Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Проектирование локальной сети - сколько доменов? (http://forum.oszone.net/showthread.php?t=70229)

Arhitektor 23-08-2006 12:34 475904
Проектирование локальной сети - сколько доменов?
 
Доброе время суток!

Стоит следующая задача:
1) В школе 4 класса, в каждом из которых примерно 12-14 компьютеров + 1 компьютер для учителя - всего 65 компьютеров.
2) Планируется выход в Интернет через ADSL.
3) Требования для паролей учеников и учителей, доступ к ресурсам в каждом классе одинаковы для всех классов.

Требуется организовать общую сеть для всех компьютеров.

Я склоняюсь к структуре одного домена, в рамках которого организуется 2 подразделения
- ОП Ученики
- ОП Учителя
с разными политиками, как для компьютеров, так и для пользователей.

Что можете сказать?

xoxmodav 23-08-2006 12:57 475916
Правильно, больше одного домена и нет смысла создавать. А по поводу планирования и разворачивания OU (ОП) - всё зависит от вас (как вы будете раздавать доступ, разрешения, администрировать и т.п.).

Arhitektor 23-08-2006 13:22 475929
Спасибо за ответ!

Тогда еще один вопрос:
Сколько требуется DNS и DHCP серверов?

xoxmodav 23-08-2006 13:37 475934
По одному того и другого, если финансирование поволяет, то для отказоустойчивости поставьте дополнительный (резервный) контроллер домена, на котором также поднимите DNS и DHCP.

Butunin Klim 23-08-2006 14:02 475945
Цитата:
на котором также поднимите DNS и DHCP.
На DHCP примени правило 80/20. И используй на них NBL.

Butunin Klim 23-08-2006 14:46 475956
Что такое правило 80/20.

1. Создайте облость для всех допустимых ай пи адресов.
2. Задайте исключение, что бы основной (первичный) обрабатывал 80% ай пи адресов пула а вторичный 20%.Тем самым на каждмо сервере исключаются появление ай пи адресов который входят в исключение, то есть ни один из ай пи адресов не появляется в пулах обоих адресов.
3. Создайте на обоих серверах супер облость, содержащие все допустимые облости для данной физической подсети.

Это правило 80/20

xoxmodav 23-08-2006 15:04 475961
Butunin Klim

Всё хорошо, вот только повнимательнее набивай сообщения - многовато ошибок.

ant2004 23-08-2006 15:32 475967
Butunin Klim Кстати есть вопрос.
Есть ли аппаратная реализация NBL, ну что бы не использовать win2003?

Butunin Klim 23-08-2006 15:54 475973
xoxmodav
Руссикй плохо знаю ... моя погрешность:)
ant2004
Конечно есть.
В настройках сетевого интерфейса добавь помойму NBL службу...

Ivan1986 23-08-2006 22:18 476114
Еще хочу дать совет по своему опыту работы в школе (пару лет работал администратором)
когда пришел туда домен был еле живой, его года за 2 замучали, потом пришлось с нуля ставить.

Вобщем если есть возможность отруби от серваков монитор и клавиатуру или запрети заходить всем кромя себя, даже по сети
не в коем случае не давай учителям доступ к АД, только себе.

Также установи что-то типа DeviceLock, чтобы запретить ученикам доступ к дисководам вообще
физически отключать не рекомендуется, так как многие учителя ламеры и не представляют как пользоваться сеткой
(при мне "учитель первой категории" :) (не знаю за какие заслуги ее так величают, скорее всего за правильную распальцевку) не смогла открыть общий доступ к файлам, причем когда я пришел открывать рядом с компом лежал самоучитель по XP открытый сами догадайтесь на какой теме)

Не под каким предлогом не давай права на серваке учителям - они садят деток со словами "я его знаю, он хороший, он ничего не сделает", при мне такие хорошие один раз снесли систему, слава богу бекап был, ну это я не считаю кейлогеров и расшифровщиков паролей, правда по поводу поспоследних - пароль минимум 15 символов и можете лично скопировать все что нужно для взлома с помошью лупткрека :)

Не поленись настроить RIS со всеми программами переделанными в MSI - секономишь очень много времени.

По поводу игрух - cs unreal q3 и пр запрети по хешу.
Только чтобы никто не узнал про то, как легко эта защита обходится с помошью hexedit'а.

Продумай ситуацию с обязательными (или хотябы перемещаемыми + политики на запрет мучать рабочий стол(обязательно)) профилями - было бы шикарно, но только если у тебя надежная сетка и 2 сервака - поднимай DFS с синхронизацией, просто так будет гораздо проще чистить все профили от той горы хлама, которую они накидают и устанавливать квоты.
Если сервак один, то подумай насчет этого - если рухнет - будут проблемы входа в сеть, а учителя это обычно лечат выключением хаба (если его находят и вообще представляют, что это такое).

По поводу подразделений рекомендую еще вынести подразделение компы и побить по кабинетам, так как тебе это потребуется для установки программ, у учителей часто возникает шизы типа - "а поставь ка в том кабинете дельфи" (деток мучать будут).
И еще - ставь 2003 сервак, даже лучше R2, фильтры на файлы все равно желательно ставить.

Fighter 24-08-2006 03:19 476190
Цитата:
Цитата Arhitektor
Я склоняюсь к структуре одного домена, в рамках которого организуется 2 подразделения
если только в этих кабинетах не будут изучать планирование инфраструктуры АД etc. =)
в противном случае не менее домена на класс :)

что касается организационных подразделений - то, как уже было замечено, оптимальнее было бы
не менее одного на класс. А именно:
Код:
domain.local
        Builting
        Computers
        Domain Controllers
        Users
        Clas_1
                OU_Computers_1
                OU_Users_1
                    ...
                (OU_Group/etc.)
        Clas_2
                OU_Computers_2
                OU_Users_2
          ...
        Clas_4
                OU_Computers_4
                OU_Users_4
Это позволит избежать путаницы и упростит управления и т.д. и т.п.
В том числе позволит более оптимально организовать процесс
делегирования полномочий (в том числе и для доступа пользователей к АД)
Некоторые материалы по данным "мероприятиям" доступны на сайте oszone
успехов :)


Время: 16:23.

Время: 16:23.
© OSzone.net 2001-