Понятие домена
Если рабочая группа часто ориентирована на одно помещение, то при разработке
доменной архитекруры был положен принцип: любой компьютер, регистрирующийся в
сети, может относиться к любому из доменов вне зависимости от его расположения
(территориально) или принадлежности к какому-либо из отделов.
На каждую учетную запись пользователя ведется отдельный учет по тем правам,
которые для него назначены в домене.
База данных SAM (Security Accounts Management - управление безопасными учетными
записями) - главная служба каталога для нескольких вариантов систем Microsoft
Windows NT (например, Windows NT 3.5 и Windows NT Server 4). База данных SAM
масштабируется намного лучше, чем предыдущая архитектура службы каталога из-за
введения междоменных доверительных отношений. Если текущий домен доверяет
другому домену, то он имеет право назначать (дилегировать) любому пользователю
или группе пользователей из этого домена права доступа к своим внутридоменным
сетевым ресурсам. Как правило подобная сложная структура бывает
централизованной. Управление осуществляется при помощи выделенного сервера.
Выделенный сервер может нести несколько функциональных нагрузок - файл-сервер,
принт-сервер, mail-сервер, сервер баз данных и прочие. Но для организации домена
необходимо, чтобы он также выполнял функцию «контролера домена».
В пределах домена все администраторы имеют полный контроль над серверами и
службами, которые на них выполняются. По мере роста количества доменов в
организации обеспечение уверенности относительно доверительных отношений,
которые делают возможным пользовательскую идентификацию для доступа к ресурсам
внешних доменов, приводит к росту накладных расходов. Чтобы справиться с этой
растущей сложностью доменов и доверительных отношений, сетевые администраторы
реализуют одну из четырех доменных моделей (рисунок 1): отдельный домен (single
domain), домен с одним хозяином (master domain), домен с несколькими хозяевами
(multiple master domain) и отношения полного доверия (complete trust).
При поддержке этих моделей самая большая сложность состоит в необходимости
создания и сопровождения большого количества доверительных отношений. При этом
все доверительные отношения между доменами Windows NT 4 должны создаваться с
двух сторон, т.е. в обоих доменах.
База SAM является самым узким местом при такой системе управления сетевыми
ресурсами и все ее ограничения являются ограничения системы администрирования в
целом.
Во-первых, SAM одного домена имеет ограничение размера в 40 Мбайт. В результате
количество объектов учетных записей (пользователи, их группы и узлы сети) не
может превышать 40000.
Второе ограничение на базу данных SAM состояло в возможностях доступа.
Единственным методом доступа для взаимодействии с SAM является Windows NT
Server. Этот метод ограничивает программируемый доступ и не обеспечивает
конечным пользователям легкого доступа для поиска объектов.
В-третьих, функция контроллера домена, связанная с обновлением SAM достаточно
сложна и имеет собственную иерархию отношений.
Первичный контроллер домена (Primary Domain Controller - PDC) обладает в сети
правами единственного автора изменений SAM, то есть регистрация любого сетевого
объекта должна осуществляться на PDC. Для поддержки работоспособности сетевых
сегментов, территориально удаленных от PDC, в сети устанавливают дополнительные
или вторичные контроллеры домена (Secondary Domain Controller - SDC), которые
обслуживают запросы пользователей на авторизацию в случае отсутствия отклика от
PDC.
Для выполнения своих функций SDC хранит копию SAM, внесение изменений в которую
запрещены, разрешена только синхронизация этой копии с основной базой SAM,
хранящейся на PDC.