《域管理》教程

☑域和工作组

域和工作组是针对网络环境中的两种不同的网络资源管理模式。

在一个网络内，可能有成百上千台电脑，如果这些电脑不进行分组，都列在“网上邻居”内，可想而知会有多么乱。为了解决这一问题，Windows 9x/NT/2000就引用了“工作组”这个概念，将不同的电脑一般按功能分别列入不同的组中，如财务部的电脑都列入“财务部”工作组中，人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源，就在“网上邻居”里找到那个部门的工作组名，双击就可以看到那个部门的电脑了。

在对等网模式（PEER-TO-PEER）下，任何一台电脑只要接入网络，就可以访问共享资源，如共享打印机、文件、ISDN上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据是非常不安全的。一般来说，同一个工作组内部成员相互交换信息的频率最高，所以你一进入“网上邻居”，首先看到的是你所在工作组的成员。如果要访问其他工作组的成员，需要双击“整个网络”，就会看到网络上所有的工作组，双击工作组名称，就会看到里面的成员。

你也可以退出某个工作组，只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组，也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网络上计算机共享资源的浏览。

与工作组的“松散会员制”有所不同，“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。

在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器(Domain Controller，简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确，域控制器就拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，只能以对等网用户的方式访问Windows共享出来

的资源，这样就一定程度上保护了网络上的资源。

域其实就是一个安全的边界。它的存在主要是便于管理大型的网络的，可以进行统一的管理，如统一发布组策略，统一安装某种应用软件等等，并且域中的用户在登陆的时候，身份验证的过程是在域控制器上完成的。

而工作组只适应于小型的网络。如果电脑比较多的话，那么工作组管理起来就极为不方便。因为每台电脑上面都有自己的安全账户数据库，所以身份验证过程必须在本地进行，如果你要是想登陆工作组中其他的电脑上面，你必须在那台电脑上面有你的用户账户才行。

☑活动目录

活动目录包括两方面：目录和目录相关的服务。目录是存储各种对象的一个物理上的容器，包含了有关各种对象如用户、用户组、计算机、域、文件、打印机、组织单位（OU）以及安全策略等资源的信息。这些信息可以被发布出来，以供用户和管理员的使用。而目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应用管理。活动目录提供了一种管理组成网络环境的各种对象的标志和关系的方法。

目录存储在被称为域控制器的服务器上，并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制，而且所有的域控制器都拥有目录的一个可写副本，所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。

普遍用户和系统通过活动目录查找网络资源，管理人员通过活动目录创建和发布资源信息及实施网络管理。

通过活动目录可实施网络的集中管理、控制用户的工作环境、或委派管理控制，实行分散管理。

☑活动目录对象

对象是活动目录中的信息实体，也即我们通常所见的“属性”，但它是一组属性的集合，往往代表了有形的实体，比如用户账户、文件名等。对象通过属性描述它的基本特征，比如，一个用户账号的属性中可能包括用户姓名、电话号码、电子邮件地址和家庭住址等。

⏹容器（Container）

容器是活动目录名字空间的一部分，与目录对象一样，它也有属性，但与目录对象不同的是，它不代表有形的实体，而是代表存放对象的空间，因为它仅代表存放一个对象的空间，所以它比名字空间小。比如一个用户，它是一个对象，但这个对象的容器就仅限于从这个对象本身所能提供的信息空间，如它仅能提供用户名、用户密码。其它的如：工作单位、联系电话、家庭住址等就不属于这个对象的容器范围了。

⏹目录树（Directory Tree）

在任何一个名字空间中，目录树是指由容器和对象构成的层次结构。树的叶子、节点往往是对象，树的非叶子节点是容器。目录树表达了对象的连接方式，也显示了从一个对象到另一个对象的路径。在活动目录中，目录树是基本的结构，从每一个容器作为起点，层层深入，都可以构成一棵子树。一个简单的目录可以构成一棵树，一个计算机网络或者一个域

也可以构成一棵树。

⏹域（Domain）

域是Windows网络系统的安全性边界。我们知道一个计算机网最基本的单元就是“域”，这一点不是Windows所独有的，但活动目录可以贯穿一个或多个域。在独立的计算机上，域即指计算机本身，一个域可以分布在多个物理位置上，同时一个物理位置又可以划分不同网段为不同的域，每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后，活动目录可以被多个信任域共享。

域是活动目录逻辑结构的核心单元，是一个计算机的集合，它们共享相同的目录数据库。在Windows的网络里，域定义了安全界限。目录包含一个或多个域，每个域均有自己的安全策略以及与其它域的信任关系。域的管理员有权限执行域内的管理。域也是复制的单元，所有域的控制器在域里都分担了复制，包含了整个域的目录信息的一个复制。活动目录采用了一个多主机的复制模式，特定域中的所有域控制器均可接收更改内容并将这些内容复制到域中的所有其它域控制器中。

最容易管理的域结构就是单域。在企业里第一个产生的Windows 2000域称为根域（root domain），包含了整个森林的配置和结构信息。在作域规划时，应从单域开始，并且只有在单域模式不能满足要求时，才增加其它的域。一个域可跨越多个站点并且包含数百万个对象。站点结构和域结构互相独立而且非常灵活。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。如果只是反映公司的部门组织结构，则不必创建独立的域树。在一个域中，可以使用组织单元来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。在下面的原因可以考虑创建多个域：

部门之间不同的安全要求

大量的对象

不同的Internet 域名

对复制进行更多的控制

分散的网络管理

⏹组织单元（Organization Unit，简称OU）

包含在域中特别有用的目录对象类型就是组织单元。组织单元也是一个逻辑层次的容器对象，用于管理域中的对象，如用户、组、计算机、打印机和其他组织单元。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。组织单元不能包括来自其他域的对象。使用组织单元，就可以根据组织模型管理帐户、资源的配置和使用，可创建可缩放到任意规模的管理模型。

1.使用Ou以组织企业的网络资源。把网络资源组织为逻辑的层次结构以最好地

满足管理的需要。

2.在组织单元上给用户或组委派管理权限，以反映公司的管理和安全政策，并可

减少网络管理员的工作负担和满足实际情况。

⏹域控制器（Domain Controller，简称DC）

域控制器是使用活动目录安装向导配置的Windows Server 的计算机。活动目录安装向导安装和配置为网络用户和计算机提供活动目录服务的组件供用户选择使用。域控制器存储着目录数据并管理用户域的交互关系，其中包括用户登录过程、身份验证和目录搜索，一个域可有一个或多个域控制器。为了获得高可用性和容错能力，使用单个局域网(LAN) 的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可用性和容错能力。