• 什么是Windows域


    你可以把 域        ------公司
             域控制器  ------公司制度(更形象的是公司大门的门禁系统)
             计算机    ------每个人
       
    
             工作组   -------没有门禁系统的公司
     
    ===================================

    在说域这个概念之前,我们先来回忆一下工作组.
    首先,工作组中,每一台计算机都独立维护自己的资源,不能集中管理所有网络资源.
    其次,每一台计算机都在本地存储用户的帐户
    第三,一个账户只能登陆到一台计算机
    第四,工作组中计算机都是平等的,对于其他计算机来说即是服务器,也是客户机.
    第五,工作组的网络规模一般少于10台计算机.
    记得以前有个小弟弟(某企业网络管理员),刚开始全单位8台计算机,他用的是工作组管理模式
    网络配置很轻松,几乎不用管理.哪台机器有问题 就去哪来机器上解决.工作强度也不是很大.
    不到3个月时间.随着企业信息化的需要,公司的计算机台数增加到了50台.这个小弟弟采用同样的管理方式.
    每天都很忙碌,从早上到公司到晚上离开,一直在解决网络中用户的计算机故障问题,病毒\IE首页篡改\甚至出现了公司内部恶意攻击的事件,经常晚上加班,通宵达旦的工作.但问题总是解决不了.
    一个月后,他被辞退了.
    为什么会这样呢?有没有更简单方便的管理方式呢?
    下面我们来看这么个例子:
    如果我们把工作组看成是原始社会,各服务器(人)各自为政
    再想想刚刚的例子,小张公司的8台电脑最开始都是各自为政的,
    所以就不存在管理的概念,
    小张只能充当一个哪里出问题就去哪解决的故障排除机器般的被动角色.
    那么在网络日益应用广泛,结构越来越复杂的今天,我们可不可以,让我们的计算机网络世界也进化一下呢?
    比如在计算机中通过网络成立一个国家,在公司的一定范围内实现集中管理,中央集权!!
    (微软替我们想到了这一点,也做到了这一点,从微软的NT时代就提出的域的概念,演化到现在也就是我们的单域环境.)
    一个国家可以管理的范围只在一个国家内(适合一些规模小,地域范围跨度小的公司),想做更复杂 范围更广阔的管理,需要什么样的体制呢?
    感谢地球,因为我们有联合国,欧盟.
    实现多个基本管理范围(国家,域)的联合管理.减少这些基本管理范围内的重复管理工作.
    方便相互之间资源调用.(也就是现在域森林 多域的网络环境为当今的跨地域性企业提供了高效适合管理的网络管理方式.)
    那么我们继续刚刚的例子,来看看活动目录域的定义
    首先 谁能加入联合国(活动目录中能放哪些对象)
    其次 共同遵守的设定和规则(通用性设定)
    第三 不干涉别国内政(各域数据原则上由该数据所在的域进行管理)
    我们何以把活动目录当作一个联合国,其中包括了所有的成员国信息,大家遵守统一的规则,每个成员国各自管理自己的国家.
    那么每个成员国以及每个国家中的人(域和域中的计算机)如何去其他国家呢,走什么样的路线呢?国家与国家之间又怎样联系彼此呢?
    DNS这个具有全球定位系统服务的管理机构,也就是我们的联合国管理委员会,帮助我们解决了这个问题.
    准确的定位各个国家的位置,并为各个国民提供了方便的查询服务.
    我们想要去某个国家,想在某个国家内享受一个国民的基本权利,比如取得这个国家提供的最低生活保证金(访问域中的网络资源:如共享文件,打印),就连想要加入某个国家国籍(加入域)都必须通过DNS这个机构为我们指引.
    有的人容易把域林 域树 子域的概念搞混
    那么在这里提出来再解释一下
    结构关系:域林和树 可以看成我们的联合国和成员国(国家内的省,省内的县市,县市内的村子) 这种管理结构关系
    称呼名词:而子域这个名称是相对的,可以看作一个相对某个成员国中的某一个省或者相对某个省的某一个县.
    这里有牵扯到一个名词:DC(域控制器)
    我们可以把它看成一个国家的首都(也就是一台物理服务器上安装了AD活动目录).
    我们的所有的国民的户籍信息都存储在这里.
                                2007年9月19日 下午
                                      于 办公室
                                       by angerfire
    to be continue..........

    本文出自 “宋杨-活动目录、虚拟化..” 博客,请务必保留此出处http://angerfire.blog.51cto.com/198455/43217

    ===================================
     
     
    为什么要组建局域网呢?就是要实现资源的共享,既然资源要共享,资源就不会太少。如何管理这些在不同机器上的资源呢?域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢? 
    
    “自由”的工作组 
    
    工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧)。为了解决这一问题,Windows 9x/NT/2000才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系的工作组名,双击就可以看到那个系别的电脑了。 
    
    那么怎么样才能加入到工作组中呢?其实方法很简单,只需要右击Windows桌面上的“网上邻居”,在弹出的菜单出选择“属性”,点击“标识”,在“计算机名”一栏中添入你想好的名字,在“工作组”一栏中添入你想加入的工作组名称。如果你输入的工作组名称是一个不存在的工作组,那么就相当于新建一个工作组,当然也只有你自己的电脑在里面。不过要注意,计算机名和工作组的长度都不能超过15个英文字符,可以输入汉字,但是也不能超过7个汉字。“计算机说明”是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如“数学系主机”等。单击“确定”按钮后,Windows 98提示需要重新启动,按要求重新启动之后,再进入“网上邻居”,就可以看到你所在工作组的成员了。 
    
    相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。 
    
    除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样。它本身的作用仅仅是提供一个“房间”,以方便网上计算机共享资源的浏览。 
    
    域的管理和设置 
    
    打个比方,如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。 
    
    不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 
    
    域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。 
    
    要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。 
    
    1. 服务器端设置 
    
    以系统管理员身份在已经设置好Active Directory(活动目录)的Windows 2000 Server上登录,选择“开始”菜单中“程序”选项中的“管理工具”,然后再选择“Active Directory用户和计算机”,之后在程序界面中右击“Computers”,在弹出的菜单中单击“新建”,然后选择“计算机”,之后填入想要加入域的计算机名即可。要加入域的计算机名最好为英文,中文计算机名可能会引起一些问题。 
    
    2. 客户端设置 
    
    首先要确认计算机名称是否正确,然后在桌面“网上邻居”上右击鼠标,点击“属性”出现网络属性设置窗口,确认“主网络登录”为“Microsoft网络用户”。选中窗口上方的“Microsoft网络用户”(如果没有此项,说明没有安装,点击“添加”安装“Microsoft网络用户”选项)。点击“属性”按钮,出现“Microsoft网络用户属性”对话框,选中“登录到Windows NT域”复选框,在“Windows NT域”中输入要登录的域名即可。这时,如果是Windows 98操作系统的话,系统会提示需要重新启动计算机,重新启动计算机之后,会出现一个登录对话框。在输入正确的域用户账号、密码以及登录域之后,就可以使用Windows 2000 Server域中的资源了。请注意,这里的域用户账号和密码,必须是网络管理员为用户建的那个账号和密码,而不是由本机用户自己创建的账号和密码。如果没有将计算机加入到域中,或者登录的域名、用户名、密码有一项不正确,都会出现错误信息 
     
     
    ============================

    1. 什么是域?

    将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做域。

    域是组织与存储资源的核心管理单元。

    2. 如何实现域?

    在一台计算机上,安装“活动目录”服务,这台计算机就成为了域控制器,域控制器(DC)和接受域控制器管理的计算机一起构成了域这种环境。

    3. 活动目录(AD)有哪些特点?

    所谓目录,就是存储有关网络上对象信息的层次结构。活动目录提供了存储网络上对象信息并使网络用户使用该数据的方法。

    ① 集中管理。

    ② 便捷的网络资源访问。用户一次登录就可访问整个网络资源,网络资源主要包含用户帐户、组、共享文件夹、打印机等。

    ③ 可扩展性。存储资源信息的目录可以承受随着公司或组织的增长而一同扩展,允许从一个网络对象较少的小型网络环境发展成大型网络环境。

    4. 安装活动目录需要具备哪些条件?

    ① 安装者必须具有本地管理员权限。

    ② 操作系统版本必须满足条件(Windows Server 2003除Web版外都满足。

    ③ 本地磁盘至少有一个分区是NTFS文件系统。

    ④ 有TCP/IP设置(IP地址、子网掩码等)。

    ⑤ 有相应的DNS服务器支持。

    ⑥ 有足够的可用空间。

    5. 安装活动目录服务时,哪些文件夹必须安装在NTFS分区上?

    数据库文件夹和日志文件夹:默认安装在C:\WINDOWS\NTDS目录下。为了优化性能,可以将它们存放在不同的硬盘上,且可以不是NTFS分区。如果本计算机是域的第一台域控制器(DC),则SAM数据库就会升级到c:\windows\ntds\ntds.dit,本地帐户就变成域帐户了,也就是说,本地帐户就没有了。

    共享系统卷文件夹:默认安装位置是C:\WINDOWS\SYSVOL。此文件夹的存储位置必须是NTFS分区。SYSVOL文件夹在域建立完成后会被自动设置为共享,以让其它域控制器和客户端访问,文件夹中存放了各种组策略、脚本、域中公用文件的服务器副本。

    6. 为什么要在安装活动目录的时候配置DNS服务器?

    DNS服务器用于实现活动目录的定位功能及定位服务。通过DNS服务器可以使域内的计算机能够查找到域控制器的位置。如果网络上没有DNS服务器则无法正常安装活动目录。

    7. 活动目录的物理和逻辑对象包括哪些?逻辑对象之间的关系如何?

    活动目录的物理对象包括:站点、域控制器。

    活动目录的逻辑对象包括:OU、域、域树、域林。

    OU是域内的容器,其作用用于模仿企业的组织结构。在OU中可以包含用户、组、各种资源以及子OU。域与其子域之间构成了域树,域树与域树之间构成了域林。

    针对域建立了子域就有了一个域树(如原有的域:abc.com,该域的子域:bj.abc.com),域的信任关系由此产生,并且默认是双向的可传递的信任关系。子域的名称是其本身名称与父域累加的结果。

    域树之间可以构成域林(如原有的域abc.com,该域的其他域树:def.net),域林中的所有域树共享通用架构,并且林中的所有域之间可以进行信息交流。林中的域树之间也存在着隐含的双向信任关系。

    8. 什么是站点?什么是域控制器?

    站点是一个或者多个IP子网的组合,这些子网通过高可靠性的快速链路连接而尽可能使网络流量本地化。站点定义了域的登录与复制通信量。站点具有与局域网相类似的边界。组合网络上的子网时应该将具有快速、廉价与可靠网络连接的子网组合在一起。即站点可以依靠网络带宽进行划分,最终站点的设计应该能够反应网络的结构。

    域控制器是存储活动目录的服务器。每个域包括一个或者多个域控制器。域控制器用于管理用户对网络的访问,如登录验证、访问目录与共享资源。所有的域中的域控制器都平等,在域中的任何修改可以被复制到其他的域控制器上。

    9. 域的模式有哪几种?

    Windows 2000混合模式:允许存在NT域控制器,所实现的功能最少,用于存在着NT域控制器的域;

    Windows 2000纯模式:不允许存在NT域控制器,可兼容W2K和W2K3的域控制器;

    Windows server 2003模式:仅存在W2K3的域控制器,所实现的功能最多。

    10. 域用户的帐户设置有什么要求?

    域用户帐户长度最长20个字符。帐户的密码中应该是大写字母、小写字母、数字和特殊字符的组合。

    域用户帐户在删除之后因为SID不同而不能通过建立同名帐户恢复。

    因此对于一段时期内不使用的帐号应该禁用而不是删除。

    帐户可以在不同的OU之间移动。

    11. 本地用户帐户与域用户帐户有什么区别?

    本地用户帐户存储在本地计算机上,域用户帐户存储在域控制器上。

    本地用户帐户只能登录到存储了本帐户的本地机上,域用户帐户可以在所有加入到了域中的计算机上登录。

     
     
     
    ==============================
    (摘自百度百科)

    域的含义

      域英文叫DOMAIN——域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。

      域既是 Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在 Windows 网络操作系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域;每个域都有自己的安全策略,以及它与其他域的安全信任关系。

    编辑本段域的原理

      其实上可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登陆也是登陆在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登陆 .

      如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。

      不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。

      域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。

      要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享,集中统一,便于管理。

    编辑本段域的作用

      如果企业网络中计算机和用户数量较多时,要实现高效管理,就需要windows域。

    编辑本段域控安装

      要建立域进行管理,首先需安装域控制器(dc),dc上存储着域中的信息资源,如名称、位置和特性描述等信息。通过在一台服务器上安装活动目录(AD),就会将这台计算机安装成dc。
    安装条件
      1安装者必须具有本地管理员的权限。

      2操作系统版本必须满足条件(Windows server2003除web以外的所有都满足)。

      3本地磁盘必须有一个NTFS文件系统

      4有TCP/IP设置

      5有相应的DNS服务器支持

      6有足够的可用空间

    安装活动目录(AD)步骤
      1.打开ad开始--运行输入dcpromo

      2.是否创建新域。dc有两种新域的域控和现有域的额外域控制器。一般选择新域的域控。

      3.新域的DNS全名。

      4.新域的NetBIOS名。下一步

      5.数据库和日志文件夹。为了优化性能,可以将数据库和日志放在不同的硬盘上。该文件夹不一定在NTFS分区。如果本计算机是域的第一台域控,则sam数据库就会升级到C:\windows\ntds\ntds.dit,本地用户账户变成域用户账户。

      6.共享的系统卷。共享系统卷SYSVOL文件夹存放的位置必须是NTFS文件系统。

      7.DNS注册诊断。AD需要DNS服务支持。选第二项,下一步。

      8.域兼容性。如果网络中不存在Windows server 2003 以前版本的域控制器,就选第二项。如果存在选第一项。

      9.还原模式密码。目录服务还原模式的管理员密码,是在目录服务还原模式下登录系统时使用。由于目录服务还原模式下,所有的域账户用户都不能使用,只有使用这个还原模式管理员账户登录。

      10.安装完成后需重启计算机。

      前面讲解了怎样创建windows域,现在完善一下,讲解怎样将计算机加入域。 在安装完AD后,需要将其它的服务器和客户计算机加入到域中。一般情况下,在从客户计算机加入域时,会在域中自动创建计算机账号。不过,用户必须在本地客户计算机上拥有管理权限才能将其加入到域中。在加入域之前,首先检查客户机的网络配置:1.确保网络上物理连通 2.设置IP地址 3.检查客户机到服务器是否连通 4.配置客户机的首选DNS服务器(通常为第一台DC的IP) 在客户端计算机系统属性中的“计算机名”选项卡里,单击更改按钮可以打开计算机加入域的对话框,选中域后,输入正确的域名,然后再根据提示输入具有加入域权限的用户名和密码即可。 这样就OK了!将客户机加入域,就可以在客户机上,使用域账户加入到域,也可以使用客户机的本地用户账户登录到域。 前面一直提到DNS,下面讲解DNS在域中的作用。 DNS在域中有两个作用:域名的命名采用DNS的标准、定位DC。 1、域名的命名采用DNS标准。遵循DNS分布式、等级结构的标准。这体现了办公网络与Internet集成的理念。 2、客户机如何定位DC。当域用户账户登陆时或者查找活动目录时,首先要定位DC,这需要DNS服务器支持,主要步骤: 1)客户机发送DNS查询请求给DNS服务器。 2)DNS服务器查询匹配的SRV资源记录。 3)DNS服务器返回相关DC的ip地址列表给客户机。 4)客户机联系到DC 5)DC响应客户机的请求 DNS在活动目录中为什么能起到定位DC的作用哪? 主要靠域的DNS区域中的SPV资源记录。开始--程序--管理工具--DNS,打开DNS管理器,就是SRV资源记录。

    编辑本段域和组的区别

      工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。而域不同,域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。为什么是这样的呢?因为在加入域的时候,管理员为每个计算机在域中(可和用户不在同一域中)建立了一个计算机帐户,这个帐户和用户帐户一样,也有密码保护的。可是大家要问了,我没有输入过什么密码啊,是的,你确实没有输入,计算机帐户的密码不叫密码,在域中称为登录票据,它是由2000的DC(域控制器)上的KDC服务来颁发和维护的。为了保证系统的安全,KDC服务每30天会自动更新一次所有的票据,并把上次使用的票据记录下来。周而复始。也就是说服务器始终保存着2个票据,其有效时间是60天,60天后,上次使用的票据就会被系统丢弃。如果你的GHOST备份里带有的票据是60天的,那么该计算机将不能被KDC服务验证,从而系统将禁止在这个计算机上的任何访问请求(包括登录),解决的方法呢,简单的方法使将计算机脱离域并重新加入,KDC服务会重新设置这一票据。或者使用2000资源包里的NETDOM命令强制重新设置安全票据。因此在有域的环境下,请尽量不要在计算机加入域后使用GHOST备份系统分区,如果作了,请在恢复时确认备份是在60天内作的,如果超出,就最好联系你的系统管理员,你可以需要管理员重新设置计算机安全票据,否则你将不能登录域环境。

      域和工作组适用的环境不同,域一般是用在比较大的网络里,工作组则较小,在一个域中需要一台类似服务器的计算机,叫域控服务器,其他电脑如果想互相访问首先都是经过它的,但是工作组则不同,在一个工作组里的所有计算机都是对等的,也就是没有服务器和客户机之分的,但是和域一样,如果一台计算机想访问其他算机的话首先也要找到这个组中的一台类似组控服务器,组控服务器不是固定的,以选举的方式实现,它存储这这个组的相关信息,找到这台计算机后得到组的信息然后访问。

     
  • 相关阅读:
    J
    I
    uva122 二叉树的实现和层次遍历(bfs)
    A
    HDU 波峰
    2239: 童年的圣诞树
    1734: 堆(DFS)
    1731: 矩阵(前缀和)
    1733: 旋转图像(模拟)
    1728: 社交网络(概率问题 组合数/排列数)
  • 原文地址:https://www.cnblogs.com/OOAbooke/p/2297498.html
Copyright © 2020-2023  润新知