SHPORA.net :: PDA

Login:
регистрация
Main
FAQ
гуманитарные науки
естественные науки
математические науки
технические науки
Search:
Title: | Body:

Понятие домена




Если рабочая группа часто ориентирована на одно помещение, то при разработке

доменной архитекруры был положен принцип: любой компьютер, регистрирующийся в

сети, может относиться к любому из доменов вне зависимости от его расположения

(территориально) или принадлежности к какому-либо из отделов.

На каждую учетную запись пользователя ведется отдельный учет по тем правам,

которые для него назначены в домене.

База данных SAM (Security Accounts Management - управление безопасными учетными

записями) - главная служба каталога для нескольких вариантов систем Microsoft

Windows NT (например, Windows NT 3.5 и Windows NT Server 4). База данных SAM

масштабируется намного лучше, чем предыдущая архитектура службы каталога из-за

введения междоменных доверительных отношений. Если текущий домен доверяет

другому домену, то он имеет право назначать (дилегировать) любому пользователю

или группе пользователей из этого домена права доступа к своим внутридоменным

сетевым ресурсам. Как правило подобная сложная структура бывает

централизованной. Управление осуществляется при помощи выделенного сервера.

Выделенный сервер может нести несколько функциональных нагрузок - файл-сервер,

принт-сервер, mail-сервер, сервер баз данных и прочие. Но для организации домена

необходимо, чтобы он также выполнял функцию «контролера домена».

В пределах домена все администраторы имеют полный контроль над серверами и

службами, которые на них выполняются. По мере роста количества доменов в

организации обеспечение уверенности относительно доверительных отношений,

которые делают возможным пользовательскую идентификацию для доступа к ресурсам

внешних доменов, приводит к росту накладных расходов. Чтобы справиться с этой

растущей сложностью доменов и доверительных отношений, сетевые администраторы

реализуют одну из четырех доменных моделей (рисунок 1): отдельный домен (single

domain), домен с одним хозяином (master domain), домен с несколькими хозяевами

(multiple master domain) и отношения полного доверия (complete trust).

При поддержке этих моделей самая большая сложность состоит в необходимости

создания и сопровождения большого количества доверительных отношений. При этом

все доверительные отношения между доменами Windows NT 4 должны создаваться с

двух сторон, т.е. в обоих доменах.

База SAM является самым узким местом при такой системе управления сетевыми

ресурсами и все ее ограничения являются ограничения системы администрирования в

целом.

Во-первых, SAM одного домена имеет ограничение размера в 40 Мбайт. В результате

количество объектов учетных записей (пользователи, их группы и узлы сети) не

может превышать 40000.

Второе ограничение на базу данных SAM состояло в возможностях доступа.

Единственным методом доступа для взаимодействии с SAM является Windows NT

Server. Этот метод ограничивает программируемый доступ и не обеспечивает

конечным пользователям легкого доступа для поиска объектов.

В-третьих, функция контроллера домена, связанная с обновлением SAM достаточно

сложна и имеет собственную иерархию отношений.

Первичный контроллер домена (Primary Domain Controller - PDC) обладает в сети

правами единственного автора изменений SAM, то есть регистрация любого сетевого

объекта должна осуществляться на PDC. Для поддержки работоспособности сетевых

сегментов, территориально удаленных от PDC, в сети устанавливают дополнительные

или вторичные контроллеры домена (Secondary Domain Controller - SDC), которые

обслуживают запросы пользователей на авторизацию в случае отсутствия отклика от

PDC.

Для выполнения своих функций SDC хранит копию SAM, внесение изменений в которую

запрещены, разрешена только синхронизация этой копии с основной базой SAM,

хранящейся на PDC.