Определение участников проекта развертывания

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Первым шагом в создании проекта развертывания для службы домен Active Directory (AD DS) является создание групп проектов проектирования и развертывания, которые будут отвечать за управление этапом разработки и этапом развертывания цикла проекта Active Directory. Кроме того, необходимо определить лиц и групп, которые будут отвечать за владение и обслуживание каталога после завершения развертывания.

Определение ролей для конкретного проекта

Важным шагом в создании групп проектов является определение отдельных лиц, которые должны проводить роли, относящиеся к проекту. К ним относятся исполнительный спонсор, архитектор проекта и руководитель проекта. Эти лица отвечают за запуск проекта развертывания Active Directory.

После назначения архитектора проекта и руководителя проектов эти лица устанавливают каналы коммуникации по всей организации, строят расписания проектов и определяют лиц, которые будут членами проектных групп, начиная с различных владельцев.

Исполнительный спонсор

Развертывание инфраструктуры, такой как AD DS, может оказать широкое влияние на организацию. По этой причине важно иметь исполнительного спонсора, который понимает бизнес-ценность развертывания, поддерживает проект на уровне исполнительной власти и может помочь устранить конфликты во всей организации.

Архитектор проекта

Для каждого проекта развертывания Active Directory требуется архитектор проекта для управления процессом разработки и принятия решений по развертыванию Active Directory. Архитектор предоставляет технические знания, помогающие в разработке и развертывании AD DS.

Примечание.

Если у сотрудников в организации нет опыта разработки каталогов, может потребоваться нанять внешнего консультанта, который является экспертом по проектированию и развертыванию Active Directory.

К обязанностям архитектора проекта Active Directory относятся следующие обязанности:

  • Владение проектом Active Directory

  • Понимание и запись обоснования ключевых решений по проектированию

  • Обеспечение соответствия дизайна бизнес-потребностям организации

  • Создание консенсуса между группами разработки, развертывания и операций

  • Общие сведения о потребностях интегрированных с AD DS приложений

Окончательный дизайн Active Directory должен отражать сочетание бизнес-целей и технических решений. Поэтому архитектор проекта должен пересмотреть решения по проектированию, чтобы убедиться, что они соответствуют бизнес-целям.

Руководитель проекта

Руководитель проекта упрощает сотрудничество между бизнес-подразделениями и между группами управления технологиями. В идеале диспетчер проектов развертывания Active Directory — это кто-то из организации, знакомый как с операционными политиками ИТ-группы, так и требованиями к проектированию для групп, которые готовятся к развертыванию AD DS. Руководитель проекта контролирует весь проект развертывания, начиная с проектирования и продолжения реализации, и гарантирует, что проект остается в расписании и в пределах бюджета. К обязанностям руководителя проекта относятся следующие обязанности.

  • Предоставление базового планирования проектов, таких как планирование и бюджет

  • Ход разработки и развертывания Active Directory

  • Обеспечение участия соответствующих лиц в каждой части процесса проектирования

  • Обслуживание в качестве единой точки контакта для проекта развертывания Active Directory

  • Создание взаимодействия между командами разработки, развертывания и операций

  • Создание и поддержание связи с исполнительным спонсором на протяжении всего проекта развертывания

Создание владельцев и администраторов

В проекте развертывания Active Directory частные лица, являющиеся владельцами, отвечают за управление, чтобы убедиться, что задачи развертывания завершены и что спецификации проектирования Active Directory соответствуют потребностям организации. Владельцы не обязательно имеют доступ к инфраструктуре каталогов или управляют им напрямую. Администратор istrator — это лица, ответственные за выполнение необходимых задач развертывания. Администратор istrator имеют сетевой доступ и разрешения, необходимые для управления каталогом и его инфраструктурой.

Роль владельца является стратегическим и управленческим. Владельцы отвечают за обмен данными с администраторами, которые необходимы для реализации проектирования Active Directory, например создания новых контроллеров домена в лесу. Администраторы отвечают за реализацию дизайна в сети в соответствии с спецификациями проектирования.

В крупных организациях разные лица заполняют роли владельца и администратора; однако в некоторых небольших организациях один и тот же человек может выступать как владелец, так и администратор.

Владельцы служб и данных

Управление AD DS на ежедневной основе включает в себя два типа владельцев:

  • Владельцы служб, которые отвечают за планирование и долгосрочное обслуживание инфраструктуры Active Directory и обеспечение того, чтобы каталог продолжал функционировать и что цели, установленные в соглашениях об уровне обслуживания, сохраняются.
  • Владельцы данных, ответственные за обслуживание информации, хранящейся в каталоге. К ним относятся управление учетными записями пользователей и компьютеров, а также управление локальными ресурсами, такими как серверы-члены и рабочие станции.

Важно заранее определить службу и владельцев данных Active Directory, чтобы они могли участвовать в процессе разработки как можно больше. Так как владельцы служб и данных отвечают за долгосрочное обслуживание каталога после завершения проекта развертывания, важно обеспечить входные данные, касающиеся потребностей организации, и знать, как и почему принимаются определенные решения по проектированию. Владельцы служб включают владельца леса, владельца системы именования домен Active Directory (DNS) и владельца топологии сайта. Владельцы данных включают владельцев подразделений.

Администраторы служб и данных

Операция AD DS включает два типа администраторов: администраторов служб и администраторов данных. Администраторы служб реализуют решения политики, принятые владельцами служб, и обрабатывают повседневные задачи, связанные с обслуживанием службы каталогов и инфраструктуры. Это включает управление контроллерами домена, которые размещают службу каталогов, управление другими сетевыми службами, такими как DNS, необходимые для AD DS, управление конфигурацией параметров на уровне леса и обеспечение доступности каталога.

Администраторы служб также отвечают за выполнение текущих задач развертывания Active Directory, необходимых после завершения первоначального процесса развертывания Active Directory Windows Server 2008 Active Directory. Например, по мере увеличения требований к каталогу администраторы служб создают дополнительные контроллеры домена и устанавливают или удаляют доверия между доменами по мере необходимости. По этой причине группе развертывания Active Directory необходимо включить администраторов служб.

Необходимо тщательно назначать роли администратора службы только доверенным лицам в организации. Так как эти люди могут изменять системные файлы на контроллерах домена, они могут изменить поведение AD DS. Необходимо убедиться, что администраторы служб в вашей организации являются лицами, знакомыми с операционными и политиками безопасности, которые существуют в вашей сети, и кто понимает необходимость применения этих политик.

Администраторы данных — это пользователи в домене, которые отвечают как за обслуживание данных, хранящихся в AD DS, таких как учетные записи пользователей и групп, так и за обслуживание компьютеров, являющихся членами своего домена. Администраторы данных управляют подмножествами объектов в каталоге и не контролируют установку или настройку службы каталогов.

Учетные записи администратора данных по умолчанию не предоставляются. После того как команда разработчиков определяет, как управлять ресурсами для организации, владельцы доменов должны создавать учетные записи администратора данных и делегировать им соответствующие разрешения на основе набора объектов, для которых администраторы должны отвечать.

Рекомендуется ограничить количество администраторов служб в организации минимальным числом, необходимым для обеспечения продолжения работы инфраструктуры. Большинство административных работ можно выполнить администраторами данных. Администраторам служб требуется гораздо более широкий набор навыков, так как они отвечают за обслуживание каталога и инфраструктуры, поддерживающей ее. Администраторам данных требуются только навыки, необходимые для управления частью каталога. Разделение рабочих назначений таким образом приводит к экономии затрат для организации, так как для работы и обслуживания всего каталога и его инфраструктуры необходимо обучить только небольшое количество администраторов.

Например, администратор службы должен понять, как добавить домен в лес. Это включает в себя установку программного обеспечения для преобразования сервера в контроллер домена и управление средой DNS, чтобы контроллер домена можно было легко объединить в среду Active Directory. Администратору данных необходимо только знать, как управлять конкретными данными, которые они отвечают за создание новых учетных записей пользователей для новых сотрудников в своем отделе.

При развертывании AD DS требуется координация и обмен данными между различными группами, участвующими в работе сетевой инфраструктуры. Эти группы должны назначать владельцев служб и данных, которые отвечают за представление различных групп во время разработки и развертывания.

После завершения проекта развертывания эти службы и владельцы данных продолжают отвечать за часть инфраструктуры, управляемой их группой. В среде Active Directory эти владельцы являются владельцем леса, владельцем DNS для AD DS, владельцем топологии сайта и владельцем подразделения. Роли этих служб и владельцев данных описаны в следующих разделах.

Владелец леса

Владелец леса обычно является старшим менеджером по информационным технологиям в организации, ответственной за процесс развертывания Active Directory и который в конечном итоге отвечает за обслуживание доставки служб в лесу после завершения развертывания. Владелец леса назначает отдельным лицам заполнять другие роли владения, определяя ключевых сотрудников организации, которые могут вносить необходимые сведения о сетевой инфраструктуре и административных потребностях. Владелец леса отвечает за следующее:

  • Развертывание корневого домена леса для создания леса

  • Развертывание первого контроллера домена в каждом домене для создания доменов, необходимых для леса

  • Членство в группах администраторов служб во всех доменах леса

  • Создание структуры подразделения для каждого домена в лесу

  • Делегирование административного органа владельцам подразделений

  • Изменения схемы

  • Изменения параметров конфигурации на уровне леса

  • Реализация определенных параметров политики групповой политики, включая политики учетной записи пользователя домена, такие как детальный пароль и политика блокировки учетных записей

  • Параметры бизнес-политики, применяемые к контроллерам домена

  • Любые другие параметры групповой политики, применяемые на уровне домена

Владелец леса имеет полномочия по всему лесу. Ответственность владельца леса заключается в настройке групповой политики и бизнес-политик и выборе лиц, являющихся администраторами служб. Владелец леса является владельцем службы.

DNS для владельца AD DS

Владелец DNS для AD DS — это отдельный пользователь, который имеет полное представление о существующей инфраструктуре DNS и существующем пространстве имен организации.

Dns для владельца AD DS отвечает за следующее:

  • Выступая в качестве связи между командой разработчиков и ИТ-группой, которая в настоящее время владеет инфраструктурой DNS

  • Предоставление сведений о существующем пространстве имен DNS организации для содействия созданию нового пространства имен Active Directory

  • Работа с командой развертывания, чтобы убедиться, что новая инфраструктура DNS развернута в соответствии с спецификациями группы разработки и правильно работает

  • Управление инфраструктурой DNS для AD DS, включая службу DNS-сервера и данные DNS

Владелец DNS для AD DS является владельцем службы.

Владелец топологии сайта

Владелец топологии сайта знаком с физической структурой сети организации, включая сопоставление отдельных подсетей, маршрутизаторов и сетевых областей, подключенных с помощью медленных связей. Владелец топологии сайта отвечает за следующее:

  • Общие сведения о топологии физической сети и о том, как это влияет на AD DS

  • Общие сведения о том, как развертывание Active Directory повлияет на сеть

  • Определение логических сайтов Active Directory, которые необходимо создать

  • Обновление объектов сайта для контроллеров домена при добавлении, изменении или удалении подсети

  • Создание ссылок сайта, мостов связи сайта и объектов подключения вручную

Владелец топологии сайта является владельцем службы.

Владелец подразделения

Владелец подразделения отвечает за управление данными, хранящимися в каталоге. Этот человек должен быть знаком с операционными и политиками безопасности, которые находятся в сети. Владельцы подразделений могут выполнять только те задачи, которые были делегированы администраторами служб, и они могут выполнять только те задачи, на которые они назначены. К задачам, которые могут быть назначены владельцу подразделения, относятся следующие:

  • Выполнение всех задач управления учетными записями в назначенном подразделении

  • Управление рабочими станциями и серверами-членами, которые являются членами назначенного подразделения

  • Делегирование полномочий локальным администраторам в пределах назначенного подразделения

Владелец подразделения является владельцем данных.

Создание команд проектов

Команды проектов Active Directory — это временные группы, отвечающие за выполнение задач проектирования и развертывания Active Directory. После завершения проекта развертывания Active Directory владельцы несут ответственность за каталог, а команды проектов могут распуститься.

Размер команд проектов зависит от размера организации. В небольших организациях один человек может охватывать несколько областей ответственности в группе проектов и участвовать в нескольких этапах развертывания. Крупным организациям может потребоваться более крупные команды с различными лицами или даже разными командами, охватывающими различные области ответственности. Размер команд не важен до тех пор, пока все области ответственности назначены, а цели проектирования организации выполняются.

Определение потенциальных владельцев лесов

Определите группы в организации, которые принадлежат и управляют ресурсами, необходимыми для предоставления служб каталогов пользователям в сети. Эти группы считаются потенциальными владельцами лесов.

Разделение службы и администрирования данных в AD DS позволяет ИТ-группе инфраструктуры (или группам) организации управлять службой каталогов, а локальные администраторы в каждой группе управляют данными, принадлежащими своим группам. Потенциальные владельцы лесов имеют необходимый центр управления сетевой инфраструктурой для развертывания и поддержки AD DS.

Для организаций, имеющих одну централизованную ИТ-группу инфраструктуры, ИТ-группа обычно является владельцем леса и, следовательно, потенциальным владельцем леса для любых будущих развертываний. Организации, включающие ряд независимых ИТ-групп инфраструктуры, имеют ряд потенциальных владельцев лесов. Если у вашей организации уже есть инфраструктура Active Directory, все текущие владельцы лесов также являются потенциальными владельцами лесов для новых развертываний.

Выберите одного из потенциальных владельцев леса, чтобы выступать в качестве владельца леса для каждого леса, который вы рассматриваете для развертывания. Эти потенциальные владельцы лесов отвечают за работу с командой разработчиков, чтобы определить, будет ли их лес на самом деле развернут или если альтернативный курс действий (например, присоединение к другому существующему лесу) — лучшее использование доступных ресурсов и по-прежнему соответствует их потребностям. Владелец леса (или владельцы) в вашей организации являются членами группы разработчиков Active Directory.

Создание группы разработки

Команда разработчиков Active Directory отвечает за сбор всех сведений, необходимых для принятия решений о структуре логической структуры Active Directory.

В обязанности группы разработчиков входят следующие обязанности:

  • Определение количества лесов и доменов и связи между лесами и доменами

  • Работа с владельцами данных, чтобы обеспечить соответствие конструкции требованиям к безопасности и административным требованиям.

  • Работа с текущими администраторами сети, чтобы гарантировать, что текущая сетевая инфраструктура поддерживает проектирование и что проект не будет негативно влиять на существующие приложения, развернутые в сети

  • Работа с представителями группы безопасности организации для обеспечения соответствия конструкции установленным политикам безопасности

  • Проектирование структур подразделения, которые позволяют соответствующим уровням защиты и надлежащему делегированию полномочий владельцам данных

  • Работа с командой развертывания для тестирования разработки в лабораторной среде, чтобы убедиться в том, что она работает как запланированная и изменяющая проект по мере необходимости для решения любых проблем, возникающих

  • Создание макета топологии сайта, соответствующего требованиям реплика выведения леса при предотвращении перегрузки доступной пропускной способности. Дополнительные сведения о проектировании топологии сайта см. в статье "Проектирование топологии сайта для Windows Server 2008 AD DS".

  • Работа с командой развертывания, чтобы убедиться, что проект реализован правильно

Команда разработчиков включает в себя следующих членов:

  • Потенциальные владельцы лесов

  • Архитектор проекта

  • Руководитель проекта

  • Лица, ответственные за создание и поддержание политик безопасности в сети

Во время процесса проектирования логической структуры команда разработчиков определяет других владельцев. Эти лица должны начать участвовать в процессе проектирования, как только они определены. После передачи проекта развертывания группе развертывания группа разработчиков отвечает за надзор за процессом развертывания, чтобы убедиться, что проект реализован правильно. Команда разработчиков также вносит изменения в дизайн на основе отзывов от тестирования.

Создание группы развертывания

Группа развертывания Active Directory отвечает за тестирование и реализацию структуры логической структуры Active Directory. Это включает в себя следующие задачи:

  • Создание тестовой среды, которая достаточно эмулирует рабочую среду

  • Тестирование проекта путем реализации предлагаемой структуры леса и домена в лабораторной среде, чтобы убедиться, что она соответствует целям каждого владельца роли.

  • Разработка и тестирование любых сценариев миграции, предлагаемых проектом в лабораторной среде

  • Убедитесь, что каждый владелец входит в процесс тестирования, чтобы убедиться, что тестируются правильные функции проектирования.

  • Тестирование операции развертывания в пилотной среде

По завершении задач проектирования и тестирования команда развертывания выполняет следующие задачи:

  • Создает леса и домены в соответствии с структурой логической структуры Active Directory

  • Создает объекты сайтов и ссылок сайта по мере необходимости на основе структуры топологии сайта

  • Гарантирует, что инфраструктура DNS настроена для поддержки AD DS и что все новые пространства имен интегрируются в существующее пространство имен организации.

Группа развертывания Active Directory включает в себя следующих членов:

  • Владелец леса

  • DNS для владельца AD DS

  • Владелец топологии сайта

  • Владельцы подразделений

Группа развертывания работает со службами и администраторами данных на этапе развертывания, чтобы убедиться, что члены группы операций знакомы с новым проектом. Это помогает обеспечить плавный переход владения при завершении операции развертывания. По завершении процесса развертывания ответственность за обслуживание новой среды Active Directory передается группе операций.

Документирование команд разработки и развертывания

Задокументируйте имена и контактные данные для людей, которые будут участвовать в разработке и развертывании AD DS. Определите, кто будет отвечать за каждую роль в группах разработки и развертывания. Изначально этот список включает потенциальных владельцев лесов, руководителя проекта и архитектора проекта. При определении количества развернутых лесов может потребоваться создать новые группы разработки для дополнительных лесов. Обратите внимание, что вам потребуется обновить документацию по мере изменения членства в команде и при определении различных владельцев Active Directory во время процесса разработки. Чтобы на листе можно было документировать команды разработки и развертывания для каждого леса, скачать Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip из пакета средств развертывания Windows Server 2003 и открыть раздел "Сведения о команде разработки и развертывания" (DSSLOGI_1.doc).