Active Directory — прекрасная система, но функции самоочистки в ней, к сожалению, нет. Я как-то раз обнаружил в своей конфигурации устаревший контроллер домена (на уровне Windows Server 2008 R2), который уже давным-давно не работал. Однако запросто взять и удалить его из консоли «Active Directory — сайты и службы» (Active Directory Sites And Services) я не рискнул, потому что учетные записи контроллеров домена обрабатываются в AD особым образом.
Структурирование Active Directory — это целая наука, слишком сложная, чтобы все ее тонкости можно было описать в одной статье. Тем не менее, я хотел бы поделиться с читателями некоторыми полезными рекомендациями, которые помогут сделать структуру AD более эффективной, облегчат диагностику и управление.
Во многих организациях используется два и более сервера DNS — один для внутренних пользователей, а другой, доступный через Интернет, для всех остальных. Для облегчения управления серверами используются интегрированные в Active Directory зоны DNS. Иногда бывает необходимо обрабатывать запросы, направляемые к этим серверам DNS, по-разному, в зависимости от расположения запрашивающего. Это называется расщепление DNS. Запросы к внутреннему серверу DNS обрабатываются иначе, чем к внешнему, а управление этим процессом осуществляется с помощью Windows Server 2003.
Со времен Windows 2000 Active Directory остается стандартным средством управления процессами входа в систему, аутентификацией, DNS и другими доменными функциями в сетях Windows. Появление механизма репликации и контроллеров домена с режимом «мультимастер» стало большим шагом вперед в развитии сетевых технологий по всему миру.
При регулярном выполнении различных администраторских заданий в Windows очень удобно содержать все релевантные объекты в одной организационной единице. При таком подходе частичное удаление, массовые изменения, параллельный доступ и процессы предпроектной стадии при работе с пользовательскими учётными записями проходят гораздо легче.
Если DNS полностью интегрирована в Active Directory, разброс приписанных и используемых TCP/IP-адресов может оказаться очень большим, особенно если корректировки данных после удаления или изменения систем не происходит. К счастью, для экспорта списка используемых системами Windows IP-адресов в среде Active Directory достаточно знать одну простую команду.
Служба Каталогов (Active Directory Services) — действующий стандарт для инициализации учётных записей, базового системного управления и DNS-идентификации в большинстве сред. Ведение отчётности для определения изменений в скором времени может стать необходимым требованием. Ниже приведены несколько стратегий для внедрения отчётности в среду Службы Каталогов (Active Directory, далее AD). Они послужат дополнением к уже существующим стратегиям, расширят возможности тестирования и предоставят удобный набор данных для определения изменений при решении проблем.
Версия Windows Server 2003 с поддержкой службы каталогов «Активная директория» (Active Directory, далее AD) гораздо безопаснее версии Windows 2000. Это не значит, что нельзя сделать Windows 2000 более безопасной. Это значит, что для работы с AD легче использовать версию Windows Server 2003, которая не требует дополнительных настроек параметров защиты.
Важной частью обеспечения безопасности Вашей сети является управление пользователями и группами, имеющими административные права доступа к службе каталогов Active Directory. Злоумышленники, имеющие административный доступ к контроллерам домена Active Directory, могут нарушить безопасность Вашей сети.
Структурирование 
Во многих организациях используется два и более сервера 
В набор дополнительных функций 
Со времен 
При регулярном выполнении различных администраторских заданий в Windows очень удобно содержать все релевантные объекты в одной организационной единице. При таком подходе частичное удаление, массовые изменения, параллельный доступ и процессы предпроектной стадии при работе с пользовательскими учётными записями проходят гораздо легче.
Версия Windows Server 2003 с поддержкой службы каталогов «Активная директория» (Active Directory, далее AD) гораздо безопаснее версии Windows 2000. Это не значит, что нельзя сделать Windows 2000 более безопасной. Это значит, что для работы с AD легче использовать версию Windows Server 2003, которая не требует дополнительных настроек параметров защиты.
Важной частью обеспечения безопасности Вашей сети является управление пользователями и группами, имеющими административные права доступа к службе каталогов Active Directory. Злоумышленники, имеющие административный доступ к контроллерам домена Active Directory, могут нарушить безопасность Вашей сети.