5.13.4Модель с несколькими главными доменами и полностью доверительными отношениями

Модель с несколькими главными доменами и полностью доверительными отно­шениями имеет смысл в случае, если вы отдаете предпочтение распределенному администрированию пользователей и ресурсов, но в организации существует строгая, централизованная структура управления. В этом варианте между каждой парой доменов устанавливаются двусторонние доверительные отношения, а учетная запись пользователя создается в том домене, в который он будет входить по умолчанию. (Домен, в котором хранится учетная запись пользователя, известен еще как основной домен — home domain.) Домены ресурсов отвечают за управление собственными пользователями и глобальными группами, при этом к соответствующим учетным записям имеется доступ из сети (рис. 18).

Рис. 18. Модель с несколькими главными доменами и полностью доверительными отношениями

Модель с несколькими главными доменами и полностью доверительными отно­шениями имеет смысл в относительно небольших организациях, которые пере­росли модель с одним доменом, но она не подходит для случая, когда доменов становится слишком много. У каждого домена должны быть установлены двусторонние доверительные отношения со всеми остальными доменами. Таким образом, число доверительных отношений растет экспоненциально с увеличением числа доменов. Число доверительных отношений, которые требуется устано­вить в сети с п доменами, равно п*(п-1). Если у вас пять доменов, то понадобится двадцать доверительных отношений, добавление еще одного домена приведет к необходимости установить дополнительно десять доверительных отношений.

Следует также предупредить еще об одной особенности модели с полностью доверительными отношениями между доменами: все доверительные отношения двусторонние, а это означает, что, предоставляя пользователю, доступ к ресурсам одного домена на основе доверительных отношений с другим доменом, вы полагаетесь на политику администрирования другого домена. Если доступ предоставляется глобальной группе, вы тем самым предоставляете доступ к ресурсам во всех доменах неуполномоченным пользователям, добавленным на другом домене, наряду с теми пользователями, которые имеют необходимые полномочия.

Преимущества модели с несколькими главными доменами и полностью доверительными отношениями	Недостатки модели с несколькими главными доменами и полностью доверительными отношениями
Логическое объединение в группы пользователей и ресурсов	Отсутствие единого места управления учетными записями пользователей и группами
Управление ресурсами на уровне подразделений	Необходимость определять глобальные и локальные группы несколько раз и вносить в них изменения в нескольких местах
Наращиваемость в соответствии с текущими требованиями	Очень сложные доверительные отношения
Требуется полное взаимное доверие между администраторами всех доменов

5.13.5Учетные записи пользователей

Каждый пользователь сети Windows NT Server должен иметь в одном из доменов свою учетную запись. Если в домене нет учетной записи пользователя, который пытается войти в него, то доступ к этому домену будет предоставлен только в случае, если у этого домена имеются доверительные отношения с тем доменом, в котором хранится учетная запись пользователя. В учетную запись заносятся имя пользователя, пароль, ограничения на работу в сети. В действительности при создании учетной записи создается скрытый код безопасности (security identifier — SID), который является уникальным для всей сети; при идентификации пользователя Windows NT Server использует именно SID, а не пользовательское имя.

Пользователей можно объединять в локальные и глобальные группы, имеющие единый набор разрешений и прав доступа. Объединение пользователей в группы позволяет изменять права доступа и разрешения для всей группы одновременно.