В операционной системе Windows NT система безопасности при доступе к разделяемому ресурсу (Share) требует отдельного пароля для доступа и устанавливает права доступа на файлы и директории.
Основное внимание система безопасности уделяет пользователям и их бюджетам. Для каждого пользователя сети сетевой администратор создаёт бюджет. Система автоматически присваивает пользователю уникальный идентификатор безопасности SID в пределах базы данных пользовательских бюджетов. Кроме того система отслеживает для пользователя права доступа и привилегии. База данных пользовательских бюджетов необязательно находится на
локальном компьютере. Её местоположение зависит от того, является ли пользователь частью рабочей группы или домена.
В Windows NT применяется два типа пользовательского бюджета:
-бюджет глобального пользователя, который аутентифицируется на главных или вторичных контроллерах домена либо через отношения доверия;
-бюджет локального пользователя, который доступен только через удалённый вход в систему и аутентифицируется на локальном компьютере.
Операционная система Windows NT Server позволяет использовать бюджеты пользователей и глобальные группы одного домена в другом домене. Конфигурируется это с помощью установления доверительных отношений между доменами. В этом случае домен, с которым устанавливают доверительные отношения, называется доверяемым доменом, а домен, который устанавливает эти отношения, -доверяющим. Доверяемый домен позволяет использовать свои бюджеты в доверяющем.
Имеется возможность сконфигурировать сеть, исходя из отношений доверия, в соответствии с различными моделями.
Возможно выделение одного единственного домена. В этом случае отношения доверия начать не с кем. Такие сети насчитывают , как правило, 10 000 пользователей, применяется централизованное управление для всех пользовательских бюджетов и раз и навсегда выделенные рабочие группы.
Другой моделью для организаций с небольшим количеством компьютеров может служить выделение главного домена. В этом случае один домен, главный, является доверяемым для всех остальных доменов, а сам не доверяет никому. Эта модель сочетает в себе достоинства централизованного управления пользовательскими бюджетами, предоставляя остальным доменам администрировать свои собственные ресурсы самостоятельно. Ограничение в 10 000 пользователей вызывается размером базы данных безопасности, хранящейся в одном месте.
Модель организации сети, где используются множественные главные домены, хороша для больших организаций с количеством пользователей более 10 000 человек.
В любом случае, используя механизм доверительных отношений, уменьшается необходимость дублирования информации о пользовательских бюджетах и количество проблем, связанных с не синхронизированной информацией бюджетов (разные пароли локальных и глобальных бюджетов при одном сетевом имени пользователя и т.д.).