Domain en trustrelationships
In een domein is er één primary
domain controller nodig om de accountdatabase te bewaren.
Een tweede server
kan men installeren als backup domain controller of als primary domain
controller.
Van een backup domain controller kan men steeds opnieuw een
primary domain controller maken doch niet omgekeerd.
Hoe?
kies
administrative tools, server manager, selecteer de computernaam en
vanuit het menu computer, promote to primary domain controller
Wanneer men gebruik maakt van meerdere primary domain controllers dan moet
een user in de accountdatabase van de verschillende domain controllers ingevoerd
worden om toegang te krijgen tot de gedeelde bronnen van de verschillende
servers...
tenzij men gebruik maakt van TRUSTRELATIONSHIPS
Een
trust combineert 2 of meer domeinen tot één administratief geheel
voordelen voor
- de administrator
users en groepen worden in de accountdatabase
van 1 primary controller geplaatst, dus veel eenvoudiger te administreren
- de gebruiker
gebruikers behorende tot 1 domein krijgen access
tot andere domeinen
1.soorten trusts
- ONE WAY: één domein vertrouwt het andere domein
- voorbeeld
| computer |
MASTER |
KLASSEN |
| domein |
domein |
klas |
| users |
administratror |
administrator
N16M1... |
In de praktijk werkt men meestal met een accountdomein, de server
waar de accountdatabase bewaard wordt, en een resourcedomein, de
server(s) met de gegevens die als gedeeld staan.
In het voorbeeld is
klas het accountdomein en domein het resourcedomein
trustrelationship: domein trust klas
Selecteer administrative tools, user manager for domain, policies,
trust relationships
- op de accountdomeinserver:
In permitted to trust this domein plaats
men de naam van de resourcedomeinserver. Opgelet het paswoord moet
tweemaal ingevoerd worden
- op de resourcedomeinserver:
In trusted domeins komt de naam van de
accountdomeinserver en moet het paswoord ter verificatie ingevoerd worden
- TWO WAY: beide domeinen vertrouwen elkaar
- voorbeeld
| computer |
MASTER |
KLASSEN |
| domein |
domein |
klas |
| users |
administratror
bezoeker |
administrator
N16M1... |
probleem: de gebruikers van het domein KLAS moeten de computer
MASTER kunnen benaderen doch de gebruikers van domein DOMEIN moeten ook
gebruik kunnen maken van de gedeelde bronnen van de KLASSEN-computer.
oplossing:domein trust klas en klas trust domein
Selecteer administrative tools, user manager for domain, policies,
trust relationships in respectievelijk domein KLAS en DOMEIN
![]()
INLOGGEN met een trustrelationship
- Denk eraan dat men steeds moet inloggen in het domein waar de gebruiker
geregistreerd staat. Zowel bij NT als win95 kan men het inlogdomein tijdens
de inlogprocedure wijzigen.
Dit kan tot problemen leiden indien men over
meerdere accountdomeinen beschikt!!!
2. globale groepen
Automatisch werden er 3 aangemaakt :
- domain admins: alle administrators van het domein
- domain guests: de user guest
- domain users: alle aangemaakte users
Een nieuwe globale groep heeft geen enkel user right en kan enkel users van
het domein bevatten, doch op zichzelf kan hij lid zijn van een locale
groep.
Indien er een trustrelationship tussen verschillende domeinen
gedefinieerd werd, dan kan men gebruik maken van locale groepen die globale
groepen van verschillende domeinen bevatten
Vandaar volgende regels bij het administreren van de accountdatabase:
- plaats de users per server in globale groepen; elke globale groep wordt
als één user beschouwd
- definieer de locale groepen met als leden globale groepen eventueel uit
verschillende domeinen
- geef de locale groepen de nodige user rights en permissies
voorbeeld1:
| computer |
MASTER |
KLASSEN |
| domein |
DOMEIN |
KLAS |
| users |
administrator |
administrator
globale groep N15 met users
N15M1,N15M2,...
globale groep N16 met users N16M1,N16M2,...
|
Op de computer MASTER is er een gedeelde directory
C-DRIVE.
- alle users van lokaal N15 en N16 moeten deze directory kunnen bereiken
- alle users moeten lokaal kunnen inloggen
Wat is het accountdomein
en het resourdedomein?
voorbeeld2:
| computer |
MASTER |
KLASSEN |
POST |
| domein |
DOMEIN |
KLAS |
ADMIN |
| users |
administrator |
administrator |
administrator |
| inhoud |
|
c:\toepas
bevat alle softwarepakketten als word, excel,access |
c:\word
c:\excel
c:\access
deze directories bevatten de
databestanden |
- alle users van lokaal N15 en N16 moeten de softwarepakketten kunnen
gebuiken
- Jan, Piet en Pol moeten met de softwarepakketten kunnen werken en de
gegevens van excel en word kunnen opvragen
- Karel en Walter moeten met de softwarepakketten kunnen werken en enkel de
databestanden van access kunnen oproepen
Hoe volgende uitbreidingen
realiseren?
- de job van Karel verandert; hij moet nu de bestanden van excel en word
kunnen opvragen en niet meer access
- Walter moet naast access ook de gegevens van word en excel kunnen bereiken
voorbeeld3:
| computer |
SERVER1 |
SERVER2 |
| domein |
GROEP1 |
GROEP2 |
| users |
van A-M |
van N-Z |
Albert, Chris, Walter en Steven moeten
van beide servers backups kunnen maken