工作组和域账户

工作组的账户是分散的，如果你想登入主机h1，则主机h1上必须有一个本地账户u1。否则你无法登入。

而域账户不一样，域账户管理的所有账户都在一台单独的主机上，你想用账户u1登入主机h1，并不需要主机h1上有本地账户u1。而是域控制服务器上配置有账户u1就可以，在登入h1的过程中，h1会和域控制器进行认证。

因为域账户这种集中管理模式，所以需要AD这种服务，严格来说AD是一种服务名称。为和directory有关系？因为这种服务就是一种映射，所以也叫directory service。一般说来这种服务干的事情就是把网络资源的名字映射为一个地址，比如DNS，把一台主机的域名映射为一个ip地址。但是在这里，域账户管理服务貌似和映射没啥关系，为啥用了directory这个单词？据wikipedia说，AD这玩意最开始只是用于集中域管理。但是windows2008开始，这个玩意的功能开始扩展，被用于很多基于目录的标识功能。

不管是组还是域，要提供这种功能，都需要协议支持把，于是乎，Windows下的工作组就用的NetBEUI协议，二域管理就用的LDAP协议，这种两种协议要工作，其中的一个环节就是认证，于是就涉及到Windows下的两种认证协议，NTLM和Kerberos，组认证就用NTLM，域认证就用Kerberos，所以，着一下就涉及到4个协议。

运行AD的一般叫域控制器，这玩意主要用来认证和授权。那AD这种服务用的什么协议来实现，wiki上说是LDAP协议。LDAP这玩意是应用层协议，所以自然是基于IP协议的。所以LDAP这玩意需要干的事情不少，有认证，有域名解析，还有账户管理。所以其实LDAP这个目录服务协议需要依靠别的协议帮助，比如你说要加域，需要域名解析就用到DNS，密码发过来需要认证就要用到Kerberos协议。LDAP 还需要完成账户管理功能。

到了这里就不得不说到Kerberos协议，这协议简单来说就是个基于UDP的应用层协议。这协议基于对称秘钥加密算法。MIT搞的，还是很牛逼的，下次去深入了解下。但是这是LDAP协议中认证模块在Windows上所采用的协议。在Linux下并不用该协议。Windows下，Kerberos的认证过程需要涉及到3方操作。