Доменний підхід

Домен — це основна одиниця адміністрування і забезпечення безпеки Windows NT. Для домену існує загальна база даних облікової інформації користувачів (user accounts), унаслідок чого, увійшовши у домен, користувач одержує доступ відразу до всіх дозволених ресурсів усіх серверів домену.

Довірчі відносини (trust relationships) забезпечують транзитну аутентифікацію, за якої користувач має тільки один обліковий запис в одному домені, але може одержати доступ до ресурсів усіх доменів мережі. (рис. 13.6).

Рис. 13.6. Довірчі відносини між доменами

Користувачі можуть входити до мережі не тільки з робочих станцій того домену, де зберігається їхня облікова інформація, але й з робочих станцій доменів, що довіряють цьому доменові. Домен, який зберігає облікову інформацію, часто називають обліковим, а домен, що довіряє, — ресурсним.

Довірчі відносини не є транзитивними. Наприклад, якщо домен А довіряє домену В, а В довіряє С, то це не означає, що А автоматично довірятиме С.

У домені міститься сервер, який є основним контролером домену (primary domain controller). Цей контролер зберігає первинну копію бази даних облікової інформації користувачів домену. Всі зміни, зроблені в обліковій інформації, спочатку вносяться саме у цю копію. Основний контролер домену завжди існує в одному примірнику. Користувач, що адмініструє домен, не повинен задавати ім’я комп’ютера, який відіграє роль основного контролера. Крім основного контролера, у домені можуть існувати кілька резервних контролерів (backup domain controllers). Вони зберігають копії бази облікових даних. Всі резервні контролери, на додаток до основного, можуть обробляти запити користувачів на логічний вхід у домен.

Резервний контролер домену розв’язує дві задачі:

· він стає головним контролером, коли відмовляє основний;

· зменшує навантаження на основний контролер під час опрацювання логічних входів користувачів.

Якщо мережа складається з кількох підмереж, то у кожній підмережі має бути принаймні один резервний контролер домену.