几个关于windows domain的概念

Domain controller

On Microsoft Servers, a domain controller (DC) is a server that responds to security authentication requests (logging in, checking permissions, etc.) within the Windows Server domain. A domain is a concept introduced in Windows NT whereby a user may be granted access to a number of computer resources with the use of a single username and password combination.

Windows 2000 and later versions introduced Active Directory ("AD"), which largely eliminated the concept of primary and backup domain controllers in favor of multi-master replication.


Active Directory

AD是domain controller的一种,因此它最重要的作用就是domain controller的作用,即:responds to security authentication requests
Active Directory (AD) is a directory service implemented by Microsoft for Windows domain networks. It is included in most Windows Server operating systems, as a set of processes and services.
An AD domain controller authenticates and authorizes all users and computers in a Windows domain type network—assigning and enforcing security policies for all computers and installing or updating software. For example, when a user logs into a computer that is part of a Windows domain, Active Directory checks the submitted password and determines whether the user is a system administrator or normal user

一个AD的例子:

几个关于windows domain的概念_第1张图片


这个例子中,Fabrikam.com is the domain name. 之下的Buildin, Conputers etc都是groups.  Sales group下还有其他的group和用户,因此AD是有层级的。如果一个group的权限配置中包含了对某台机器的访问权,那么使一个域用户(域用户通常都是 域名\用户名称的结构,例如Fabrikam\llu )属于这个组,这个用户就具备了对这台机器的访问权。同一个domain user可以属于多个不同的group,他的权限就是所在组的权限的叠加。当该用户登录这台机器时,在本地的users and groups中看不到自己用户或所在组的名称或权限,因为域用户的信息存在AD 中,而不是本地。但一个域用户也可以被加入本地的users and groups 中,这样他就有了格外的权限。例如,一个域用户由于是domain group中的成员而可以远程访问(英文缩写:RDP)一台机器,同时该用户被加入了这台机器本地的“Event Log Readers” group中,那么他就可以查看event log了。如下图所示:


几个关于windows domain的概念_第2张图片


细心的读者已经发现了,上图中有一些SQLServer开头的group。这些groups是在本地安装SQL Server时被创建的关于SQL Server的group。大家知道SQL Server有两种认证方式,windows认证和SQL Server认证。像SQL Server这类可以基于windows权限管理体系来管理对程序的访问权的应用程序很多。我们一般不在local users and groups中管理域用户的访问权,而是在应用程序中管理。例如,如果一个域用户需要访问一台机器上的SQL server,则在SQL server中创建新的login:

几个关于windows domain的概念_第3张图片


在输入login name时,选择search,然后在弹出窗口中查找出域用户后,点ok即可。这样一个域用户就具备了对SQL server的访问权,同时该用户对数据库对象的具体权限由login中配置的权限而定。




你可能感兴趣的:(Windows)