правилами:
якщо АСЕ не стосується цього користувача, то монітор його не розглядає, а переходить до наступного АСЕ;
якщо АСЕ має тип Access Denied і його маска доступу збігається з маскою доступу запиту, то запит відхиляють. Розгляд ACL припиняється;
якщо доступ відхилено попереднього етапу, однак користувач вимагає прав ReadControl або write_dac, тоді, якщо користувач є власником об'єкта, доступ дозволяють;
якщо АСЕ має тип Access Allowed і його маска доступу збігається з маскою запиту, то доступ дозволяють, і перегляд ACL припиняється;
якщо ACL закінчився, а дозволу не було, то запит відхиляють.
Контроль подій безпеки. WNT має гнучку систему, яка дає змогу простежувати події, пов'язані з системою безпеки. Конкретну конфігурацію подій визначає адміністратор системи (для опрацювання великого списку подій можуть бути потрібні значні системні ресурси). Розрізняють системні події та події, визначені застосуваннями. їх реєструють у системному реєстрі. Вони мають імена та ідентифікатори, їх генерують відповідні програмні модулі.
Робочі групи та домени. Windows NT дає змогу згрупувати комп'ютери двома спосо-бами:
з використанням робочих груп;
з використанням доменів.
Робоча група-це найпростіший спосіб об'єднання комп'ютерів. Машини робочої групи підтримують власну політику безпеки та бази даних бюджетів користувачів. Користувача мережі робочої групи розпізнають через його ім'я та пароль, які є перепусткою і на всі інші комп'ютери робочої групи. Використання механізму робочих груп доцільне у невеликих мережах, де проблеми безпеки та обмеження доступу не мають важливого значення.
Домен - це група серверів, що провадять спільну політику безпеки та поділяють бази даних бюджетів користувачів. Один з комп'ютерів (найчастіше під WNT Server) є головним контролером домену (Primary Domain Controller (PDC)). Він зберігає централізовані бази даних бюджетів усього домену і може виконувати розпізнавання. Для більшої надійності інформація дублюється на інших серверах - вторинних контролерах домену (Backup Domain Controller (BDC)), що також можуть вести розпізнавання користувача. Вони заміняють первинний конт-ролер, якщо той виходить з ладу. Користувач мережі реєструється один раз, його розпізнає один з контролерів домену.
Якщо мережа достатньо велика (понад 10 000 користувачів), то один PDC більше не може підтримувати базу бюджетів. У системі доводиться створювати кілька доменів та задавати відношення між ними. Між двома доменами можуть бути довірчі відносини. Домен, що довіряє (довіритель) іншому домену (довірений домен), дає змогу користувачам довіреного домену користуватися його ресурсами, навіть якщо ці користувачі не мають у домені-довірителі бюджету. Довірений домен передає домену-довірителю інформацію про групи та користувачів, розпізнаних у ньому.
У мережі з багатьма доменами відносини довіри потрібно задавати явно. Якщо домен А довіряє домену В, це не означає, що домен В довіряє домену А. Крім того, відносини довіри не є транзитивними: якщо домен А довіряє домену В, а В довіряє С, це не означає, що А довіряє С.
Використання довірчих відносин між доменами дає змогу визначати бюджети користувачів тільки один раз - у довіреному домені.
Отже, як робочі групи, так і домени є "пласкими" структурами. Фахівці-практики вважають, що адміністрування доменних структур невиправдано складне. Фірма Microsoft планує перейти до ієрархічних систем групування комп'ютерів, які добре зарекомендували себе в службах мережевих каталогів eDirectory та LDAP у своїй службі каталогів Active Directory (див. Розділ 23).