3 Windows NT Server har en av 41 2 möjliga roller i nätverket

Transkript

1 3 Windows NT Server har en av 41 2 möjliga roller i nätverket Som du redan vet från tidigare kapitel kan Windows NT Server uppträda i olika roller. Den kan vara medlem i en datorarbetsgrupp eller den vara medlem i en Windows NT-domän. I datorarbetsgrupper kan Windows NT Server användas på ett enda sätt: som fristående server. Datorarbetsgrupper utgörs av datorer som använder Windows för Workgroups, Windows 95/98, Windows NT Workstation, Windows NT Server och möjligen datorer med enbart Windows 3.x eller MS-DOS. Windows NT-domänen gör att man måste tänka till ordentligt där kan Windows NT Server ha 31 2 olika roller. Windows NT Server i en arbetsgrupp När man installerar Windows NT Server i en arbetsgrupp är den administrativa delen minimal. Man behöver endast skriva in namnet på arbetsgruppen och bestämma lösenord för administrationskontot, Administratör//Administrator. Administrativt är det ingen skillnad mellan Windows NT Workstation i en arbetsgrupp och Windows NT Server i en arbetsgrupp, de fungerar på samma sätt. Den stora skillnaden ligger i att Windows NT Workstation har en licens för tio samtidiga användare (när man använder en sådan dator som server), Windows NT Server har inga inbyggda licenser de måste alltid köpas till. Windows NT Server i en Windows NT-domän Eftersom man upprättade Windows NT-domänen av säkerhetsoch bekvämlighetsskäl krävs det något mer information innan 89

2 3 Windows NT Server har en av 41 2 möjliga roller i nätverket man installerar en ny Windows NT Server i domänen. I en domän kan Windows NT Server installeras som: q Primär domänkontrollant//primary Domain Controller (det kan bara finnas en enda PDC i en domän, men efter installation kan en av reservdomänkontrollanterna byta roll med den befintliga PDC:n och bli ny primär domänkontrollant, den tidigare PDC:n blir då reservdomänkontrollant) q Reservdomänkontrollant//Backup Domain Controller (det kan finnas ett godtyckligt antal reservdomänkontrollanter i en domän, från noll och uppåt) q Medlemsserver//Member Server (även kallad fristående server) (det finns ingen övre gräns för hur många medlemsservrar det kan finnas i en domän, den undre gränsen är noll stycken) q Server i en arbetsgrupp med samma namn som domänen (detta är den halva roll som anspelats på tidigare) Domänkontrollanter och domänens kontodatabas Domänens kontodatabas innehåller alla domänkonton och alla globala grupper i domänen. Den finns i original på den primära domänkontrollanten, varje reservdomänkontrollant (om sådana finns) har en skrivskyddad kopia av domänens kontodatabas. Tjänsten Net Logon har till uppgift att se till att alla ändringar i domänens kontodatabas (en vanlig ändring är byte av lösenord) skickas till reservdomänkontrollanterna. Tidsintervallet för ändringar är satt till fem minuter (kan ändras i Registret//Registry). En ändring går till så att den primära domänkontrollanten var femte minut undersöker sin egen kontodatabas (domänens kontodatabas). Om det skett någon förändring skickas en uppmaning till alla reservdomänkontrollanter att koppla upp sig mot den primära domänkontrollanten och begära en lista över ändringarna i domänens kontodatabas. (Om ingen förändring skett skickas ändå ett meddelande, men då med två timmars mellanrum.) Det faktum att originalet av domänens kontodatabas finns på den primära domänkontrollanten gör denna dator till den enskilt viktigaste i domänen. För att minska obehaget när den måste tas ur drift kan vilken som helst av reservdomänkontrollanterna träda i dess ställe (detta görs manuellt av en administratör). 90

3 Windows NT Server i en Windows NT-domän Domänkontrollanter betjänar en enda domän De domänkontrollanter (den primära domänkontrollanten och reservdomänkontrollanter) som finns i Windows NT-domäner kan endast betjäna en enda domän. Alla domänkontrollanter innehåller domänens kontodatabas. Kontodatabasen finns i Registret//Registry på ett bestämt ställe och det finns inte plats för flera kontodatabaser på en Windows NT-dator. Av detta följer att domänkontrollanter endast kan betjäna en enda Windows NT-domän. Inloggning till en Windows NT-domän Domänkontrollanters viktigaste uppgift är att godkänna (eller underkänna) användares inloggningsförsök. I detta arbete är det ingen skillnad mellan den primära domänkontrollanten och reservdomänkontrollanterna. Den domänkontrollant som i ett visst ögonblick har minst att göra kommer att behandla nästa inloggningsförsök. Vad gäller inloggning måste vi ha klart för oss att domänkontrollanterna hanterar två olika former av inloggning, dels domäninloggning och dels nätverksinloggning. Lösenordet skickas aldrig över nätverket För att undvika att användarens lösenord skickas över nätverket vid inloggning använder Windows en teknik som kallas Challenge/Response Authentication. Denna går ut på att domänkontrollanten, som har lösenordet, utmanar klienten/användaren genom att skicka några byte som klientdatorn krypterar med hjälp av lösenordet och skickar tillbaka till domänkontrollanten (båda datorerna påstår sig känna till lösenordet, klientdatorn får det av den person som försöker logga in). Domänkontrollanten krypterar också de översända data med lösenordet och jämför med det som kommer tillbaka från klienten. Om den krypterade texten är samma var lösenordet det rätta och inloggningen fortsätter. (Om detta är exakt samma teknik som Microsoft använder vid fjärranslutning, Microsoft Challenge Handshake Authentication Protocol (MS-CHAP), vet jag inte, men jag håller det inte för omöjligt.) 91

4 3 Windows NT Server har en av 41 2 möjliga roller i nätverket Domäninloggning Domäninloggning är mycket tydlig, det är det som sker när vi anger vårt domänkonto och loggar in till vår domän. Dialogrutan för domäninloggning (på denna dator är Dial-up Networking installerat). Det är inte särskilt enkelt att beräkna hur ofta domäninloggning sker. De flesta loggar in till domänen när de kommer på morgonen och loggar ut när de går hem. Kanske loggar de ut för att gå på lunch och sedan in igen efter lunch. För att få en uppfattning hur det ser ut i er domän kan du slå på Granskning//Auditing i Kontohanteraren för domäner//user Manager for Domains och sedan studera Loggboken//Event Viewer på alla domänkontrollanter. Nätverksinloggning Nätverksinloggning sker oftast helt osynligt för användaren. Den sker varje gång en användare försöker komma åt en resurs på en Windows NT-dator på en icke-domänkontrollant. Nätverksinloggning sker genom att den resursbärande Windows NT-datorn tar emot användarkontonamn och lösenord (i krypterad form) och skickar dem vidare till en domänkontrollant som kontrollerar om uppgifterna stämmer. Besked om medgiven/nekad inloggning skickas tillbaka från domänkontrollanten till den resursbärande Windows NT-datorn som slutligen medger eller nekar åtkomst av resursen. Jag brukar föreställa mig att den resursbärande Windows NT-datorn visar fram en (dold) dialogruta lik denna: 92

5 Windows NT Server i en Windows NT-domän Tänkt dialogruta vid nätverksinloggning. Det är betydligt svårare att beräkna hur ofta nätverksinloggning sker i en Windows NT-domän jämfört med domäninloggning. Om en användare arbetar mot en enda Windows NT-dator under en hel dag sker nätverksinloggning endast gång under dagen. Skulle användaren behöva komma åt resurser på flera servrar sker det en inloggning per server. Om användaren inte är aktiv i sitt arbete gentemot servrarna kommer hennes förbindelse att kopplas ned (efter femton minuter, detta värde kan fritt ändras) och en ny nätverksinloggning ske (detta sker utan användaren behöver göra något, hon märker endast att det tar litet längre tid). Fristående server/medlemsserver//member server Det svåraste med Windows NT Server som medlemsserver i en Windows NT-domän verkar vara att ge den ett namn. Du kommer att stöta på beskrivningen medlemsserver, ren server, fristående server, m.fl. Jag använder själv flera av namnen, men det viktigaste med en medlemsserver är vad den inte gör och inte har: en medlemsserver hjälper inte till med inloggningsarbetet i domänen och den har inte en kopia av domänens kontodatabas. Det är en sak du måste tänka på när det gäller fristående servrar (med Windows NT Server): de har inte samma uppsättning lokala grupper som domänkontrollanterna. Om ni fördelat de administrativa uppgifterna i er domän mellan både gruppen Administratörer//Administrators och de olika operatörsgrupperna (ex. Serveransvariga//Server Operators) kommer ni att finna att tre av de lokala operatörsgrupperna inte finns på fristående servrar. Detta gäller grupperna: q Kontoansvariga//Account Operators q Skrivaransvariga//Print Operators 93

6 3 Windows NT Server har en av 41 2 möjliga roller i nätverket q Serveransvariga//Server Operators Läs mer i kapitel 23 om lokala grupper och vad de kan användas till. Server i en arbetsgrupp med samma namn som domänen Man kan installera en Windows NT Server i en arbetsgrupp med samma namn som en befintlig Windows NT-domän för att på så sätt få det att verka som om den är medlem i domänen. Det verkar säkert konstigt en Windows NT Server är ju antingen med i en domän eller en arbetsgrupp, aldrig någonting mitt emellan eller både och. När du installerar Windows NT Server-dator i en arbetsgrupp är den tekniskt sett inte med i en domän, även om arbetsgruppen råkar ha samma namn som en befintlig Windows NT-domän. Dock, för användare ser det ut som om även denna dator är med i domänen. När en användare öppnar Nätverket//Network Neighbourhood kommer de datorer som är med i domänen samt de datorer som är med i en arbetsgrupp med samma namn som domänen att visas på samma ställe. Den del av Windows (finns i WfWG, Windows 95/98 och Windows NT) som tillhandahåller innehållet i Nätverket//Network Neighbourhood heter Computer Browser/Browse List (jag kallar den serverlistehållning, den arbetar med domän- och serverlistor). Nätverkstekniskt ser en domän och en arbetsgrupp likadana ut för Computer Browser/Browse List, därför hamnar domänmedlemmar och medlemmar i en arbetsgrupp med samma namn som domänen i samma lista. Säkerhetsmässigt är det stor skillnad om Windows NT-datorer är medlemmar av en domän eller en arbetsgrupp (läs vad som utmärker domänmedlemmar i föregående kapitel). En Windows NT-dator i en arbetsgrupp med samma namn som domänen har ingen säkerhetsmässig koppling till domänen varför det kan vara tilltalande för dem som administrerar en domän med mycket höga säkerhetskrav om en sådan server används för uppgifter de inte kan eller vill ta ansvar för. En domänkontrollant förblir domänkontrollant, en icke-domänkontrollant förblir icke-domänkontrollant Både i Windows NT Server 3.51 och Windows NT Server 4.0 gäller att när man installerat en dator som domänkontrollant 94

7 Skall den nya servern installeras som domänkontrollant eller fristående server eller i en arbetsgrupp (med samma namn) eller icke-domänkontrollant gäller detta tills man installerar om Windows NT Server på den datorn. Det finns alltså inget annat sätt att göra en domänkontrollant till en icke-domänkontrollant och omvänt. Inom gruppen domänkontrollanter är det dock enkelt att låta vilken som helst av datorerna vara primär domänkontrollant, PDC. I Windows NT 5.0, med Active Directory, kommer det att vara enkelt att låta en medlemsserver bli domänkontrollant och omvänt man startar/stoppar helt enkelt den tjänsten. Skall den nya servern installeras som domänkontrollant eller fristående server eller i en arbetsgrupp (med samma namn) När du står i begrepp att installera en ny Windows NT Server måste du ha klart för dig vilken roll datorn kommer att ha i ditt nätverk. Valet beror i hög grad på om ni endast använder datorarbetsgrupp eller Windows NT-domän (kanske tillsammans med datorarbetsgrupper). Frågorna nedan hjälper dig till rätt svar. 1. Har ni endast datorarbetsgrupper i nätverket? 2. Är det viktigt att en viss grupp användare ser servern i sin egen grupp när de öppnar Nätverket//Network Neighbourhood? 3. Har ni Windows NT-domäner i nätverket? (Om ja så besvara även de följande frågorna.) 4. Kommer servern att behöva byta datorarbetsgrupp/domän? 5. Kommer ni huvudsakligen att dela filer och skrivare på den nya servern? 6. Använder ni lokala grupper för resursdelning? 7. Är servern till för tester? 8. Behöver andra än domänadministratörer full tillgång till servern? 9. Domänadministratörer skall inte ha någon tillgång till servern? 10.Behöver servern tillgång till flera domäner som inte finns i samma nätverk? 11.Kommer servern att köra något klient/server-system (Microsoft 95

8 3 Windows NT Server har en av 41 2 möjliga roller i nätverket SQL Server, Lotus Domino, Netscape Webb-server, )? 12.Tillåter de som administrerar domänen att servern görs till medlem i domänen eller måste den installeras i en arbetsgrupp (med samma namn som domänen)? Endast datorarbetsgrupper i nätverket Den som endast har datorarbetsgrupper i sitt nätverk installerar den nya datorn i en datorarbetsgrupp. Användare på de klientdatorer som ingår i samma arbetsgrupp kommer att se servern i första bilden när de öppnar Nätverket//Network Neighbourhood (Windows 95/98 och Windows NT 4.0), övriga när de väljer Anslut nätverksenhet//connect Network Drive. Viktigt att en viss grupp användare ser servern i sin egen grupp när de öppnar Nätverket//Network Neighbourhood Det är mycket lätt att se till att en viss grupp användare ser servern i första bilden i Nätverket//Network Neighbourhood eller när de väljer Anslut nätverksenhet//connect Network Drive: låt alla inblandade datorer ingå i samma domän eller i en datorarbetsgrupp med samma namn som en befintlig domän. Ni har Windows NT-domäner i nätverket I en befintlig Windows NT-domän kan en Windows NT-server installeras som reservdomänkontrollant, medlemsserver eller i en arbetsgrupp med samma namn som domänen. Frågorna nedan försöker vägleda i valet mellan dessa roller. Servern kommer att behöva byta domän Om servern kommer att behöva byta domän är saker klar: den skall installeras som fristående server eller i en arbetsgrupp med samma namn som domänen. Endast en fristående server kan byta domän utan att installera om Windows NT Server. Obs! Om du svarar ja på denna fråga och även flera andra hävdar jag att denna fråga har stor tyngd! Servern kommer huvudsakligen att användas för att dela mappar och skrivare Skall den nya servern huvudsakligen användas för att dela mappar och skrivare måste vi först veta om lokala grupper används för 96

9 Skall den nya servern installeras som domänkontrollant eller fristående server eller i en arbetsgrupp (med samma namn) resursdelning. Om lokala grupper används för resursdelning är det att föredra att installera den som reservdomänkontrollant eftersom de lokala grupper som upprättas på den primära domänkontrollanten automatiskt förs över till alla reservdomänkontrollanter (som en del av synkroniseringen av domänens kontodatabas). Lokala grupper används för resursdelning (Se svaret på frågan ovan.) Servern är till för tester En server som är till för tester kanske man inte alls vill ha i domänen. I detta fall blir det svaren på de nästföljande två frågorna som kommer att styra. Andra än domänadministratörer behöver full tillgång till servern Servrar avsedda för tester, ex. för att prova en ny webb-plats installerar man med fördel som medlemsservrar. Då kan man låta dem som testar få tillgång till det lokala kontot Administratör/ /Administrator samtidigt som administratörerna i domänen behåller sin makt över datorn (eftersom den globala gruppen Domänadministratörer//Domain Admins är medlem av serverns lokala grupp Administratörer//Administrators). Märk att den som har tillgång till det lokala kontot Administratör//Administrator också styr över medlemskap i lokala grupper, ex. Administratörer/ /Administrators. Ett annat sätt att uppnå samma sak är att använda den lokala gruppen Administratörer//Administrators (det är ju medlemmar i den som har all makt på den lokala datorn). Gör en ny global grupp, gör nödiga domänkonton till medlemmar och gör sedan den globala gruppen till medlem av Administratörer//Administrators på den lokala datorn. Med denna lösning behöver inte den som testar använda flera konton, utan kan använda sitt vanliga domänkonto. Lokala grupper kan inte användas utanför den egna kontodatabasen så denna lösning är helt säker. Se dock till att ni aldrig använder en reservdomänkontrollant på detta sätt, den lokala gruppen Administratörer//Administrators är den mäktigaste i hela domänen. 97

10 3 Windows NT Server har en av 41 2 möjliga roller i nätverket Domänadministratörer skall inte ha någon tillgång till servern I de fall då domänadministratörerna inte skall ha tillgång till servern kan vi göra en av tre saker: q Installera den nya servern i en datorarbetsgrupp (kanske med samma namn som domänen för att underlätta för användare) q Installera servern i domänen och avlägsna den globala gruppen Domänadministratörer//Domain Admins från den lokala gruppen Administratörer//Administrators på servern q Installera den nya servern som primär domänkontrollant i en egen domän och sedan koppla domänerna till varandra (Läs i kapitel 12 om sammankopplade domäner.) Servern behöver tillgång till flera domäner som inte finns i samma nätverk Om du har något av följande behov kan det vara idé att installera servern i en egen domän: q Administrera flera Windows NT-domäner i ett nätverk (samma fysiska nätverk, WAN-koppling, m.m.) q Administrera flera Windows NT-domäner som inte finns i ett nätverk, det finns ingen nätverkskoppling mellan dem, servern flyttas mellan olika platser, m.m. q Servern behöver nås från flera Windows NT-domäner i ett nätverk (samma fysiska nätverk, WAN-koppling, m.m.) q Servern behöver nås från flera Windows NT-domäner som inte finns i ett nätverk, det finns ingen nätverkskoppling mellan dem, servern flyttas mellan olika platser, m.m. Genom att installera servern som en primär domänkontrollant i en egen Windows NT-domän kan man uppfylla samtliga önskemål ovan. I de två första fallen kopplar vi de andra domänerna till serverns domän och gör den globala gruppen Domänadministratörer//Domain Admins i serverns domän till medlem av de lokala grupperna Administratörer//Administrators på alla primära domänkontrollanter i de andra domänerna. För att låta användare i andra domäner nå servern gör vi nya domänkopplingar med motsatt riktning och kopplar serverns 98

11 Avgöra vilken roll en befintlig Windows NT-dator har i nätverket domän till de andra domänerna. Globala grupper från de andra domänerna görs till medlemmar av lokala grupper i serverns domän. Genom att upprätta domänkopplingar åt båda hållen kan du tillgodose samtliga önskemål. Du kommer att finna en noggrann genomgång av sammankopplade domäner i kapitel 12. Servern kommer att köra något klient/server-system Kommer servern att köra något tungt programsystem och inte användas för att dela mappar och skrivare är svaret givet: installera den som en fristående server/medlemsserver. Endast en fristående server har en beräkningsbar last och vi vet alltid att den endast utför arbete när den själv är inblandad. En domänkontrollants arbete är inte alls lika enkelt att beräkna eftersom de sysslar med domäninloggning, både vanlig inloggning och inloggning över nätverket. Domänadministratörerna tillåter inte datorn som domänmedlem I detta fall kan du inte använda vare sig domänens användarkonton i lokala grupper eller domänens globala grupper. Beroende på dina säkerhetskrav kan du lösa åtkomst genom att aktivera kontot Gäst//Guest med tomt lösenord eller med ett lösenord du ger dem som behöver komma åt servern över nätverket. Läs mer om detta tillvägagångssätt i föregående kapitel. Avgöra vilken roll en befintlig Windows NT-dator har i nätverket Använda inloggningsdialogen I Windows NT 4.0 är det lätt att avgöra vilken roll en Windows NT-dator har i nätverket med hjälp av inloggningsdialogen. Sätt dig vid Windows NT-datorn och kalla fram inloggningsdialogen genom att trycka Ctrl+Alt+Del. Inloggningsdialogen på en Windows NT-dator i arbetsgrupp Om Windows NT-datorn visar fram en inloggningsdialog med detta utseende: 99

12 3 Windows NT Server har en av 41 2 möjliga roller i nätverket Inloggningsdialogen på en Windows NT-dator i en arbetsgrupp. vet du att du har att göra med en Windows NT 4.0-dator (Windows NT Workstation 4.0 eller Windows NT Server 4.0) som verkar i en datorarbetsgrupp. I en datorarbetsgrupp finns det ingen annan kontodatabas än den lokala därför behöver inte Windows NT någon information om var den skall söka efter information om det kontonamn och lösenord du uppger (detta var sant redan i Windows NT 3.51 och tidigare, men Microsoft brydde sig inte om att ändra dialogrutan på dem). För att gå vidare och avgöra om det är en dator med Windows NT Workstation eller Windows NT Server måste du fullfölja inloggningen. Inloggningsdialogen på en Windows NT-dator i Windows NT-domän När Windows NT 4.0-datorn befinner sig i en Windows NTdomän finns möjligheten att använda antingen lokala konton eller domänkonton. Även detta återspeglas i inloggningsdialogen. Bilden nedan visar inloggningsdialogen för en Windows NTdator i en Windows NT-domän. Det går inte att avgöra om just denna bild är från Windows NT Workstation eller Windows NT Server. 100

13 Avgöra vilken roll en befintlig Windows NT-dator har i nätverket Inloggningsdialog för Windows NT-datorer i en Windows NT-domän. Som du ser är skillnaden mot inloggningsdialogen för Windows NT-datorer i en arbetsgrupp ganska stor. Skillnaden i utseende på inloggningsdialogen är betydligt mindre mellan olika Windows-datorer i en domän än mellan Windows NT-datorer i en arbetsgrupp och Windows NT-datorer i en domän. Normalt är knappen Avsluta//Shut Down tillgänglig på Windows NT Workstation och otillgänglig på Windows NT Server (som i bilden ovan), men det är lätt att ändra efter installation. Windows NT Workstation eller Windows NT Server som ren server i en Windows NT-domän Windows NT Workstation 4.0 eller Windows NT Server 4.0 installerad som medlemsserver/ren server känns igen på det att kombilistan vid Domän//Domain innehåller både domänens namn och den egna datorns namn. Inloggningsdialog på en domänmedlem som är icke-domänkontrollant. I detta fall kan vi alltså välja mellan att logga in till domänen med ett domänkonto eller till den egna datorns lokala kontodatabas 101

14 3 Windows NT Server har en av 41 2 möjliga roller i nätverket med ett lokalt konto. Windows NT Server som domänkontrollant En domänkontrollant (någon av den primära domänkontrollanten och de reservdomänkontrollanter som kan finnas) känns igen på att det endast är domänens namn som visas i kombilistan. Inloggningsdialogen på Windows NT Server som domänkontrollant i en Windows NT-domän. Windows NT 3.51 eller tidigare version är litet annorlunda Om du använder Windows NT 3.51 eller en tidigare version får du inte samma fina grafiska återkoppling som i Windows NT 4.0. Listan heter inte (i 3.51) Domän//Domain utan Från//From. Jag brukar förklara detta med att man väljer varifrån Windows NT skall hämta kontoinformation: den lokala kontodatabasen, domänens kontodatabas eller kontodatabasen i en kopplad domän. Som nämnts tidigare ändrar aldrig inloggningsdialogen utseende i Windows NT 3.51 eller tidigare versioner så du får helt enkelt vara uppmärksammare. Ett problem är att man inte i inloggningsdialogen kan skilja mellan datornamn, namn på egen domän och namn på kopplade domäner (domäner till vilka den egna har koppling). Tabellen nedan visar vilken roll Windows NT 3.51-datorn har i sin arbetsgrupp/domän: Kombilistan Från/- Roll i arbetsgruppen/domänen 102

15 Avgöra vilken roll en befintlig Windows NT-dator har i nätverket Windows NT Server som domän- kontrollant (primärdomänkontrollant eller reservdomänkontrollant) /From innehåller Namnet på den egna datorn Namnet på den egna domänen och den egna datorn Namnet på den egna domänen Namnet på den egna domänen, den egna datorn och kopplade domäner Namnet på den egna domänen och kopplade domäner Windows NT Workstation eller Windows NT Server i en arbetsgrupp Windows NT Workstation eller Windows NT Server i en Windows NT-domän Windows NT Server som domän- kontrollant (primär domänkontrollant eller reservdomänkontrollant) Windows NT Workstation eller Windows NT Server i en Windows NT-domän Sammankopplade domäner ökar svårigheten Skulle domänen som Windows NT-datorn är medlem av vara sammankopplad med andra domäner (den egna domänen har en koppling från sig själv till en eller flera andra Windows NT-domäner) kommer det att synas flera domännamn i inloggningsdialogen. Bilden nedan kommer från en Windows NT Workstation 4.0 eller en Windows NT Server 4.0 vilken är medlem av en domän som har domänkoppling till två andra Windows NT-domäner. Inloggningsdialog på en Windows NT 4.0-dator i en domän med koppling till två andra domäner. 103

16 3 Windows NT Server har en av 41 2 möjliga roller i nätverket Ett litet förslag till Microsoft Förmodligen har även du någon tänkt att det skulle vara mycket lättare att veta vilken kontodatabas som du tänkte logga in till om det gick att skilja domännamn och datornamn åt? Jag vet att jag tänkt den tanken flera gånger och om någon från Microsoft AB läser detta (det skall jag försöka se till) kan ni väl be dem därborta att ordna det i nästa Service Pack? När ni ändå håller på kan ni väl be dem att sätta ett litet märke på den egna domänen också? Så här skulle det kunna se ut: Inloggningsdialog som skulle göra det lättare att se vilken kontodatabas man vill logga in till. Förhoppningvis håller du med om att denna inloggningsdialog gör det lättare att som om det är till den egna domänen, till den egna datorn eller till en kopplad domän man vill logga in. I Kontohanteraren för domäner//user Manager for Domains och även när man delar ut resurser betyder en asterisk efter ett datornamn eller domännamn den egna kontodatabasen (den egna domänen eller den egna datorn) så alldeles fel kan det väl inte vara? Kommandot Net Accounts berättar entydigt vilken roll en dator har Programmet Net.Exe har ett flertal mycket användbara kommandon, bland dem kommandot Net Accounts. Om du startar en kommandotolk i Windows NT Server och ger kommandot Net Accounts kommer det att ge en hel del information i vilken du finner uppgift om datorns roll i domänen. Sök reda på raden där det står Datorns roll//computer Role: q PRIMÄR//PRIMARY anger att detta är domänens primära 104

17 Kontodatabaser i Windows NT domänkontrollant, PDC q BACKUP//BACKUP anger att det är en av domänens reservdomänkontrollanter, BDC (uppgift om PDC visas på raden under) q SERVER//SERVER anger att datorn är medlemsserver (ingen uppgift om primär domänkontrollant visas) i en Windows NT-domän eller att den är medlem av en datorarbetsgrupp. Serverhanteraren//Server Manager vet vilken roll en dator har i en Windows NT-domän I en Windows NT-domän kan du med fördel använda Serverhanteraren//Server Manager för att se vilken roll som Windows NT-datorer har i domänen. Tyvärr kan man inte se på ikonen i Serverhanteraren//Server Manager om en dator är reservdomänkontrollant eller medlemsserver/ren server de visas på samma sätt (texten efter dem är tydligare). Serverhanteraren//Server Manager i domänen Gnipa. Kontodatabaser i Windows NT Windows NT har alltid tvingat användaren att logga in till datorn med ett lokalt kontonamn och lösenord och, i domäner, till domänen med ett domänkonto och tillhörande lösenord. Oavsett om en Windows NT-dator är server i en datorarbetsgrupp eller domänkontrollant i en Windows NT-domän finns det en kontodatabas på datorn. Kontodatabasen återfinns i två filer vilka båda hanteras av antingen Kontohanteraren//User Manager eller Kontohanteraren för domäner//user Manager for Domains. Filerna heter SAM och Security och de finns alltid i mappen %SystemRoot%\System32\Config. Det finns ingen anledning att hantera kontodatabasen som filer all hantering sköts med 105

18 3 Windows NT Server har en av 41 2 möjliga roller i nätverket någon av kontohanterarna. I Registret//Registry finner du SAM och Security som nycklar under HKey_Local_Machine. Både SAM och Security är nycklar i delträdet HKey_Local_Machine. Skulle du försöka öppna dem kommer du inte att se något innehåll: inte ens som medlem av gruppen Administratörer//Administrators har vi behörighet att studera innehållet i nycklarna SAM och Security. Det är endast specialkontot System//System som har behörighet att ändra i Registret//Registry (när en administratör upprättar konton eller ändrar i kontodatabasen på annat sätt utförs arbetet av System//System i själva verket). (Läs mer i kapitel 9 om SAM och Security i Registret//Registry.) Lokal kontodatabas Varje Windows NT-dator har en kontodatabas. Windows NT Workstation har alltid en egen, lokal, databas i vilken lokala användarkonton och lokala grupper upprättas. Windows NT Server i arbetsgrupp fungerar på samma sätt som Windows NT Workstation d.v.s. den har också en egen lokal kontodatabas i vilken lokala konton och lokala grupper upprättas. 106

19 Kontodatabaser i Windows NT Windows NT Workstation eller Windows NT Server med sin egen lokala kontodatabas vilken innehåller lokala konton och lokala grupper. På en Windows NT Workstation som medlem av en Windows NT-domän eller Windows NT Server som medlemsserver i Windows NT-domän kan man alltid logga in med lokala konton. Alla Windows NT-datorer har alltid minst två konton: Admini stratör//administrator och Gäst//Guest. Du kan alltså alltid logga in med det lokala kontot Administratör//Administrator på en Windows NT-dator av ovan nämnd typ och få oinskränkt tillgång till just den maskinen (men ingen annan i Windows NT-domänen). De lokala konton och de lokala grupper som finns i denna typ av kontodatabas kan inte användas utanför den egna datorn (utanför den egna kontodatabasen), d.v.s. konton och lokala grupper på en dator av denna typ kan inte användas på någon annan dator. Objekt i en lokal kontodatabas I en lokal kontodatabas på en Windows NT-dator finns det endast två typer av objekt: q Lokala användarkonton q Lokala grupper Domänens kontodatabas Domänkontrollanterna i en Windows NT-domän har ingen egen kontodatabas det utrymme där deras egen skulle kunna finnas tas upp av domänens kontodatabas i stället. 107

20 3 Windows NT Server har en av 41 2 möjliga roller i nätverket Domänens kontodatabas finns på domänkontrollanterna på samma ställe som deras egen skulle ha funnits. I domänens kontodatabas finner vi främst globala konton/domänkonton och globala grupper. De användarkonton som finns i domänens kontodatabas kan användas på och från varje Windows-dator i domänen. Man kan alltså logga in till domänen med ett domänkonto från alla de Windows-datorer som har inbyggt nätverk (faktiskt alla Microsofts operativsystem eftersom det finns nätverkspaket att köpa till MS-DOS och Windows). Detta är en stor skillnad jämfört med WfWG och Windows 95/98 som visserligen har en form av användarkonton, men man behöver inte logga in till dem om man inte vill. Likaså är det en stor skillnad mellan domänkonton och lokala konton på Windows NT Workstation och Windows NT Server (när den inte är installerad som domänkontrollant) i det att ett enskilt domänkonto kan användas på alla Windows NT-datorer i domänen för att logga in till domänen. Domänkonton och globala grupper finns endast om vi har en Windows NT-domän. För att kunna upprätta nya domänkonton och globala grupper (eller över huvudtaget ändra något) i domänens kontodatabas måste den primära domänkontrollanten, PDC, vara tillgänglig. Oavsett på vilken dator du startar Kontohanteraren för domäner/ /User Manager for Domains kommer den datorn att ansluta till den primära domänkontrollanten. Objekt i domänens kontodatabas Du känner redan till två av de objekt som kan förekomma i domänens kontodatabas: domänkonton och globala grupper. Det finns även lokala grupper i domänens kontodatabas. Dessa lokala grupper kallar jag ibland kontrollantlokala. Beteckningen använder jag för att visa på det faktum att dessa grupper kan användas på alla domänkontrollanter i domänen. Lokala grupper 108

21 Kontodatabaser i Windows NT upprättas på den primära domänkontrollanten och de kommer följaktligen att skickas till alla reservdomänkontrollanter vid nästa uppdatering av de kopior av domänens kontodatabas som finns på reservdomänkontrollanterna. Det finns också konton för hela domänens Windows NTdatorer i domänens kontodatabas, såväl datorer med Windows NT Workstation, Windows NT Server som medlemsserver, reservdomänkontrollanter och för den primära domänkontrollanten. Skulle domänen ha en domänkoppling till en annan domän upprättas det ett särskilt domänkonto för den domänen i vår domäns kontodatabas (och omvänt). Den kompletta listan över olika typer av objekt i domänens kontodatabas ser ut så här: q Domänkonton för användare q Globala grupper q Lokala grupper (kontrollantlokala grupper) q Konton för alla Windows NT-datorer i domänen q Konton för den primära domänkontrollanten och alla reservdomänkontrollanter (de är av samma typ) q Konton för domäner till vilka vår domän har domänkoppling Normalt behöver vi endast bry oss om tre av dem: q Domänkonton för användare q Globala grupper q Lokala grupper (kontrollantlokala grupper) Det är dessa tre typer vi ser när vi använder Kontohanteraren för domäner//user Manager for domains. Hur kommer de andra typerna av objekt in i domänens kontodatabas Det är mycket enkelt att förstå hur användarkonton, globala och kontrollantlokala grupper uppstår i domänens kontodatabas: det är vi själva som upprättar dem med Kontohanteraren för domäner//user Manager for Domains. Varifrån kommer då datorkonton och konton för kopplade domäner? Datorkonton upprättas i domänens kontodatabas när en 109

22 3 Windows NT Server har en av 41 2 möjliga roller i nätverket Windows NT-dator skall göras till medlem av domänen. Använder vi Serverhanteraren//Server Manager upprättar den ett datorkonto när vi lägger till datorn till domänen. I det andra fallet upprättas domänmedlemskapet i ett svep och det är alltså från Egenskaper//Properties i Nätverket//Network Neighbourhood som datorkontot upprättas. Domänkopplingar upprättas i sin helhet från Kontohanteraren för domäner//user Manager for Domains så det är den som upprättar konton för andra domäner i den egna domänens kontodatabas. Lösenord i domänens kontodatabas är krypterade Lösenorden i domänens kontodatabas lagras i krypterad form. Microsofts teknik för att kryptera bygger på Message Digestteknik (MD4, se RFC 1320). Man berättar inte i detalj hur detta görs utan hänvisar till tekniken som One-Way Function, OWF (envägs-kryptering). Lösenordet dekrypteras aldrig utan används av Windows NT alltid i sin OWF-form. Ett problem som de krypterade lösenorden har är att det finns två krypterade lösenord: ett för Windows NT och ett för LAN Manager. Lösenordet avsett för LAN Manager använder svagare kryptering enligt Data Encryption Standard, DES. De som försöker bryta sig in i Windows NT-nätverk inriktar sin uppmärksamhet just på LAN Manager-lösenordet. I ett rent Windows NT-nätverk kan man ställa in datorerna så att det svagare krypterade lösenordet inte används. Kontoprinciper, användarrättigheter och inställning för granskning gäller för en kontodatabas Förutom att konton och grupper tillhör en viss kontodatabas gäller också inställningar för kontoprinciper, användarrättigheter och granskning för en enda kontodatabas. Med andra ord: önskar vi samma inställning av användarrättigheter i hela domänen måste detta göras i domänens kontodatabas (den gäller på PDC:n och alla BDC:er) och på alla Windows NT-datorer som är ickedomänkontrollanter (Windows NT Workstation och fristående Windows NT Server). Det är just dessa inställningar jag hoppas att den nya Security Configuration Editor i Service Pack 4 skall låta oss centralisera så att vi kan ha samma inställning på alla Windows NT-datorer 110

23 Det går alltid att utse en BDC till PDC, men aldrig automatiskt i domänen. Allt domänarbete sker på den primära domänkontrollanten Jag har sagt det förr: domänens kontodatabas i ändringsbar form finns endast på den primära domänkontrollanten, PDC:n. Alltså måste allt arbete som innebär ändringar i domänens kontodatabas ske på PDC:n. Det finns inget krav på att sitta vid PDC:n utan arbetet kan lika gärna skötas över nätverket. I detta fall använder, ex. Kontohanteraren för domäner//user Manager for Domains två olika named pipes: \PIPE\samr och \PIPE\lsarpc. Jag tolkar dessa namn som Security Accounts Manager Remote (samr) och Local Security Authority Remote Procedure Call (lsarpc). Kom också ihåg att uppdraget att vara primär domänkontrollant fritt kan ändras (av en administratör) mellan alla de datorer i en domän som antingen är den aktuella PDC:n eller någon av reservdomänkontrollanterna (BDC:erna). Uttryckt på ett annat sätt kan någon i gruppen domänkontrollanter (någon med DC i beteckningen) inneha rollen som domänens primära domänkontrollant, PDC. Detta kan du använda till din fördel om du har domänkontrollanter på olika sidor av långsamma WAN-länkar. Då du behöver göra större arbeten, lägga upp många nya konton, grupper eller något annat söker du rätt på närmaste domänkontrollant (på samma sida som din dator av er WAN-länk). Om den domänkontrollanten är en reservdomänkontrollant befordrar du den till primär domänkontrollant, genomför allt arbete och återinsätter sedan den dator som ursprungligen var primär domänkontrollant på sin forna plats. Reservdomänkontrollanterna står inte och väntar på jobb Namnet Reservdomänkontrollant kan vara något missvisande: de står inte och väntar på att träda i den primära domänkontrollantens ställe. Om du inte gör något annat med en dator som är reservdomänkontrollant arbetar den ändå. Den delar nämligen, tillsammans med den primära domänkontrollanten och de andra BDC:erna, på arbetet med att medge eller neka användare tillträde vid domäninloggning. Det är tjänsten Net Logon som, bland annat, sköter detta arbete. 111

24 3 Windows NT Server har en av 41 2 möjliga roller i nätverket Det finns inget som hindrar att du använder en reservdomänkontrollant till vad det vara månde arbetet med inloggning sker ändå (kanske något långsammare) så länge tjänsten Net Logon är startad på datorn. Läs mer om arbetet med domänens kontodatabas i föregående kapitel. Det går alltid att utse en BDC till PDC, men aldrig automatiskt Oavsett om den primär domänkontrollanten är tillgänglig eller inte kan administratörer utse en reservdomänkontrollant till ny primär domänkontrollant. Även om en primär domänkontrollant fallerar kommer aldrig en reservdomänkontrollant automatiskt bli PDC, det måste göras av en administratör. Med tanke på att det ständigt och jämt sker nyval av Master Browser borde det vara möjligt för Microsoft att låta administratörer välja vilka reservdomänkontrollanter som automatiskt blir ny PDC. Reservdomänkontrollanterna upptäcker idag senast efter två timmar (jmf. PulseMaximum i kapitel 10) att en PDC fallerat. Det borde då inte vara svårt att låta en utvald grupp reservdomänkontrollanter själva välja ny PDC. I Windows NT 5.0 försvinner detta problem eftersom den kan arbeta med flera skrivbara upplagor av kontodatabasen i Active Directory Services. Hantera grupper och annat för programsystem på en fristående server i en Windows NT-domän När ni kommit fram till att era behov bäst motsvaras av Windows NT Server som fristående server (icke-domänkontrollant) i en Windows NT-domän återstår att få hyfs på användarhanteringen. Olika organisationer har olika möjligheter och krav på användar- och grupphantering, det kan ex. vara så att de som administrerar Windows NT-domänen inte har möjlighet att upprätta globala grupper som endast användes på den fristående servern. Detta löses på ett av två sätt: 1. De som administrerar den fristående datorn får konton som görs till medlemmar av den lokala gruppen Kontoansvariga/ /Account Operators på den primära domänkontrollanten. De kan då upprätta egna globala grupper. 112

25 Hantera grupper och annat för programsystem på en fristående server i en Windows NT-domän 2. Man använder lokala grupper på den fristående servern för att ge användare tillgång till resurser på servern. Nackdelen med den första metoden är att medlemmar i Kontoansvariga//Account Operators har för stor makt det finns inget sätt att hindra dem från att upprätta nya användarkonton eller hantera grupper de inte borde kunna hantera. En liten tröst är att de inte kan ändra medlemskap i Administratörer//Administrators. Vad kan Administratör//Administrator på den fristående datorn åstadkomma Den som använder det lokala kontot Administratör//Administrator på en fristående server har oinskränkt makt på den datorn. Hon kan: q Dela ut resurser för åtkomst via nätverket q Fritt hantera behörigheter och användarrättigheter q Fritt hantera lokala användarkonton och grupper Med andra ord: hon är enväldig på den datorn. Tänk särskilt på tre saker hon kan göra: q Ändra lösenordet på det lokala kontot Administratör//Administrator till något som enkelt låter sig gissas q Avlägsna den globala gruppen Domänadministratörer//Domain Admins från den lokala gruppen Administratörer//Administrators q Aktivera det lokala kontot Gäst//Guest Beroende på ert nätverk och vad som i övrigt finns på den fristående servern innebär ett aktivt konto Gäst//Guest endast liten skada eller ren katastrof. Vad gäller Domänadministratörer//Domain Admins får konton i denna grupp hela sin makt över den fristående servern just genom medlemskapet i Administratörer//Administrators så de har inte längre något att säga till om på den fristående servern (detta kallar jag bugg, Microsoft). De som ansvarar för hela domänen måste avsätta ett par timmar för att den lokala administratören skall förstå sina skyldigheter och sitt ansvar, annars 113

26 3 Windows NT Server har en av 41 2 möjliga roller i nätverket Begränsa den lokala administratörens handlingsfrihet Det finns inget man kan göra för att begränsa en lokal administratörs handlingsfrihet (inte om hennes konto är med i Administratörer//Administrators). Man kan visserligen avlägsna några användarrättigheter, men det verkar inte spela någon roll (prova själv, får du se). Det går att uttryckligen neka kontot behörighet till viktiga mappar och filer, men hon kan lätt ta över ägandeskapet och på så sätt kringgå detta. Måhända kan det vara värt att avlägsna några administrationsverktyg från den fristående servern, ett sådant är Serverhanteraren//Server Manager vilken inte torde behövas. Slika åtgärder syftar till att skydda den lokala administratören från att göra omedvetna misstag inte skydda domänen från en administratör med dunkla avsikter. Om den lokala administratören inte kan vara medlem av Administratörer//Administrators på den fristående servern Det är inte omöjligt att er organisation har sådana bestämmelser att den som skall administrera den fristående servern inte kan tillåtas vara medlem (hennes konto) i den lokala gruppen Administratörer//Administrators på den fristående servern. Detta är ingen katastrof eftersom det endast krävs medlemskap i Användare//Users för att kunna upprätta lokala grupper (konton som endast är med i Gäster//Guests är ensamma om att inte kunna upprätta lokala grupper). Dessutom är det ofta så att programsystem har egna konton för den interna administrationen (jmf. kontot sa i Microsoft SQL Server). Om bestämmelserna tillåter kan programsystemets administratör göras till medlem av Privilegierade användare//power Users på den fristående servern. Medlemmar av Privilegierade användare//power Users kan ex. dela ut resurser (vilket Användare//Users inte kan). Upprätta lokal grupp på fristående server och göra domänkonton till medlemmar av gruppen En lokal grupp på en fristående server upprättas med hjälp av Kontohanteraren för domäner//user Manager for Domains. Det går lika bra att göra detta sittandes vid servern som från någon annan Windows NT Server-dator. Gör så här: 1. Välj kommandot Välj domän//select Domain i menyn 114

27 Snabbjämförelse mellan Windows NT Servers olika roller i ett Windows NT-nätverk Användare//User 2. Skriv namnet på servern, med två bakåtsnedstreck först, i rutan Domän//Domain 3. Upprätta en ny lokal grupp 4. Tryck på knappen Lägg till//add för att lägga till medlemmar till gruppen 5. Välj domänens namn i kombilistan Visa namn på//list Names From 6. Gör lämpliga domänkonton till medlemmar av den nya lokala gruppen Tillverka inga lokala konton på den fristående servern Under inga omständigheter skall du upprätta lokala konton för domänanvändare på den fristående servern. De som skall använda programsystem/webb-platsen eller vad det vara månde på den fristående servern skall använda sin vanliga domänkonton. Det finns inga skäl som talar för att upprätta nya konton (med samma namn eller annat namn) på den fristående servern, allt talar för att inte göra det. Resursåtkomst i arbetsgrupper I föregående kapitel kan du läsa om olika möjligheter att ordna resursåtkomst i arbetsgrupper. Snabbjämförelse mellan Windows NT Servers olika roller i ett Windows NT-nätverk Tabellen nedan sammanfattar Windows NT Servers olika roller i en datorarbetsgrupp och i en Windows NT-domän. Arbetsgrupp Windows NT-domän Användningsområde och server server BDC PDC egenskaper Fildelning CC CC C C Skrivardelning CC CC C C 115

28 3 Windows NT Server har en av 41 2 möjliga roller i nätverket Plattform för program- CC CC C C system såsom BackOffice, Oracle, Lotus Domino, m.fl. Web-server (Internet CC CC C C Information Server ingår) Proxy-server (ex. Micro- CC CC C C soft Proxy Server) Gateway mot NetWare CC CC C C (ingår) Fildelning för Macintosh- CC CC C C klienter (ingår) Skrivardelning för CC CC C C Macintosh-klienter (ingår) TCP/IP: DHCP, WINS, CC CC C C DNS (samtliga ingår) Användningsområde och server server BDC PDC egenskaper Delta i validering av - D C C domänanvändares inloggning Utför arbete endast vid C C D D direktkontant av användare Deltar i serverlistehåll- C C CC CC ning (Computer Browser) Äga Windows NT- - D D C domänens kontodatabas 116

29 Hjälpfrågor Inneha en kopia av Win- - D C D dows NT-domänens kontodatabas Kan flyttas till annan, C C - - befintlig, datorarbetsgrupp utan ominstallation Kan flyttas till annan, C C D D befintlig, Windows NTdomän utan ominstallation Som du ser i tabellen kan Windows NT Server installerad som primärdomänkontrollant//primary Domain Controller eller som reservdomänkontrollant//backup Domain Controller användas för (nästan) allt som en ren server kan göra. Anledningen till att jag använt symbolen CC ibland och C ibland har att göra med att det inte är lätt att beräkna och förutse lasten på en domänkontrollant. En domänkontrollants viktigaste uppgift är att medge eller neka användarnas inloggning. Eftersom vi inte vet när användarna kommer att logga in kan vi inte heller säkert beräkna lasten på en domänkontrollant. I ett litet nätverk är detta aldrig ett problem. Vad gäller arbetet med serverlistehållning//computer Browser är det normalt sett alltid domänkontrollanterna som gör detta (Microsoft har gjort domänkontrollanterna till de föredragna i detta arbete), vi kan dock ändra detta efter våra egna behov. Läs mer om domän- och serverlistorna i kapitel 11. Hjälpfrågor 1. Vilka roller kan Windows NT Server ha i en Windows NT-domän? 2. Vilka Windows NT Server-datorer i en domän kan byta av varandra i rollen som primär domänkontrollant, PDC? 117

30 3 Windows NT Server har en av 41 2 möjliga roller i nätverket 3. Varför är rollen som primär domänkontrollant så viktig? 4. Den primära domänkontrollant är hem och säte för domänens kontodatabas, reservdomänkontrollanterna har alla varsin kopia. Hur uppdateras deras kopior med ändringar? 5. Vilken tjänst är det som ansvarar för domänens kontodatabas, så att alla kopior är synkroniserade med originalet på den primära domänkontrollanten? 6. Vad är nätverksinloggning? 7. Under vilka omständigheter skickas användares lösenord i klartext över nätverket? 8. Finns det något enkelt och snabbt sätt att låta en fristående Windows NT Server (icke-domänkontrollant) bli domänkontrollant? 9. Hur kan man avgöra vilken roll en Windows NT-dator har i en Windows NT-domän? 10.Har alla Windows NT-datorer, oavsett roll i nätverket, en kontodatabas, var på datorn finns den? 118

31 Förslag till svar på frågor Förslag till svar på frågor 1. Vilka roller kan Windows NT Server ha i en Windows NT-domän? I en Windows NT-domän kan Windows NT Server ha en av tre roller: primär domänkontrollant, reservdomänkontrollant eller fristående server. Man skulle också kunna argumentera att en Windows NT Server installerad i en arbetsgrupp med samma namn som domänen även är med i domänen, men strikt domäntekniskt är den inte med. 2. Vilka Windows NT Server-datorer i en domän kan byta av varandra i rollen som primär domänkontrollant, PDC? Alla datorer som är domänkontrollanter (den primära domänkontrollanten och alla reservdomänkontrollanter) kan byta av varandra i rollen som primär domänkontrollant. 3. Varför är rollen som primär domänkontrollant så viktig? Rollen som primär domänkontrollant är så viktig i en domän eftersom det endast är den domänkontrollant som just nu är primär domänkontrollant som har en skrivbar kopia av domänens kontodatabas, d.v.s. alla förändringar i domänens kontodatabas sker på den dator som är primär domänkontrollant, PDC. 4. Den primära domänkontrollant är hem och säte för domänens kontodatabas, reservdomänkontrollanterna har alla varsin kopia. Hur uppdateras deras kopior med ändringar? Var femte minut skickar den primära domänkontrollanten ett meddelande till alla reservdomänkontrollanter att de bör koppla sig till den primära domänkontrollanten för att undersöka om det skett någon förändring i domänens kontodatabas. Inställningen fem minuter kan ändras genom att lägga till en nyckel i Registret. 119

32 3 Windows NT Server har en av 41 2 möjliga roller i nätverket 5. Vilken tjänst är det som ansvarar för domänens kontodatabas, så att alla kopior är synkroniserade med originalet på den primära domänkontrollanten? Tjänsten Net Logon ansvarar för att domänens kontodatabas är synkroniserad. 6. Vad är nätverksinloggning? Närhelst någon försöker nå en resurs på en domänmedlem (Windows NT-dator) över nätverket sker en inloggning. Om servern i fråga är domänkontrollant har den en egen kopia av domänens kontodatabas och kan därför själv undersöka om användarkontot finns i domänen och om det uppgivna lösenordet är det rätta. Om servern är en fristående server (en icke-domänkontrollant) måste den kontakta en domänkontrollant. Användarens dator behåller lösenordet i sitt primärminne just för att kunna utföra nätverksinloggning åt användaren (hon märker oftast inte att det sker någon nätverksinloggning). 7. Under vilka omständigheter skickas användares lösenord i klartext över nätverket? Användarens lösenord skickas aldrig i klartext över nätverket om man inte lurat Windows NT att ställa in sig så att den endast godtar lösenord i klartext. Läs mer i kapitel Finns det något enkelt och snabbt sätt att låta en fristående Windows NT Server (icke-domänkontrollant) bli domänkontrollant? Det finns ett enkelt sätt att låta en fristående Windows NT Server-dator bli domänkontrollant: man installerar om Windows NT Server på den och bestämmer då dess roll till reservdomänkontrollant. På motsvarande sätt görs en domänkontrollant till fristående server (icke-domänkontrollant). 9. Hur kan man avgöra vilken roll en Windows NT-dator har i en Windows NT-domän? Det finns flera sätt att avgöra vilken roll en Windows NT-dator har i en Windows NT-domän. Serverhanteraren/ /Server Manager visar denna uppgift, liksom kommandotolksprogrammet Net.Exe (net accounts). 10.Har alla Windows NT-datorer, oavsett roll i nätverket, en kontodatabas, var på datorn finns den? 120