域与活动目录：构建安全的企业网络

目录

1. 工作组与域
   1. 工作组
   2. 域
2. 域控制器
3. 活动目录
   1. 活动目录的设置
   2. 活动目录的应用实例
4. 域结构
   1. 逻辑结构
   2. 物理结构
5. 参考资料

---

工作组与域

工作组

工作组是Windows环境中一种简单的网络模型，适合小型网络环境，如家庭或小型办公室网络。在工作组中，每台计算机独立管理自己的用户和资源，没有中央控制的服务器。这使得资源共享相对简单，但同时也意味着缺乏集中的安全管理。

配置工作组的基本步骤：

1. 确定工作组名称：首先，需要确定一个工作组名称，所有加入该工作组的电脑将使用这个名称。标准的做法是所有电脑使用相同的工作组名称，如“WORKGROUP”是一个常见的默认工作组名称。
2. 配置每台计算机加入工作组：在每台Windows电脑上设置工作组名称。
   • 对于Windows 10/11：
     • 打开设置。
     • 点击系统>关于。
     • 在“设备规格”下，找到“组织”部分，点击更改设置链接。
     • 在弹出的窗口中选择更改。
     • 输入您的工作组名称，点击确定。
     • 重启计算机以应用更改。
   • 对于较旧版本的Windows：
     • 右键点击计算机图标，选择属性。
     • 找到“计算机名、域和工作组设置”，点击更改设置。
     • 在“计算机名”选项卡下，点击更改。
     • 选择“工作组”并输入工作组名称。
     • 点击确定，系统可能会提示您重启计算机。
3. 设置网络共享：为了在工作组内的电脑之间共享文件和打印机，您需要配置网络共享设置。
   • 对于Windows 10/11：
     • 打开控制面板。
     • 选择网络和共享中心。
     • 点击左侧的更改高级共享设置。
     • 确保已启用“网络发现”和“文件和打印机共享”。
     • 在每台电脑上，右键点击您想要共享的文件夹或打印机，选择属性。
     • 前往共享选项卡，点击高级共享，勾选“共享此文件夹”，设置共享权限。
   • 对于较旧版本的Windows：
     • 进入控制面板。
     • 选择网络和Internet中的网络和共享中心。
     • 点击左侧的更改高级共享设置。
     • 确保网络发现和文件打印共享处于开启状态。
     • 在您想要共享的文件夹或打印机上右键点击，选择共享。
4. 访问共享资源：在任一台工作组内的电脑上，您可以通过以下方法访问共享资源：
   • 打开文件资源管理器。
   • 在地址栏输入 \计算机名 或 \IP地址 来访问该计算机共享的资源。
   • 确保所有电脑都连接到同一局域网中。
   • 配置防火墙允许通过网络共享服务。
   • 使用强密码和适当的共享权限来增强网络安全。

注意事项：

• 确保所有加入同一工作组的电脑都使用相同的名称。
• 在设置共享之前，确保网络连接正常。
• 分享文件夹时，设定合理的访问权限以保护信息安全。

域

域是Windows网络中一种更为复杂的模型，适用于需要集中管理和控制大量计算机的企业环境。域通过域控制器来集中管理网络中的所有计算机和用户账户，实现统一的安全策略和资源管理。

域的特点：

• 集中管理：所有用户的账号和权限都在中央数据库中管理，简化了IT运维工作。
• 单点登录：用户只需登录一次即可访问所有被授权的资源。
• 资源分配：可以根据用户的角色和需求自动分配所需的网络资源。

---

域控制器

域控制器是管理域资源的服务器。它存储了所有域用户账户信息和安全策略，并负责处理域中的身份验证请求，如用户登录。域控制器在AD的物理结构中扮演着核心角色：

• 身份验证和授权：域控制器处理所有的用户登录请求，执行身份验证并授权用户访问网络资源。
• 数据存储和管理：所有的用户数据、组策略和安全相关信息都存储在域控制器上。在有多个域控制器的环境中，这些数据会在它们之间复制，以确保数据的一致性和可用性。
• 服务位置：域控制器通常在多个地理位置部署，与站点的配置相结合，以确保用户和应用程序可以快速访问AD服务。

---

活动目录

活动目录是微软提供的目录服务，用于在域环境中管理和控制用户、设备及其他网络资源。它允许管理员创建复杂的组织结构，并应用精细的安全策略。

活动目录的设置

活动目录的设置通常包括以下几个步骤：

1. 安装Windows Server：选择合适的服务器作为域控制器，确保服务器硬件满足运行Windows Server操作系统的要求。
2. 安装Active Directory域服务：使用Server Manager添加角色和功能，选择Active Directory Domain Services进行安装。
3. 创建新的域：按照向导指引，指定新域的名称、域功能级别、目录服务还原模式（DSRM）密码等信息。
4. 配置DNS服务器：域环境通常需要DNS支持，确保DNS服务器已正确配置并指向域控制器。
5. 加入计算机到域：参照前面提到的工作组配置步骤，但选择加入到指定的域而非工作组。

活动目录的应用实例

• 用户管理：创建和管理用户账户，分配权限。
• 设备管理：注册和管理域内的计算机，确保合规性。
• 策略应用：制定和实施集团策略（Group Policy），统一配置操作系统和应用程序设置。

---

域结构

域的逻辑结构可以分为以下几个层次：

1. 单域：适用于小型组织，所有资源和用户在一个单一的管理单元内。
2. 域树：多个层次的域结构，各域之间建立信任关系，形成一个连续的命名空间。
3. 域林：由多个没有直接信任关系的域树构成，适用于跨国公司或拥有多个业务部门的大型企业。

此外，域还包括物理结构，如站点、域控制器和复制拓扑等，这些物理结构的设计对确保域内资源的有效访问至关重要。

逻辑结构

• 单域：最简单的Active Directory结构，适用于不需要复杂管理或特别隔离的小型组织。
• 域树：多个相关域组成的集合，这些域共享一个连续的命名空间。
• 域林：一个或多个域树的集合，其中每个树的命名空间都是独立的，但它们共享一个全局目录架构。

物理结构

• 站点：一组互连的局域网络（LAN），它们之间的网络连接速度很快。
• 域控制器：管理域资源的服务器，负责存储域中所有对象的信息和管理安全策略。
• 复制拓扑：定义了域控制器如何相互复制信息的路径和方式。
• 全局编录：包含所有域中所有对象的部分可读属性的副本，用于加速查询和跨域登录。

---

参考资料

• Microsoft官方文档：设置工作组
• Microsoft官方文档：域与活动目录
• TechNet Wiki：Active Directory基础知识

---