Windows Server 2008 – решение для удаленного филиала

В настоящее время трудно представить себе организацию, которая обходится без компьютеров. Компьютеризация проникла во все сферы экономики и народного хозяйства: банковское дело, торговлю, промышленность, медицину, управление, науку, образование и т. д. Однако, чем больше компьютеров используется в компании, тем острее стоит вопрос о централизованном управлении компьютерной сетью, автоматизации рутинных задач системного администратора и мониторинге. Решением данного вопроса является использование службы каталога. Наибольшее распространение получила служба каталога Active Directory (AD) на базе операционной системы Windows, характеризующаяся единой распределенной базой данных об объектах ИТ-инфраструктуры, масштабируемостью и безопасностью.

Тем не менее, наряду с преимуществами данного подхода к управлению компьютерной сетью, есть ряд проблем, которые все еще не решены. Одной из таких проблем до недавнего времени оставалась «проблема удаленных филиалов». Проблема характерна для географически распределенных организаций, имеющих хорошо технически оснащенный центральный офис, и ряд филиалов в удаленных регионах, которые зачастую не имеют специально оборудованных серверных помещений и высококвалифицированного ИТ-персонала. Кроме того, пропускная способность каналов связи между головным офисом и филиалом сильно ограничена, что затрудняет репликацию изменений службы каталога из центрального офиса в филиалы.

С появлением на рынке операционной системы Windows Server 2008 перед ИТ-специалистами открылись новые возможности, в том числе связанные с новыми принципами функционирования службы Active Directory, а именно:

  • o более гибкая настройка политики паролей учетных записей – теперь в рамках одного домена можно создавать несколько политик, регламентирующих выбор пароля пользователя; данный функционал позволит в рамках одного домена AD предъявлять различные требования к паролям для сотрудников разных структурных подразделений в зависимости от уровня секретности;
  • o появился контроллер домена только для чтения (RODC) – решение, позволяющее усилить защиту структуры AD от несанкционированного доступа в филиалах, характеризующихся малым числом пользователей, отсутствием местных высококвалифицированных ИТ-специалистов, недостаточной защищенностью серверных помещений;
  • o функционирование ОС в режиме ядра (Core) – режим функционирования ОС, характеризующийся отсутствием графического интерфейса и минимумом используемых сервисов; в сочетании с использованием RODC повышает защиту контроллеров домена, поскольку требует от злоумышленника более высокой квалификации;
  • o улучшенный механизм репликации – оптимизирован трафик репликации, в том числе и для зон DNS, интегрированных в AD, что делает решение более масштабируемым;
  • o появилась возможность аудита изменений над объектами AD – в базе AD хранятся новое и предыдущее значения, что позволяет при необходимости вернуться к предшествующему состоянию;
  • o значительно расширены возможности делегирования полномочий – появилась возможность предоставлять пользователям, которые не являются администраторами домена, роли локального администратора на конкретном RODC; кроме того у пользователя (владельца) во время создания новых объектов появилась возможность настройки разрешений на создаваемый объект;
  • o расширены возможности групповой политики – появилась возможность блокировки USB-портов и других периферийных устройств, что повысит защищенность сети как от нежелательного распространения информации, так и от несанкционированного копирования данных.

Таким образом, переход на службу каталога на базе операционной системы Windows Server 2008 позволит повысить эффективность управления ИТ-инфраструктурой удаленного филиала и рационально использовать имеющиеся аппаратные мощности, не прибегая при этом к дополнительным затратам на:

  • расширение каналов связи с центральным офисом;
  • подбор высококвалифицированного ИТ-персонала в филиалах;
  • выделение специально оборудованных и хорошо защищенных серверных помещений.