DOMAIN_CONTROL.txt : Windows NT Domain Control & Samba

Заметка: Термин "Контроллер домена" и все, что с ним связано, ссылается на один особый метод идентификации, который лежит в основе SMB домена. Контроллеры домена до Windows NT Server 3.1 продавались различными компаниями и основывались на неофициальных расширениях протокола LAN Manager 2.1. Windows NT представила Microsoft-специфичный путь распространения базы данных идентификации пользователей. Примеры того, как Samba может участвовать в создании SMB доменов основанных на иных схемах идентификации пользователей, чем Windows NT SAM, смотрите в DOMAIN.txt

Windows NT Server может устанавливаться либо как чисто файл-сервер и сервер печати (рабочая станция или сервер рабочей группы), либо как сервер, участвующий в управлении доменом (член домена, Первичный Контроллер домена или Резервный Контроллер домена). То же справедливо и для OS/2 Warp Server, Digital Pathworks и других подобных продуктов, все из них могу принимать участие в управлении доменом наряду с Windows NT.

Многих людей эти термины могут сбить с толку, так что попробуем прояснить атмосферу.

Каждая система Windows NT (рабочая станция или сервер) имеет базу данных реестра. Реестр содержит элементы, описывающие информацию об инициализации всех запускаемых в Windows NT окружении служб (эквиваленты демонов в Unix). Реестр также содержит элементы, указывающие приложениям, где искать необходимые динамически загружаемые библиотеки. Фактически, реестр содержит элементы, описывающие все, что может кому-либо понадобиться знать для взаимодействия с остальной системой.

Файлы реестра можно найти на любой Windows NT машине, открыв консоль и набрав:

C:\WINNT\> dir %SystemRoot%\System32\config

Значение переменной окружения %SystemRoot% можно получить набрав:

C:\WINNT>echo %SystemRoot%

Активные части реестра, с которыми вы захотите познакомиться, называются: default, system, software, sam и security.

В окружении домена, контроллеры доменов Microsoft Windows NT участвуют в репликации файлов SAM и SECURITY, так что все контроллеры в домене имеют идентичную копию этих файлов.

Система Microsoft Windows NT структурирована моделью безопасности, в которой сказано, что все приложения и службы должны себя идентифицировать перед получением от менеджера безопасности прав на выполнение своей работы.

База данных пользователей Windows NT также находится в реестре. Эта часть реестра содержит идентификатор безопасности, домашний каталог, членство в группах, профиль рабочего стола и так далее.

Каждая Windows NT система (как рабочая станция, так и сервер) имеет свой реестр. Сервера Windows NT, участвующие в управлении безопасностью домена, имеют общую разделяемую базу данных - таким образом они НЕ владеют независимо всей базой данных реестра, как это делают рабочие станции и обычные сервера.

База данных пользователей называется SAM (Security Access Manager) базой данных и используется для идентификации всех пользователей, также как и для межпоцессовой идентификации (например, чтобы проверить допустимость затребованного пользователем действия в пределах привилегий этого пользователя).

Команда разработчиков Samba выпустила утилиту, способную переводить информацию из формата Windows NT SAM в формат smbpasswd: более детально о smbpasswd и утилите /pub/samba/pwdump смотрите в ENCRYPTION.txt на ближайшем зеркале Samba. Это свойство полезно, но не может непосредственно использоваться для реализации репликации SAM на системы Samba.

Windows for Workgroups, Windows 95, и Windows NT Workstation и Server могут разделять систему безопасности домена, контролируемую корректно настроенными Window NT серверами. Почти каждый домен имеет ОДИН Первичный Контроллер домена (PDC). Желательно, чтобы каждый домен имел, по крайней мере, один Резервный Контроллер домена (BDC).

PDC и BDC участвуют в репликации базы данных SAM, так что каждый участник управления доменом будет иметь в своем реестре обновленный SAM компонент.