Логическое объединение компьютеров это

Логическое объединение компьютеров это

Домен — это основная единица администрирования и обеспечения безопасности в Windows NT. Для домена существует общая база данных учетной информации пользователей домена (user accounts) и ресурсов домена — компьютеров (computer accounts) и принтеров (printer accounts). Пользователь домена выполняет один логический вход в домен и получает доступ сразу ко всем разрешенным ресурсам этого домена.

Членами домена являются как пользователи, так и компьютеры. При отсутствии доменной организации каждый компьютер Windows NT Workstation и Windows NT Server хранит собственную базу учетных данных пользователей — SAM (Security Access Manager). В этой базе хранится вся необходимая системе информация о пользователе — имя, пароль (в зашифрованном виде) и так называемый SID — Security Identifier. Идентификатор SID играет ключевую роль в процессе предоставления пользователю доступа к защищенным ресурсам системы — файлам, принтерам и т.п. В списке прав доступа ресурса ACL хранится информация о конкретных номерах SID, которым разрешен тот или иной вид доступа. Каждый SID является уникальным числом. При изменении имени пользователя его SID не изменяется.

Компьютер домена также характеризуется именем и идентификатором SID, между которыми имеется такое же соотношение, как и между именем и идентификатором SID пользователя.

В домене обязательно есть сервер Windows NT Server, выполняющий роль первичного контроллера домена — Primary Domain Controller, PDC. Этот контроллер хранит первичную копию базы данных учетной информации пользователей домена — SAM PD. Все изменения учетной информации сначала производятся именно в этой копии. Основной контроллер домена всегда существует в единственном экземпляре.

Кроме основного контроллера, в домене могут существовать несколько резервных контроллеров — Backup Domain Controllers, BDC. Эти контроллеры хранят реплики базы учетных данных. Все резервные контроллеры в дополнение к основному могут обрабатывать запросы пользователей на логический вход в домен. База данных SAM BD всегда является копией (с точностью до интервала синхронизации) базы SAM PD.

1. Он становится основным контроллером при отказе последнего.
2. Уменьшает нагрузку на основной контроллер по обработке запросов на логический вход пользователей.

Если сеть состоит из нескольких сетей, соединенных глобальными связями, то в каждой из составляющих сетей должен быть по крайней мере один резервный контроллер домена.

Членами домена могут быть также компьютеры, на которых установлены Windows NT Server, не назначенные на роль PDC или BDC. Такие серверы называются отдельно стоящими серверами (Stand-alone servers) или серверами — членами доменами (Member servers). На таких компьютерах, освобожденных от функций аутентификации пользователей и ведения справочной базы данных, могут более производительно выполняться ответственные приложения или файл- и принт-сервисы. Stand-alone серверы не могут быть оперативно переконфигурированы в PDC или BDC, для этого требуется переинсталляция.

Рабочая станция Windows NT Workstation и сервер Windows NT Server, не выполняющий роль PDC или BDC, могут динамически изменять свое членство в домене, а серверы PDC и BDC — только при инсталляции системы. Поэтому при инсталляции очень важно правильно выбрать принадлежность компьютера, назначенного на роль контроллера домена, тому или иному домену.

Процедура присоединения компьютера к домену описана в разделе «Практические занятия».

4.2. Рабочая группа

Кроме доменной структуры, сеть Windows NT может быть организована как рабочая группа. Рабочая группа — это логическое объединение компьютеров, обычно не более 10, которые могут разделять свои ресурсы. Однако при этом каждый компьютер рабочей группы имеет собственную базу учетных данных, содержащую информацию только о его локальных пользователях. На компьютерах рабочей группы могут быть установлены и Windows NT Server, и Windows NT Workstation. И пользователи, и ресурсы каждого члена рабочей группы администрируются средствами данного компьютера. Таким образом, рабочая группа не дает всех тех возможностей, которые несет в себе централизованная доменная справочная служба.

4.3. Логический вход в компьютер и домен

Когда пользователь выполняет логический вход в компьютер, то после аутентификации по имени и паролю для него создается токен доступа, куда помещается его личный SID, а также SID’ы всех групп, в которые пользователь входит. SID однозначно определяет пользователя, так как создается при занесении данных на пользователя уникальным образом — после удаления пользователя из базы SAM его SID больше повторно никогда не используется в системе.

Если пользователь выполняет логический вход в компьютер, например Windows NT Workstation 1, то его аутентификация выполняется в базе SAM 1 этого компьютера, и SID пользователю присваивается из нее.

Если же этот компьютер является членом домена, то тогда у него появляется возможность выполнить вход в домен (возможность входа в компьютер у него остается по-прежнему за счет выбора имени входа в панели диалога аутентификации).

Процедура логического входа рассматривается в разделе «Практические занятия».

4.4. Транзитная аутентификация в однодоменной сети

Если пользователь входит с рабочей станции Windows NT Workstation в домен, то рабочая станция не обращается для аутентификации в свою базу SAM, а выполняет транзитную аутентификацию. Транзитная аутентификация заключается в поиске первичного или вторичного контроллеров домена и передаче им данных о пользователе. Контроллер домена, получив данные пользователя, выполняет просмотр своей базы SAM DP или SAM PD и на основании хранящихся там данных выполняет процедуру аутентификации. Естественно, что прошедшему аутентификацию пользователю присваивается SID, хранящийся в базе SAM контроллера домена, а не той рабочей станции, с которой пользователь выполняет логический вход.

Если у разделяемых ресурсов всех серверов домена данный SID включен в списки прав доступа ACL, то пользователь после входа в домен автоматически получает соответствующие права доступа к этим ресурсам.

Таким образом, централизованная справочная служба контроллеров PDC и BDC обеспечивает свойство единственности логического входа в систему — пользователь не должен каждый раз проходить через процедуру аутентификации при попытке получить доступ к ресурсам нового сервера Windows NT Server.

4.5. Практические занятия

• Добавление учетной информации компьютера в PDC (выполняется на PDC):
  • Войти в PDC как Administrator;
  • Запустить Server Manager;
  • В меню Computer выбрать пункт Add to Domain;
  • В поле Computer Type выбрать Windows NT Workstation или Server;
  • В поле Computer Name набрать имя компьютера (например, WS11);
  • Нажать кнопку Add.
  • Войти в компьютер как администратор;
  • Control Panel запустить Network;
  • Изменить принадлежность компьютера в поле Workgroups кнопкой Change;
  • Набрать имя домена, к которому присоединяется компьютер, в поле Domain;
  • Учетную запись компьютера в домене не создавать — это уже сделано на PDC;
  • Закрыть Network и Control Panel и перезапустить компьютер.
  • Выбрать компьютер, которым вы хотите удаленно управлять (например, WS13);
  • В меню Computer выбрать Properties и исследовать возможности администратора по удаленному контролю за работающими пользователями, используемым ими ресурсам компьютера и т.п.;
  • В меню Computer выбрать Shared Directories и исследовать возможности создания новых разделяемых каталогов (share) на удаленном компьютере;
  • В меню Computer выбрать Services и исследовать возможности по приостановке и запуску сервисов на удаленном компьютере.

  4.5.2. Логический вход в компьютер и домен

  Когда вы входите в компьютер, который является членом домена и при этом не является ни PDC, ни BDC, то у вас есть две возможности: войти в него локально или войти в домен. Этот выбор вы делаете, когда в панели Logon Information в поле Domain указываете имя компьютера или домена.

  • Войдите в рабочую станцию с установленной на ней Windows NT Workstation как в локальный компьютер (то есть в меню Logon Information в поле Domain укажите имя компьютера, например, WS1, а не домена) под именем Администратор.
  • Выйдите из рабочей станции.
  • Войдите c рабочей станции с установленной на ней Windows NT Workstation в домен, например, DOM1 под именем Администратор. На экране вы увидите, что система идентифицировала вас как DOM1\Администратор.

  Источник

  2.2.4 Реализация потоков в пространстве пользователя, ядра и смешанное

  В случае А ядро о потоках ничего не знает. Каждому процессу необходима таблица потоков, аналогичная таблице процессов.

  Такую многопоточность можно реализовать на ядре не поддерживающим многопоточность

  Более быстрое переключение, создание и завершение потоков

  Процесс может иметь собственный алгоритм планирования.

  Отсутствие прерывания по таймеру внутри одного процесса

  При использовании блокирующего (процесс переводится в режим ожидания, например: чтение с клавиатуры, а данные не поступают) системного запроса все остальные потоки блокируются.

  

  Мультиплексирование потоков пользователя в потоках ядра

  2.2.5 Особенности реализации Windows

  Используется четыре понятия:

  • Задание — набор процессов с общими квотами и лимитами
  • Процесс
  • Поток
  • Волокно — облегченный поток, управляемый полностью в пространстве пользователя

  Лекция 2. Ос рабочих станций и серверов. Рабочие группы и домены. Active Directory. Основные серверы и службы в сети предприятия.

  1. Централизованное администрирование, потому что вся информация о пользователях хранится в одном месте;
  2. Однократная регистрация пользователя для получения доступа ко всем сетевым ресурсам (файлам, принтерам и программам) при наличии требуемых прав доступа. Другими словами, вы можете зарегистрироваться на одном компьютере сети и использовать ресурсы другого компьютера при условии, что вы имеете соответствующие разрешения на доступ;
  3. Масштабируемость, что позволяет создавать очень большие сети.
  1. Контроллеры домена на платформе Windows Server. Каждый контроллер домена хранит и обслуживает копию каталога. В домене вы создаете единственную учетную запись пользователя, которую Windows записывает в каталог. Когда пользователь входит в систему на компьютере домена, контроллер домена аутентифицирует пользователя, проверяя в каталоге его учетную запись, пароль и ограничения на вход в систему. В домене может быть несколько контроллеров домена и они периодически обмениваются данными своих копий каталога.
  2. Сервер, не имеющий статуса контроллера в конкретном домене. Рядовой сервер не ведет каталог и не способен аутентифицировать пользователей. Рядовые серверы обеспечивают совместный доступ к сетевым ресурсам, например к общим папкам или принтерам.
  3. Клиентские компьютеры на платформе Windows XP/Vista/7/8 или любой другой операционной системе Microsoft, не используемой как сервер. Клиентские компьютеры — это настольные системы пользователей, которые предоставляют пользователям доступ к ресурсам домена.
  1. Она не требует включения в сеть контроллера домена для хранения централизованной информации о политиках безопасности;
  2. Она проста в проектировании и эксплуатации. В отличие от домена, не требует крупномасштабного планирования и администрирования;
  3. Это удобная сетевая среда для небольшого числа компьютеров, расположенных не слишком далеко друг от друга.
  • имя;
  • фамилию;
  • отчество;
  • псевдоним (ник);
  • пол;
  • национальность;
  • расовую принадлежность;
  • вероисповедание
  • группу крови;
  • резус-фактор;
  • возраст;
  • дату рождения;
  • адрес электронной почты;
  • домашний адрес;
  • рабочий адрес;
  • нетмейловый адрес;
  • номер домашнего телефона;
  • номер рабочего телефона;
  • номер мобильного телефона;
  • номер ICQ;
  • идентификатор Skype, ник в IRC;
  • другие контактные данные систем обмена мгновенными сообщениями;
  • адрес домашней страницы и/или блога в Интернете или интранете;
  • сведения о хобби;
  • сведения о круге интересов;
  • сведения о семье;
  • сведения о перенесённых болезнях;
  • сведения о политических предпочтениях;
  • и многое другое

  Источник