docs/textdocs/DOMAIN_CONTROL.txt

   1 August 22, 1996
   2 ===============
   3
   4 Contributor: John H Terpstra
   5
   6 Subject:     Windows NT Domain Control & Samba
   7              =================================
   8
   9 Windows NT Server can be installed as either a plain file and print server
  10 or as a server that participates in Domain Control.
  11
  12 To many people these terms can be confusing, so let's try to clear the air.
  13
  14 Every Windows NT system (workstation or server) has a registry database.
  15 The registry contains entries that describe the initialisation information
  16 for all services (the equivalent of Unix Daemons) that run within the Windows
  17 NT environment. The registry also contains entries that tell application
  18 software where to find dynamically loadable libraries that they depend upon.
  19 In fact, the registry contains entries that describes everything that anything
  20 may need to know to interact with the rest of the system.
  21
  22 The Microsoft Windows NT system is structured within a security model that
  23 says that all applications and services much authenticate themselves before
  24 they can obtain permission from the security manager to do what they set out
  25 to do.
  26
  27 The Windows NT User database also resides within the registry. This part of
  28 the registry contains the user's security identifier, home directory, group
  29 memberships, desktop profile, and so on.
  30
  31 Every Windows NT system (workstation as well as server) will have it's own
  32 registry. Windows NT Servers that participate in Domain Security control
  33 have a database that they share in common - thus they do NOT own a complete
  34 and independant full registry database of their own, as do Workstations and
  35 plain Servers.
  36
  37 The User database is called the SAM (Security Access Manager) database and
  38 is used for all user authentication as well as for authentication of inter-
  39 process authentication (ie: to ensure that the service action a user has
  40 requested is permitted within the limits of that user's privilidges).
  41
  42 Windows for Workgroups, Windows 95, and Windows NT Workstations and Servers
  43 can participate in a Domain security system that is controlled by Windows NT
  44 servers that have been correctly configured. At most every domain will have
  45 ONE Primary Domain Controller (PDC). It is desirable that each domain will
  46 have at least one Backup Domain Controller (BDC).
  47
  48 The PDC and BDCs then participate in replication of the SAM database so that
  49 each Domain Controlling participant will have an up to date SAM component
  50 within it's registry.
  51
  52 Samba can NOT at this time function as a Domain Controller for any of these
  53 security services, but like all other domain members can interact with the
  54 Windows NT security system for all access authentication.
  55
  56 When Samba is configured with the 'security = server' option and the
  57 'domain controller = Your_Windows_NT_Server_Name' option, then it will
  58 redirect all access authentication to that Domain Contolling (PDC or BDC)
  59 Windows NT Server.
  60