什么是域？——精选推荐

什么是域？
⼀、什么是域(Domain)：
Windows域，是计算机⽹络的⼀种形式，其中所有的⽤户账户、计算机、打印机和其它安全主体都在位于称为域控制器的⼀个或者多个中央计算机集群上的中央数据库中注册，⾝份验证在域控制器上进⾏。

在Windows⽹络操作系统中，域是安全边界，域管理员只能管理域的内部，除⾮其它的域显式地赋予它管理权限，才可以访问或者管理其它的域。

每个域都有⾃⼰的安全策略以及与其它域的安全信任关系，如果企业⽹络中计算机和⽤户数量较多时，要实现⾼效管理，就需要Windows域。

域中计算机的分类：域控制器、成员服务器、客户机、独⽴服务器
⼆、什么是⼯作组(Work Group)：
⼯作组是最常见最简单最普通的资源管理模式，就是将不同的电脑按功能分别列⼊不同的组中，以⽅便管理。

⼯作组可以是⼀个由许多在同⼀物理地点，⽽且被相同的局域⽹连接起来的⽤户组成的⼩组。

相应地，⼀个⼯作组也可以是遍布⼀个机构的，但却被同⼀⽹络连接的⽤户构成的逻辑⼩组。

域与⼯作组的区别：
1、创建⽅式不同，"⼯作组"可以由任何⼀个计算机的主⼈来创建，⽽"域"只能由服务器来创建。

2、安全机制不同，在"域"中有可以登录该域的帐号，这些由域管理员来建⽴。

在"⼯作组"中不存在组帐号，只有本机上的帐号和密码。

3、登录⽅式不同，在⼯作组⽅式下，计算机启动后⾃动就在⼯作组中。

登录"域"是要提交"域⽤户名"和"密码"，⼀旦登录，便被赋予相应的权限。

三、域的⼏种环境：
1、单域：
在⼀个地理位置固定的⼩公司，建⽴⼀个域通常就可以满⾜需求。

在⼀个域内，⼀般⾄少需要两台域服务器，⼀台作为DC，⼀台作为备份DC。

2、⽗域和⼦域：
出于管理及其它需求，需要在⽹络中划分多个域，第⼀个称为⽗域，各分部的域称为该域的⼦域。

3、域树：
域树是多个域通过建⽴信任关系组成的集合。

⼀个域管理员只能管理本域，不能访问或者管理其它域。

如果两个域之间需要互相访问，则需要建⽴信任关系。

信任关系是连接不同域的桥梁。

域树内的⽗域和⼦域，不但可以按照需要相互管理，还可以跨⽹络分配⽂件和打印机等设备及资源，从⽽在不同的域之间实现⽹络资源的共享和管理、通信及数据传输。

4、域森林：
域森林是指多个域树通过建⽴信任关系的集合。

5、域名服务器：
DNS（Domain Name Server，域名服务器）是进⾏域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。

DNS中保存了⼀张域名(domain name)和与之相对应的IP 地址 (IP address)的表，以解析消息的域名。

在内⽹渗透测试中，⼤都是通过寻找DNS服务器来确定域控制器的位置（DNS服务器通常和域控制器配置在同⼀台机器上）
四、活动⽬录：
活动⽬录（Active Directory，AD）是指域环境中提供⽬录服务的组件，活动⽬录是微软提供的统⼀管理基础的平台，ISA、Exchange、SMS等都依赖这个平台。

主要提供以下功能：
账号集中管理
软件集中管理
环境集中管理
增强安全性
更可靠，更短的宕机时间
活动⽬录和域控制器的区别：
域控制器就是安装了活动⽬录服务的⼀台计算机，域是包括与控制器在内的整个活动⽬录的服务范围。

只要你的服务器设置为域，就要⽤到活动⽬录，所有的服务都是围绕活动⽬录展开的。

五、⼏个⽐较重要的权限：
域本地组权限：
管理组权限（Administrators）
远程登陆组（Remote Desktop Users）
打印机操作员组（Print Operators）
账号操作员组（Account Operators）
服务器操作员组（Server Operators）
备份操作员组（Backup Operators）
全局组、通⽤组权限：
域管理员权限组（Domain Admins）
企业系统管理员权限组（Enterprise Admins）
架构管理员组（Schema Admins）
域⽤户组（Domain Users）。