Active Directory域服务

一、工作组和域。

工作组Work Group

在一个网络内，可能有成百上千台电脑，如果这些电脑不进行分组，都列在"网络"内，可想而知会有多么乱。

为了解决这一问题，Windows就引用了"工作组"这个概念，将不同的电脑一般按功能分别列入不同的组中，如财务部的电脑都列入"财务部"工作组中，人事部的电脑都列入"人事部"工作组中。你要访问某个部门的资源，就在"网络"里找到那个部门的工作组名，双击就可以看到那个部门的电脑了。

 如图所示，如果资源分布在多台服务器上，那就需要在每台服务器分别为每一员工建立一个用户（共M*N个），员工则需要在每台服务器上（共M台）登录。

域Domain

与工作组的"松散会员制"有所不同，"域"是一个相对严格的组织。"域"指的是服务器控制网络上的计算机能否加入的计算机组合。 实行严格的管理对网络安全是非常必要的。在对等网模式下，任何一台电脑只要接入网络，就可以访问共享资源，如共享ISDN上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据是非常不安全的。

在"域"模式下，至少有一台服务器负责每一台联入域网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为"域控制器(Domain Controller，简写为DC)"。"域控制器"中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确，域控制器就拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，只能以对等网用户的方式访问Windows共享出来的资源，这样就一定程度上保护了网络上的资源。

 

二、AD域服务概述。

在计算机、用户数量较多的企业网络中，域能够实现统一、高效的管理此网络环境。

域环境是一种逻辑结构，从逻辑上将网络中的计算机组织到一起，进行统一管理。

在一个域中，所有的用户、计算机等角色，都是统一的，而域控制器则负责存储整个域环境的数据信息。

如权限集中：所有用户账户直接通过dc进行管理，而工作组模式则需要对每一台计算机进行配置，难以管理。

共享集中：共享数据后，通过权限配置，使得需要的用户能够直接访问该数据。

策略部署：对域中的计算机、用户实施统一策略部署，达到所有计算机、用户的配置相同，也可对某些特定用户进行区分。

工作组环境，每台计算机都拥有自己的管理权限，因此使用者经常有意或无意下载了若干软件、病毒，会使得计算机运行变慢、中毒，而域权限可以很好控制这一点。