Однодоменная сеть Windows NT — КиберПедия 

Архитектура электронного правительства: Единая архитектура – это методологический подход при создании системы управления государства, который строится...

Индивидуальные очистные сооружения: К классу индивидуальных очистных сооружений относят сооружения, пропускная способность которых...

Однодоменная сеть Windows NT

2019-09-26 198
Однодоменная сеть Windows NT 0.00 из 5.00 0 оценок
Заказать работу

1.1 Основной и резервный контроллеры

 

Домен - это основная единица администрирования и обеспечения безопасности в Windows NT. Для домена существует общая база данных учетной информации пользователей домена (user accounts) и ресурсов домена - компьютеров (computer accounts) и принтеров (printer accounts). Пользователь домена выполняет один логический вход в домен и получает доступ сразу ко всем разрешенным ресурсам этого домена.

Членами домена являются как пользователи, так и компьютеры. При отсутствии доменной организации каждый компьютер Windows NT Workstation и Windows NT Server хранит собственную базу учетных данных пользователей - SAM (Security Access Manager). В этой базе хранится вся необходимая системе информация о пользователе - имя, пароль (в зашифрованном виде) и так называемый SID - Security Identifier. Идентификатор SID играет ключевую роль в процессе предоставления пользователю доступа к защищенным ресурсам системы - файлам, принтерам и т.п. В списке прав доступа ресурса ACL хранится информация о конкретных номерах SID, которым разрешен тот или иной вид доступа. Каждый SID является уникальным числом. При изменении имени пользователя его SID не изменяется.

Компьютер домена также характеризуется именем и идентификатором SID, между которыми имеется такое же соотношение, как и между именем и идентификатором SID пользователя.

В домене обязательно есть сервер Windows NT Server, выполняющий роль первичного контроллера домена - Primary Domain Controller, PDC. Этот контроллер хранит первичную копию базы данных учетной информации пользователей домена - SAM PD. Все изменения учетной информации сначала производятся именно в этой копии. Основной контроллер домена всегда существует в единственном экземпляре.

 

 

Рис. 60.1. Структура домена

 

Кроме основного контроллера, в домене могут существовать несколько резервных контроллеров - Backup Domain Controllers, BDC. Эти контроллеры хранят реплики базы учетных данных. Все резервные контроллеры в дополнение к основному могут обрабатывать запросы пользователей на логический вход в домен. База данных SAM BD всегда является копией (с точностью до интервала синхронизации) базы SAM PD.

Резервный контроллер домена решает две задачи:

 

1. Он становится основным контроллером при отказе последнего.

2. Уменьшает нагрузку на основной контроллер по обработке запросов на логический вход пользователей.

 

Если сеть состоит из нескольких сетей, соединенных глобальными связями, то в каждой из составляющих сетей должен быть по крайней мере один резервный контроллер домена.

Членами домена могут быть также компьютеры, на которых установлены Windows NT Server, не назначенные на роль PDC или BDC. Такие серверы называются отдельно стоящими серверами (Stand-alone servers) или серверами - членами доменами (Member servers). На таких компьютерах, освобожденных от функций аутентификации пользователей и ведения справочной базы данных, могут более производительно выполняться ответственные приложения или файл- и принт-сервисы. Stand-alone серверы не могут быть оперативно переконфигурированы в PDC или BDC, для этого требуется переинсталляция.

Рабочая станция Windows NT Workstation и сервер Windows NT Server, не выполняющий роль PDC или BDC, могут динамически изменять свое членство в домене, а серверы PDC и BDC - только при инсталляции системы. Поэтому при инсталляции очень важно правильно выбрать принадлежность компьютера, назначенного на роль контроллера домена, тому или иному домену.

Процедура присоединения компьютера к домену описана в разделе "Практические занятия".

 

1.2 Рабочая группа

 

Кроме доменной структуры, сеть Windows NT может быть организована как рабочая группа. Рабочая группа - это логическое объединение компьютеров, обычно не более 10, которые могут разделять свои ресурсы. Однако при этом каждый компьютер рабочей группы имеет собственную базу учетных данных, содержащую информацию только о его локальных пользователях. На компьютерах рабочей группы могут быть установлены и Windows NT Server, и Windows NT Workstation. И пользователи, и ресурсы каждого члена рабочей группы администрируются средствами данного компьютера. Таким образом, рабочая группа не дает всех тех возможностей, которые несет в себе централизованная доменная справочная служба.

 

1.3 Логический вход в компьютер и домен

 

Когда пользователь выполняет логический вход в компьютер, то после аутентификации по имени и паролю для него создается токен доступа, куда помещается его личный SID, а также SID'ы всех групп, в которые пользователь входит. SID однозначно определяет пользователя, так как создается при занесении данных на пользователя уникальным образом - после удаления пользователя из базы SAM его SID больше повторно никогда не используется в системе.

Если пользователь выполняет логический вход в компьютер, например Windows NT Workstation 1, то его аутентификация выполняется в базе SAM 1 этого компьютера, и SID пользователю присваивается из нее.

Если же этот компьютер является членом домена, то тогда у него появляется возможность выполнить вход в домен (возможность входа в компьютер у него остается по-прежнему за счет выбора имени входа в панели диалога аутентификации).

Процедура логического входа рассматривается в разделе "Практические занятия".

 

1.4 Транзитная аутентификация в однодоменной сети

 

Если пользователь входит с рабочей станции Windows NT Workstation в домен, то рабочая станция не обращается для аутентификации в свою базу SAM, а выполняет транзитную аутентификацию. Транзитная аутентификация заключается в поиске первичного или вторичного контроллеров домена и передаче им данных о пользователе. Контроллер домена, получив данные пользователя, выполняет просмотр своей базы SAM DP или SAM PD и на основании хранящихся там данных выполняет процедуру аутентификации. Естественно, что прошедшему аутентификацию пользователю присваивается SID, хранящийся в базе SAM контроллера домена, а не той рабочей станции, с которой пользователь выполняет логический вход.

Если у разделяемых ресурсов всех серверов домена данный SID включен в списки прав доступа ACL, то пользователь после входа в домен автоматически получает соответствующие права доступа к этим ресурсам.

Таким образом, централизованная справочная служба контроллеров PDC и BDC обеспечивает свойство единственности логического входа в систему - пользователь не должен каждый раз проходить через процедуру аутентификации при попытке получить доступ к ресурсам нового сервера Windows NT Server.

 


Поделиться с друзьями:

Историки об Елизавете Петровне: Елизавета попала между двумя встречными культурными течениями, воспитывалась среди новых европейских веяний и преданий...

Индивидуальные очистные сооружения: К классу индивидуальных очистных сооружений относят сооружения, пропускная способность которых...

Архитектура электронного правительства: Единая архитектура – это методологический подход при создании системы управления государства, который строится...

Таксономические единицы (категории) растений: Каждая система классификации состоит из определённых соподчиненных друг другу...



© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!

0.013 с.