允許它訪問該域中網(wǎng)絡資源發(fā)布者：本站     時間：2019-08-28 11:08:19

原裝的第一臺服務器稱為主域控制器(PDC)，里面裝有用戶賬戶數(shù)
據(jù)庫的原始拷貝；以后加入的服務器稱為備份域控制器(BDC)，每個BDC保存一份不可編輯
 
 
的用戶賬戶數(shù)據(jù)庫拷貝。當某用戶登錄到網(wǎng)絡上時，PDC或某一個BDC將鑒定用戶身份，然
 
 
后才允許它訪問該域中網(wǎng)絡資源。1
 
用戶登錄到域中時，PDC或BDC都可以鑒定其身份。實際鑒定用戶身份的控制器往往是
對登錄請求做出響應的第一臺服務器，不一定是PDC。
 
值得注意的是服務器一旦加入一個域中，它將成為域的終身成員。那么服務器要想加入
另一個域的惟一辦法就是徹底重新安裝，此外沒有其它辦法改變域成員資格。同樣也不可能
 
 
把一臺單獨的服務器升級為PDC或BDC。在計劃 Windows NT Server網(wǎng)絡安裝的時候，這是
需要記住的重要的一點。
 
當用戶賬戶加到域中時，用戶賬戶數(shù)據(jù)庫的變動只能在PDC中進行。然后PDC上的用
戶賬戶數(shù)據(jù)的拷貝以一個稱為同步的復制過程分發(fā)到BDC。這樣就能保證一且PDC出問題，
用戶賬戶數(shù)據(jù)庫仍安全無恙。如果PDC確實崩潰，其中一個BDC就被提升到PDC的位置，
而BDC-且已經(jīng)提升到PDC，用戶賬戶數(shù)據(jù)庫就可以再次被修改(增加或刪除用戶等)；如果
該域中的PDC無法使用，盡管仍然可以登錄，但卻不能修改SAM
 
當網(wǎng)絡里面出現(xiàn)了一個以上的域，其中某個域里的用戶需要訪問另一個域上資源的時候
就使用委托關(guān)系。網(wǎng)絡經(jīng)常變得很大，資源分布在幾個域中。當用戶需要訪問域中的資源時
其訪問權(quán)可以兩種方法授予。具體做法如下:引
 
?用戶可以在擁有某項資源的域中擁有用戶賬戶，這種情況下，資源訪問權(quán)就在同一個域
 
 
中授予該用戶賬戶；、的
 
 
 
大?用戶在受托域中擁有用戶賬戶，這種情況下，資源訪問權(quán)就可從受托域中授于，擁有資
源的域稱為委托域
 
第一種授予訪問權(quán)的方法很簡單，用戶被授予訪問賬戶所在同一域中的資源訪問權(quán)
如一個名為John的用戶需要訪問公司的 Laserjet打印機，該打印機的打印隊列是一個服務器
上的共享資源，該服務器是名叫 FIELD域上的一個備份域控制器(BDC)，因此該打印機作為
FIELD域中的資源是可以訪問的。John的用戶賬戶也在 FIELD域中，而 FIELD域的管理員
僅僅需要授予John用戶該打印機訪向權(quán)就行了。從此以后John在 FIELD域上登錄后，就被
 
 
自動授予該打印機的訪問權(quán)。則
 
假定該公司新建立一個名叫 RESOURCE的新域，要把所有的資源(如打印機)都轉(zhuǎn)入那
個新域，由另一位管理員管理。如果 Lase Jet打印機轉(zhuǎn)到BDC將會發(fā)生什么情況?BDC是域
 
 
名叫 RESOURCE的一名成員，打印機在 FIELD域中再也無法獲得，因此John再也無權(quán)訪問
打印機資源。從現(xiàn)在開始起，John可以通過建立域委托關(guān)系來訪問打印隊列，委托關(guān)系使得
ohn( FIELD域的一員)能夠訪問位于 RESOURCE域中的 Laserjet打印隊列。
 
 
建立委托關(guān)系的步驟如下:
 
x1) FIELD域和 RESOURCE域之間建立 Windows NT單向域委托關(guān)系。 FIELD域被指
定為受托域，John的賬戶只存在于 FIELD域中； RESOURCE域叫做委托域。
 
某(2) RESOURCE域(委托域)的管理員把 Laserjet打印隊列訪問權(quán)授予受托域賬戶，作為

52 感何并控 要托域的 FIELD的一員的h就可把打印作業(yè)送到打印機隊列等待打印。
 
 
 
簡單地說、受拓城是擁有用戶賬戶的域，委拓域是擁有資源的域。
 
共享的資源，例如在其一臺服務器上有彩色打印機，那么資源委托域中的用戶賬戶并不能訪間 委托只是單向的。如果資源域( RESOURCE)擁有用戶賬戶，而賬戶域( FIELD)又擁末司
賬戶城(也即受托域)中的彩色打印機。這就是單向委托關(guān)系的來歷。如果 RESOURC
 
的用戶想訪問 FIELD域中的資源，同樣， FIELD域必須建立到 RESOURCE的單向委托關(guān)系、
這次 RESOURCE域被指定為受托域，而 FIELD域為委托域。于是在FI SOURCE域之間建立雙向委托關(guān)系。雙向委托關(guān)系沒有其他別的意義，只不過是相互單向委
 
托而已。一且雙向委托關(guān)系建立， FIELD域的管理員就可授予屬于 RESOURCE域的賬戶請
問彩色打印機的權(quán)利。建立多個域之間的委托關(guān)系如果不計劃好，將變得非常復雜。由于用戶賬戶分散在多個
 
域之中，因此，可以多次實施委托關(guān)系。建立委托關(guān)系可以避免用戶賬戶在多個域中重新建立
 
 
的必要性。) i這些委托關(guān)系如果運用得當，可以減少管理的開銷，也可用來定制網(wǎng)絡管理員的管理責任 ，所出架。全
 
 
 
圍。在設計包含若干個域的環(huán)境時，大多數(shù)時候，可以使用世條簡單的原則:9中如
把用戶賬戶置于單個賬戶域之中，如果需要也可以把資源置于賬戶域中，但是，絕大多數(shù)
的網(wǎng)絡資源應該置于資源域中。在資源域中的賬戶僅限于有限數(shù)量的管理賬戶。單向委托關(guān)
系在賬戶域和資源域之間的創(chuàng)建，使得賬戶域成為受托域而資源域則成為委托域，而一旦建立
了委托關(guān)系，很容易授予對跨越域的任何資源的訪問權(quán)、這種類型的域模式稱為主域模式。顧
名思義，主域模式中擁有人們認為的主域，即包含用戶賬戶的域。這一類型的域模式可以容納
多達100用戶。還有一些其它的域模式；每ー種模式有其優(yōu)點和缺點:這取決手網(wǎng)絡大
小和復雜程度。域的其他形式有
 
?多主域模式:供擁有10.000多個用戶賬戶的大機構(gòu)使用；て的で一
當單域模式:供較小的機構(gòu)使用；ea的后公國的要的ial
 
 
完全委托域模式:使用戶不受限制使用所有其它域的資源量器受理好，共的 243 Window NT t的全問ー
 
 
人們應該知道，在 Windows NT i操作系統(tǒng)以及它提供的同組功能中存在著一些安全向
題。對一個管理員來說，他們應該了解有關(guān)NT安全性的知識。さ個一
 
 
2:4.3.1訪問控制列表 求的。一民由、記
 
 
 
為了使NT服務器有很好的安全性，設置 Administrators用戶組和 System用戶組對根目
采用上述方法逐級對目錄樹中的所有目錄進行權(quán)限設置。要注意的是，創(chuàng)建的新用戶應具有 錄有全部控制的權(quán)限，設置Ues用戶組(不是 Everyone J用戶組)對根目錄有只讀權(quán)限?？梢?br />  
 
該用戶所屬用戶組的權(quán)限。
 
要確保打印隊列池(Pim(S)目錄的創(chuàng)建者或擁有者對該目錄具有全部控制的權(quán)限