一、工作组和域。
工作组Work Group
在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在"网络"内,可想而知会有多么乱。
为了解决这一问题,Windows就引用了"工作组"这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入"财务部"工作组中,人事部的电脑都列入"人事部"工作组中。你要访问某个部门的资源,就在"网络"里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。
如图所示,如果资源分布在多台服务器上,那就需要在每台服务器分别为每一员工建立一个用户(共M*N个),员工则需要在每台服务器上(共M台)登录。
域Domain
与工作组的"松散会员制"有所不同,"域"是一个相对严格的组织。"域"指的是服务器控制网络上的计算机能否加入的计算机组合。 实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,就可以访问共享资源,如共享ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。
在"域"模式下,至少有一台服务器负责每一台联入域网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为"域控制器(Domain Controller,简写为DC)"。"域控制器"中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就一定程度上保护了网络上的资源。
二、AD域服务概述。
在计算机、用户数量较多的企业网络中,域能够实现统一、高效的管理此网络环境。
域环境是一种逻辑结构,从逻辑上将网络中的计算机组织到一起,进行统一管理。
在一个域中,所有的用户、计算机等角色,都是统一的,而域控制器则负责存储整个域环境的数据信息。
如权限集中:所有用户账户直接通过dc进行管理,而工作组模式则需要对每一台计算机进行配置,难以管理。
共享集中:共享数据后,通过权限配置,使得需要的用户能够直接访问该数据。
策略部署:对域中的计算机、用户实施统一策略部署,达到所有计算机、用户的配置相同,也可对某些特定用户进行区分。
工作组环境,每台计算机都拥有自己的管理权限,因此使用者经常有意或无意下载了若干软件、病毒,会使得计算机运行变慢、中毒,而域权限可以很好控制这一点。