1. Skip to Menu
  2. Skip to Content
  3. Skip to Footer
  • 1 ЕвроEUR49.05
  • 1 Американский долларUSD35.69

Домен Active Directory

Домен предприятия – это важнейшая часть в иерархической структуре корпоративной сети. Ей подчинены абсолютно все остальные структурные единицы, такие как серверы, приложения, пользовательские устройства и даже сетевые принтеры. Разумеется, не стоит путать внешний домен и внутренний, так как внешний домен это просто адрес в сети интернет, который связан только с сайтом, почтовым сервером и зачастую с некоторыми внешними (как правило клиенто-ориентированными) приложениями. Внутреннему же домену, как мы указали выше, подчинены все внутренние корпоративные службы.

Служба каталогов – это программный комплекс осуществляющий контроль над доменом и всеми подчиненными ему устройствами. Поэтому начиная проектирование IT инфраструктуры предприятия, стоит учитывать то, что её основой является домен, и к выбору службы каталогов, осуществляющей управление доменом, стоит подойти со всей серьезностью, ведь это шаг, значимость которого трудно переоценить.

Взаимодействие с Active DirectoryВзаимодействие с Active Directory

В данный момент на рынке программного обеспечения для организации службы каталогов(т.е домена)представлены несколько решений пользующихся спросом, это платные Microsoft Active Directory, Novell NDS и бесплатное решение OpenLDAP, остальные решения используются в совсем небольшом количестве компаний. Но даже среди этих трех систем разброс в популярности просто колоссален – на 2010 год, подавляющее большинство компаний использовало службу Microsoft Active Directory. Фактически, в данный момент компания Microsoft является монополистом в этой сфере.

И надо сказать что такой перевес симпатий в пользу Microsoft Active Directory не вызывает удивления, ведь богатейший опыт компании Microsoft ведущий разработку Microsoft Active Directory уже более 15 лет позволил ей создать решение отвечающее абсолютно всем требованием предъявляемым предприятиями подобному программному обеспечению.

Microsoft Active Directory – это служба каталогов, представляющая собой распределенную базу данных, в которой содержится информация обо всех элементах корпоративной информационной среды. Именно с развертки службы каталогов Microsoft Active Directory и начинается построение корпоративной среды. Посредством Microsoft Active Directory происходит идентификация пользователей и приложений в корпоративной среде.

Для чего нужна служба каталогов?

Как известно, основной задачей корпоративной сети является предоставление пользователям разных компьютеров входящих в сеть совместного доступа к приложениям и документам, хранящимся в сети. Базовая сеть, в которой все приложения, пользовательские базы и прочая информация находится непосредственно на компьютерах пользователей такую возможность, конечно же, может предоставить, но её потенциал значительно органичен и она подойдет только для небольшой компании, в которой количество компьютеров исчисляется максимум десятками. Достаточно представить себе часто встречающуюся ситуацию когда сотрудники компании регулярно заходят с разных компьютеров – для того что бы они имели постоянный доступ с разных компьютеров придется устанавливать параметры доступа на всех компьютерах в сети, но что делать если таких компьютеров и пользователей 100, 400 или более 1000? Только одно введение данных о правах доступа займет у службы поддержки множество человеко-часов и выльется в немалые издержки для компании, ведь специалистов для своевременного ввода этих данных потребуется много. Та же самая ситуация случится и при добавлении нового принтера, приложения и других элементов сети.

Для избавления от подобных трудностей и созданы службы каталогов, в данном случае Microsoft Active Directory, которая дает следующие преимущества:

  1. Централизованное и простое управление политиками безопасности. Служба каталогов Microsoft Active Directory позволяет вести единую базу данных пользователей и хранить её централизованно на сервере. Поэтому при появлении нового компьютера в сети или сотрудника в компании, достаточно внести информацию только в базу службы каталога и пользователь сможет пользоваться необходимыми приложениями с любого компьютера без каких либо дополнительных настроек. Так же подобная схема хранения информации о пользователях позволяет создавать различные группы пользователей с разными правами доступа. Например, сотрудникам склада нужен доступ к отдельным документам и логистическим приложениям, менеджерам по продаже доступ к ERP и CRM системе, а секретариату к базе внутренних телефонных номеров и адресов почты. В такой ситуации в службу каталогов достаточно внести информацию о том к каким именно приложениям, устройствам или папкам нужен доступ соответствующей группе пользователей и при появлении нового сотрудника в одном из отделов, достаточно только прикрепить его учетную запись к группе пользователей, после чего он получит полный доступ ко всем необходимым для работы ресурсам.
  2. Повышенная безопасность. Разумеется, преимущества использования групповых политик для пользователей не ограничиваются удобством назначения прав доступа. Одной из важнейших задач для службы каталогов Microsoft Active Directory является обеспечение высокого уровня безопасности корпоративной среды, и с ней она справляется отлично. При помощи нее можно задать настройки безопасности для каждой группы или отдельного пользователя и после добавления пользователя к определенной группе он будет заходить с любого компьютера (разрешенного для его группы) именно с этими настройками безопасности. Схожая ситуация и с пользовательским программным обеспечением – при помощи Active Directory можно задать перечень ПО разрешенного или необходимого пользователю для работы и при прикреплении учетной записи к группе он автоматически получит необходимые настройки, доступ к принтерам и сети Интернет.
  3. Единый центр хранения учетных записей. Еще одним фактором повышающим безопасность корпоративной сети является то, что база данных с паролями и логинами пользователей хранится не на пользовательском персональном компьютере, как это обычно бывает в сетях начального уровня, а на хорошо защищенном, как физически так и программно, корпоративном сервере, кража информации с которого практически невозможна. Учитывая описанный выше способ группового контроля над устанавливаемым программным обеспечением (т.е. невозможно установить какой либо кейлоггер, а вирусы своевременно обезвреживаются обязательным антивирусом) единственным способом кражи пароля является банальная кража блокнота, в котором записан логин и пароль незадачливого сотрудника. Но решение этой проблемы тоже возможно - Microsoft Active Directory поддерживает авторизацию при помощи USB идентификатора, специальной карты и даже посредством сканирования отпечатков пальцев. Все эти меры делают корпоративную сеть, построенную на базе Microsoft Active Directory, практически неуязвимой для несанкционированного проникновения и доступа к критически важной и конфиденциальной бизнес информации.
  4. Совместимость. Благодаря тому, что Microsoft Active Directory уже длительное время является лидером на рынке служб каталогов, подавляющее большинство производителей программного обеспечения закладывают в свою продукцию поддержку стандартов используемых в Active Directory. Так, например, благодаря тому, что многие программные продукты (среди которых ERP-системы, proxy-серверы, mail-серверы и многие другие продукты от различных производителей) используют программный стандарт LDAP, они могут без каких либо трудностей осуществлять взаимодействие с Microsoft Active Directory. Если пропустить технические детали. То для конечного пользователя это будет означать, то что при авторизации через Microsoft Active Directory он получает доступ ко всем нужным ему приложениям, прописанным в групповых или индивидуальных настройках. Это избавляет от необходимости иметь множество логинов и паролей для таких ресурсов как электронная почта, доступ в интернет, доступ к компьютеру, ERP-системе, сетевым папкам и тд. Авторизовавшись один раз, сотрудник может приступить к работе и не отвлекаться на посторонние факторы.
  5. Единое хранилище данных о настройках и конфигурации. Еще одним неоспоримым преимуществом Microsoft Active Directory является то, что многие приложения могут хранить данные о своей конфигурации и некоторую другую информацию в Microsoft Active Directory, это позволяет избежать существенных проблем при сбоях в работе этих приложений. При отказе, какого либо приложения нет необходимости в повторной настройке приложения, достаточно только переустановить само приложение и указать ему получение данных с сервера Microsoft Active Directory и его работа будет восстановлена, так как будь то, никакого сбоя и не было.

Гибкость и надежность Microsoft Active DirectoryГибкость и надежность Microsoft Active Directory

Внедрение такого решения как Microsoft Active Directory в компаниях насчитывающих тысячи или десятки тысяч сотрудников, примерно такой же по размеру парк пользовательских устройств и сотни филиалов задача достаточно непростая, и в первую очередь за счет того что филиалы, отделы и подразделения должны взаимодействовать между собой. Так же не стоит забывать и о том, что зачастую сотрудники компании могут вести совместную работу с сотрудниками других организаций-партнеров, в рамках общих проектов. Все это требует предельной гибкости службы каталогов. Поэтому Microsoft Active Directory обладает обширными возможностями для масштабирования. Для каждого отделения или филиала может быть создан свой поддомен, схожий по функциональности с основным доменом, который будет контролировать политики безопасности для сотрудников конкретного филиала. В зависимости от настроек администрирование поддоменом филиала может осуществляться централизованно или же может быть передано местному сотруднику. При необходимости подобный поддомен может быть частично объединен с доменами других филиалов или компаний партнеров, для совместного доступа к ресурсам. Такой подход позволяет обеспечить высокий уровень безопасности в каждом филиале организации независимо от его структурной подчиненности или территориального расположения.

Ввиду того что Microsoft Active Directory контролирует работу всего предприятия, логичным требованием к такой системе является высочайшая ее надежность. Ведь если произойдет сбой в работе Microsoft Active Directory, начнется простой практически всех бизнес процессов в компании, а это финансовые издержки и, что самое важное, потеря репутации. Поэтому в Microsoft Active Directory предусмотрены механизмы резервирования, позволяющие установить службу каталогов на два и более сервера для каждого домена сети. Таким образом, при выходе из строя одного из серверов, в работу автоматически вступит другой сервер и простоя в бизнес процессе не произойдет.

Все вышеперечисленные факторы говорят о том, что переход на Microsoft Active Directory необходим любой организации имеющей в своем штате множество сотрудников и желающей максимально обезопасить свою корпоративную IT-инфраструктуру.

Обновление службы каталогов Microsoft Active Directory

За длительное время существования Active Directory многие компании уже начали использовать данное решение, но по данным компании Microsoft не малая часть предприятий используют уже устаревшую версию Active Directory, на базе Windows Server 2003. В то время как уже достаточно давно была выпущена версия для Windows Server 2008 R2, в которой были устранены многие недоработки и существенно расширен функционал.

Переход на обновленную версию несет в себе следующие преимущества:

  1. Минимизация вероятности кражи паролей в филиалах. Большой дырой в безопасности корпоративной сети является установка контроллеров доменов в филиалах, дочерних организациях и у партнеров. В отличии от хорошо защищенных центральных вычислительных центров, такие контроллеры не обладают сколь либо существенной защитой на программном и физическом уровне, что существенно повышает риск взлома или даже физической кражи самого сервера, с последующей передачей полученной базы паролей третьим лица. Для минимизации подобной опасности в Windows Server 2008 R2 была реализована функция создания контроллеров получающих информацию о паролях в режиме «только для чтения» и не сохраняющих их у себя. Такой подход позволяет избежать попадания паролей в руки третьих лиц, даже в случае кражи или взлома сервера.
  2. Аудит и статистика. Одной из новинок Active Directory на базе Windows Server 2008 R2 является возможность просмотра данных о действиях пользователей и администраторов при изменении политик безопасности. Это дает возможность найти дыры в безопасности и устранить ошибки при применении к группам или доменам политик безопасности.
  3. Экономичность и простота. Немалую часть расходов предприятий на IT-инфраструктуру составляют траты на технический персонал. Для снижения подобных издержек в Active Directory на базе Windows Server 2008 R2 были внесены многие изменения направленные на уменьшение времени затрачиваемого на администрирование службы каталогов. В частности была добавлена корзина, в которую попадают удаленные учетные записи и настройки групп, благодаря чему для их восстановления теперь нет необходимости проводить сложные и достаточно долгие работы их по переносу из резервной копии(которая во многих случаях вовсе отсутствует). Еще одной функцией облегающей работу с Active Directory стала система шаблонов групп и пользователей, при помощи которой можно за считанные минуты применить необходимые политики безопасности к новому домену или группе.

Проектирование

Image Наши специалисты спроектируют IT инфраструктуру Вашего предприятия в соответствии с потребностями вашего бизнеса.

Внедрение

Image Подбор, настройка и установка оборудования и программного обеспечения для решения поставленных задач.

Сопровождение

Image Гарантийное и постгарантийное обслуживание внедренных решений и оборудования. Поставка расходных метериалов.