АДМИНИСТРИРОВАНИЕ И НАСТРОЙКА ОС WINDOWS NT

       

Доменная справочная служба Windows NT


Домены позволяют структурировать сеть и упрощать задачи администрирования и управления. На основе доменов строится справочная служба сетей Windows NT.

Домен - это совокупность пользователей, серверов и рабочих станций, учетная информация о которых централизованно хранится в общей базе данных, называемой базой SAM (Security Accounts Manager database). Над этой базой данных реализована справочная служба Directory Services, которая, как и любая централизованная справочная служба, устраняет дублирование учетных данных в нескольких компьютерах и сокращает число рутинных операций по администрированию. Наличие общей базы учетных данных дает возможность пользователям получать доступ ко всем ресурсам домена при однократном логическом входе в этот домен.

Если администратор завел пользователя домена, то он имеет возможность зарегистрироваться на любой рабочей станции в этом домене. Для этого достаточно ввести имя, имя домена и пароль при регистрации, и Windows NT Workstation опознает пользователя и воссоздаст его рабочую среду.

В сети Windows NT можно организовать несколько доменов, причем полномочия администратора каждого домена ограничиваются ресурсами только своего домена. Это позволяет декомпозировать сложную задачу администрирования большой сети на несколько более простых задач администрирования отдельных фрагментов сети. Домены достаточно независимы друг от друга, однако администраторы сети могут устанавливать между ними так называемые "доверительные отношения", которые позволяют пользователям одного домена иметь доступ к ресурсам другого домена.

Если запросы пользователей локализуются в пределах некоторой совокупности компьютеров, то каждую такую совокупность пользователей и компьютеров рационально объединить в один домен. Компьютерами Windows NT Server и Windows NT Workstation, являющиеся членами домена, можно управлять централизовано. Это значит, что с помощью утилиты Server Manager администратор может просматривать список сервисов, которые работают на удаленном компьютере точно так, же, как он это делает с помощью кнопки Services утилиты Control Panel локально. Кроме того, администратор может запускать или останавливать сервисы на удаленном компьютере, а также создавать и давать права на доступ к разделяемым каталогам и принтерам удаленных компьютеров - членов домена. К сожалению, такое централизованное управление возможно только компьютерами под управлением Windows NT Server или Windows NT Workstation, но не Windows 95 или Windows for Workgroups.

По сравнению со справочными службами NDS компании Novell или StreetTalk компании Banyan справочная служба Windows NT пока проигрывает в отношении функциональности и масштабируемости. В Windows NT нет иерархического упорядочивания ресурсов - списки пользователей и компьютеров плоские, а в больших организациях возможность распределения ресурсов по производственной иерархии очень важна, и NDS и StreetTalk ее поддерживают.

В отличие от справочной службы NDS NetWare база данных каждого домена не является распределенной. А значит при репликации она может копироваться только целиком. Это вынуждает в больших сетях создавать несколько доменов. Наличие копий SAM BP снижает нагрузку на первичный контроллер домена, но не снимает вопрос о возможности работы на одном компьютере базы, описывающей десятки тысяч пользователей.

Доменная организация уменьшает вероятность возникновения и распространения ошибок администрирования, и тем самым сокращает количество слабых мест в системе защиты.

Компания Microsoft собирается повысить функциональные возможности своей справочной службы в версии Windows NT 5.0, а в версии до 4.0 включительно для создания иерархической и масшитабируемой службы предлагается использовать механизм доверительных отношений (trust relationships).

Если в сети организовано несколько доменов и между ними нет доверительных отношений, то аутентификация пользователя одного домена должна каждый раз выполняться заново, когда он пытается обратиться к ресурсам другого домена, то есть домена, отличного от того, в который он совершил логический вход. У каждого домена должен быть свой администратор, который заводит на пользователей учетные записи в SAM домена и предоставляет этим пользователям права доступа на ресурсы серверов домена.



Содержание раздела