые получает компания, отказываясь от одноранговой сети с использованием рабочих групп.
1. Единая точка аутентификации
В рабочей группе на каждом компьютере или сервере придётся вручную добавлять полный список пользователей, которым требуется сетевой доступ. Если вдруг один из сотрудников захочет сменить свой пароль, то его нужно будет поменять на всех компьютерах и серверах. Хорошо, если сеть состоит из 10 компьютеров, но если их больше? При использовании домена Active Directory все учётные записи пользователей хранятся в одной базе данных, и все компьютеры обращаются к ней за авторизацией. Все пользователи домена включаются в соответствующие группы, например, «Бухгалтерия», «Финансовый отдел». Достаточно один раз задать разрешения для тех или иных групп, и все пользователи получат соответствующий доступ к документам и приложениям. Если в компанию приходит новый сотрудник, для него создаётся учётная запись, которая включается в соответствующую группу, – сотрудник получает доступ ко всем ресурсам сети, к которым ему должен быть разрешён доступ. Если сотрудник увольняется, то достаточно заблокировать – и он сразу потеряет доступ ко всем ресурсам (компьютерам, документам, приложениям).
2. Единая точка управления политиками
В рабочей группе все компьютеры равноправны. Ни один из компьютеров не может управлять другим, невозможно проконтролировать соблюдение единых политик, правил безопасности. При использовании единого каталога Active Directory, все пользователи и компьютеры иерархически распределяются по организационным подразделениям, к каждому из которых применяются единые групповые политики. Политики позволяют задать единые настройки и параметры безопасности для группы компьютеров и пользователей. При добавлении в домен нового компьютера или пользователя, он автоматически получает настройки, соответствующие принятым корпоративным стандартам. При помощи политик можно централизованно назначить пользователям сетевые принтеры, установить необходимые приложения, задать параметры безопасности браузера, настроить приложения Microsoft Office.
3. Повышенный уровень информационной безопасности
Использование служб Active Directory значительно повышает уровень безопасности сети. Во-первых – это единое и защищённое хранилище учётных записей. В доменной среде все пароли доменных пользователях хранятся на выделенных серверах контроллерах домена, которые, как правило, защищены от внешнего доступа. Во-вторых, при использовании доменной среды для аутентификации используется протокол Kerberos, который значительно безопаснее, чем NTLM, использующийся в рабочих группах.
4. Интеграция с корпоративными приложениями и оборудованием
Большим преимуществом служб Active Directory является соответствие стандарту LDAP, который поддерживается другими системами, например, почтовыми серверами (Exchange Server), прокси-серверами (ISA Server, TMG). Причем это не обязательно только продукты Microsoft. Преимущество такой интеграции заключается в том, что пользователю не требуется помнить большое количество логинов и паролей для доступа к тому или иному приложению, во всех приложениях пользователь имеет одни и те же учётные данные – его аутентификация происходит в едином каталоге Active Directory. Windows Server для интеграции с Active Directory предоставляет протокол RADIUS, который поддерживается большим количеством сетевого оборудования. Таким образом, можно, например, обеспечить аутентификацию доменных пользователей при подключении по VPN извне, использование Wi-Fi точек доступа в компании.
5. Единое хранилище конфигурации приложений
Некоторые приложения хранят свою конфигурацию в Active Directory, например, Exchange Server. Развёртывание службы каталогов Active Directory является обязательным условием для работы этих приложений. Хранение конфигурации приложений в службе каталогов является выгодным с точки зрения гибкости и надёжности. Например, в случае полного отказа сервера Exchange, вся его конфигурация останется нетронутой. Для восстановления работоспособности корпоративной почты, достаточно будет переустановить Exchange Server в режиме восстановления.
Подводя итоги, хочется еще раз акцентировать внимание на том, что службы Active Directory являются сердцем ИТ-инфраструктуры предприятия. В случае отказа вся сеть, все сервера, работа всех пользователей будут парализованы. Никто не сможет войти в компьютер, получить доступ к своим документам и приложениям. Поэтому служба каталогов должна быть тщательно спроектирована и развёрнута, с учётом всех возможных нюансов, например, пропускной способности каналов между филиалами или офисами компании (от этого напрямую зависит скорость входа пользователей в систему, а также обмен данными между контроллерами домена).
В следующих статьях мы рассмотрим различные надстройки над службами Active Directory, которые помогут упростить жизнь техническому персоналу и эффективнее решать бизнес-задачи остальным специалистам компании. Также планируется к каждой статье делать небольшой скрин-каст или демонстрацию.
