域和工作组有什么区别?A:域“和"工作组"有什么区别?
2006-09-06 09:19:49 / 天气: 晴朗 / 心情: 高兴
域和工作组有什么区别?A:域“和"工作组"有什么区别?
请问,网络中”域“是指什么?"工作组"是什么?我一直搞不清楚这两个有什么区别?
1、中央集权与各自为政的区别。
2、域的安全性高于工作组。
3、域好比校长董事会
工作组好比下面的各个系部
4、感觉如果设的不好, 你在域管理者面前有可能是裸奔.
5、楼上的解释好像不大对,这么说吧,工作组是自由市场,有几个工作组就有几个自由市场,你可以随时自由出入而没什么限制,从网上邻居最先看到的往往是自己机器所在的工作组的机器们。而域是严格控制权限的私人会所,没有正确的域用户是根本无法登录到域上的,也就无法访问域所控制的资源。
6、域的登陆密码是通过服务器验证的
7、看样子要提醒MS以后不要将名称搞的这么专业,还是要考虑到中国的国情,早知道将"域"改成"中央"将"工作组"改成"自由市场",这样方便易懂,就不会有这么多的问题了.
8、简单的说域是具有管理的能力的一种机制,采用的是分级的管理权限,比如:中央-》省->市-》县-》。。。-》个人但权限比这还要严格得多。
而工作组在有域服务的时候,也就是网络中已经存在域服务器的时候可以看作是域中除去工作站外最简单的组织结构,在没有域服务的时候相互间是可以相互访问的。
9、网上复制过来的
局域网中工作组和域的主要差别!
为什么要组建局域网呢?就是要实现资源的共享,既然资源要共享,资源就不会太少。如何管理这些在不同机器上的资源呢?域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢?
“自由”的工作组
工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一
页”吧)。为了解决这一问题,Windows 9x/NT/2000才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系的工作组名,双击就可以看到那个系别的电脑了。
那么怎么样才能加入到工作组中呢?其实方法很简单,只需要右击Windows桌面上的“网上邻居”,在弹出的菜单出选择“属性”,点击“标识”,在“计算机名” 一栏中添入你想好的名字,在“工作组”一栏中添入你想加入的工作组名称。如果你输入的工作组名称是一个不存在的工作组,那么就相当于新建一个工作组,当然也只有你自己的电脑在里面。不过要注意,计算机名和工作组的长度都不能超过15个英文字符,可以输入汉字,但是也不能超过7个汉字。“计算机说明”是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如“数学系主机”等。单击“确定”按钮后,Windows 98提示需要重新启动,按要求重新启动之后,再进入“网上邻居”,就可以看到你所在工作组的成员了。
相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。
除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样。它本身的作用仅仅是提供一个“房间”,以方便网上计算机共享资源的浏览。
域的管理和设置
打个比方,如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。
不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,
那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。
1.服务器端设置
以系统管理员身份在已经设置好Active Directory(活动目录)的Windows 2000 Server上登录,选择“开始”菜单中“程序”选项中的“管理工具”,然后再选择“Active Directory用户和计算机”,之后在程序界面中右击“Computers”,在弹出的菜单中单击“新建”,然后选择“计算机”,之后填入想要加入域的计算机名即可。要加入域的计算机名最好为英文,中文计算机名可能会引起一些问题。
2.客户端设置
首先要确认计算机名称是否正确,然后在桌面“网上邻居”上右击鼠标,点击“属性”出现网络属性设置窗口,确认“主网络登录”为“Microsoft网络用户”。选中窗口上方的“Microsoft网络用户”(如果没有此项,说明没有安装,点击“添加”安装“Microsoft网络用户”选项)。点击“属性”按钮,出现“Microsoft网络用户属性”对话框,选中“登录到Windows NT域”复选框,在“Windows NT域”中输入要登录的域名即可。这时,如果是Windows 98操作系统的话,系统会提示需要重新启动计算机,重新启动计算机之后,会出现一个登录对话框。在输入正确的域用户账号、密码以及登录域之后,就可以使用Windows 2000 Server域中的资源了。请注意,这里的域用户账号和密码,必须是网络管理员为用户建的那个账号和密码,而不是由本机用户自己创建的账号和密码。如果没有将计算机加入到域中,或者登录的域名、用户名、密码有一项不正确,都会出现错误信息。
10、xp可以当服务器建立活动目录吗?
xp可以做服务器,但是微软限制了并发连接只有10个
不能升级AD
11、Group里面是对等的,没有server或client的概念应该.
domain里面好像除了域服务器外,其它的机器也是对等的.
哪位老大能通俗易懂地讲讲Win2k中的“域”的概念?
1、域的英文是domain,按照字典的翻译,这个词的解释应该是:
do·main / A doU`meIn / B noun [count] **
1 a particular area of activity or life:
This is a subject that has now moved into the political domain.
1a. an area of activity considered as belonging to or controlled by a particular person or group:
the common idea that engineering is a male domain
Organic foods are no longer the sole domain of health fanatics.
The garden has always been Al’s domain.
—> PUBLIC DOMAIN1
2 LITERARY an area of land owned and controlled by a particular person, especially in the past
3 TECHNICAL in mathematics, a range of possible values of a VARIABLE
4 COMPUTING a DOMAIN NAME
在M$的操作系统中,我们可以理解域为一个社区,服务器相当于社区的会所,域中的主机相当于私人住宅,域管理员相当于社区的管理员,用户则相当于居民。
在社区中兴建一个住宅需要管理员的许可,你的主机要加入域也需要域管理员的同意。
社区的会所只对社区用户开放,你要访问服务器,就得有ID。
私人住宅的主人有自己住宅的管理权,当然,主人如果大方,也可以把自己的住宅开放给别人用,也有出租房屋的,大家一起用,这就是多用户共享一台主机。社区可以按照管理的方式,分为封闭管理和开放管理,封闭管理就是拒绝所有的陌生人,也有竖起篱笆墙什么的防止小偷小摸的,这就是防火墙。
两个社区可以搞联谊,双方共享资源,这就是域的互信协议,在这个协议下,两个社区的用户可以适当的访问别的社区资源。
2、嗯,刚才看有XD问工作组,这里我也白话白话。
工作组有点像北京公园里老头老太太们占山头练京剧。
今天这一堆人围一个山头开始唱京剧,旁边一堆人围了一个山头唱合唱。这些都是自发的,通常情况下大家也都守规矩,各自占各自的地盘,互不打扰。这就是工作组。
但这个区域是开放的,来去自由。随便哪个过客路过也能加入其中瞄一瞄,唱两句。所以常见到一个工作组里面有一堆人不认识的,时不时还有人自发捐出点歌谱、行头啥的,随便用。这就是工作组间的共享。
要是碰上那些不守规矩的,跑到唱歌的那边唱大戏,大家也没辙,实在不行了,撤摊换一个工作组名称重新圈块地儿。
当然也有公家(domain)占地赶的工作组四处跑的
有一天工作组里的老头老太太们混的有一定规模了,成立一个协会啥的,有了正式的管理员,有了固定的地盘,就升级成域了。
3、域其实就是一个安全的边界。它的存在主要是便于管理大型的网络的,可以进行统一的管理,such as统一发布组策略,同意安装某种软件等等,并且域中
的用户在登陆的时候,身份验证的过程是在域控制器上完成的。
而工作组呢,只适应于小型的网络。如果电脑比较多的话,那么工作组管理起来就极为不方便。因为每台电脑上面都有自己的安全账户数据库,所以身份验证过程必须在本地进行,如果你要是想登陆工作组中其他的电脑上面,你必须在那台电脑上面有你的用户账户才行。
4、但是同一个域的用户可以拿自己的帐户打开别人的机器(别人的机器没有开机密码的情况下),只有用自己的帐户登陆域即可,好像不太安全!
这个不是域的错,是主机用户的错,主机用户这么大方,夜不闭户的,别人进取转转也没什么不妥吧
不想让别人访问,在本机的用户组中把域用户删除就行了
5、不好意思,这篇文章有点误导的嫌疑
关于MS中域的理解:我们知道,2000/XP和98的一个明显不同是引入了多用户机制,把主机比喻为私人住宅可以,那么各个用户名id和密码就相当于进入这个房间的钥匙,但是这——不是域的概念。我们想象一下,一个学校机房供全校学生使用,计算机是公用的,那么每个机器都要给每个学生设立帐号是一件令人疯狂的工作,如果一个新学生来了,我要给他在每台电脑上开新帐号,如果他要走了,我又要挨个机器每台去删。这时域的观念就引入了。一个域的服务器主要功能就是负责域帐号的管理,这个域帐号在域内所有的计算机上都是通用的,也就是说,社区管理员只需要设立服务器上的用户和密码,该用户就可以自由使用社区内的所有资源。看到差别了么?”私人住宅的主人有自己住宅的管理权“这个观点不是完全正确的,一旦你把自己的房间登入了社区,社区的所有用户就可以自由访问你的房间了,当然你可以把房间断开,不登入社区,这样才对自己住宅有完全的管理权,一旦登入了域,就要看域服务器上管理员是如何设置域策略的,设置的严格的话,你几乎不能对你的私人住宅做任何管理,因为域策略是大于本机策略的
1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。
B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。 9、安全性 域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。 10、可冗余性 每个域控制器保存和维护目录的一个副本。在域中,你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时,他们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时(比如用户修改了口令),可以迅速的复制到其他的域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其他的域控制进行登录,保障了网络的顺利运行。 三、公司域的详细规划
?域和工作组 域和工作组是针对网络环境中的两种不同的网络资源管理模式。 在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱。为了解决这一问题,Windows 9x/NT/2000就引用了“工作组”这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入“财务部”工作组中,人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。 在对等网模式(PEER-TO-PEER)下,任何一台电脑只要接入网络,就可以访问共享资源,如共享打印机、文件、ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。一般来说,同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,就会看到网络上所有的工作组,双击工作组名称,就会看到里面的成员。 你也可以退出某个工作组,只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组,也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网络上计算机共享资源的浏览。 与工作组的“松散会员制”有所不同,“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。 在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来
域服务器概念及作用 域(Domain)是相对工作组(Workgroup)的概念,形象的说,域就像中央集权,由一台或数台域控制器(Domain Controller)管理域内的其他计算机;工作组就像各自为政,组内每一台计算机自己管理自己,他人无法干涉。 域是一个计算机群体的组合,是一个相对严格的组织,而域控制器则是这个域内的管理核心。 域控制器的作用相当一个门卫,它包含了由这个域的账户密码、管理策略等信息构成的数据库。当一台计算机登录域时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号和密码是否正确。如果正确则允许计算机登入这个域,使用该域内其有权限访问的任何资源,像文件服务器,打印服务器(也就是说域控制器仅起到一个验证作用,访问其他资源并不需要再跟域控制器扯上关系);如果不正确则不允许计算机登入,这时计算机将无法访问域内任何资源,这在一定程度上保护了企业网络资源。 另外,域控制器可以对域内计算机进行集中管理,比如在域控制器上可以定义所有用户不能更改桌面,或者所有用户的密码长度必须8位以上,而工作组环境的计算机则无法做到这些。 一般情况下,域控制器集成了DNS服务,可以解析域内的计算机名称(基于TCP/IP),解决了工作组环境不同网段计算机不能使用计算机名互访的问题。 域控制器自身所需配置非常低,对网络带宽的占用也几乎微不足道,另外正常情况下域控制器是不可能发布到外网使用的,因为它的安全关系到整个域组织的安全,如果用户希望他在外网也能够登入企业域使用内部资源,最常用的解决方式是在网关处开通VPN功能,这样既能保证账号密码传输的安全性,又能像在局域网一样便捷地访问网络资源。
一工作组与域的区别 现公司所有电脑采用工作组的管理模式,域管理与工作组管理的主要区别在于: 1、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。 而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 二公司采用域管理的好处 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享
公司局域网中的电脑有工作组管理与域管理,其主要区别在于: 工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。 域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。 我们公司实行域管理,电脑需要加入域TRZZ,并申请个人域账号,登陆电脑时用域账号登陆, 公司采用域管理的直接好处: 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业保密资料的管理,比如一个文件只能让某一个人看,或者指定人的一员可以看,但不可以删/改/移等。 3、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 4、方便用户使用各种共享资源,访问同一个域中的共享就无需再进行账号密码验证。 5、安全性 域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。 如何区分电脑是否加域? 1.右击“我的电脑”,点“属性”,如下图1.1 图1.1 2.在“系统属性”对话框中,选“计算机名”标签页,如果显示“域:TRZZ”,说明已经加域,如下图1.2;如果显示“工作组:workgroup”,说明未加域,还在工作组模式,如图1.3。如何加域,请参照“二、如何修改计算机名及加域”文件。
对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。从今天开始,我们将推出Active Directory系列博文,希望对广大学习AD的朋友有所帮助。 今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。 假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。服务器的职能大家都知道,无非是提供资源和分配资源。服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。现在服务器Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。 首先,如下图所示,我们在服务器上为张建国创建了用户账号。
局域网中域和工作组的差别介绍 局域网中域和工作组是局域网环境中产生的两种不同的网络资源管理模式。那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢?下面由小编给你做出详细的局域网中域和工作组的差别介绍!希望对你有帮助! 局域网中域和工作组的差别介绍: 局域网中域和工作组的差别:“自由”的工作组 工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧)。为了解决这一问题,Windows 9x/NT/2000才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系的工作组名,双击就可以看到那个系别的电脑了。
那么怎么样才能加入到工作组中呢?其实方法很简单,只需要右击Windows桌面上的“网上邻居”,在弹出的菜单出选择“属性”,点击“标识”,在“计算机名”一栏中添入你想好的名字,在“工作组”一栏中添入你想加入的工作组名称。如果你输入的工作组名称是一个不存在的工作组,那么就相当于新建一个工作组,当然也只有你自己的电脑在里面。不过要注意,计算机名和工作组的长度都不能超过15个英文字符,可以输入汉字,但是也不能超过7个汉字。“计算机说明”是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如“数学系主机”等。单击“确定”按钮后,Windows 98提示需要重新启动,按要求重新启动之后,再进入“网上邻居”,就可以看到你所在工作组的成员了。 相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。 除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。“工作组”就
域和工作组有什么区别?A:域“和"工作组"有什么区别? 请问,网络中”域“是指什么?"工作组"是什么?我一直搞不清楚这两个有什么区别? 1、中央集权与各自为政的区别。 2、域的安全性高于工作组。 3、域好比校长董事会 工作组好比下面的各个系部 4、感觉如果设的不好, 你在域管理者面前有可能是裸奔. 5、楼上的解释好像不大对,这么说吧,工作组是自由市场,有几个工作组就有几个自由市场,你可以随时自由出入而没什么限制,从网上邻居最先看到的往往是自己机器所在的工作组的机器们。而域是严格控制权限的私人会所,没有正确的域用户是根本无法登录到域上的,也就无法访问域所控制的资源。 6、域的登陆密码是通过服务器验证的 7、看样子要提醒MS以后不要将名称搞的这么专业,还是要考虑到中国的国情,早知道将"域"改成"中央"将"工作组"改成"自由市场",这样方便易懂,就不会有这么多的问题了. 8、简单的说域是具有管理的能力的一种机制,采用的是分级的管理权限,比如:中央-》省->市-》县-》。。。-》个人但权限比这还要严格得多。 而工作组在有域服务的时候,也就是网络中已经存在域服务器的时候可以看作是域中除去工作站外最简单的组织结构,在没有域服务的时候相互间是可以相互访问的。 9、网上复制过来的 局域网中工作组和域的主要差别! 为什么要组建局域网呢?就是要实现资源的共享,既然资源要共享,资源就不会太少。如何管理这些在不同机器上的资源呢?域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢? “自由”的工作组 工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧)。为了解决这一问题,Windows 9x/NT/2000才引用了“工作组”这个概念,
域和工作组有什么区别? 工作组:可以随时自由出入而没什么限制,从网上邻居最先看到的往往是自己机器所在的工作组的机器们。 域是严格控制权限的私人会所,没有正确的域用户是根本无法登录到域上的,也就无法访问域所控制的资源。 域是具有管理的能力的一种机制,采用的是分级的管理权限, 而工作组在有域服务的时候,也就是网络中已经存在域服务器的时候可以看作是域中除去工作站外最简单的组织结构,在没有域服务的时候相互间是可以相互访问的。 局域网中工作组和域的主要差别! “自由”的工作组 工作组(WORK GROUP)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧)。为了解决这一问题,WINDOWS 9X/NT/2000才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系的工作组名,双击就可以看到那个系别的电脑了。
相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。 除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样。它本身的作用仅仅是提供一个“房间”,以方便网上计算机共享资源的浏览。 域的管理和设置 打个比方,如果说工作组是“免费的旅店”那么域(DOMAIN)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由WINDOWS 9X
K3在工作组和域环境下用户的权限分配参考<上一篇 | 下一篇> K3在工作组和域环境下用户的权限分配参考 近来很多朋友和网友都问我,关于K3在工作组和域环境中,到底要给我们客户端用户在服务器上什么样子的权限呢. 下面帮大家总结下: 工作组: USERS权限并有修改注册表读写权限建议使用POWERUSER权限 域:USERS权限并有修改注册读写表权限建议使用USERS权限加上backup组权限 注册表修改权限如下: 开始----运行----regedit----设置权限---设置用户的读写权限 下面是对2000系统的用户权限细则参考,同时也可以应用与2003系统的用户分配
对默认 Windows 2000 操作系统安装中内置组的默认组成员的必需更改和建议更改。这些内置组具有用户权限和特权以及组成员的预定义集合。五个内置组类型定义如下: ? 全局组 当建立 Windows 2000 域时,在 Active Directory 存储区中创建内置全局组。全局组用来对整个域中使用的通用类型用户和组帐户进行分组。全局组可以包含本机模式域中的其他组。 ? 域本地组 域本地组向用户提供特权和权限,以便在域控制器和 Active Directory 存储区中执行任务。域本地组只在域中使用,不能导出到 Active Directory 树中的其他域。 ? 通用组 只可以在本机 Windows 2000 域中使用通用组。可以跨整个目录林使用通用组。 ? 本地组 独立 Windows 2000 服务器、成员服务器和工作站都有内置本地组。这些内置本地组向成员提供了只在此组所属的特定计算机上执行任务的能力。 ? 系统组 系统组没有可以修改的特定成员。每个系统组用来代表特定用户类别或代表操作系统本身。这些组是在 Windows 2000 操作系统中自动创建的,但在组管理 GUI 中不显示。这些组只用于控制资源的访问权。 检查/修改域的组帐户成员身份 ? 访问域中的组帐户 1. 在域控制器中以管理帐户登录。 2. 从“开始”菜单,指向“程序”,指向“管理工具”,然后单击“Active Directory 用户和组”。 3. 在控制台树中,双击域节点。在“内置”和“用户”容器中可以找到组帐户。
1.什么是域控制器. 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。 要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。 2.在域控制器和工作组两者中如何选择? 如果是单机,不再网络上,选择工作组在网络上,有域-选择加入到域。前提是你网络的DC提供DHCP,不然需要加入工作组之后,重新设置IP,然后加入到域在网络上,没有域-选择工作组。以后设置IP可以设置为域控制器. 3.域和工作组有什么区别? 1、中央集权与各自为政的区别。 2、域的安全性高于工作组。 3、域好比校长董事会 工作组好比下面的各个系部 4、感觉如果设的不好, 你在域管理者面前有可能是裸奔. 5、楼上的解释好像不大对,这么说吧,工作组是自由市场,有几个工作组就有几个自由市场,你可以随时自由出入而没什么限制,从网上邻居最先看到的往往是自己机器所在的工作组的机器们。而域是严格控制权限的私人会所,没有正确的域用户是根本无法登录到域上的,也就无法访问域所控制的资源。 6、域的登陆密码是通过服务器验证的 7、看样子要提醒MS以后不要将名称搞的这么专业,还是要考虑到中国的国情,早知道将"域"改成"中央"将"工作组"改成"自由市场",这样方便易懂,就不会有这么多的问题了. 8、简单的说域是具有管理的能力的一种机制,采用的是分级的管理权限,比如:中央-》省->市-》县-》。。。-》个人但权限比这还要严格得多。 而工作组在有域服务的时候,也就是网络中已经存在域服务器的时候可以看作是域中除去工作站外最简单的组织结构,在没有域服务的时候相互间是可以相互访问的。 9、网上复制过来的 局域网中工作组和域的主要差别! 为什么要组建局域网呢?就是要实现资源的共享,既然资源要共享,资源就不会太少。如何管理这些在不同机器上的资源呢?域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢?
Active Directory 高级应用 1.新建域控制器 首先,先安装一个全新的windows server 2003 企业版,用管理员登陆 装域之前我们先看一下机器的配置情况,先查看一下计算机名,鼠标右键我的电脑-属性,打开系统属性选项卡,点击计算机名标签,这里计算机名为dc,环境是工作组WORKGROUP,因为还没有加入域,所以这里显示的是工作组
我们再来查看一下计算机的IP设置情况,鼠标右键网上邻居-属性,打开网络连接窗口,鼠标右键本地连接-属性,打开本地连接属性,选择Internet协议(tcp/ip)点属性,打开Internet 协议(tcp/ip)属性选项卡,这里我们把IP设置为192.168.2.1,子网掩码255.255.0.0,DNS设置 为192.168.2.1
好了,准备工作已经做好了,现在我们开始安装AD拉,还有一点要注意,安装AD时会用到系统安装光盘,所以我们现在把系统盘装入光驱,现在开始装DC,点击开始-运行,输入dcpromo,确定 这是欢迎向导界面,点击下一步
这是操作系统兼容性,点击下一步 这里是选择域控制器类型,因为我们这里是域中的第一台域控制器,所以我们选新域的域控制器,点击下一步 我们选在新林中的域,点击下一步
这里让我们添入新的域名,我们在新域的DNS全名里写入https://www.doczj.com/doc/459923283.html,,点击下一步 这里让我们添写域的NetBIOS域名,直接默认就好了,点击下一步
更改,如果C盘够大直接默认就好拉,这里我就不修改了,点击下一步 这里让我们选择共享的系统卷的保存位置,默认好拉,点击下一步
它们之间的主要区别是对网络中的计 域、工作组和家庭组之间有什么 区别? 适用于Win dows 7 域、工作组和家庭组表示在网络中组织计算机的不同方法。 算机和其他资源的管理方式。 网络中运行 Win dows 的计算机必须属于某个工作组或某个域。 家庭网络中运行 Win dows 的 计算机也可以属于某个家庭组,但这不是必需的。 家庭网络中的计算机通常是工作组的一部分, 也可能是家庭组的一部分, 而工作区网络上的计算 机通常是域的一部分。 、/1.、、、八 汪意 * 家庭组在 Win dows Server 2008 R2 中不可用 全部显示 检查计算机是否位于某个工作组或域的步骤 检查计算机是否属于家庭组的步骤 在工作组中: 所有的计算机都是对等的,没有计算机可以控制另一台计算机。 ? 每台计算机都具有一组用户帐户。若要登录到工作组中的任何计算机,您必须具有该计 算机上的帐户。 ? 通常情况下,计算机的数量不超过二十台。
?工作组不受密码保护。 ?所有的计算机必须在同一本地网络或子网中。 在家庭组中: *家庭网络中的计算机必须属于某个工作组,但它们也可以属于某个家庭组。使用家庭组, 可轻松与家庭网络中的其他人共享图片、音乐、视频、文档和打印机。 *家庭组受密码保护,但在将计算机添加到家庭组时,只需要键入一次密码即可。 在域中: *有一台或多台计算机为服务器。网络管理员使用服务器控制域中所有计算机的安全和权限。这使得更容易进行更改,因为更改会自动应用到所有的计算机。域用户在每次访问域 时必须提供密码或其他凭据。 *如果具有域上的用户帐户,您就可以登录到域中的任何计算机,而无需具有该计算机上的帐户。 *由于网络管理员经常要确保计算机之间的一致性,所以,您也许只能对计算机的设置进行有限制地更改。 ?一个域中可以有几千台计算机。 计算机可以位于不同的本地网络中
域和AD的一篇入门文章 本文的目的,是作为域和AD的一篇入门文章,使没有安装过域,或刚刚接触域的年轻网管能对域和AD有一个全面的了解,并利用此文入门,将所管理的网络实现一个基于域的管理模式。一、认识Windows的域 本小节重点从理论上阐述域的概念、作用和Windows中域的产生。 一台Windows计算机,它要么隶属于工作组,要么隶属于域。所以说到域,我们就不得不提一下工作组,工作组是MS的概念,一般的普遍称谓是对等网。工作组通常是一个由不多于10台计算机组成的逻辑集合,如果要管理更多的计算机,MS推荐你使用域的模式进行集中管理,这样的管理更有效。你可以使用域、活动目录、组策略等等各种功能,使你网络管理的工作量达到最小。当然这里的10台只是一个参考值,11台甚至20台,如果你不想进行集中的管理,那么你仍然可以使用工作组模式。 工作组的特点就是实现简单,不需要域控制器DC,每台计算机自己管理自己,适用于距离很近的有限数目的计算机。另外工作组名并没有太多的实际意义,只是在网上邻居的列表中实现一个分组而已;再就是对于“计算机浏览服务”,每一个工作组中,会自动推选出一个主浏览器,负责维护本工作组所有计算机的NetBIOS名称列表。用户可以使用默认的workgroup,也可以任意起个名字,同一工作组或不同工作组在访问时也没有什么分别。 域(Domain)是一个共用“目录服务数据库”的计算机和用户的集合,实现起来要复杂一些,至少需要一台计算机安装NT/2000/03 Server版本使其充当DC,来实现集中式的管理。 若考虑到容错的话,至少需要两台。对于NT4域就是一台PDC(具有唯一性),一至多台BDC,对于2000/03域,已经没有PDC和BDC的概念,要容错就需要两至多台DC。 域是逻辑分组,与网络的物理拓扑无关,可以很小,比如只有一台DC;也可以很大,包括遍布世界各地的计算机,比如大型跨国公司网络上的域(当然实际中他们多采用多域结构,还可以利用AD站点来优化AD复制)。 这个“目录服务数据库”,在NT4时,保存用户帐号名称和密码等安全安全信息,以及安全规则设置,又被称作安全帐号管理(SAM)数据库,简称SAM库。在非DC上的本地的SAM库与DC上域所用的SAM库类似,只不过对于NT4域的SAM库文件,保存有整个域的用户和计算机,用“域用户管理器”和“服务器管理器”来管理,本地的SAM库文件,保存有本地机的用户,由“用户管理器”来管理。 从2000开始,MS引入了活动目录AD,DC通过AD来提供目录的服务,例如它负责维护AD数据库、审核用户的账户和密码是否正确、将AD数据库复制到其它的DC等。AD库的核心文件就是winnt\ntds\ntds.dit文件。注意组策略的具体设置值,并不存在这个文件中,而是保存在winnt\sysvol\sysvol这个共享夹下,用于向其它DC复制,传播给域成员,来生效。但需要说明的是:2000/XP/03的非DC域成员计算机上仍使用和NT4一样的SAM库文件来保存本地帐号。 正是由于所有域成员计算机和域用户都共用这个域的“目录服务数据库”,域管理员就可以基于域的“目录服务数据库”来进行集中管理、共享资源,如用户、组、计算机帐号、权限设置、组策略设置等等。目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力。目录服务也为用户提
AD域与工作组的区别 一工作组与域的区别 现在许多公司所有电脑采用的都是工作组的管理模式,域管理与工作组管理的主要区别在于: 1、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。 而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正
确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 二公司采用域管理的好处 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁
局域网中工作组和域之间的差别 为什么要组建局域网呢?就是要实现资源的共享,既然资源要共享,资源就不会太少。如何管理这些在不同机器上的资源呢?域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢? "自由"的工作组 工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在"网上邻居"内,可想而知会有多么乱(恐怕网络邻居也会显示"下一页"吧)。为了解决这一问题,Windows 9x/NT/2000才引用了"工作组"这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在"网上邻居"里找到那个系的工作组名,双击就可以看到那个系别的电脑了。 那么怎么样才能加入到工作组中呢?其实方法很简单,只需要右击Windows桌面上的"网上邻居",在弹出的菜单出选择"属性",点击"标识",在"计算机名"一栏中添入你想好的名字,在"工作组"一栏中添入你想加入的工作组名称。如果你输入的工作组名称是一个不存在的工作组,那么就相当于新建一个工作组,当然也只有你自己的电脑在里面。不过要注意,计算机名和工作组的长度都不能超过15个英文字符,可以输入汉字,但是也不能超过7个汉字。"计算机说明"是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如"数学系主机"等。单击"确定"按钮后,Windows 98提示需要重新启动,按要求重新启动之后,再进入"网上邻居",就可以看到你所在工作组的成员了。 相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入"网上邻居",首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击"整个网络",然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。 除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。"工作组"就像一个自由加入和退出的俱乐部一样。它本身的作用仅仅是提供一个"房间",以方便网上计算机共享资源的浏览。 域的管理和设置 打个比方,如果说工作组是"免费的旅店"那么域(Domain)就是"星级的宾馆";工作组可以随便出出进进,而域则需要严格控制。"域"的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。 不过在"域"模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为"域控制器(Domain Controller,简写为DC)"。 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。 要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互"看"到是远远不够的,
1.“工作组”的定义 “工作组”(workgroup)方式的网络也称为“对等网” 2.“工作组”的工作方式 工作组模式与域中的集中式管理方式截然不同的是其资源和帐户管理是分散在网络中的各个计算机上。通常适用于不超过10台计算机的小型对等网。 3.采用“工作组”模式的特点 [1] 工作组中所有计算机之间是一种平等的关系,没有主从之分 [2] 工作组模式下资源和帐户的管理是分散的。每台计算机上的管理员能够完全实现对自己计算机上的资源与帐户的管理。 [3] “人机”不分开。一个用户只能在为他创建了帐户的计算机上登录。 [4] 通常可以不必安装Windows 20000 Server,可以使用Windows 2000 Professional、Windows NT Workstation 4.0、Windows 95/98来组建。95/98中没有本地安全数据库。 [5] 资源是分散的,可通过以下途径实现资源的互相访问: 利用Guest帐户访问,即取消该帐户的“禁用”属性。 在目的(资源)计算机上为使用资源的用户创建一个帐户,当登录资源计算机或联接联接到目的资源上时,提示用户输入该帐户和密码。 1.“域”的定义 用户可以将网络组织成“域(domain)”的方式,一组由网络连接而成的计算机群组,可以将计算机内的资源共享给其他用户访问。 与“工作组”模式不同的是:域内所有计算机和用户共享一个集中控制的活动目录数据库,目录数据库中包括了域内所有计算机的用户帐户等对象的安全信息。 2.“域”的工作方式 Win2000 Server中负责维护目录服务的组件为活动目录,在“域”模式下的目录数据库就是活动目录数据库。该数据库存储在作为“域控制器”的计算机上,此计算机应当是一台运行Win2000 Server的服务器。 一个网络中,可以包含一个或多个“域”,通过设置将多个域设置成活动目录树。只要被定义在相同的域,彼此间就是有关联的“伙伴”,可以域中的资源。用户可以通过ISDN、PSTN 等拨号网络,从远程区域访问“域”中的资源。 3.“域”中计算机的分类 是一种不平等的关系。 (1)域控制器:安装了Win2000 Server的计算机,包括了“域”中所有对象,如用户、组等信息,以及“域”的安全策略的设置,是域中活动目录数据库的所在地。 当用户从域中任何一台计算机登录时,域控制器中的活动目录数据库负责验证用户的用户名和密码是否正确。 (2)成员服务器和独立服务器 安装了Win2000 Server 或Win NT Server 4.0,又加入了域的普通服务器称为“成员服务器(member server)”。安装时没有被安装成“域控制器”,主要用作专用服务器,如文件服务器、打印服务器、SQL服务器的RAS服务器等。 (3)域中的其他计算机:安装了Win2000 Professional, Win NT Server,Workstation的计算机,用户利用这些计算机登录域,访问域中的资源,使用域中的服务,又被称为客户机。 4. 采用“域”模式的特点 [1] 集中的帐户管理 [2] 资源的集中管理
域环境的主要特点如下 ◆集中管理 域环境可以实现对象(包括用户和计算机)和安全策略的集中管理和部署,这是域环境的最显著特点。域环境是C/S(客户机/服务器)管理模式在局域网构建中的应用。在域环境中,有专门用来管理或者提供服务的各种服务器,如用于对象、安全策略管理的各级域控制器(DC)。通过DC中的活动目录(AD)和域组策略就可以对整个网络中的用户账户(包括用户权限、权利)、计算机账户和安全管理策略进行统一管理,统一部署。这样一来,域环境中各成员计算机的角色并不是平等的,有管理(各服务器)和被管理(各客户机)之分。这是前面工作组网络所无法实现的。 ◆多级账户和安全策略 在域环境中,域账户和安全策略可以有多级,最小的安全策略边界是域中的“组织单位”(OU),最大的安全边界是林;而用户账户可以是子域中的,也可以是父域中的。不同安全级别的配置应用是按照先本地,后域的规则进行的。在域层次中,则是按照精确度由低到高的顺序进行应用的。而最后应用的级别最高。如组策略的应用顺序是:本地组策略→站点组策略→域组策略→子域组策略→组织单位组策略。 因为存在多级账户和安全策略,所以在域环境中存在一个信任关系。也就是一个域可以与同一林中的其他域建立单向或者双向信任关系,不同林之间也可以建立单向或者双向信任关系。这样一来,就可以实现单向或者双向访问的目的。 ◆默认信任 在工作组网络中,由于各用户账户都只是对各自计算机本地有效,所以各成员计算机之间根本没有信任关系,要访问就必须先进行身份验证。而在域环境中,域用户账户在整个域环境有效,所以加入了域的计算机都遵守了相同的信任协议,彼此相互信任,只要有域环境中合法的用户账户即可。这也是后面将要介绍的“单点登录”的基础和前提。 ◆集中存储 这也是域环境的一大优势和特点。在域环境中的用户文档或者数据可以集在保存在网络中的一台或者多台相应服务器上。用户文档还可以保存在服务器上为每个用户创建的用户主目录中,并且该目录只有用户自己可以访问,包括网络管理员也不能访问(当然网络管理员可以更改访问权限),极大地保障了各用户私有文档的安全性。同时也方便了网络数据的存储,提高警惕了网络数据存储的安全性。这一点在工作组网络中无法实现,因为即使你可以把数据存储在其他用户计算机中,你的文档同样可以被那台机上的用户所浏览、修改,甚至删除。 ◆单点登录 在域环境中,采用的是单点登录(Single Sing On,SSO)。在域环境中的所谓“单点登录”就是用户只需要使用域账户登录一次,就可以实现对整个域环境共享资源的访问(当然这是要在授予了访问权限的前提下),而无需在访问不同计算机上共享资源时输入不同的账户信息。这就大大减化了网络资源的访问验证过程。在工作组网络中,因为安全边界就是各用户计算机本身,用户账户都是存储在各用户计算机上,所以无法实现网络中的单点登录。 当然,单点登录不仅应用于域环境用户的登录,它同样广泛应用于其他支持单点登录的应用系统,用户只需要登录一次就可以访问所有相互信任的应用系统。单点登录原理就是网络中的所有成员都信任同一套身份验证系统,可以是用户账户、也可以是用户邮箱名,还可以其他应用系统的帐号。 ◆采用DNS解析协议 在域环境中,用户计算机名称和IP地址的解析是通过DNS(Domain Name Services,域名服务)协议来进行的,而不再使用NetBIOS协议。但是对于不支持DNS协议的早期操作