Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

Виртуальные VPS серверы в РФ и ЕС

Dedicated серверы в РФ и ЕС

По промокоду CITFORUM скидка 30% на заказ VPS\VDS

VPS/VDS серверы. 30 локаций на выбор

Серверы VPS/VDS с большим диском

Хорошие условия для реселлеров

4VPS.SU - VPS в 17-ти странах

2Gbit/s безлимит

Современное железо!

4. Однодоменная сеть Windows NT

4.1. Основной и резервный контроллеры

Домен - это основная единица администрирования и обеспечения безопасности в Windows NT. Для домена существует общая база данных учетной информации пользователей домена (user accounts) и ресурсов домена - компьютеров (computer accounts) и принтеров (printer accounts). Пользователь домена выполняет один логический вход в домен и получает доступ сразу ко всем разрешенным ресурсам этого домена.

Рис. 4.1. Структура домена

Членами домена являются как пользователи, так и компьютеры. При отсутствии доменной организации каждый компьютер Windows NT Workstation и Windows NT Server хранит собственную базу учетных данных пользователей - SAM (Security Access Manager). В этой базе хранится вся необходимая системе информация о пользователе - имя, пароль (в зашифрованном виде) и так называемый SID - Security Identifier. Идентификатор SID играет ключевую роль в процессе предоставления пользователю доступа к защищенным ресурсам системы - файлам, принтерам и т.п. В списке прав доступа ресурса ACL хранится информация о конкретных номерах SID, которым разрешен тот или иной вид доступа. Каждый SID является уникальным числом. При изменении имени пользователя его SID не изменяется.

Компьютер домена также характеризуется именем и идентификатором SID, между которыми имеется такое же соотношение, как и между именем и идентификатором SID пользователя.

В домене обязательно есть сервер Windows NT Server, выполняющий роль первичного контроллера домена - Primary Domain Controller, PDC. Этот контроллер хранит первичную копию базы данных учетной информации пользователей домена - SAM PD. Все изменения учетной информации сначала производятся именно в этой копии. Основной контроллер домена всегда существует в единственном экземпляре.

Кроме основного контроллера, в домене могут существовать несколько резервных контроллеров - Backup Domain Controllers, BDC. Эти контроллеры хранят реплики базы учетных данных. Все резервные контроллеры в дополнение к основному могут обрабатывать запросы пользователей на логический вход в домен. База данных SAM BD всегда является копией (с точностью до интервала синхронизации) базы SAM PD.

Резервный контроллер домена решает две задачи:

  1. Он становится основным контроллером при отказе последнего.
  2. Уменьшает нагрузку на основной контроллер по обработке запросов на логический вход пользователей.

Если сеть состоит из нескольких сетей, соединенных глобальными связями, то в каждой из составляющих сетей должен быть по крайней мере один резервный контроллер домена.

Членами домена могут быть также компьютеры, на которых установлены Windows NT Server, не назначенные на роль PDC или BDC. Такие серверы называются отдельно стоящими серверами (Stand-alone servers) или серверами - членами доменами (Member servers). На таких компьютерах, освобожденных от функций аутентификации пользователей и ведения справочной базы данных, могут более производительно выполняться ответственные приложения или файл- и принт-сервисы. Stand-alone серверы не могут быть оперативно переконфигурированы в PDC или BDC, для этого требуется переинсталляция.

Рабочая станция Windows NT Workstation и сервер Windows NT Server, не выполняющий роль PDC или BDC, могут динамически изменять свое членство в домене, а серверы PDC и BDC - только при инсталляции системы. Поэтому при инсталляции очень важно правильно выбрать принадлежность компьютера, назначенного на роль контроллера домена, тому или иному домену.

Процедура присоединения компьютера к домену описана в разделе "Практические занятия".

4.2. Рабочая группа

Кроме доменной структуры, сеть Windows NT может быть организована как рабочая группа. Рабочая группа - это логическое объединение компьютеров, обычно не более 10, которые могут разделять свои ресурсы. Однако при этом каждый компьютер рабочей группы имеет собственную базу учетных данных, содержащую информацию только о его локальных пользователях. На компьютерах рабочей группы могут быть установлены и Windows NT Server, и Windows NT Workstation. И пользователи, и ресурсы каждого члена рабочей группы администрируются средствами данного компьютера. Таким образом, рабочая группа не дает всех тех возможностей, которые несет в себе централизованная доменная справочная служба.

4.3. Логический вход в компьютер и домен

Когда пользователь выполняет логический вход в компьютер, то после аутентификации по имени и паролю для него создается токен доступа, куда помещается его личный SID, а также SID'ы всех групп, в которые пользователь входит. SID однозначно определяет пользователя, так как создается при занесении данных на пользователя уникальным образом - после удаления пользователя из базы SAM его SID больше повторно никогда не используется в системе.

Если пользователь выполняет логический вход в компьютер, например Windows NT Workstation 1, то его аутентификация выполняется в базе SAM 1 этого компьютера, и SID пользователю присваивается из нее.

Если же этот компьютер является членом домена, то тогда у него появляется возможность выполнить вход в домен (возможность входа в компьютер у него остается по-прежнему за счет выбора имени входа в панели диалога аутентификации).

Процедура логического входа рассматривается в разделе "Практические занятия".

4.4. Транзитная аутентификация в однодоменной сети

Если пользователь входит с рабочей станции Windows NT Workstation в домен, то рабочая станция не обращается для аутентификации в свою базу SAM, а выполняет транзитную аутентификацию. Транзитная аутентификация заключается в поиске первичного или вторичного контроллеров домена и передаче им данных о пользователе. Контроллер домена, получив данные пользователя, выполняет просмотр своей базы SAM DP или SAM PD и на основании хранящихся там данных выполняет процедуру аутентификации. Естественно, что прошедшему аутентификацию пользователю присваивается SID, хранящийся в базе SAM контроллера домена, а не той рабочей станции, с которой пользователь выполняет логический вход.

Если у разделяемых ресурсов всех серверов домена данный SID включен в списки прав доступа ACL, то пользователь после входа в домен автоматически получает соответствующие права доступа к этим ресурсам.

Таким образом, централизованная справочная служба контроллеров PDC и BDC обеспечивает свойство единственности логического входа в систему - пользователь не должен каждый раз проходить через процедуру аутентификации при попытке получить доступ к ресурсам нового сервера Windows NT Server.

4.5. Практические занятия

4.5.1. Присоединение компьютера к домену

  • Добавление учетной информации компьютера в PDC (выполняется на PDC):
    • Войти в PDC как Administrator;
    • Запустить Server Manager;
    • В меню Computer выбрать пункт Add to Domain;
    • В поле Computer Type выбрать Windows NT Workstation или Server;
    • В поле Computer Name набрать имя компьютера (например, WS11);
    • Нажать кнопку Add.
  • Подсоединение к домену (выполняется на подсоединяемом компьютере):
    • Войти в компьютер как администратор;
    • Control Panel запустить Network;
    • Изменить принадлежность компьютера в поле Workgroups кнопкой Change;
    • Набрать имя домена, к которому присоединяется компьютер, в поле Domain;
    • Учетную запись компьютера в домене не создавать - это уже сделано на PDC;
    • Закрыть Network и Control Panel и перезапустить компьютер.
  • Проверить на PDC с помощью Server Manager факт присоединения нового компьютера к домену и его тип (Windows NT Server или Windows NT Workstation).
  • Проверить на PDC возможности централизованного управления Windows NT Workstation после ее присоединения к домену:
    • Выбрать компьютер, которым вы хотите удаленно управлять (например, WS13);
    • В меню Computer выбрать Properties и исследовать возможности администратора по удаленному контролю за работающими пользователями, используемым ими ресурсам компьютера и т.п.;
    • В меню Computer выбрать Shared Directories и исследовать возможности создания новых разделяемых каталогов (share) на удаленном компьютере;
    • В меню Computer выбрать Services и исследовать возможности по приостановке и запуску сервисов на удаленном компьютере.
  • На присоединенную рабочую станцию домена скопировать утилиты администрирования Server Manager и User Manager for Domains из каталога \NT40S\system32 PDC домена - файлы srvmgr.exe, srvmgr.hlp, srvmgr.cnt, srvmgr.cpl, srvmgr.gid, usrmgr.exe, usrmgr.hlp, usrmgr.cnt, usrmgr.gid - в отдельную папку. Новую папку назовите Domain. При присоединении к серверу используйте имя administrator с паролем cit.
  • Проверьте, что с рабочей станции можно выполнять те же действия с помощью Server Manager, что и непосредственно с сервера.

4.5.2. Логический вход в компьютер и домен

Когда вы входите в компьютер, который является членом домена и при этом не является ни PDC, ни BDC, то у вас есть две возможности: войти в него локально или войти в домен. Этот выбор вы делаете, когда в панели Logon Information в поле Domain указываете имя компьютера или домена.

Если вы входите в PDC или BDC, то вы можете войти только в свой домен, либо во все другие домены, с которыми у вас установлены доверительные отношения.

  • Войдите в рабочую станцию с установленной на ней Windows NT Workstation как в локальный компьютер (то есть в меню Logon Information в поле Domain укажите имя компьютера, например, WS1, а не домена) под именем Администратор.
  • Выйдите из рабочей станции.
  • Войдите c рабочей станции с установленной на ней Windows NT Workstation в домен, например, DOM1 под именем Администратор. На экране вы увидите, что система идентифицировала вас как DOM1\Администратор.

Назад | Содержание | Вперед

 

Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

VPS в России, Европе и США

Бесплатная поддержка и администрирование

Оплата российскими и международными картами

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

Новости мира IT:

Архив новостей

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 7861149
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...