Установите службу сопоставления имен пользователей на контроллере домена.

Если имеется большое число сопоставлений пользователей, то при установке службы сопоставления имен пользователей на контроллере домена повысится производительность за счет уменьшения сетевого трафика во время первоначального создания или обновления сопоставлений.

Создайте пул серверов сопоставления имен пользователей.

Для создания пула компьютеров, на которых запущена служба сопоставления имен пользователей, можно использовать циклическое обслуживание DNS. Это обеспечит повышенную производительность в глобальных сетях, а также предоставит возможность переключения в случаях, когда один из серверов перестает быть доступным. Дополнительные сведения см. в разделе Создание пула сопоставления имен пользователей.

Настройте сопоставление имен пользователей на кластере серверов.

Для предоставления высокого уровня доступности службы сопоставления имен пользователей можно использовать кластер серверов сопоставления имен пользователей. Чтобы обеспечить надлежащую работу службы сопоставления имен пользователей на кластере серверов, при остановке кластера серверов сначала остановите службу сопоставления имен пользователей, после этого остановите кластер серверов. Дополнительные сведения см. в разделе Настройка сопоставления имен пользователей на кластере серверов

Убедитесь, что служба сопоставления имен пользователей может загружать пользователей со всех доменов.

Чтобы загрузить пользователей с домена Windows, удостоверьтесь, что сервер сопоставления имен пользователей принадлежит домену, которому доверяет домен Windows, пытающийся получить доступ.

Если служба Active Directory была установлена с разрешениями, совместимыми с серверным вариантом Windows Server 2000, выполните одно из следующих действий:

  • Если компьютер, на котором запущена служба сопоставления имен пользователей, является членом домена, добавьте компьютер в группу безопасности Пред-Windows 2000 доступ.

  • Если компьютер, на котором запущена служба сопоставления имен пользователей, не принадлежит домену (то есть он принадлежит доверенному домену), добавьте специальную группу Все в группу безопасности Пред-Windows 2000 доступ домена Active Directory.

Обновляйте данные при каждом добавлении или изменении пользователя.

Чтобы гарантировать немедленный доступ пользователя к ресурсам NFS, обновите базу данных службы сопоставления имен пользователей сразу после добавления пользователя или измените учетные записи пользователя в Windows или UNIX, которые влияют на сопоставление пользователя. Сведения об обновлении базы данных см. в разделе Обновление сопоставлений.

Поместите файлы паролей и групп на сервер сопоставления имен пользователей.

Если служба сопоставления имен пользователей настроена на использование файлов паролей и групп, эти файлы должны находиться на жестком диске сервера, чтобы гарантировать возможность доступа службы сопоставления имен пользователей к файлам при обновлении базы данных по сопоставлениям.

Используйте подходящие разрешения для защиты файлов паролей и групп.

Защитите файлы паролей и групп с помощью разрешений, которые разрешают доступ только соответствующим пользователям. Рекомендуется, чтобы список разрешений содержал только записи, предоставляющие «Полный доступ» системной учетной записи и группе «Администраторы». Кроме того, не изменяйте разрешения, которые службы Майкрософт для NFS применяют к другим файлам конфигурации службы сопоставления имен пользователей.

Архивируйте сложные сопоставления при любом их изменении.

Чтобы исключить потерю сложных расширенных сопоставлений в случаях возникновения проблем с системой, а также помочь в переносе сопоставлений на другой сервер, не забывайте архивировать данные службы сопоставления имен пользователей при каждом изменении расширенных сопоставлений.

Обеспечьте согласованность сопоставления групп.

Чтобы обеспечить надлежащий доступ к файлам, группы Windows и UNIX, сопоставленные друг с другом, должны содержать одних и тех же пользователей, а члены групп Windows и UNIX должны быть корректно сопоставлены друг с другом.

Укажите компьютеры, которые могут получать доступ к службе сопоставления имен пользователей.

Для сопоставления имен пользователей требуется идентифицировать в файле .maphosts компьютеры, которые могут получать доступ к службе сопоставления имен пользователей. (Если список в этом файле пуст, тогда только компьютер, на котором запущена служба сопоставления имен пользователей, может получить доступ к серверу.) Чтобы обеспечить высокий уровень безопасности, следует в явном виде указать компьютеры, которые могут получать доступ к службе сопоставления имен пользователей, а не использовать знак плюс (+) для автоматического предоставления доступа всем компьютерам. Дополнительные сведения см. в разделе Защита доступа к серверу сопоставления имен пользователей.