容许它访问该域中网络

的服务器才可以插手域。原装的第一台服务器称为主域控制器(pdc)，内里装有效户账户数

据库的原始拷贝；以后插手的服务器称为备份域控制器(bdc)，每一个bdc保留一份不行编纂

的用户账户数据库拷贝。当某用户登陆到网络上时，pdc或某一个bdc将鉴定用户身份，然

后才容许它访问该域中网络。1

用户登陆到域中时，pdc或bdc均可以鉴定其身份。理论鉴定用户身份的控制器往往是

对登陆要求做出相应的第一台服务器，没必要然是pdc。

值得注重的是服务器一旦插手一个域中，它将成为域的终身成员。那末服务器要想插手

另外一个域的惟一法子就是完全重装，此外没有其它法子改动域成员资历。一样也不行能

把一台零丁的服务器降级为pdc或bdc。在方案 windows nt server网络装置的时辰，这是

需求记住的首要的一点。

当用户账户加到域中时，用户账户数据库的变更只能在pdc中进行。而后pdc上的用

户账户数据的拷贝以一个称为同步的复制过程分发到bdc。如许就能包管一且pdc出问题，

用户账户数据库仍安全无恙。若是pdc的确瓦解，此中一个bdc就被晋升到pdc的位置，

而bdc-且曾经晋升到pdc，用户账户数据库就能够再次被修改(添加或删除用户等)；若是

该域中的pdc没法运用，虽然依然可以登陆，但却不克不及修改sam

当网络内里泛起了一个以上的域，此中某个域里的用户需求访问另外一个域上的时辰

就运用委托关系。网络常常变得很大，散布在多少域中。当用户需求访问域中的时

其访问权可以两种要领授予。详细做法以下:引

?用户可以在领有某项的域中领有效户账户，这类情况下，访问权就在统一个域

中授予该用户账户；、的

大?用户在受托域中领有效户账户，这类情况下，访问权就可从受托域中授于，领有资

源的域称为委托域

第一种授予访问权的要领很简略，用户被授予访问账户地点统一域中的访问权

如一个名为john的用户需求访问公司的 laserjet打印机，该打印机的打印队列是一个服务器

上的同享，该服务器是名叫 field域上的一个备份域控制器(bdc)，因而该打印机作为

field域中的是可以访问的。john的用户账户也在 field域中，而 field域的管理员

仅仅需求授予john用户该打印机访向权就好了。今后以后john在 field域上登陆后，就被

自动授予该打印机的访问权。则

假定该公司新建立一个名叫 resource的新域，要把一切的(如打印机)都转入那

个新域，由另外一位管理员管理。若是 lase jet打印机转到bdc将会产生甚么情况?bdc是域

名叫 resource的一位成员，打印机在 field域中再也没法得到，因而john再也无权访问

打印机。今后刻起头起，john可以经由过程建立域委托关系来访问打印队列，委托关系使得

ohn( field域的一员)可能访问位于 resource域中的 laserjet打印队列。

建立委托关系的步调以下:

x1) field域和 resource域之间建立 windows nt单向域委托关系。 field域被指

定为受托域，john的账户只存在于 field域中； resource域叫做委托域。

某(2) resource域(委托域)的管理员把 laserjet打印队列访问权授予受托域账户，作为

52 感何并控 要托域的 field的一员的h就可把打印功课送到打印机队列等候打印。

简略地说、受拓城是领有效户账户的域，委拓域是领有的域。

同享的，比方在其一台服务器上有彩色打印机，那末委托域中的用户账户其实不克不及访间 委托只是单向的。若是域( resource)领有效户账户，而账户域( field)又拥末司

账户城(也即受托域)中的彩色打印机。这就是单向委托关系的来源。若是 resourc

的用户想访问 field域中的，一样， field域必需建立到 resource的单向委托关系、

此次 resource域被指定为受托域，而 field域为委托域。于是在fi source域之间建立双向委托关系。双向委托关系没有其余此外意思，只不外是彼此单向委

托罢了。一且双向委托关系建立， field域的管理员就可授予属于 resource域的账户请

问彩色打印机的权力。建立多个域之间的委托关系若是不方案好，将变得十分庞大。因为用户账户分离在多个

域之中，因而，可以屡次施行委托关系。建立委托关系可以制止用户账户在多个域中从头建立

的须要性。) i这些委托关系若是运用恰当，可以削减管理的开消，也可用来定做网络管理员的管理义务 ，所出架。全

围。在设计包罗若干个域的环境时，大大都时辰，可以运用世条简略的准则:9中如

把用户账户置于单个账户域之中，若是需求也能够把置于账户域中，可是，绝大大都

的网络应该置于域中。在域中的账户仅限于有限数目的管理账户。单向委托关

系在账户域和域之间的创立，使得账户域成为受托域而域则成为委托域，而一旦建立

了委托关系，很容易授予对超过域的任何的访问权、这品种型的域形式称为主域形式。顾

名思义，主域形式中领有人们以为的主域，即包罗用户账户的域。这一类型的域形式可以容纳

多达100用户。另有一些其它的域形式；每ー种形式有其优点和缺陷:这取决手网络大

小和庞大水平。域的其余形式有

?多主域形式:供领有10.000多个用户账户的大机构运用；て的で一

当单域形式:供较小的机构运用；ea的后公国的要的ial

完全委托域形式:运用户不受限定运用一切其它域的量器受理好，共的 243 window nt t的全问ー

人们应该知道，在 windows nt i操纵零碎以及它提供的同组功用中存在着一些安全向

题。对一个管理员来讲，他们应该理解有关nt安全性的常识。さ个一

2:4.3.1访问控制列表 求的。一民由、记

为了使nt服务器有很好的安全性，配置 administrators用户组和 system用户组对根目

采用上述要领逐级对目次树中的一切目次进行权限配置。要注重的是，创立的新用户应具备 录有全部控制的权限，配置ues用户组(不是 everyone j用户组)对根目次有只读权限。可以

该用户所属用户组的权限。

要确保打印队列池(pim(s)目次的创立者或领有者对该目次具备全部控制的权限

用cads， file manager i或 explorer r中的查找工具( search)查找到一切的可执行文件和动态链

接库文件。这些文件的权限配置以下: 网页设计administrators月户组配置为“全部控制”权限:若是