Основной контроллер домена
Основной контроллер домена является самым важным компьютером домена. Он реализует политику безопасности домена и является основным местом хранения базы данных учетных записей. Он может также являться основным держателем совместно используемых ресурсов домена. Однако совсем необязательно, а иногда даже нежелательно, чтобы основной контроллер домена выполнял данную функцию.
Изменения в базе данных учетных записей пользователей делаются только на основном контроллере домена, а затем переносятся на резервные контроллеры домена, где хранятся копии базы данных, доступные только для чтения. Когда вы регистрируетесь в качестве администратора, все сделанные вами изменения производятся в базе данных на основном контроллере домена, даже если в действительности вы работаете на другом компьютере. Средство, с помощью которого осуществляется работа с учетными записями пользователей, называется User Manager for Domains (Диспетчер пользователей доменов). При запуске этой программы вы выбираете не сервер, на котором надо зарегистрироваться, а домен, который хотите администрировать,
Если основного контроллера домена в сети нет, пользователи все равно смогут регистрироваться и работать, если вы создали один или несколько резервных контроллеров домена и по крайней мере один из них доступен. Однако вы не сможете вносить какие-либо изменения в учетные записи пользователей или групп домена, добавлять в домен новых пользователей или новые группы, а также удалять их, пока основной контроллер домена не объявится снова или пока вы не сделаете один из резервных контроллеров основным.
Резервный контроллер домена
Домен Windows NT Server может, а в большинстве случаев должен включать в себя хотя бы один резервный контроллер домена. Каждый резервный контроллер домена содержит копию базы данных учетных записей и может обрабатывать вход (регистрацию) пользователей и подтверждать их права на доступ к ресурсам. Это позволяет довольно просто обеспечить резервирование критичных совместно используемых ресурсов системы на случай катастрофических неполадок на основном контроллере домена. Один из резервных контроллеров домена может быть переведен в режим основного контроллера, и сеть продолжит нормально функционировать (не будет лишь доступа к ресурсам, которые физически находились на основном контроллере домена). В небольшом домене с ограниченным числом пользователей наличие резервного контроллера домена не так уж и обязательно, но все же лишним это не будет. Если в сети имеется только основной контроллер домена, то вся сеть станет неработоспособна, когда (это обязательно случится, поэтому мы не употребляем здесь слово «если») этот сервер окажется недоступным.
Компьютер под управлением Windows NT Server может выполнять функцию основного контроллера домена, резервного контроллера домена или вообще не являться контроллером домена. Впрочем, на компьютере, который будет использоваться в качестве рабочей станции, лучше установить другую операционную систему. Рабочая станция будет работать быстрее, а обращаться с ней будет проще.
Рабочая станция
Рабочие станции могут работать под управлением MS-DOS, OS/2, Microsoft Windows 3.x, Windows для рабочих групп, Microsoft Windows 95, Microsoft Windows NT Workstation или Macintosh OS. Для MS-DOS, OS/2, Macintosh OS и Windows 3.x вам понадобятся клиентские лицензии (и сетевое программное обеспечение). В остальных операционных системах сетевое программное обеспечение входит в состав базовой поставки. будем далее считать, что в основном на рабочих станциях установлена Windows 95. Накладные расходы и требования к аппаратной части для Windows 95 значительно ниже, чем для Windows NT Workstation.
Исключением, когда не следует использовать Windows 95 на рабочей станции, будет случай использования станции для разработки программного обеспечения. На этих рабочих станциях выгоднее использовать Windows NT Workstation ввиду ее большей устойчивости и изоляции процессов. Windows NT Workstation обычно требует значительно больше памяти и вычислительной мощности, чем минимально необходимо для Windows 95. И хотя Windows 95 лучше предшествующих версий Windows защищена от некорректно ведущих себя процессов, вышедшая из-под контроля программа все еще может привести к завершению работы самой системы. Для Windows NT Workstation вероятность этого значительно ниже.
Некоторые рабочие станции могут входить в состав рабочей группы, не принадлежа при этом домену. Windows 95, Windows NT Workstation и Windows для рабочих групп предоставляют пользователю возможность работать в составе рабочей группы или домена. Но для того чтобы воспользоваться преимуществами доменной структуры, компьютеры должны быть настроены так, чтобы выполнялся вход в домен. Действуя в рамках рабочей группы, они не смогут использовать базу данных учетных записей пользователей Windows NT Server и пользоваться ресурсами, доступ к которым контролируется с помощью этой базы.
Доверительные отношения
В сети, состоящей из двух и более доменов, каждый домен действует как отдельная сеть со своей базой данных учетных записей. Однако даже в наиболее жестко структурированной организации некоторым пользователям из одного домена могут понадобиться какие-нибудь ресурсы из другого домена.
Для того, чтобы не заводить учетную информацию на одного и того же пользователя в разных доменах, между доменами можно установить доверительные отношения (trust relationship).
Доверяет свои ресурсы Имеет базу данных пользователей домен
и сведения о ресурсах другого домена и
правах доступа к ним своих пользователей
Рис.9
Доверяющий домен (trusting) предоставляет доступ к своим ресурсам пользователям из другого домена (доверяемого или trusted). Иногда доверяющий домен называется ресурсным, так как в нем находятся серверы, к ресурсам которых получают доступ пользователи, учетная информация которых находится в контроллерах доверяемого домена, который называется поэтому учетным
В Windows NT Server имеются все средства для настройки многодоменной сети с установлением между контроллерами доменов доверительных отношений, что позволяет защитить чувствительные области ресурсов, избавив при этом пользователей от излишних подробностей и множества паролей.