工作组 和 域
工作组 Work Group
在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在"网络"内,可想而知会有多么乱。
为了解决这一问题,Windows就引用了"工作组"这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入"财务部"工作组中,人事部的电脑都列入"人事部"工作组中。你要访问某个部门的资源,就在"网络"里找到那个部门的工作组名,双击就可以看到那个部门的电脑了.
如下图所示,如果资源分布在多台服务器上,那就需要在每台服务器分别为每一员工建立一个用户(共M*N个),员工则需要在每台服务器上(共M台)登录。
域
在"域"模式下,至少有一台服务器负责每一台联入域网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为"域控制器(Domain Controller,简写为DC)"。"域控制器"中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。 当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就一定程度上保护了网络上的资源。
AD服务概述
在计算机、用户数量较多的企业网络中,域能够实现统一、高效的管理此网络环境。
域环境是一种逻辑结构,从逻辑上将网络中的计算机组织到一起,进行统一管理。
在一个域中,所有的用户、计算机等角色,都是统一的,而域控制器则负责存储整个域环境的数据信息。
如权限集中:所有用户账户直接通过dc进行管理,而工作组模式则需要对每一台计算机进行配置,难以管理。
共享集中:共享数据后,通过权限配置,使得需要的用户能够直接访问该数据。
策略部署:对域中的计算机、用户实施统一策略部署,达到所有计算机、用户的配置相同,也可对某些特定用户进行区分。
工作组环境,每台计算机都拥有自己的管理权限,因此使用者经常有意或无意下载了若干软件、病毒,会使得计算机运行变慢、中毒,而域权限可以很好控制这一点。
活动目录
活动目录: 简称 AD是微软提供的目录服务(包含了查询, 身份验证), 它的核心包含了活动目录数据库. 活动目录数据库中存放了所有的活动目录对象: 用户, 组, 计算机, 打印机等.
- AD的两层含义:
-
AD是Windows的一种服务
-
AD是一个目录数据库
- AD的优点和特性:
-
集中管理 访问网络资源便捷 可扩展性强
域
活动目录的一种实现形式
活动目录中最核心的管理单位
由域控制器和成员计算机组成
域控制器:
域中的管理服务器,通常为第一台安装了活动目录的服务器。
一个域可以有多台域控制器
名称空间:
是一个区域的名字(域名)
定位了网络资源的位置
对象和属性:
对象由一组属性组成,它代表的是具体的事物
属性就是用来描述对象的数据
容器:
是一种特殊的活动目录对象
作用是存放对象的空间
组策略:
若干策略的集合
应用到容器会影响容器内所有的计算机和用户
域的结构
逻辑结构 :
- 单域: 网络中只建立了一个域
- 域树:从Windows Server 2000起,域树(DomainTree)开始出现。域树中域以树的形式出现,由根域(域树中创建的第一个域)、父域(上级域)和子域(下级域)构成,共用连续名字空间的域就组成一个域目录树。
- 域林:域林是一个或多个目录树的集合,目录林中的目录树并不共用相同的连续的名字空间。域林中创建的第一个域为林根域。
组织单元 (OU)
- OU是AD的容器 也是一种对象
- 可以在其存放用户, 组 ,计算机, 打印机和其他OU等等. 所以可以利用组织单元把域中的对象组成一个完全逻辑上的层次结构
- OU不能包含来自其它域中的对象.
全局编录服务器 (GC)
- 存储着本域中所有对象所有属性,同时存储林中其他域中所有对象的部分属性。
- 一般来说,属性是否存储在GC中,取决于该属性在搜索中使用的频率,由系统自动进行决定。
- 作用及功能:
- 允许用户在林中所有域上搜索活动目录信息,提高查询速度。
- 为域控制器提供请求验证登陆的用户信息。
物理结构
- 站点:对应高速稳定的IP子网,如企业内部的局域网
-
域控制器 (DC):
- 域控制器是安装了 AD DS 服务器角色的服务器。
- 承载 AD DS 目录存储的副本;
- 提供身份验证和授权服务;
- 将更新复制到域和林中的其他域控制器;
- 允许在服务器上管理用户账户和网络资源;
- 参与活动目录的复制
- 单主控操作
域中的计算机分类
在域结构的网络中,计算机身份是一种不平等的关系,存在关以下4种类型
-
域控制器 (DC):
- 安装了活动目录的服务器,存储了所有域范围内的账户和策略信息。在网络中可以将多台服务器配置为域控制器,并一起工作,即使部份域控制器瘫痪,网络访问仍然不受影响,提高了网络安全性和稳定性。
-
成员服务器(windows server)
- 安装了Windows Server 2016/2019/2008的服务器,又加入到了域,但没有安装活动目录的计算机。
-
独立服务器
- 不加入到域中也不安装活动目录,就称为独立服务器,独立服务器和域没有关系。
-
域中的客户端(windows)
- 加入到域中,但没有安装活动目录的其他操作系统的计算机。