home *** CD-ROM | disk | FTP | other *** search
/ The CICA Windows Explosion! / The CICA Windows Explosion! - Disc 2.iso / nt / ntkb.zip / NTKB.EXE / Q102 / 6 / 08.TXT < prev    next >
Text File  |  1993-09-28  |  5KB  |  101 lines
  1. DOCUMENT:Q102608  24-SEP-1993  [W_NTAS]
  2. TITLE   :Differences in Security: Windows NT and LAN Manager
  3. PRODUCT :Microsoft Windows NT Advanced Server
  4. PROD/VER:3.10
  5. OPER/SYS:WINDOWS
  6. KEYWORDS:
  7.  
  8. --------------------------------------------------------------------
  9. The information in this article applies to:
  10.  
  11.   - Microsoft Windows NT Advanced Server version 3.1
  12. --------------------------------------------------------------------
  13.  
  14. Some of the major differences in security schemes between Windows NT
  15. Advanced Server and Microsoft LAN Manager are:
  16.  
  17.  - Under Windows NT Advanced Server, user and group permissions are
  18.    cumulative. Deny access takes precedence over grant access. Under LAN
  19.    Manager, individual user permissions take precedence over group
  20.    permissions.
  21.  
  22.    NOTE: When Windows NT Advanced Server checks permissions, it does so
  23.    in one pass, not discriminating between users and groups. As soon as a
  24.    "deny access" permission is reached, the search is terminated and
  25.    access to the resource is denied. However, LAN Manager makes two
  26.    passes when it checks resource permissions: a user pass and a group
  27.    pass. Because of this, LAN Manager could deny a user access, but then
  28.    grant that user access if the user belongs to a group that has access
  29.    to a resource.
  30.  
  31.  - A Windows NT Advanced Server domain contains only domain
  32.    controllers and servers. All servers are considered backup domain
  33.    controllers. A LAN Manager domain includes a primary domain
  34.    controller, backup controllers, and stand-alone servers.
  35.  
  36.    NOTE: LAN Manager servers in a Windows NT Advanced Server domains
  37.    cannot act as domain controllers, nor can they validate logon
  38.    attempts by Windows NT or Windows NT Advanced Server computers. LAN
  39.    Manager servers can validate LAN Manager server and client logons in a
  40.    mixed domain of LAN Manager and Windows NT computers.
  41.  
  42.  - Under Windows NT Advanced Server, you must logon to any local
  43.    computer with an account and password. Local computer security is
  44.    optional under LAN Manager, only on computers configured to be
  45.    servers.
  46.  
  47.    NOTE: Users from outside a domain with both Windows NT Advanced Server
  48.    and LAN Manager computers cannot access LAN Manager domain resources
  49.    unless a local account is created in Windows NT Advanced Server. This
  50.    is because LAN Manager servers do not recognize global groups or trust
  51.    relationships.
  52.  
  53.  - Windows NT Advanced Server supports trust relationships between
  54.    domains and a single network for all trusted domains. LAN Manager does
  55.    not support trust relationships and requires that users log onto each
  56.    domain separately.
  57.  
  58.  - Any user account can own a file under Windows NT Advanced Server.
  59.    Owners can grant and deny access to the files they own. This concept
  60.    is not supported under LAN Manager.
  61.  
  62.  - Windows NT Advanced Server allows you to deny access to resources
  63.    not owned by administrative accounts. Ownership may be taken later,
  64.    but an auditing trail is created. LAN Manager allows all
  65.    administrative accounts to access all resources.
  66.  
  67.  - Windows NT Advanced Server protects setting system functions (such
  68.    as setting the system time and formatting the hard disk.) System
  69.    functions are not protected under LAN Manager.
  70.  
  71.  - Local and global groups are recognized by Windows NT Advanced
  72.    Server. LAN Manager does not recognize local groups.
  73.  
  74.  - Windows NT Advanced Server allows only Windows NT computers to
  75.    administrate other Windows NT computers. LAN Manager computers can be
  76.    administrated from any MS-DOS, UNIX, or OS/2 computer running LAN
  77.    Manager, or from a Windows NT computer.
  78.  
  79.  - File and directory permissions apply to local and network users
  80.    under Windows NT Advanced Server. Permissions apply only to network
  81.    users, unless local security is enabled on LAN Manager servers.
  82.  
  83. Additional reference words: 3.10
  84. KBCategory:
  85. KBSubCategry: ntadsrv
  86.  
  87. =============================================================================
  88.  
  89. THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS
  90. PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND.  MICROSOFT DISCLAIMS
  91. ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES
  92. OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE.  IN NO
  93. EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR
  94. ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL,
  95. CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF
  96. MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE
  97. POSSIBILITY OF SUCH DAMAGES.  SOME STATES DO NOT ALLOW THE EXCLUSION
  98. OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES
  99. SO THE FOREGOING LIMITATION MAY NOT APPLY.
  100.  
  101. Copyright Microsoft Corporation 1993.