允許它訪(fǎng)問(wèn)該域中網(wǎng)絡(luò )資源發(fā)布者：本站     時(shí)間：2019-08-28 11:08:19

原裝的第一臺服務(wù)器稱(chēng)為主域控制器(PDC)，里面裝有用戶(hù)賬戶(hù)數
據庫的原始拷貝；以后加入的服務(wù)器稱(chēng)為備份域控制器(BDC)，每個(gè)BDC保存一份不可編輯
 
 
的用戶(hù)賬戶(hù)數據庫拷貝。當某用戶(hù)登錄到網(wǎng)絡(luò )上時(shí)，PDC或某一個(gè)BDC將鑒定用戶(hù)身份，然
 
 
后才允許它訪(fǎng)問(wèn)該域中網(wǎng)絡(luò )資源。1
 
用戶(hù)登錄到域中時(shí)，PDC或BDC都可以鑒定其身份。實(shí)際鑒定用戶(hù)身份的控制器往往是
對登錄請求做出響應的第一臺服務(wù)器，不一定是PDC。
 
值得注意的是服務(wù)器一旦加入一個(gè)域中，它將成為域的終身成員。那么服務(wù)器要想加入
另一個(gè)域的惟一辦法就是徹底重新安裝，此外沒(méi)有其它辦法改變域成員資格。同樣也不可能
 
 
把一臺單獨的服務(wù)器升級為PDC或BDC。在計劃 Windows NT Server網(wǎng)絡(luò )安裝的時(shí)候，這是
需要記住的重要的一點(diǎn)。
 
當用戶(hù)賬戶(hù)加到域中時(shí)，用戶(hù)賬戶(hù)數據庫的變動(dòng)只能在PDC中進(jìn)行。然后PDC上的用
戶(hù)賬戶(hù)數據的拷貝以一個(gè)稱(chēng)為同步的復制過(guò)程分發(fā)到BDC。這樣就能保證一且PDC出問(wèn)題，
用戶(hù)賬戶(hù)數據庫仍安全無(wú)恙。如果PDC確實(shí)崩潰，其中一個(gè)BDC就被提升到PDC的位置，
而B(niǎo)DC-且已經(jīng)提升到PDC，用戶(hù)賬戶(hù)數據庫就可以再次被修改(增加或刪除用戶(hù)等)；如果
該域中的PDC無(wú)法使用，盡管仍然可以登錄，但卻不能修改SAM
 
當網(wǎng)絡(luò )里面出現了一個(gè)以上的域，其中某個(gè)域里的用戶(hù)需要訪(fǎng)問(wèn)另一個(gè)域上資源的時(shí)候
就使用委托關(guān)系。網(wǎng)絡(luò )經(jīng)常變得很大，資源分布在幾個(gè)域中。當用戶(hù)需要訪(fǎng)問(wèn)域中的資源時(shí)
其訪(fǎng)問(wèn)權可以?xún)煞N方法授予。具體做法如下:引
 
?用戶(hù)可以在擁有某項資源的域中擁有用戶(hù)賬戶(hù)，這種情況下，資源訪(fǎng)問(wèn)權就在同一個(gè)域
 
 
中授予該用戶(hù)賬戶(hù)；、的
 
 
 
大?用戶(hù)在受托域中擁有用戶(hù)賬戶(hù)，這種情況下，資源訪(fǎng)問(wèn)權就可從受托域中授于，擁有資
源的域稱(chēng)為委托域
 
第一種授予訪(fǎng)問(wèn)權的方法很簡(jiǎn)單，用戶(hù)被授予訪(fǎng)問(wèn)賬戶(hù)所在同一域中的資源訪(fǎng)問(wèn)權
如一個(gè)名為John的用戶(hù)需要訪(fǎng)問(wèn)公司的 Laserjet打印機，該打印機的打印隊列是一個(gè)服務(wù)器
上的共享資源，該服務(wù)器是名叫 FIELD域上的一個(gè)備份域控制器(BDC)，因此該打印機作為
FIELD域中的資源是可以訪(fǎng)問(wèn)的。John的用戶(hù)賬戶(hù)也在 FIELD域中，而 FIELD域的管理員
僅僅需要授予John用戶(hù)該打印機訪(fǎng)向權就行了。從此以后John在 FIELD域上登錄后，就被
 
 
自動(dòng)授予該打印機的訪(fǎng)問(wèn)權。則
 
假定該公司新建立一個(gè)名叫 RESOURCE的新域，要把所有的資源(如打印機)都轉入那
個(gè)新域，由另一位管理員管理。如果 Lase Jet打印機轉到BDC將會(huì )發(fā)生什么情況?BDC是域
 
 
名叫 RESOURCE的一名成員，打印機在 FIELD域中再也無(wú)法獲得，因此John再也無(wú)權訪(fǎng)問(wèn)
打印機資源。從現在開(kāi)始起，John可以通過(guò)建立域委托關(guān)系來(lái)訪(fǎng)問(wèn)打印隊列，委托關(guān)系使得
ohn( FIELD域的一員)能夠訪(fǎng)問(wèn)位于 RESOURCE域中的 Laserjet打印隊列。
 
 
建立委托關(guān)系的步驟如下:
 
x1) FIELD域和 RESOURCE域之間建立 Windows NT單向域委托關(guān)系。 FIELD域被指
定為受托域，John的賬戶(hù)只存在于 FIELD域中； RESOURCE域叫做委托域。
 
某(2) RESOURCE域(委托域)的管理員把 Laserjet打印隊列訪(fǎng)問(wèn)權授予受托域賬戶(hù)，作為

52 感何并控 要托域的 FIELD的一員的h就可把打印作業(yè)送到打印機隊列等待打印。
 
 
 
簡(jiǎn)單地說(shuō)、受拓城是擁有用戶(hù)賬戶(hù)的域，委拓域是擁有資源的域。
 
共享的資源，例如在其一臺服務(wù)器上有彩色打印機，那么資源委托域中的用戶(hù)賬戶(hù)并不能訪(fǎng)間 委托只是單向的。如果資源域( RESOURCE)擁有用戶(hù)賬戶(hù)，而賬戶(hù)域( FIELD)又擁末司
賬戶(hù)城(也即受托域)中的彩色打印機。這就是單向委托關(guān)系的來(lái)歷。如果 RESOURC
 
的用戶(hù)想訪(fǎng)問(wèn) FIELD域中的資源，同樣， FIELD域必須建立到 RESOURCE的單向委托關(guān)系、
這次 RESOURCE域被指定為受托域，而 FIELD域為委托域。于是在FI SOURCE域之間建立雙向委托關(guān)系。雙向委托關(guān)系沒(méi)有其他別的意義，只不過(guò)是相互單向委
 
托而已。一且雙向委托關(guān)系建立， FIELD域的管理員就可授予屬于 RESOURCE域的賬戶(hù)請
問(wèn)彩色打印機的權利。建立多個(gè)域之間的委托關(guān)系如果不計劃好，將變得非常復雜。由于用戶(hù)賬戶(hù)分散在多個(gè)
 
域之中，因此，可以多次實(shí)施委托關(guān)系。建立委托關(guān)系可以避免用戶(hù)賬戶(hù)在多個(gè)域中重新建立
 
 
的必要性。) i這些委托關(guān)系如果運用得當，可以減少管理的開(kāi)銷(xiāo)，也可用來(lái)定制網(wǎng)絡(luò )管理員的管理責任 ，所出架。全
 
 
 
圍。在設計包含若干個(gè)域的環(huán)境時(shí)，大多數時(shí)候，可以使用世條簡(jiǎn)單的原則:9中如
把用戶(hù)賬戶(hù)置于單個(gè)賬戶(hù)域之中，如果需要也可以把資源置于賬戶(hù)域中，但是，絕大多數
的網(wǎng)絡(luò )資源應該置于資源域中。在資源域中的賬戶(hù)僅限于有限數量的管理賬戶(hù)。單向委托關(guān)
系在賬戶(hù)域和資源域之間的創(chuàng )建，使得賬戶(hù)域成為受托域而資源域則成為委托域，而一旦建立
了委托關(guān)系，很容易授予對跨越域的任何資源的訪(fǎng)問(wèn)權、這種類(lèi)型的域模式稱(chēng)為主域模式。顧
名思義，主域模式中擁有人們認為的主域，即包含用戶(hù)賬戶(hù)的域。這一類(lèi)型的域模式可以容納
多達100用戶(hù)。還有一些其它的域模式；每ー種模式有其優(yōu)點(diǎn)和缺點(diǎn):這取決手網(wǎng)絡(luò )大
小和復雜程度。域的其他形式有
 
?多主域模式:供擁有10.000多個(gè)用戶(hù)賬戶(hù)的大機構使用；て的で一
當單域模式:供較小的機構使用；ea的后公國的要的ial
 
 
完全委托域模式:使用戶(hù)不受限制使用所有其它域的資源量器受理好，共的 243 Window NT t的全問(wèn)ー
 
 
人們應該知道，在 Windows NT i操作系統以及它提供的同組功能中存在著(zhù)一些安全向
題。對一個(gè)管理員來(lái)說(shuō)，他們應該了解有關(guān)NT安全性的知識。さ個(gè)一
 
 
2:4.3.1訪(fǎng)問(wèn)控制列表 求的。一民由、記
 
 
 
為了使NT服務(wù)器有很好的安全性，設置 Administrators用戶(hù)組和 System用戶(hù)組對根目
采用上述方法逐級對目錄樹(shù)中的所有目錄進(jìn)行權限設置。要注意的是，創(chuàng )建的新用戶(hù)應具有 錄有全部控制的權限，設置Ues用戶(hù)組(不是 Everyone J用戶(hù)組)對根目錄有只讀權限?？梢?br />  
 
該用戶(hù)所屬用戶(hù)組的權限。
 
要確保打印隊列池(Pim(S)目錄的創(chuàng )建者或擁有者對該目錄具有全部控制的權限