Доверительные отношения
Для того, чтобы не заводить учетную информацию на одного и того же пользователя в разных доменах, между доменами можно установить доверительные отношения. Доверительные отношения обеспечивают транзитную аутентификацию, при которой пользователь имеет только одну учетную запись в одном домене, но может получить доступ к ресурсам всех доменов сети. Иногда доверяющий домен называют ресурсным, так как в нем находятся серверы, к ресурсам которых получают доступ пользователи, учетная информация которых находится в SAM контроллеров доверяемого домена, который называют поэтому учетным. Отношение доверия означает, что администратор доверяющего, ресурсного, домена может определять права доступа к ресурсам своего домена не только для своих пользователей, но и для пользователей доверяемого, учетного, домена. Практически же ситуация обычно выглядит следующим образом. В некотором учетном домене формируются глобальные группы. Во всех доменах, доверяющих данному домену, администраторы включают глобальные группы учетного домена в локальные группы своего ресурсного домена. Эти локальные группы уже наделены определенными правами по доступу к внутренним ресурсам домена. Возникает интересная ситуация: с одной стороны, доступ к ресурсам регулируется администратором доверяющего домена, но с другой стороны, именно администратор учетного домена решает, в какую глобальную группу включить того или иного пользователя.
Модель "Рабочая группа"
Она предназначена для использования в небольших одноранговых сетях (3–10 компьютеров) и основана на том, что каждый компьютер в сети с Windows NT имеет свою собственную локальную БД учетных записей и с помощью этой локальной БД осуществляется управление доступом к ресурсам данного компьютера. Локальная БД учетных записей называется SAM (Security Account Manager) и хранится в реестре ОС. БД отдельных компьютеров полностью изолированы друг от друга и не связаны между собой.
Доменная модель
В доменной модели существует единая БД служб каталогов, доступная всем компьютерам сети. Для этого в сети устанавливаются специализированные серверы, называемые контроллерами домена, которые хранят на своих жестких дисках эту базу.
В такой модели, если, например, на сервере SRV-1, являющемся членом домена, предоставлен общий доступ к папке Folder, то права доступа к данному ресурсу можно назначать не только для учетных записей локальной базы SAM данного сервера, но, самое главное, учетным записям, хранящимся в доменной БД. В доменной модели управления безопасностью пользователь регистрируется на компьютере со своей доменной учетной записью и, независимо от компьютера, на котором была выполнена регистрация, получает доступ к необходимым сетевым ресурсам. И нет необходимости на каждом компьютере создавать большое количество локальных учетных записей, все записи созданы однократно в доменной БД. И с помощью доменной базы данных осуществляется централизованное управление доступом к сетевым ресурсам независимо от количества компьютеров в сети.
2. Типовые доменные модели Windows NT. Доменная модель Active Directory.
Active Directory (AD) —позволяет решить проблемы масштабируемости, расширяемости, администрирования и открытости. Windows NT 4.0 не приспособлена в полной мере для работы в крупных организациях, поскольку число пользователей домена не может превышать 20 000, а основные (PDC) и резервные (BDC) контроллеры домена используют схему репликации «один ко многим». Что касается Windows 2000, то здесь один домен AD способен содержать более миллиона объектов и, в большинстве случаев, не требует наличия PDC. Так, изменения, зарегистрированные на одном из контроллеров домена, реплицируются на все остальные. Надлежащая настройка мультисерверной репликации позволяет обеспечить требуемую производительность, а также гарантированную полосу пропускания для связи находящихся в разных географических зонах подразделений. Для решения этой задачи в операционной системе используются новые объекты типа сайт (site), которые описывают подсети IP. Благодаря таким объектам домены, которые обычно базируются на организационных подразделениях, не зависят от того, где эти подразделения расположены. Windows 2000 позволяет заменить механизмы разрешения имен WINS и широковещательного NetBIOS динамическим DNS (DDNS). Базу данных DNS можно хранить в AD, увязывая ее с доменной иерархией AD. Благодаря AD разработчики могут формировать новые объекты, а также добавлять дополнительные свойства в уже существующие объекты, не занимаясь обслуживанием специального каталога приложений. AD даже позволяет публиковать ресурсы, например общие папки, таким образом, что пользователям не нужно выяснять, где именно расположен сервер. Кроме того, в Windows 2000 предусмотрен незаметный для пользователей перенос приложений с одного сервера на другой. Дифференцированное управление и поддержка транзитивных доверительных отношений между доменами Windows 2000 избавляют от необходимости использовать типовые доменные модели Windows NT 4.0.Windows 2000 использует AD в качестве хранилища данных учетных записей и политик, а также управляет процессом наследования политик с помощью иерархической структуры службы каталогов. AD же доверяет операционной системе аутентификацию и контроль доступа к своим объектам.
3. Администрирование учетных записей. Локальные учетные записи и УЗ в домене. Св-ва встроенных УЗ.
Учетные записи пользователей позволяют Microsoft Windows 2000 отслеживать информацию о пользователях и управлять их правами доступа и привилегиями. При создании учетных записей пользователя, основными средствами управления учетными записями, которые Вы используете, являются:
-Оснастка Active Directory – пользователи и компьютеры используемая для управления учетными записями в пределах домена Active Directory.
- Оснастка Локальные пользователи и группы – для управления учетными записями на локальном компьютере.
Предварительная настройка и организация учетной записи пользователя
Наиболее важными аспектами создания учетных записей является предварительная настройка и организация учетных записей, до создания учетных записей, определите политики, которые Вы будете использовать для их настройки и организации.