Embed Size (px)
Citation preview
© S
chm
idtk
e C
T G
mb
H
Einführung in Windows NT- Historie -
• Historische Entwicklung:– 1986: MS-NET
• von Microsoft entwickelt, jedoch nicht selbst vertrieben
• Teil des IBM-PC Network-Support-Programms
• Novell bereits mit besserem Produkt auf dem MarktNovell wird Marktführer
• Weiterentwicklung von MS-NET durch 3COMvertrieb durch 3COM als ”3+”
– 1985 - 1988: Entwicklung von LAN-Manager• Zusammenarbeit mit IBM, 3COM, Compaq
• basierte auf OS/2 v 1.0
• besser als MS-NET
• immer noch keine Konkurrenz für Novell
– 1988 - 1990: LAN-Manager 2.0• Leistung zieht mit Novell (in einigen Benchmarks) gleich
• jedoch nur für 286er ausgelegt
• Novell nutzt bereits 386er Architektur
– 1990: Zwist mit IBM• Weiterentwicklung des LAN-Managers gerät ins Stocken
• Microsoft gibt OS/2 auf und entscheidet sich zur Entwicklung von Windows NT
© S
chm
idtk
e C
T G
mb
H
Einführung in Windows NT- Historie -
– Ziele von Windows NT:• Unabhängigkeit vom Prozessor (286er, 386er, Alpha-Prozessoren, etc.)
• soll Alternative zu UNIX werden
• Suche von Vorteilen der vorhandenen Systeme:– OS/2– UNIX– Windows, etc.
• Ergebnis: neuer Betriebssystem-Architekturansatz:Windows NT (NT = New Technologie)
• Erste Version bei Markteinführung: 3.1– sollte Assoziation mit Windows 3.1 bewirken– nutzte dasselbe GUI wie Windows 3.1 und war damit in der Bedienung fast identisch– GUI = Graphical User Interface (Bedieneroberfläche)
• Sammlung von wertvollen (zum Teil schmerzhaften) Erfahrungen ( ..... )
– 1994: Markteinführung Windows NT 3.5• Leistungsfähigkeit und Stabilität deutlich verbessert
• wird ernsthafte Konkurrenz zu Novell
• Unterstützung von INTEL x86, MIPS, Alpha und PowerPCs
© S
chm
idtk
e C
T G
mb
H
Einführung in Windows NT- Historie -
– Heute: Windows NT 4.0• Benutzeroberfläche von Windows’95
• gleiche APIs wie Windows’95 (API=Aplication Program Interface)
• damit Kompatibilität zu Win’95 Programmen erzeugt
• Unterstützt Hardwareprofile (beim booten auswählbar)
• Neue Namensauflösungen bei TCP/IP: – WINS (= Windows Internet Name Service von Microsoft)– DNS (= Domain Name System, z.Zt. standard im Internet)
• EMF: Enhanced Metafile Spooling (Druckjob-Aufbereitung auf dem Server)
• PPTP: Point to Point Tunneling Protocol:– zur sicheren Übertragung zwischen zwei Punkten (auch über Internet)– Einbettung von TCP/IP, IPX/SPX und NetBEUI möglich
• Neuer Systemrichtlinien-Editor ersetzt den (schwer handhabbaren) Benutzer-Editor
• erweiterte Treiberbibliothek, u.v.a.m
– Die NT-Familie• Windows NT Workstation
– Desktop Betriebssystem– Peer to Peer Netzwerkfunktionalität
• Windows NT Server– gleiche Architektur wie NT Workstation– im Wesentlichen mit NT-Workstation identisch– zusätzliche Funktionen zum Einsatz als Netzwerkbetriebssystem
© S
chm
idtk
e C
T G
mb
H
NT-Systemarchitektur- Überblick -
H A L
Hardware
Neue Architektur mit voneinander unabhängigen Teilsystemen
SubSysteme
GerätetreiberKernel
Applikationen
ProzessManager
SpeicherManager
I/OManager
Sicherheits-Monitor
ObjektManager
ProzessKommunni-kation
DateiSystem
Grafik
Exe
cuti
ve
© S
chm
idtk
e C
T G
mb
H
NT-SystemarchitekturDas HAL-Konzept
• Ziel: Unabhängigkeit von Prozessor und Bustyp:– Betriebsystem vollständig in C geschrieben– alle Elemente bezüglich Hardware in einem gesonderten Programmierbereich
zusammengefasst: der HAL (= Hardware Abstraction Layer)– Zum “Umzug” auf neues System:
• C-Programme neu kompilieren
• neue HAL generieren
– Ausführung der HAL als DLL: HAL.DLL– kann aber durchaus problematisch sein (siehe HP RISC-Prozessor)
Kernel Gerätetreiber
H A L
Hardware
© S
chm
idtk
e C
T G
mb
H
NT-Systemarchitektur• Der NT-Kernel
– übernimmt die Steuerung des Prozessors– ist somit ebenfalls (wie der HAL) plattformabhängig– HAL und NT-Kernel gehören untrennbar zusammen– Kernel-Aufgaben:
• Interrupt-Behandlung
• Steuerung von Threads
• Syncronisation von Prozessen, u.a.
– Hinweis zur Praxis: • beim booten wird nach NTDETECT (Hardwareerkennung) der NT-Kernel und der HAL
geladen
• erkennbar am blauen Bildschirm im 50-Zeilen-Modus
• Die Gerätetreiber– ... wie sonst auch .... z.B. CD-ROM-Treiber– natürlich hardware- und plattformabhängig– gehören aus Prinzip nicht zum Betriebssystem– daher keine Einbindung in den HAL
© S
chm
idtk
e C
T G
mb
H
NT-SystemarchitekturDer NT-Executive
• stellt den Subsystemen grundlegende Betriebssystemfunktionen bereit• steuert sämtliche Aktivitäten des Betriebssystems• Läuft im “Ring 0” und ist somit vor Programmfehlern in äusseren Ringen geschützt• Bedient sich einer Reihe von “Managern”:
– Prozess-Manager
– Speicher-Manager
– I/O-Manager
– Objekt-Manager
– Sicherheit-Monitor
– Prozess-Kommunikation
– Dateisystem
– und Grafikkomponenten
ProzessManager
SpeicherManager
I/OManager
Sicherheits-Monitor
ObjektManager
ProzessKommunni-kation
DateiSystem
Grafik
Exe
cuti
ve
© S
chm
idtk
e C
T G
mb
H
NT-SystemarchitekturDer NT-Executive
• Objekt-Manager– Verwaltet Objekte des Executive
• Systemressourcen werden als Objekte dargestellt• Hauptspeicherbereiche• Dateien• Verzeichnisse• Grafikkarten• etc.
– Objekte werden• der Anwendung einheitlich zur Verfügung gestellt• nach Bedarf erzeugt, verwaltet und gelöscht
ProzessManager
SpeicherManager
I/OManager
Sicherheits-Monitor
ObjektManager
ProzessKommunni-kation
DateiSystem
Grafik
Exe
cuti
ve
© S
chm
idtk
e C
T G
mb
H
NT-SystemarchitekturDer NT-Executive
• Prozeß-Manager– Verwaltet Prozesse und deren Threads
• wird aktiv, wenn Subsystem einen Prozeßstart verlang
• übernimmt die Initiierung von Threads
• und leitet deren Beendung ein
• verwaltet Informationen über aktive Prozesse und Threads
ProzessManager
SpeicherManager
I/OManager
Sicherheits-Monitor
ObjektManager
ProzessKommunni-kation
DateiSystem
Grafik
Exe
cuti
ve
© S
chm
idtk
e C
T G
mb
H
NT-SystemarchitekturDer NT-Executive
• I/O-Manager– Der Ein-Ausgabe-Manager stellt den Subsystemen eine einheitliche
Schnittstelle für die Ein- und Ausgabe von Daten zur Verfügung– sorgt somit für Geräteunabhängigkeit– beinhaltet den Cache-Manager– direkt mit Hardware-Treiber gekoppelt
• Dateisystemtreiber (z.B. NTFS.SYS)
• Fault-Tolerance-Treiber (z.B. FTDISK.SYS)
• Einheitentreiber (z.B. AHA154x.SYS)
ProzessManager
SpeicherManager
I/OManager
Sicherheits-Monitor
ObjektManager
ProzessKommunni-kation
DateiSystem
Grafik
Exe
cuti
ve
© S
chm
idtk
e C
T G
mb
H
NT-SystemarchitekturDer NT-Executive
• Der Sicherheitsmonitor– sorgt für Sicherheit auf dem lokalen Server (bzw. Workst.)
• überprüft Anmeldungen von Benutzern• überwacht Ressourcen des Betriebssystems• schützt Objekte (vom Objekt-Manager) während der Systemlaufzeit• steuert (durch Admin festgelegte) Zugriffsrechte auf Verzeichnisse
ProzessManager
SpeicherManager
I/OManager
Sicherheits-Monitor
ObjektManager
ProzessKommunni-kation
DateiSystem
Grafik
Exe
cuti
ve
© S
chm
idtk
e C
T G
mb
H
NT-SystemarchitekturDer NT-Executive
• Der Speicher-Manager– verwaltet den virtuellen Speicherbereich– wird auch VMM (=Virtual Memory Manager) genannt
• Windows NT ist ein 32-Bit-Betriebssystem• daher bis zu 232 Byte = 4 GByte Arbeitsspeicher adressierbar• davon 2 GB für Anwendungen und 2 GB für den Executive• nutzt Auslagerungsdateien auf Festplatte• verwendet lineare Speicheradressierung
somit Einsatz auf DEC ALPHA oder MIPS R4000 möglich
ProzessManager
SpeicherManager
I/OManager
Sicherheits-Monitor
ObjektManager
ProzessKommunni-kation
DateiSystem
Grafik
Exe
cuti
ve
© S
chm
idtk
e C
T G
mb
H
NT-SystemarchitekturDer NT-Executive
• Prozeß-Kommunikation– ermöglicht die Kommunikation einzelner Prozesse untereinander
• benutzt LPC (=Local Procedure Call)• LPC ist eine Variante von RPC (Remote Procedure Call)• dient zur Aufteilung von komplexen Aufgaben an verschiedene
Prozesse• großer Kommunikationsbedarf durch Subsysteme gegeben
ProzessManager
SpeicherManager
I/OManager
Sicherheits-Monitor
ObjektManager
ProzessKommunni-kation
DateiSystem
Grafik
Exe
cuti
ve
© S
chm
idtk
e C
T G
mb
H
NT-SystemarchitekturDer NT-Executive
• Das Datei-System– Verwaltet Dateien und Verzeichnisse
• NTFS (Windows eigenes Dateisystem)
• FAT (DOS)
• HPFS (OS/2)
• Realisierung als Treiber: FASTFAT.SYS, NTFS.SYS, etc.
ProzessManager
SpeicherManager
I/OManager
Sicherheits-Monitor
ObjektManager
ProzessKommunni-kation
DateiSystem
Grafik
Exe
cuti
ve
© S
chm
idtk
e C
T G
mb
H
NT-SystemarchitekturDer NT-Executive
• Grafik– Neu: Performanceverbesserung durch Verlagerung in den Executive
• der Grafikkarten-Gerätetreiber
• der GDI (Graphics Device Interface)
– somit bessere Kommunikation ohne Ringwechsel möglich– LPC kaum noch notwendig– Grafiktreiber daher besonders aufwendig entwickeln
(aber: Fehler waren bisher ebenfalls nicht tolerierbar)
ProzessManager
SpeicherManager
I/OManager
Sicherheits-Monitor
ObjektManager
ProzessKommunni-kation
DateiSystem
Grafik
Exe
cuti
ve
© S
chm
idtk
e C
T G
mb
H
• Anwender-Applikationen arbeiten nicht direkt mit dem Executive zusammen, sondern setzen auf Subsystemen auf
– Win 32
– OS/2
– POSIX
• setzt z.B. eine Datenträgeroperation von OS/2 in eine NT-spezifische Operation um und gibt diese an den Executive weiter
• Win32– Abwicklung von 32Bit Windows-Applikationen
– Abwicklung von 16Bit Windows-Applikationen
– Abwicklung von DOS-Applikationen• kein getrenntes DOS-Subsystem• DOS Umgebung durch VDM (Virtual DOS Machine)• VDM ist Win32-Applikation (NTVDM.EXE)
– alleine für I/O und Grafik zuständig• OS/2 nutzt per LPC die Funktionalität von Win32• POSIX dito
NT-SystemarchitekturSubsysteme
© S
chm
idtk
e C
T G
mb
H
• OS/2– erreicht ein Mindestmaß an OS/2 Kompatibilität– erlaubt Nutzung von Zeichenorientierten OS/2 1.x - Applikationen– Presentation-Manager-Applikationen nur durch zusätzliches Add-On von MS
• POSIX– unterstützt z.Zt. nur die POSIX-1003.1 Systemdienste– keine Nutzung der Sicherheitsmechanismen und der Netzwerkfunktionalität– kann Grafikfunktionalität von Win32 z.Zt. nicht nutzen– z.Zt. kein Add-On verfügbar
• Weitere Subsysteme– weitere Subsysteme dienen dem Executive und bieten diverse Funktionen für obige
Subsysteme (z.B. Sicherheitssubsystem)
NT-SystemarchitekturSubsysteme
© S
chm
idtk
e C
T G
mb
H
Windows - NTDie Registrierung
• Datenbank mit allen Systemparametern• ersetzt Konfigurationsdateien
– Autoexec.bat– Config.sys– WIN.INI– System.INI u.a.
• Bearbeitung mit Regedt32.exe im Ordner System32– wird standardmäßig nicht oder kaum Dokumentiert– Tuning und spezielle Einstellungen möglich– aber: führt leicht zur “Katastrophe”:
• System läuft nicht mehr stabil• regelmäßige Systemabstürze• läuft gar nicht mehr
– vorher: Sicherung mit REGBACK.EXE anlegen– bei Bedarf: Wiederherstellung mit REGREST.EXE
© S
chm
idtk
e C
T G
mb
H
Windows - NTDie Registrierung
• Die fünf Bereiche der Registrierungsdatenbank– HKEY_CURRENT_USER
• wesentliche Konfigurationsinformationen für den aktuell angemeldeten Benutzer– Programmgruppen des Benutzers– Bildschirmfarben– Einstellungen in der Systemsteuerung– etc.
– HKEY_USERS• Beinhaltet alle Benutzerprofile dieses Computers
• HKEY_CURRENT_USER ist ein Teil von HKEY_USERS
– HKEY_LOCAL_MACHINE• rechnerspezifische Konfigurationen
• gilt für alle Benutzer
– HKEY_CLASSES_ROOT• Information um eine Datei mit der richtigen Anwendung zu starten
• ist ein Teilbereich von HKEY_LOCAL_MACHINE\SOFTWARE
– HKEY_CURRENT_CONFIG• Angaben zum momentan verwendeten Hardware-Profil
© S
chm
idtk
e C
T G
mb
H
Windows - NTWorkstation <-> Server
Eigenschaften und Dienste
Windows NT Workstation
Windows NT Server
Fokus High-End 32-Bit Einzelplatz-Betriebsystem
Netzwerk-betriebssystem
Netzwerkfunktionalität Peer to Peer Server Windows ’95 Oberfläche ja ja Client-Anbindung 10 unbegrenzt Multiprocessing 2 Prozessoren 4 Prozessoren RAS-Einwahl eine Verbindung 256 Verbindungen Verzeichnisreplication nur Import Import und Export Disk Fault Tolerance nein Mirror, Duplex, RAID 5 RAM mind./empf./besser 12 / 16 / 32 MB 16 / 32 / 64 MB Festplatte 110 MB / 200 MB 160 MB / 250 MB HTTP, Gopher, FTP eingeschränkte Peer Services ja: Inf.-Server 2.0 DNS, DHCP, WINS, ... nein ja Web-Editor nein Frontpage Backoffice-Applikationen nein ja Administratorfokus lokal Domäne Optimierung Antwortzeit einzelner Applika-
tionen; Endanwenderorientier-tes Multitasking; vordere Ap-plikation hat höchste Priorität
Antwortzeit im Netz-werk; Netzwerkdienste haben höchste Priorität, optimierte I/O-Prozesse
Que
lle:
Ma
rkt &
Te
chn
ik,
Win
do
ws
NT
Ko
mp
en
diu
m
© S
chm
idtk
e C
T G
mb
H
Windows - NTWindows NT <-> Windows ‘95
Eigenschaften Windows 95 Windows NT Work Prozessor/Plattform 386/486 ... ab 486, Alpha, MISP, ... Multiprozessorfähig nein ja RAM 8 / 16 16 / 32 Festplatte mind. 40 MB mind. 120 MB Geräte mit DOS-Treibern ja nein Geräte mit Win16-Treibern ja nein Plug&Play ja nein Dyn. PCMCIA ja nur statisch Dateisystem FAT FAT, NTFS Datenschutz nein ja (NTFS) Win16 & DOS-Applikationen
ja bis auf direkte Hardware-Ansteuerung und TSRs
Win32 API ja ja Netzwerkfunktionalität im wesentlichen gleich
Peer to Peer Peer to Peer
Que
lle:
Ma
rkt &
Te
chn
ik,
Win
do
ws
NT
Ko
mp
en
diu
m
© S
chm
idtk
e C
T G
mb
H
Windows - NTWorkstation <-> Server
Eigenschaften und Dienste
Windows NT Workstation
Windows NT Server
Fokus High-End 32-Bit Einzelplatz-Betriebsystem
Netzwerk-betriebssystem
Netzwerkfunktionalität Peer to Peer Server Windows ’95 Oberfläche ja ja Client-Anbindung 10 unbegrenzt Multiprocessing 2 Prozessoren 4 Prozessoren RAS-Einwahl eine Verbindung 256 Verbindungen Verzeichnisreplication nur Import Import und Export Disk Fault Tolerance nein Mirror, Duplex, RAID 5 RAM mind./empf./besser 12 / 16 / 32 MB 16 / 32 / 64 MB Festplatte 110 MB / 200 MB 160 MB / 250 MB HTTP, Gopher, FTP eingeschränkte Peer Services ja: Inf.-Server 2.0 DNS, DHCP, WINS, ... nein ja Web-Editor nein Frontpage Backoffice-Applikationen nein ja Administratorfokus lokal Domäne Optimierung Antwortzeit einzelner Applika-
tionen; Endanwenderorientier-tes Multitasking; vordere Ap-plikation hat höchste Priorität
Antwortzeit im Netz-werk; Netzwerkdienste haben höchste Priorität, optimierte I/O-Prozesse
Que
lle:
Ma
rkt &
Te
chn
ik,
Win
do
ws
NT
Ko
mp
en
diu
m
© S
chm
idtk
e C
T G
mb
H
Windows - NTWindows NT <-> Windows ‘95
Eigenschaften Windows 95 Windows NT Work Prozessor/Plattform 386/486 ... ab 486, Alpha, MISP, ... Multiprozessorfähig nein ja RAM 8 / 16 16 / 32 Festplatte mind. 40 MB mind. 120 MB Geräte mit DOS-Treibern ja nein Geräte mit Win16-Treibern ja nein Plug&Play ja nein Dyn. PCMCIA ja nur statisch Dateisystem FAT FAT, NTFS Datenschutz nein ja (NTFS) Win16 & DOS-Applikationen
ja bis auf direkte Hardware-Ansteuerung und TSRs
Win32 API ja ja Netzwerkfunktionalität im wesentlichen gleich
Peer to Peer Peer to Peer
Que
lle:
Ma
rkt &
Te
chn
ik,
Win
do
ws
NT
Ko
mp
en
diu
m
© S
chm
idtk
e C
T G
mb
H
Windows - NTDas Microsoft - Netzwerkkonzept
• Microsoft hat eigene Netzwerkarchitektur aufgebaut• hierzu gehört eine Microsoft eigene Terminologie
– Workgroup
– Domäne• Primary Domain Controller• Backup Domain Controller• alleinstehender Server
– vertraute Domänen• Single-Domain-Modell• Master-Domain-Modell• Multiple-Master-Domain-Modell• Complete-Trust-Modell
– Browser• Master Browser, Prefered Master Browser• Backup Browser, Potentieller Browser• Browser Client
© S
chm
idtk
e C
T G
mb
H
Microsoft - NetzwerkkonzeptWorkgroup
• Peer to Peer Netzwerk• Anwender werden zu logischen
Arbeitsgruppen zusammengefaßt
• Jeder Rechner verfügtüber eine eigene Benutzerkonten Datenbank
• Ressourcen werden an jedem Rechner “freigegeben”
• Jeder Benutzer regelt die Freigabe seiner Resourcen selber
• Systemübergreifend:– Windows 3.11 f.
Workgroups
– Windows 95
– Windows NT Workstation
– Windows NT Server in der Variante “Alleinstehender Server”
• Mangelnde Sicherheit• Nur für kleine Netzwerke
(bis max. 15 Mitarbeiter)
Workgroup = Arbeitsgruppe
BenutzerkontenDatenbank
BenutzerkontenDatenbank
BenutzerkontenDatenbank
BenutzerkontenDatenbank
BenutzerkontenDatenbank
© S
chm
idtk
e C
T G
mb
H
Microsoft - NetzwerkkonzeptDomäne
• Zentrale Benutzerkontendatenbank (= Domänenkontendatenbank)
• Anmeldung über einen Zentralen Rechner (Server/Domain Controller), der die Anmeldung anhand einer Datenbank überprüft.
• somit Zentrale Verwaltung von Benutzern und Ressourcen (= größere Sicherheit)
• Konzept nicht neu, Ursprünge schon bei UNIX zu finden
BenutzerkontenDatenbank
© S
chm
idtk
e C
T G
mb
H
Windows - NTDie Domäne
• Server in der Domäne:– Primary Domain Controller
• wichtigste Rolle in der Domäne
• beinhaltet die primäre Domänenkontendatenbank
• je Domäne genau eine Primary Domain Controller
• in größeren Netzen (mehrere 100 User):– außschließlich als Domain-Controller– nur zur Anmeldung der User
sowie DHCP und WINS– kein Einsatz als File-Server
• in kleineren Umgebungen:– Domain-Controller zur User-Anmeldung– DHCP und WINS– File & Print-Services
• kann seine Domänenkontendatenbank replizieren
© S
chm
idtk
e C
T G
mb
H
Windows - NTDie Domäne
• Server in der Domäne:– Backup Domain Controller
• = Sicherungs-Domänen-Controller
• zu jedem Primary Domänen-Controller kann es einen oder mehrere Backup-Domänen-Controller geben
• repliziert die primäre Domänenkontendatenbank vom Primary Domänen Controller
• erhält aktuelle Änderungen der Datenbank, so daß nicht nach jedem Administratoreingriff eine komplette Kopie erstellt werden muß
• Einsatzgebiete:– Sicherheitskopie der Domänenkontendatenbank– Entlastung des Primary bei Useranmeldungen
(hierzu sind auch Userprofile etc. zu replizieren)
© S
chm
idtk
e C
T G
mb
H
Windows - NTDie Domäne
• Server in der Domäne:– Backup Domain Controller
• Einsatz bei Ausfall des Primary Domain-Controllers:– User können sich weiterhin über den Backup anmelden– aber: Administration von Benutzerkonten nicht mehr möglich, da
dies nur auf Primary möglich– daher: Backup wird vom Administartor manuell auf Primary
heraufgestuft– jetzt können Veränderungen vorgenommen werden– Wichtig bei Wiederinbetriebnahme des “alten” Primary:
• der “neue” Primary (ehemals Backup) muß aktiv sein!
• der ursprüngliche Primary erkennt, daß bereits ein Primary existiert und startet seinen NETLOGON-Dienst NICHT.
• der ursprüngliche Primary wird nun manuell vom Administrator zum Backup gemacht, so daß dieser eine Replik des zur Zeit aktiven Primary (ehemals Backup) erhält (sonst wären ja alle in der Zeit des Ausfalls gemachten Änderungen verloren)
• abschließend werden die Rollen wieder getauscht. -Fertig-
© S
chm
idtk
e C
T G
mb
H
Windows - NTDie Domäne
• Server in der Domäne:– alleinstehender Server
• reiner “Server”, ohne Domänenkontendatenbank
• wir in der Domäne wie eine NT-Workstation administriert
• Einsatz z.B. als File-, Print-, oder Applicationserver in einer Domäne mit bereits vorhandenem Primary- (und ggf. Backup-) Domänen-Controller
• hat (wie Workstation) eine eigene lokale Benutzerkonten-datenbank
• hierdurch Vergabe von Administratorrechten an bestimmte User unabhängig von der Domäne speziell für diesen Server möglich (z.B. Globale Gruppe der SQL-Admins wird Mitglied der lokalen Gruppe der Administartoren)
• Einsatz daher meißt als Application-Server(File- & Print-Services verbleiben auf dem Domänen-Controller)
© S
chm
idtk
e C
T G
mb
H
Windows - NTvertraute Domänen
• vertraute Domänen• User “Emil” meldet sich in der DOM_A an• DOM_B vertraut DOM_A • DOM_B kann daher auf die Datenbank von DOM_A zugreifen• dem User “EMIL” können daher auch Rechte in DOM_B zugewiesen
werden• User “Emil” kann nun Ressourcen aus DOM_A und DOM_B nutzen
BenutzerkontenDatenbank
BenutzerkontenDatenbank
DOM_A
DOM_B
User “EMIL”
© S
chm
idtk
e C
T G
mb
H
Vertraute DomänenSingle-Domain-Modell
• keine Vertrauenstellungen vorgesehen• z.B.: nur eine Domäne vorhanden• theoretisch einige tausend Anwender möglich• einfacher Aufbau der Strukturen, wird jedoch der Praxis oft nicht
gerecht (wenn z.B. mehrere Abteilungen zusammenwachsen, ist ein erhöhter Admin-Aufwand nötig, da einzelne User u.u. in mehreren Domänen gepflegt werden müssen)
BenutzerkontenDatenbank
DOM_A
© S
chm
idtk
e C
T G
mb
H
Vertraute DomänenMaster-Domain-Modell
• Vertrauenstellungen von allen Domänen zu einer „zentralen“ Domäne
• zentrale Verwaltung aller User möglich
• alle User und Gruppen werden in der Master-Domäne eingerichtet
Master-Domäne
© S
chm
idtk
e C
T G
mb
H
Vertraute DomänenMaster-Domain-Modell
• Anwendungsbeispiel:– Größere Fa. mit Niederlassungen unterhält in der Zentrale eine Master-
Domäne
– User und Globale Gruppen werden zentral verwaltet
– in jeder Niederlassung steht ein Backup-Domain-Controller (BDC)
– die User können sich nun über den BDC “vor Ort” anmelden, ohne eine WAN-Verbindung zur Zentrale aufzubauen
– nur gelegendliche WAN-Verbindung zum updaten des BDC erforderlich
– Zugriff auf Daten erfolgt lokal in der Domäne der Niederlassung
© S
chm
idtk
e C
T G
mb
H
Vertraute DomänenMultiple-Master-Domain-Modell
• mehrere Masterdomänen, die sich alle gegenseitig vertrauen
• jeder Anwender wird in einer dieser Domänen administriert
• viele Anwenderdomänen
• jede Anwenderdomäne hat Vertrauensstellung zu jeder Master-Domäne
Master-Domäne
Master-Domäne
Master-Domäne
© S
chm
idtk
e C
T G
mb
H
Vertraute DomänenMultiple-Master-Domain-Modell
• mehrere Masterdomänen, die sich alle gegenseitig vertrauen
• jeder Anwender wird in einer dieser Domänen administriert
• viele Anwenderdomänen; jede Anwenderdomäne hat Vertrauensstellung zu jeder Master-Domäne
• Komplexe Administartionsaufgaben, z.B. können nur Domänenkonteninhaber Mitglieder von globalen Gruppen dieser Domäne werden, so daß ggf. gleiche globale Gruppen auf allen Domänen eingerichtet werden müssen
Master-Domäne
Master-Domäne
Master-Domäne
© S
chm
idtk
e C
T G
mb
H
Vertraute DomänenComplete-Trust-Modell
• Jede Domäne vertraut jeder anderen• Häufig aus bestehender Struktur gewachsen, jedoch mit zunehmenden Domänen immer
aufwendiger zu administrieren.
© S
chm
idtk
e C
T G
mb
H
Vertraute DomänenComplete-Trust-Modell
• Jede Domäne vertraut jeder anderen• Häufig aus bestehender Struktur gewachsen, jedoch mit zunehmenden Domänen immer
aufwendiger zu administrieren.
