Active Directory для Windows Server 2003

         

Windows NT и SAM


Войдите в Microsoft Windows NT 3.1 Advanced Server. Платформа Windows NT Server предлагает устойчивую 32-битную вычислительную среду с привычным внешним видом и «ощущением» популярной операционной системы Microsoft Windows for Workgroups, предназначенной для настольных компьютеров. Сердцем Windows NT NOS (Network Operating System — сетевая операционная система) является база данных SAM (Security Accounts Management - управление безопасными учетными записями). Она представляет центральную базу данных учетных записей, включающую все учетные записи пользователей и групп в домене. Эти учетные записи используются для управления доступом к совместным ресурсам, принадлежащим любому серверу в домене Windows NT.

База данных SAM оставалась главной службой каталога для нескольких вариантов систем Microsoft Windows NT NOS, включая систему Windows NT 3.5 и систему Windows NT Server 4. База данных SAM масштабировалась намного лучше, чем предыдущая архитектура службы каталога из-за введения междоменных доверительных отношений. Доверительные отношения в Windows NT были важны для преодоления других ограничений службы каталога Windows NT.

Однако база данных SAM имела несколько ограничений, включающих недостаток объема и плохие возможности доступа. База данных SAM имела практическое ограничение размера в 40 Мб. В терминах пользователя, группы и компьютерных объектов это ограничение проявлялось в том, что количество объектов учетных записей не могло превышать 40000. Чтобы масштабировать вычислительную среду за пределы этого

ограничения, сетевые администраторы должны были добавить больше доменов к своим средам. Организации также разбивались на несколько доменов, чтобы достигнуть административной автономии, чтобы каждый администратор мог иметь полный контроль над своим собственным доменом. Поскольку все администраторы домена Windows NT 4 имеют, по существу, неограниченные административные привилегии, создание отдельных доменов было единственным методом установления границ администрирования. Однако в пределах домена все администраторы имели полный контроль над серверами и службами, которые на них выполнялись. Создание дополнительных доменов не было привлекательным методом, поскольку каждый новый домен требовал дополнительных серверных аппаратных средств, что приводило к увеличению административных накладных расходов. По мере роста количества доменов в организации обеспечение уверенности относительно доверительных отношений, которые делали возможным пользовательскую идентификацию для доступа к ресурсам внешних доменов, также приводило к росту накладных расходов. Чтобы справиться с этой растущей сложностью доменов и доверительных отношений, сетевые администраторы реализовывали одну из четырех доменных моделей: отдельный домен (single domain), домен с одним хозяином (master domain), домен с несколькими хозяевами (multiple master domain, или multimaster) и отношения полного доверия (complete trust). Эти доменные модели показаны на рисунке 1-1.




Рис. 1 -1. Четыре доменные модели, используемые в Windows NT 4

При поддержке этих доменных моделей самые большие административные хлопоты состояли в необходимости создания и сопровождения большого количества доверительных отношений. Это было не просто, потому что все доверительные отношения между доменами Windows NT 4 должны были создаваться с двух сторон, т.е. в обоих доменах на концах доверительных отношений. В сценариях, предполагающих нескольких администраторов домена, это требовало координации и взаимодействия, что не является характерной чертой работы сетевых администраторов. Кроме того, доверительные отношения в домене Windows NT были не особенно устойчивы. Из-за применения метода однозначно определяемой аутентификации между парой компьютеров, который использовался для поддержания доверительных отношений в Windows NT, эти доверительные отношения часто были недоступны.

Второе ограничение на базу данных SAM состояло в возможностях доступа. Единственным методом доступа, применявшимся при взаимодействии с базой данных SAM, была сама NOS. Этот метод ограничивал программируемый доступ и не обеспечивал конечным пользователям легкого доступа для поиска объектов. Все запросы на чтение, создание или изменение объектов SAM должны были инициироваться с использованием одного из нескольких инструментальных средств, включенных в интерфейс пользователя (UI - User Interface) Windows NT 4, таких как User Manager For Domains (Администрирование доменов) или Server Manager (Администрирование серверов). Это ограничило полезность базы данных SAM в качестве службы каталога и внесло вклад в потребность найти замену службе каталога Windows NT в будущих версиях систем Windows-NOS. Такая служба каталога начала обретать форму на рабочих столах команды разработчиков Microsoft Exchange Server.


Содержание раздела