Модели доменов Windows NT 4
Понимание доменов и доверительных отношений NT является важным навыком для любого NT.
администратор. Книги могли бы быть и были написаны на эту тему. Для начинающих:
Модель с одним доменом: есть один домен с
счета и ресурсы. Преимущества:
- Лучше всего подходит для небольших организаций
- Централизованное управление пользователями и ресурсами
- Без участия трастов
граница без внутренних перегородок. Недостатки - это проблемы с производительностью, поскольку
домен растет и отсутствие подразделений внутренней безопасности (для единиц или
отделов) для отражения объектов в растущем предприятии. SAM может управлять
около 40 000 аккаунтов. По мере роста количества аккаунтов сила
контроллеров домена необходимо увеличить — но с современными недорогими процессорами на базе Pentium.
ПК, это не особо важно. Вы увидите некоторые штрафы при просмотре как
количество участников в домене увеличивается. Максимальный размер SAM
примерно 40Мб и это реальное ограничение для данной модели. Учетная запись пользователя,
определения групп и учетные записи ПК увеличивают совокупный размер.
Модель с одним главным доменом: есть одна учетная запись
домен и несколько доменов ресурсов, при этом каждый домен ресурсов доверяет
домен учетной записи (пользователя). Преимущества единого главного домена:
- Хорошее решение для сетей среднего размера
- Ведомственный контроль ресурсов на основе ресурсных доменов (ведомственный,
Ед. изм, …) - Централизованное управление учетными записями пользователей
- Глобальные группы определяются централизованно в домене учетной записи.
учетные записи централизованы в рамках одной административной единицы, а ресурсы
децентрализованный. Это соответствует ведомственной политической модели владения ресурсами.
Чтобы модель работала корректно, администраторы домена учетных записей должны создать
соответствующие глобальные группы, необходимые для управления безопасностью ресурсов в
домены ресурсов и администраторы ресурсов должны управлять безопасностью, назначая
разрешения для групп, а не отдельных лиц. Администраторы ресурсного домена могут назначать
разрешения для глобальных групп один раз, и это конец их разрешений
задача управления. Один раз поставил и забыл. Когда необходимо добавить разрешения
или удалены, никто не просматривает множество ресурсов, чтобы добавить или удалить это
человек, можно просто добавить или удалить учетную запись этого человека из группы
(или группы) в домене учетной записи. Одно изменение членства в группе приводит к
изменения разрешений во многих разрешениях ресурсов. Модель с одним главным доменом
имеет домен с одной учетной записью с SAM 40 МБ и примерно 40 000 учетных записей
ограничение.
Количество трастов:
Т = Рто есть количество трастов равно количеству
домены ресурсов, одно доверие на домен ресурсов, где домен ресурсов доверяет
домен учетной записи.
Модель с несколькими главными доменами: расширение
модель с одним главным доменом. Наиболее подходит для разделенных подразделений
географически и когда нужно масштабироваться за пределы количества поддерживаемых учетных записей
в домене с одной учетной записью. У вас есть несколько связанных главных доменов
вместе двухсторонними трестами. Каждый домен учетной записи доверяет любой другой учетной записи
домен. Каждый домен ресурса доверяет каждому домену учетной записи. Преимущества:
- Хорошее решение для очень крупных организаций
- Масштабируемость для любого количества пользователей — просто добавьте больше доменов учетных записей.
- Ресурсы локально и логически сгруппированы
- Ведомственно-ориентированное управление ресурсами
- Любой главный домен может управлять всеми учетными записями пользователей или нет, если это необходимо.
домены с несколькими учетными записями, количество необходимых глобальных групп, умноженное на at
как минимум количество доменов учетных записей и количество трастов резко возрастает.
Количество трастов:
Т = М * (М - 1) + Р * Мгде M — количество мастеров счетов, а R
количество ресурсных доменов. На самом деле это максимальное количество
доверяет. Как правило, вы не можете избежать
М*М-1доверительные отношения между доменами учетных записей. У одного есть
Р * Мдоверяет только в том случае, если все домены ресурсов имеют пользователей, которым требуется доступ
во всех доменах учетных записей.
Полная модель доверенного домена: модель сетки представляет собой набор
отдельных доменов с трастами между каждым доменом. Подходит для ранней стадии
консолидации между небольшими организациями с существующими едиными доменами или
политически чувствительные ведомственные предприятия с проблемами контроля
над учетными записями и ресурсами. Преимущества:
- Полезно для организаций без отдела MIS
- Масштабируемость для любого количества пользователей
- Каждый отдел (организация с доменом) имеет полный контроль над своими пользователями и
Ресурсы - Пользователи и ресурсы находятся в одном домене
недостатки отражают другую сторону медали:
- Нет централизованного управления
- Множество доверительных отношений для управления
- Администраторы должны доверять друг другу, чтобы правильно управлять пользователями, группами и
Ресурсы
представляет собой децентрализованную среду с высокими накладными расходами.
Количество трастов:
Т = Д * ( Д - 1)где D — количество доменов.
Можно увидеть термин двусторонние трасты. Двусторонних трастов не бывает. Когда доменA
доверяет домену B
домен А -> домен БdomainA — это доверенный домен, а domainB — это доверенный домен. Связь заключается в том, что пользователи в B могут быть
разрешен доступ к ресурсам в A. Ресурсы находятся в доверяющем домене и
пользователи находятся в доверенном домене. Если вам нужно, чтобы это работало в обе стороны, вам нужно
создать еще один траст, идущий в другую сторону
домен А <- домен ВdomainB — это доверенный домен, а domainA — это доверенный домен. Чтобы создать «двусторонний» траст, вы должны
создать два односторонних траста. Я использую помощь памяти, что учетные записи включают в себя
счет Эда и что ресурсы - вещи. Таким образом, домен trustED,
домен с учетными записями, это доверенный домен и доверяющий домен, домен
с вещами (ресурсами) является доверяющим доменом. В нем нет транзитивности.
доверительные отношения: если доменA доверяет доменуB, а доменB доверяет доменуC, это
не означает, что домен A также доверяет домену C.
Обобщить:
| Домен Модель | Максимальное количество пользователей | Счет Управление | Ресурс Управление | Трасты |
| Одинокий | 40000 | Централизованный | Централизованный | 0 |
| Мастер | 40000 | Централизованный | Децентрализованный | р |
| Множественный Мастер | неограниченный | Централизовано в Домены учетной записи | Децентрализованный | М * (М - 1) + Р * М |
| Полное доверие Сетка | неограниченный | Децентрализованный | Децентрализованный | Д * ( Д - 1) |
Диспетчер пользователей для доменов — это инструмент, используемый для создания/удаления доверительных отношений. Создавать
доверие между доменом А и доменом Б, где домен А — это домен учетной записи:
- администратор домена учетной записи domainA запускает диспетчер пользователей для доменов. в
В окне «Доверительные отношения» нажмите кнопку «Добавить» рядом с областью отображения.
с пометкой «Доверяющие домены». Введите имя доверенного домена (domainB). Пользователь
Менеджер запросит пароль для доверяющего домена. - администратор домена ресурса domainB запускает диспетчер пользователей для доменов. в
В окне «Доверительные отношения» нажмите кнопку «Добавить» рядом с областью отображения.
с пометкой «Надежные домены». Введите имя доверенного домена (domainA). Ты
будет предложено ввести пароль, необходимый для доверенного домена, чтобы
передается в доверенный домен. Администратор доверенного домена должен
должен дать вам этот пароль. Доверенный домен создаст учетную запись, которая
использует этот пароль для связи с доверенным доменом.
Похожие советы:
Проверка целостности на защищенных каналах с контроллерами домена
Анонимные подключения пользователей
Междоменный трастовый аккаунт
Отключить пароль безопасного канала и изменение пароля доверия