Модели архитектуры леса

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Вы можете применить одну из следующих трех моделей проектирования леса в среде Active Directory:

  • Модель леса организации

  • Модель леса ресурсов

  • Модель леса ограниченного доступа

Скорее всего, вам потребуется использовать комбинацию этих моделей для удовлетворения потребностей всех разных групп в организации.

Модель леса организации

В модели леса организации учетные записи пользователей и ресурсы содержатся в лесу и управляются независимо. Лес организации можно использовать для обеспечения автономности службы, изоляции службы или изоляции данных, если лес настроен для предотвращения доступа к любому пользователю за пределами леса.

Если пользователям в лесу организации требуется доступ к ресурсам в других лесах (или обратном), отношения доверия можно установить между одним лесом организации и другими лесами. Это позволяет администраторам предоставлять доступ к ресурсам в другом лесу. На следующем рисунке показана модель леса организации.

Illustration that shows the organizational forest model.

Каждый проект Active Directory включает по крайней мере один лес организации.

Модель леса ресурсов

В модели леса ресурсов для управления ресурсами используется отдельный лес. Леса ресурсов не содержат учетные записи пользователей, отличные от учетных записей, необходимых для администрирования службы, и тех, которые необходимы для предоставления альтернативного доступа к ресурсам в этом лесу, если учетные записи пользователей в лесу организации становятся недоступными. Доверия лесов устанавливаются таким образом, чтобы пользователи из других лесов могли получить доступ к ресурсам, содержащимся в лесу ресурсов. На следующем рисунке показана модель леса ресурсов.

Illustration that shows the resource forest model.

Леса ресурсов обеспечивают изоляцию служб, которая используется для защиты областей сети, которые должны поддерживать состояние высокой доступности. Например, если ваша компания включает производственный объект, который должен продолжать работать, когда возникают проблемы в остальной части сети, можно создать отдельный лес ресурсов для производственной группы.

Модель леса ограниченного доступа

В модели леса ограниченного доступа создается отдельный лес для хранения учетных записей пользователей и данных, которые должны быть изолированы от остальной части организации. Леса ограниченного доступа обеспечивают изоляцию данных в ситуациях, когда последствия компрометации данных проекта являются серьезными. На следующем рисунке показана модель леса ограниченного доступа.

forest design models

Пользователям из других лесов не удается предоставить доступ к ограниченным данным, так как доверие не существует. В этой модели у пользователей есть учетная запись в лесу организации для доступа к общим ресурсам организации и отдельной учетной записи пользователя в лесу ограниченного доступа для доступа к классифицированным данным. Эти пользователи должны иметь две отдельные рабочие станции, один подключен к лесу организации и другой, подключенный к лесу ограниченного доступа. Это защищает от возможности того, что администратор службы из одного леса может получить доступ к рабочей станции в ограниченном лесу.

В крайних случаях лес ограниченного доступа может поддерживаться в отдельной физической сети. Организации, работающие над классифицированными государственными проектами, иногда поддерживают леса ограниченного доступа в отдельных сетях в соответствии с требованиями безопасности.