SHPORA.net :: PDA | |
Main FAQ гуманитарные науки естественные науки математические науки технические науки Понятие домена Если рабочая группа часто ориентирована на одно помещение, то при разработке доменной архитекруры был положен принцип: любой компьютер, регистрирующийся в сети, может относиться к любому из доменов вне зависимости от его расположения (территориально) или принадлежности к какому-либо из отделов. На каждую учетную запись пользователя ведется отдельный учет по тем правам, которые для него назначены в домене. База данных SAM (Security Accounts Management - управление безопасными учетными записями) - главная служба каталога для нескольких вариантов систем Microsoft Windows NT (например, Windows NT 3.5 и Windows NT Server 4). База данных SAM масштабируется намного лучше, чем предыдущая архитектура службы каталога из-за введения междоменных доверительных отношений. Если текущий домен доверяет другому домену, то он имеет право назначать (дилегировать) любому пользователю или группе пользователей из этого домена права доступа к своим внутридоменным сетевым ресурсам. Как правило подобная сложная структура бывает централизованной. Управление осуществляется при помощи выделенного сервера. Выделенный сервер может нести несколько функциональных нагрузок - файл-сервер, принт-сервер, mail-сервер, сервер баз данных и прочие. Но для организации домена необходимо, чтобы он также выполнял функцию «контролера домена». В пределах домена все администраторы имеют полный контроль над серверами и службами, которые на них выполняются. По мере роста количества доменов в организации обеспечение уверенности относительно доверительных отношений, которые делают возможным пользовательскую идентификацию для доступа к ресурсам внешних доменов, приводит к росту накладных расходов. Чтобы справиться с этой растущей сложностью доменов и доверительных отношений, сетевые администраторы реализуют одну из четырех доменных моделей (рисунок 1): отдельный домен (single domain), домен с одним хозяином (master domain), домен с несколькими хозяевами (multiple master domain) и отношения полного доверия (complete trust). При поддержке этих моделей самая большая сложность состоит в необходимости создания и сопровождения большого количества доверительных отношений. При этом все доверительные отношения между доменами Windows NT 4 должны создаваться с двух сторон, т.е. в обоих доменах. База SAM является самым узким местом при такой системе управления сетевыми ресурсами и все ее ограничения являются ограничения системы администрирования в целом. Во-первых, SAM одного домена имеет ограничение размера в 40 Мбайт. В результате количество объектов учетных записей (пользователи, их группы и узлы сети) не может превышать 40000. Второе ограничение на базу данных SAM состояло в возможностях доступа. Единственным методом доступа для взаимодействии с SAM является Windows NT Server. Этот метод ограничивает программируемый доступ и не обеспечивает конечным пользователям легкого доступа для поиска объектов. В-третьих, функция контроллера домена, связанная с обновлением SAM достаточно сложна и имеет собственную иерархию отношений. Первичный контроллер домена (Primary Domain Controller - PDC) обладает в сети правами единственного автора изменений SAM, то есть регистрация любого сетевого объекта должна осуществляться на PDC. Для поддержки работоспособности сетевых сегментов, территориально удаленных от PDC, в сети устанавливают дополнительные или вторичные контроллеры домена (Secondary Domain Controller - SDC), которые обслуживают запросы пользователей на авторизацию в случае отсутствия отклика от PDC. Для выполнения своих функций SDC хранит копию SAM, внесение изменений в которую запрещены, разрешена только синхронизация этой копии с основной базой SAM, хранящейся на PDC. |