Структуры AD DS. Модель с единственным доменом.

Структуры AD DS. Модель с единственным доменом. 

       Наиболее простой из всех структур Active Directory Domain Services (AD DS) является модель с единственным доменом. Структура домена такого типа имеет одно главное преимущество по сравнению с другими моделями, а именно - простоту. Одна граница безопасности определяет границы домена, и все объекты расположены внутри этой границы. Устанавливать доверительные отношения с другими доменами не нужно, а реализовывать такие технологии, как групповые политики, для простых структур гораздо проще. Эта модель теперь подходит для большинства организаций, поскольку AD DS была упрощена, а ее возможность охватывать множество физических границ - значительно улучшена.

                Модель с единственным доменом идеально подходит для многих организаций, а с учетом возможных модификаций - для очень многих. Структура с единственным доменом обладает несколькими преимуществами, главным из которых является простота. Любой администратор или инженер с опытом реальной работы согласится с тем, что чаще всего самое простое решение и является наилучшим. Чрезмерное усложнение архитектуры системы привносит потенциальный риск и усложняет устранение неполадок в этих системах. Следовательно, объединение сложных доменных структур в более простую структуру с единственным доменом AD DS позволяет уменьшить расходы на администрирование и минимизировать связанные с этим проблемы.
                Другим преимуществом, связанным с созданием структуры с единственным доменом, является возможность централизованного администрирования. Многие организации с сильной централизованной IT-структурой желают сосредоточить контроль над всеми информационными структурами и пользователями в одном месте. AD DS и, в частности, модель с единственным доменом, обеспечивает более высокий уровень административного управления и возможность делегирования задач администраторам более низкого уровня. Это стало сильным стимулом для использования AD DS.
                Но все-таки не все структуры AD DS могут состоять из единственного домена, и существуют некоторые факторы, которые могут ограничить способность организации к переходу, на структуру с единственным доменом. При наличии в организации таких факторов может потребоваться расширение доменной модели, чтобы она включала другие домены леса и другую доменную структуру. Например, единая граница безопасности, сформированная одним доменом, может оказаться совсем не тем, что нужно организации. Да, для делегирования прав на администрирование связанных с безопасностью элементов могут использоваться организационные единицы (OU), но члены группы Domain Admins (Администраторы домена) все равно могут перекрывать разрешения в разных OU. Если контуры безопасности внутри организации должны иметь точные границы, то единственный домен может не подходить для этой цели. Например, если отдел кадров требует, чтобы никто из пользователей отдела информационных технологий не имел доступа к ресурсам его среды, то для удовлетворения дополнительным требованиям безопасности придется расширить структуру домена.
                Еще одним недостатком модели с единственным доменом является то, что при наличии в лесу единственного домена нужно, чтобы компьютер с ролью мастера схемы находился в этом домене. Тогда мастер схемы должен находиться в домене, в котором содержатся все пользовательские учетные записи. Хотя доступ к мастеру схемы можно жестко контролировать соответствующим администрированием, все же риск раскрытия схемы выше, если роль мастера схемы находится в пользовательском домене. Если эта модель порождает в организации проблемы, то лучше воспользоваться моделями, выделяющими мастера схемы в фиктивный домен.