JHT ==> Added copyright notations for my works. This is regretably needed!
[kai/samba.git] / docs / textdocs / DOMAIN_CONTROL.txt
1 Initial Release:        August 22, 1996
2 Contributor:            John H Terpstra <samba-bugs@samba.anu.edu.au>
3                         Copyright (C) 1996-1997 - John H Terpstra
4 Updated:                June 27, 1997
5 Status:                 Current - New Content
6
7 Subject:     Windows NT Domain Control & Samba
8 ============================================================================
9
10 ****NOTE:****
11 =============
12 Microsoft Windows NT Domain Control is an extremely complex protocol.
13 We have received countless requests to implement Domain Control in Samba
14 and have seriously investigated the potential to support this. The Samba
15 Team have now concluded that since Domain Control is a completely
16 undocumented protocol we ought NOT to implement our best guess of this
17 technology. It is a Microsoft business policy NOT to release the information
18 necessary to enable this to be implemented in a dependable manner.
19 ============================================================================
20
21 Windows NT Server can be installed as either a plain file and print server
22 (WORKGROUP workstaion or server) or as a server that participates in Domain
23 Control (DOMAIN member, Primary Domain controller or Backup Domain controller).
24
25 The same is true for OS/2 Warp Server, Digital Pathworks and other similar
26 products, all of which can participate in Domain Control along with Windows NT.
27
28 To many people these terms can be confusing, so let's try to clear the air.
29
30 Every Windows NT system (workstation or server) has a registry database.
31 The registry contains entries that describe the initialisation information
32 for all services (the equivalent of Unix Daemons) that run within the Windows
33 NT environment. The registry also contains entries that tell application
34 software where to find dynamically loadable libraries that they depend upon.
35 In fact, the registry contains entries that describes everything that anything
36 may need to know to interact with the rest of the system.
37
38 The registry files will can be located on any Windows NT machine by opening a
39 command prompt and typing:
40         dir %SystemRoot%\System32\config
41
42 The environment variable %SystemRoot% value can be obtained by typing:
43         echo %SystemRoot%
44
45 The active parts of the registry that you may want to be familiar with are
46 the files called: default, system, software, sam and security.
47
48 In a domain environment, Microsoft Windows NT domain controllers participate
49 in replication of the SAM and SECURITY files so that all controllers within
50 the domain have an exactly identical copy of each.
51
52 The Microsoft Windows NT system is structured within a security model that
53 says that all applications and services must authenticate themselves before
54 they can obtain permission from the security manager to do what they set out
55 to do.
56
57 The Windows NT User database also resides within the registry. This part of
58 the registry contains the user's security identifier, home directory, group
59 memberships, desktop profile, and so on.
60
61 Every Windows NT system (workstation as well as server) will have it's own
62 registry. Windows NT Servers that participate in Domain Security control
63 have a database that they share in common - thus they do NOT own an
64 independant full registry database of their own, as do Workstations and
65 plain Servers.
66
67 The User database is called the SAM (Security Access Manager) database and
68 is used for all user authentication as well as for authentication of inter-
69 process authentication (ie: to ensure that the service action a user has
70 requested is permitted within the limits of that user's privilidges).
71
72 Windows for Workgroups, Windows 95, and Windows NT Workstations and Servers
73 can participate in a Domain security system that is controlled by Windows NT
74 servers that have been correctly configured. At most every domain will have
75 ONE Primary Domain Controller (PDC). It is desirable that each domain will
76 have at least one Backup Domain Controller (BDC).
77
78 The PDC and BDCs then participate in replication of the SAM database so that
79 each Domain Controlling participant will have an up to date SAM component
80 within it's registry.
81
82 Samba can NOT at this time function as a Domain Controller for any of these
83 security services, but like all other domain members can interact with the
84 Windows NT security system for all access authentication.
85
86 When Samba is configured with the 'security = server' option and the
87 'password server = Your_Windows_NT_Server_Name' option, then it will
88 redirect all access authentication to that server. This way you can
89 use Windows NT to act as your password server with full support for
90 Microsoft encrypted passwords.
91