允许它访问该域中网络资源
的办事器才可以参加域。原装的第一台办事器称为主域掌握器(PDC),里面装有效户账户数
据库的原始拷贝;今后参加的办事器称为备份域掌握器(BDC),每个BDC保留一份弗成编纂
的用户账户数据库拷贝。当某用户登录到收集上时,PDC或某一个BDC将判定用户身份,然
后才许可它拜访该域中收集资本。1
用户登录到域中时,PDC或BDC都可以判定其身份。现实判定用户身份的掌握器往往是
对登录要求做出响应的第一台办事器,纷歧定是PDC。
值得留意的是办事器一旦参加一个域中,它将成为域的毕生成员。那么办事器要想参加
另一个域的惟一方法就是彻底从新安装,此外没有其它方法转变域成员资历。同样也弗成能
把一台零丁的办事器进级为PDC或BDC。在筹划 Windows NT Server收集安装的时刻,这是
须要记住的主要的一点。
当用户账户加到域中时,用户账户数据库的更改只能在PDC中进行。然后PDC上的用
户账户数据的拷贝以一个称为同步的复制进程分发到BDC。如许就能包管一且PDC出问题,
用户账户数据库仍平安无恙。假如PDC确切瓦解,个中一个BDC就被晋升到PDC的地位,
而BDC-且已经晋升到PDC,用户账户数据库就可以再次被修正(增长或删除用户等);假如
该域中的PDC无法应用,尽管仍然可以登录,但却不克不及修正SAM
当收集里面涌现了一个以上的域,个中某个域里的用户须要拜访另一个域上资本的时刻
就应用委托关系。收集经常变得很年夜,资本散布在几个域中。当用户须要拜访域中的资本时
其拜访权可以两种办法授予。具体做法如下:引
?用户可以在拥有某项资本的域中拥有效户账户,这种情形下,资本拜访权就在统一个域
中授予该用户账户;、的
年夜?用户在受托域中拥有效户账户,这种情形下,资本拜访权就可从受托域中授于,拥有资
源的域称为委托域
第一种授予拜访权的办法很简略,用户被授予拜访账户地点统一域中的资本拜访权
如一个名为John的用户须要拜访公司的 Laserjet打印机,该打印机的打印队列是一个办事器
上的共享资本,该办事器是名叫 FIELD域上的一个备份域掌握器(BDC),是以该打印机作为
FIELD域中的资本是可以拜访的。John的用户账户也在 FIELD域中,而 FIELD域的治理员
仅仅须要授予John用户该打印机访向权就行了。从此今后John在 FIELD域上登录后,就被
主动授予该打印机的拜访权。则
假定该公司新树立一个名叫 RESOURCE的新域,要把所有的资本(如打印机)都转入那
个新域,由另一位治理员治理。假如 Lase Jet打印机转到BDC将会产生什么情形?BDC是域
名叫 RESOURCE的一名成员,打印机在 FIELD域中再也无法获得,是以John再也无权拜访
打印机资本。从如今开端起,John可以经由过程树立域委托关系来拜访打印队列,委托关系使得
ohn( FIELD域的一员)可以或许拜访位于 RESOURCE域中的 Laserjet打印队列。
树立委托关系的步调如下:
x1) FIELD域和 RESOURCE域之间树立 Windows NT单向域委托关系。 FIELD域被指
定为受托域,John的账户只存在于 FIELD域中; RESOURCE域叫做委托域。
某(2) RESOURCE域(委托域)的治理员把 Laserjet打印队列拜访权授予受托域账户,作为
52 感何并控 要托域的 FIELD的一员的h就可把打印功课送到打印机队列期待打印。
简略地说、受拓城是拥有效户账户的域,委拓域是拥有资本的域。
共享的资本,例如在其一台办事器上有彩色打印机,那么资本委托域中的用户账户并不克不及访间 委托只是单向的。假如资本域( RESOURCE)拥有效户账户,而账户域( FIELD)又拥末司
账户城(也即受托域)中的彩色打印机。这就是单向委托关系的来历。假如 RESOURC
的用户想拜访 FIELD域中的资本,同样, FIELD域必需树立到 RESOURCE的单向委托关系、
此次 RESOURCE域被指定为受托域,而 FIELD域为委托域。于是在FI SOURCE域之间树立双向委托关系。双向委托关系没有其他其余意义,只不外是互相单向委
托罢了。一且双向委托关系树立, FIELD域的治理员就可授予属于 RESOURCE域的账户请
问彩色打印机的权力。树立多个域之间的委托关系假如不筹划好,将变得异常庞杂。因为用户账户疏散在多个
域之中,是以,可以多次实行委托关系。树立委托关系可以避免用户账户在多个域中从新树立
的需要性。) i这些委托关系假如应用适合,可以削减治理的开销,也可用来定制收集治理员的治理义务 ,所出架。全
围。在设计包括若干个域的情况时,年夜多半时刻,可以应用世条简略的原则:9中如
把用户账户置于单个账户域之中,假如须要也可以把资本置于账户域中,然则,绝年夜多半
的收集资本应当置于资本域中。在资本域中的账户仅限于有限数目的治理账户。单向委托关
系在账户域和资本域之间的创立,使得账户域成为受托域而资本域则成为委托域,而一旦树立
了委托关系,很轻易授予对跨越域的任何资本的拜访权、这种类型的域模式称为主域模式。顾
名思义,主域模式中拥有人们以为的主域,即包括用户账户的域。这一类型的域模式可以容纳
多达100用户。还有一些其它的域模式;每ー种模式有其长处和缺陷:这取决手收集年夜
小和庞杂水平。域的其他情势有
?多主域模式:供拥有10.000多个用户账户的年夜机构应用;て的で一
当单域模式:供较小的机构应用;ea的后公国的要的ial
完整委托域模式:应用户不受限制应用所有其它域的资本量器受理好,共的 243 Window NT t的全问ー
人们应当知道,在 Windows NT i操作体系以及它供给的同组功效中存在着一些平安向
题。对一个治理员来说,他们应当懂得有关NT平安性的常识。さ个一
2:4.3.1拜访掌握列表 求的。一平易近由、记
为了使NT办事器有很好的平安性,设置 Administrators用户组和 System用户组对根目
采取上述办法逐级对目次树中的所有目次进行权限设置。要留意的是,创立的新用户应具有 录有全体掌握的权限,设置Ues用户组(不是 Everyone J用户组)对根目次有只读权限。可以
该用户所属用户组的权限。
要确保打印队列池(Pim(S)目次的创立者或拥有者对该目次具有全体掌握的权限
用Cads, File Manager i或 Explorer r中的查找对象( Search)查找到所有的可履行文件和动态链
接库文件。这些文件的权限设置如下:网站设计Administrators月户组设置为“全体掌握”权限:假如
