清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 并且要使用所有的全局组,而在其他域模型中只使用 个全局组。这种模型适用于网络中用户数量很多且 有一个专门的管理部门的情况。 ④完全信任模型:网络中具有多个主域,每个域中都有 自己的用户和全局组,且这些域均两两信任。这种模 型适用于网络中用户众多且没有一个专门的管理部门 的情况下。这种模型的缺点是没有一个专门管理域的 部门,且要建立大量的信任关系。 如在图53所示的网络中,包含三个域:计算中心域A 计算机系域B和信息系域C。 (4)信任关系 信任关系是域之间的链接,允许跨越身份验证。通过信 任关系,使用户可以使用其他域中的网络资源(当然还 要有使用资源的权限)。有两种类型的信任关系:
并且要使用所有的全局组,而在其他域模型中只使用 一个全局组。这种模型适用于网络中用户数量很多且 有一个专门的管理部门的情况。 ④ 完全信任模型: 网络中具有多个主域,每个域中都有 自己的用户和全局组,且这些域均两两信任。这种模 型适用于网络中用户众多且没有一个专门的管理部门 的情况下。这种模型的缺点是没有一个专门管理域的 部门,且要建立大量的信任关系。 如在图5.3所示的网络中,包含三个域:计算中心域A、 计算机系域B和信息系域C。 (4) 信任关系 信任关系是域之间的链接,允许跨越身份验证。通过信 任关系,使用户可以使用其他域中的网络资源(当然还 要有使用资源的权限)。有两种类型的信任关系:
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS ①单向信任关系:一个域(信任域)信任其他域(被信 任域)中的用户使用其资源,即信任域完全承认来 自被信任域的所有用户和全局组账户,而信任域中 的用户无法使用被信任域中的资源。在图53中, 域C信任域A,属于单向信任关系。 ②双向信任关系:网络中的每个域都信任对方域中 的用户使用其网络资源。通过适当使用双向信任关 系,可以使任一域中的用户使用网络中的所有网络 资源。所以说双向信任关系相当于两个单向信任关 系,即域相互信任。全局用户账号和全局组可被用 来从任何一个域中得到授权来访问其中任何一个域 中的资础T图5.3中,域A与域B,属于双向信任关 系
① 单向信任关系: 一个域(信任域)信任其他域(被信 任域)中的用户使用其资源,即信任域完全承认来 自被信任域的所有用户和全局组账户,而信任域中 的用户无法使用被信任域中的资源。在图5.3中, 域C信任域A,属于单向信任关系。 ② 双向信任关系: 网络中的每个域都信任对方域中 的用户使用其网络资源。通过适当使用双向信任关 系,可以使任一域中的用户使用网络中的所有网络 资源。所以说双向信任关系相当于两个单向信任关 系,即域相互信任。全局用户账号和全局组可被用 来从任何一个域中得到授权来访问其中任何一个域 中的资础T图5.3中,域A与域B,属于双向信任关 系
清华大学出版社 TSINGHUA UNIVERSITY PRESS 计算中心域 计算机系域 域的目录 B 据库的备份 Windows NI工作站 PDC(域的目录数据库) 域的目录 数据库 DOS工作站 BDC PDCI 信任 Hu DOS工作站 Windows NI Windows 95/98 工作站 件服务器 Windows95/98 工作站 PDC2 Windows95/98 工作站 Hub 信息系域 Windows NT 文件服务器 DOS工作站 图53
图5.3
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS (5)域的优点 ①单一登录过程:用户只需要一个域用户账号的信 息即可登录到域上,并使用域中的网络资源,而不 必逐一登录域中的所有服务器 ②集中式管理:网络管理员若要修改某个用户的账 户信息,只需在主域控制器上进行修改,此修改信 息应用于整个域,而不必逐台服务器修改同一用户 的信息,保持了用户信息的一致性。 6)域命名约定 规划域时,需要考虑域的名称,为清楚起见,域名 应反映其服务的范围。一旦设计好域名,最好不要 更改。原因是更改域名后要求对每台属于重命名域 的服务器进行重新安装。例如,将一个系作为一个 域,域名即是系名
(5) 域的优点 ① 单一登录过程: 用户只需要一个域用户账号的信 息即可登录到域上,并使用域中的网络资源,而不 必逐一登录域中的所有服务器。 ② 集中式管理:网络管理员若要修改某个用户的账 户信息,只需在主域控制器上进行修改,此修改信 息应用于整个域,而不必逐台服务器修改同一用户 的信息,保持了用户信息的一致性。 (6) 域命名约定 规划域时,需要考虑域的名称,为清楚起见,域名 应反映其服务的范围。一旦设计好域名,最好不要 更改。原因是更改域名后要求对每台属于重命名域 的服务器进行重新安装。例如,将一个系作为一个 域,域名即是系名
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS (7)组命名和分配约定 网络管理员可能为每个资源域创建一个全局组,该 组可能包括所有将该域作为主要资源来源的成员。 其他全局组可能为所有部门或位置而创建,并且, 每个部门的成员自动成为其部门组的成员。组名应 该反映域和部门,例如,若以一个系作为域,则系 中的各个班就是一个个全局组,可以写鳌跋得班 名 4.用户账户与组 (1)用户账户 任何一个用户想要登录到 Windows nt服务器上,就 必须要拥有一个属于自己的用户账户。用户账户保 存了用户的信息(包括姓名、密码以及该用户能
(7) 组命名和分配约定 网络管理员可能为每个资源域创建一个全局组,该 组可能包括所有将该域作为主要资源来源的成员。 其他全局组可能为所有部门或位置而创建,并且, 每个部门的成员自动成为其部门组的成员。组名应 该反映域和部门,例如,若以一个系作为域,则系 中的各个班就是一个个全局组,可以写鳌跋得_班 名” 4. 用户账户与组 (1) 用户账户 任何一个用户想要登录到Windows NT服务器上,就 必须要拥有一个属于自己的用户账户。用户账户保 存了用户的信息(包括姓名、密码以及该用户能