Модель с несколькими главными доменами и полностью доверительными отношениями
Модель с несколькими главными доменами и полностью доверительными отношениями имеет смысл в случае, если вы отдаете предпочтение распределенному администрированию пользователей и ресурсов, но в организации существует строгая, централизованная структура управления. В этом варианте между каждой парой доменов устанавливаются двусторонние доверительные отношения, а учетная запись пользователя создается в том домене, в который он будет входить по умолчанию. (Домен, в котором хранится учетная запись пользователя, известен еще как основной домен — home domain.) Домены ресурсов отвечают за управление собственными пользователями и глобальными группами, при этом к соответствующим учетным записям имеется доступ из сети (рис. 18).
Рис. 18. Модель с несколькими главными доменами и полностью доверительными отношениями
Модель с несколькими главными доменами и полностью доверительными отношениями имеет смысл в относительно небольших организациях, которые переросли модель с одним доменом, но она не подходит для случая, когда доменов становится слишком много. У каждого домена должны быть установлены двусторонние доверительные отношения со всеми остальными доменами. Таким образом, число доверительных отношений растет экспоненциально с увеличением числа доменов. Число доверительных отношений, которые требуется установить в сети с п доменами, равно п*(п-1). Если у вас пять доменов, то понадобится двадцать доверительных отношений, добавление еще одного домена приведет к необходимости установить дополнительно десять доверительных отношений.
Следует также предупредить еще об одной особенности модели с полностью доверительными отношениями между доменами: все доверительные отношения двусторонние, а это означает, что, предоставляя пользователю, доступ к ресурсам одного домена на основе доверительных отношений с другим доменом, вы полагаетесь на политику администрирования другого домена. Если доступ предоставляется глобальной группе, вы тем самым предоставляете доступ к ресурсам во всех доменах неуполномоченным пользователям, добавленным на другом домене, наряду с теми пользователями, которые имеют необходимые полномочия.
| Преимущества модели с несколькими главными доменами и полностью доверительными отношениями | Недостатки модели с несколькими главными доменами и полностью доверительными отношениями |
| Логическое объединение в группы пользователей и ресурсов | Отсутствие единого места управления учетными записями пользователей и группами |
| Управление ресурсами на уровне подразделений | Необходимость определять глобальные и локальные группы несколько раз и вносить в них изменения в нескольких местах |
| Наращиваемость в соответствии с текущими требованиями | Очень сложные доверительные отношения |
| Требуется полное взаимное доверие между администраторами всех доменов |