home *** CD-ROM | disk | FTP | other *** search
/ Borland Programmer's Resource / Borland_Programmers_Resource_CD_1995.iso / info / ntkb / ntkb.exe / Q101 / 2 / 32.TXT < prev    next >
Encoding:
Text File  |  1993-08-31  |  7.0 KB  |  149 lines
  1. DOCUMENT:Q101232  26-AUG-1993  [W_NT]
  2. TITLE   :INF: When a Workstation Joins a Windows NT Domain
  3. PRODUCT :Windows NT
  4. PROD/VER:3.10
  5. OPER/SYS:WINDOWS
  6. KEYWORDS:
  7.  
  8. --------------------------------------------------------------------
  9. The information in this article applies to:
  10.  
  11.  - Microsoft Windows NT operating system version 3.1
  12.  - Microsoft Windows NT Advanced Server version 3.1
  13. --------------------------------------------------------------------
  14.  
  15. This article covers the following information:
  16.  
  17.  - When a Workstation Joins a Windows NT Domain
  18.  - Additional Notes on Joining Domains
  19.  - Re-joining a Domain
  20.  - Background on Windows NT Domains
  21.  
  22. When a Workstation Joins a Windows NT Domain
  23. --------------------------------------------
  24.  
  25. When a Windows NT workstation joins a domain, it appears in computer
  26. browsers under the domain name it just joined and is able to use and
  27. reference user accounts and global groups created in that domain. If
  28. the domain trusts other domains, the user accounts and global groups
  29. of those other trusted domains are also available for use on the
  30. workstation. Domain and trusted domain user accounts may be used to
  31. log on to the workstation or to allow remote connections to it,
  32. referenced to grant permissions to use resources such as a shared
  33. directory or printer, and referenced to grant user rights on the
  34. workstation.
  35.  
  36. When a workstation joins a Windows NT domain, the following things
  37. take place:
  38.  
  39. 1. The workstation shows up in computer browser lists as being within
  40.    the domain, just as it does when it belongs to a workgroup.
  41.  
  42. 2. The workstation can use accounts and global groups (but not local
  43.    groups) from its domain and from any domain that its domain trusts.
  44.    (User accounts may be logged on to or used to remotely connect to
  45.    the workstation; user accounts and global groups may be granted
  46.    permissions to resources such as files, directories, printers, and
  47.    may also be granted user rights in the User Manager).
  48.  
  49. 3. By default, the Domain Admins global group from the domain is added
  50.    to the Administrators local group of the workstation, thus making
  51.    the workstation remotely adminsterable by domain administrators.
  52.  
  53. 4. By default, the Domain Users global group from the domain is added
  54.    to the Users local group of the workstation, thus making it
  55.    possible for any user in the domain to log on or connect to the
  56.    workstation.
  57.  
  58. Items 3 and 4 are merely default settings. These global groups may be
  59. removed from the respective local groups at any time by any
  60. administrator.
  61.  
  62. Additional Notes on Joining Domains
  63. -----------------------------------
  64.  
  65.  - Workstations that are members of a domain may still have their own
  66.    local user accounts and local groups and are still subject only to
  67.    local security policies.
  68.  
  69.  - If a workstation doesn't belong to a domain, a local account must
  70.    be maintained for every user that is to log on to or connect to the
  71.    computer. By default, the Guest account is enabled, so that anybody
  72.    can remotely connect to a Windows NT computer as a guest. They will
  73.    only gain access to items which grant access permissions or user
  74.    rights to the Guest account, the Guests local group, or to the
  75.    Everyone "group". This is not the case with Windows NT Advanced
  76.    Server, however. With Windows NT Advanced Server, the Guest account
  77.    is disabled by default.
  78.  
  79.    NOTE: On a Windows NT Advanced Server machine, the Guest account is
  80.    disabled by default.
  81.  
  82.  - By default, the domain administrator can remotely or locally
  83.    administer the workstation.
  84.  
  85.  - By default, the users of the domain can log on to the computer
  86.    locally or connect to it remotely. Of course, all security
  87.    protections are still in effect, so logging on or connecting to a
  88.    workstation doesn't compromise protected information.
  89.  
  90.  - To make a workstation appear in the computer browser list along
  91.    with other resources, all that is necessary is to add the computer
  92.    to the workgroup. Note that a domain may be used as a workgroup by
  93.    any Windows NT or Windows for Workgroups computer without having
  94.    any security implications whatsoever.
  95.  
  96.  - Computers that are members of a domain or that use a domain as a
  97.    workgroup will all show up in the Server Manager main window. To
  98.    distinguish between computers that are members of a domain, filter
  99.    the main window using the Show Domain Members Only option from the
  100.    View menu. Also, workstations in the main window that appear
  101.    grayed-out are members of the domain which are currently not turned
  102.    on or are not running the Server service. Normal workstations in
  103.    the main window are currently on and running the Server service,
  104.    but may not be members of the domain. A computer account must be
  105.    created in the Server Manager using the Computer Add to Domain
  106.    command in order for a workstation to be added to the domain. It is
  107.    possible for a domain administrator to perform this step during
  108.    setup of the workstation.
  109.  
  110.    Note: Server Manager is available only with the Windows NT Advanced
  111.    Server and the Windows NT Resource Kit.
  112.  
  113. Background on Windows NT Domains
  114. --------------------------------
  115.  
  116. Each workstation has its own user account and security database.
  117. Information such as the list of accounts, passwords, and group
  118. memberships are stored in this database as well as account, user
  119. rights, and audit policies. The main advantage of Windows NT Advanced
  120. Server domains is that they allow a set of computers to share the same
  121. user account and security information. For the Windows NT Advanced
  122. Server computers in a domain, the entire user account and security
  123. database is shared. So, accounts, global groups, and local groups are
  124. all shared by all Windows NT Advanced Servers in a domain. In
  125. addition, the account policies, user rights, audit policies, and trust
  126. relationships are all shared by all the servers. Windows NT
  127. workstations can access and use user accounts and global groups
  128. defined on the Windows NT Advanced Server domain that it is a member
  129. of or domains that its domain trusts. However, all local groups and
  130. security policies are controlled solely on the workstation and are not
  131. inherited from the domain.
  132.  
  133. Additional reference words: 3.10 netsrv
  134.  
  135. =============================================================================
  136.  
  137. THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS
  138. PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND.  MICROSOFT DISCLAIMS
  139. ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES
  140. OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE.  IN NO
  141. EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR
  142. ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL,
  143. CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF
  144. MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE
  145. POSSIBILITY OF SUCH DAMAGES.  SOME STATES DO NOT ALLOW THE EXCLUSION
  146. OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES
  147. SO THE FOREGOING LIMITATION MAY NOT APPLY.
  148.  
  149. Copyright Microsoft Corporation 1993.