的服務器才可以加入域。原裝的第一臺服務器稱為主域控制器(PDC),里面裝有用戶賬戶數
據庫的原始拷貝;以后加入的服務器稱為備份域控制器(BDC),每個BDC保存一份不可編輯
的用戶賬戶數據庫拷貝。當某用戶登錄到網絡上時,PDC或某一個BDC將鑒定用戶身份,然
后才允許它訪問該域中網絡資源。1
用戶登錄到域中時,PDC或BDC都可以鑒定其身份。實際鑒定用戶身份的控制器往往是
對登錄請求做出響應的第一臺服務器,不一定是PDC。
值得注意的是服務器一旦加入一個域中,它將成為域的終身成員。那么服務器要想加入
另一個域的惟一辦法就是徹底重新安裝,此外沒有其它辦法改變域成員資格。同樣也不可能
把一臺單獨的服務器升級為PDC或BDC。在計劃 Windows NT Server網絡安裝的時候,這是
需要記住的重要的一點。
當用戶賬戶加到域中時,用戶賬戶數據庫的變動只能在PDC中進行。然后PDC上的用
戶賬戶數據的拷貝以一個稱為同步的復制過程分發到BDC。這樣就能保證一且PDC出問題,
用戶賬戶數據庫仍安全無恙。如果PDC確實崩潰,其中一個BDC就被提升到PDC的位置,
而BDC-且已經提升到PDC,用戶賬戶數據庫就可以再次被修改(增加或刪除用戶等);如果
該域中的PDC無法使用,盡管仍然可以登錄,但卻不能修改SAM
當網絡里面出現了一個以上的域,其中某個域里的用戶需要訪問另一個域上資源的時候
就使用委托關系。網絡經常變得很大,資源分布在幾個域中。當用戶需要訪問域中的資源時
其訪問權可以兩種方法授予。具體做法如下:引
?用戶可以在擁有某項資源的域中擁有用戶賬戶,這種情況下,資源訪問權就在同一個域
中授予該用戶賬戶;、的
大?用戶在受托域中擁有用戶賬戶,這種情況下,資源訪問權就可從受托域中授于,擁有資
源的域稱為委托域
第一種授予訪問權的方法很簡單,用戶被授予訪問賬戶所在同一域中的資源訪問權
如一個名為John的用戶需要訪問公司的 Laserjet打印機,該打印機的打印隊列是一個服務器
上的共享資源,該服務器是名叫 FIELD域上的一個備份域控制器(BDC),因此該打印機作為
FIELD域中的資源是可以訪問的。John的用戶賬戶也在 FIELD域中,而 FIELD域的管理員
僅僅需要授予John用戶該打印機訪向權就行了。從此以后John在 FIELD域上登錄后,就被
自動授予該打印機的訪問權。則
假定該公司新建立一個名叫 RESOURCE的新域,要把所有的資源(如打印機)都轉入那
個新域,由另一位管理員管理。如果 Lase Jet打印機轉到BDC將會發生什么情況?BDC是域
名叫 RESOURCE的一名成員,打印機在 FIELD域中再也無法獲得,因此John再也無權訪問
打印機資源。從現在開始起,John可以通過建立域委托關系來訪問打印隊列,委托關系使得
ohn( FIELD域的一員)能夠訪問位于 RESOURCE域中的 Laserjet打印隊列。
建立委托關系的步驟如下:
x1) FIELD域和 RESOURCE域之間建立 Windows NT單向域委托關系。 FIELD域被指
定為受托域,John的賬戶只存在于 FIELD域中; RESOURCE域叫做委托域。
某(2) RESOURCE域(委托域)的管理員把 Laserjet打印隊列訪問權授予受托域賬戶,作為
52 感何并控 要托域的 FIELD的一員的h就可把打印作業送到打印機隊列等待打印。
簡單地說、受拓城是擁有用戶賬戶的域,委拓域是擁有資源的域。
共享的資源,例如在其一臺服務器上有彩色打印機,那么資源委托域中的用戶賬戶并不能訪間 委托只是單向的。如果資源域( RESOURCE)擁有用戶賬戶,而賬戶域( FIELD)又擁末司
賬戶城(也即受托域)中的彩色打印機。這就是單向委托關系的來歷。如果 RESOURC
的用戶想訪問 FIELD域中的資源,同樣, FIELD域必須建立到 RESOURCE的單向委托關系、
這次 RESOURCE域被指定為受托域,而 FIELD域為委托域。于是在FI SOURCE域之間建立雙向委托關系。雙向委托關系沒有其他別的意義,只不過是相互單向委
托而已。一且雙向委托關系建立, FIELD域的管理員就可授予屬于 RESOURCE域的賬戶請
問彩色打印機的權利。建立多個域之間的委托關系如果不計劃好,將變得非常復雜。由于用戶賬戶分散在多個
域之中,因此,可以多次實施委托關系。建立委托關系可以避免用戶賬戶在多個域中重新建立
的必要性。) i這些委托關系如果運用得當,可以減少管理的開銷,也可用來定制網絡管理員的管理責任 ,所出架。全
圍。在設計包含若干個域的環境時,大多數時候,可以使用世條簡單的原則:9中如
把用戶賬戶置于單個賬戶域之中,如果需要也可以把資源置于賬戶域中,但是,絕大多數
的網絡資源應該置于資源域中。在資源域中的賬戶僅限于有限數量的管理賬戶。單向委托關
系在賬戶域和資源域之間的創建,使得賬戶域成為受托域而資源域則成為委托域,而一旦建立
了委托關系,很容易授予對跨越域的任何資源的訪問權、這種類型的域模式稱為主域模式。顧
名思義,主域模式中擁有人們認為的主域,即包含用戶賬戶的域。這一類型的域模式可以容納
多達100用戶。還有一些其它的域模式;每ー種模式有其優點和缺點:這取決手網絡大
小和復雜程度。域的其他形式有
?多主域模式:供擁有10.000多個用戶賬戶的大機構使用;て的で一
當單域模式:供較小的機構使用;ea的后公國的要的ial
完全委托域模式:使用戶不受限制使用所有其它域的資源量器受理好,共的 243 Window NT t的全問ー
人們應該知道,在 Windows NT i操作系統以及它提供的同組功能中存在著一些安全向
題。對一個管理員來說,他們應該了解有關NT安全性的知識。さ個一
2:4.3.1訪問控制列表 求的。一民由、記
為了使NT服務器有很好的安全性,設置 Administrators用戶組和 System用戶組對根目
采用上述方法逐級對目錄樹中的所有目錄進行權限設置。要注意的是,創建的新用戶應具有 錄有全部控制的權限,設置Ues用戶組(不是 Everyone J用戶組)對根目錄有只讀權限。可以
該用戶所屬用戶組的權限。
要確保打印隊列池(Pim(S)目錄的創建者或擁有者對該目錄具有全部控制的權限
用Cads, File Manager i或 Explorer r中的查找工具( Search)查找到所有的可執行文件和動態鏈
接庫文件。這些文件的權限設置如下: 網站設計Administrators月戶組設置為“全部控制”權限:如果
本文地址:http://123beaconmarketing.com//article/3735.html