一,什么是域?
域是一个有安全边界的计算机集合(安全边界的意思就是在两个域中,一个域中的用户没法访问另一个域中的资源),可以理解为升级版的工作组(人人不平等,集中管理,统一管理)。
特点:集中/统一管理。
二,域的分类有哪些?
单域、父域和子域、域树、域森林。
三,域的组成成员有哪些?
域控制器(DC):负责所有连入的计算机和用户的验证工作(可以理解为是域中的管家),安装了AD(AD就是活动目录,就是数据库,一张数据表,存储了有关网络对象的信息)的服务器就是域控制器。
成员服务器:安装了服务器操作系统并加入了域、但没有安装活动目录的计算机,其主要任务是提供网络资源。
客户机:安装了其他操作系统的计算机,用户利用这些计算机和域中的账户就可以登录域。
独立服务器:和域没有关系,服务器既不加入域,也不安装活动目录,就称其为独立服务器。
四,域内权限
域本地组(DL):多域用户访问单域资源(访问同一个域)。
成员范围:所有的域;
使用范围:自己所在的域。
全局组(G):单域用户访问多域资源(必须是同一个域中的用户)。
成员范围:自己所在的域。
使用范围:所有的域。
通用组(U): 多域用户多域资源(通用组是集合了上面两种组的优点,即可以从任何域中添加用户和组,可以嵌套于其他域组中)
成员范围:所有的域,但不能是任何一个域内本地域组。
使用范围:所有的域。
A-G-DL-P策略
A-G-DL-P策略是指将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
A表示用户账号(Account);
G表示全局组(Global Group);
U表示通用组(Universal Group);
DL表示域本地组(Domain Local Group);
P表示资源权限(Permission,许可);
在此策略形成后,当需要给一个用户添加某个权限时。只需要把这个用户添加到某个本地域组中就可以了。
例:
有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹。这时,可以在B中建一个DL,因为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。这样做的坏处是什么呢?因为DL是在B域中,所以管理权也在B域,如果A域中的5个人变成6个人,那只能A域管理员通知B域管理员,将DL的成员做一下修改,B域的管理员太累了。
这时候,我们改变一下,在A和B域中都各建立一个全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把FINA的访问权赋给DL。哈哈,这下两个G组都有权访问FINA文件夹了,是吗?组嵌套造成权限继承嘛!这时候,两个G分布在A和B域中,也就是A和B的管理员都可以自己管理自己的G啦,只要把那5个人和3个人加入G中,就可以了!以后有任何修改,都可以自己做了,不用麻烦B域的管理员!这就是A-G-DL-P。