認識Windows的域

一臺Windows計算機，它要麼隸屬於工做組，要麼隸屬於域。因此說到域，咱們就不得不提一下工做組，工做組是MS的概念，通常的廣泛稱謂是對等網。工做組一般是一個由很少於10臺計算機組成的邏輯集合，若是要管理更多的計算機，MS推薦你使用域的模式進行集中管理，這樣的管理更有效。你可使用域、活動目錄、組策略等等各類功能，使你網絡管理的工做量達到最小。固然這裏的10臺只是一個參考值，11臺甚至20臺，若是你不想進行集中的管理，那麼你仍然可使用工做組模式。

　　工做組的特色就是實現簡單，不須要域控制器DC，每臺計算機本身管理本身，適用於距離很近的有限數目的計算機。另外工做組名並無太多的實際意義，只是在網上鄰居的列表中實現一個分組而已；再就是對於「計算機瀏覽服務」，每個工做組中，會自動推選出一個主瀏覽器，負責維護本工做組全部計算機的NetBIOS名稱列表。用戶可使用默認的workgroup，也能夠任意起個名字，同一工做組或不一樣工做組在訪問時也沒有什麼分別。

　　域（Domain）是一個共用「目錄服務數據庫」的計算機和用戶的集合，實現起來要複雜一些，至少須要一臺計算機安裝NT/2000/03 Server版本使其充當DC，來實現集中式的管理。

　　若考慮到容錯的話，至少須要兩臺。對於NT4域就是一臺PDC（具備惟一性），一至多臺BDC，對於2000/03域，已經沒有PDC和BDC的概念，要容錯就須要兩至多臺DC。

　　域是邏輯分組，與網絡的物理拓撲無關，能夠很小，好比只有一臺DC；也能夠很大，包括遍及世界各地的計算機，好比大型跨國公司網絡上的域（固然實際中他們多采用多域結構，還能夠利用AD站點來優化AD複製）。

　　這個「目錄服務數據庫」，在NT4時，保存用戶賬號名稱和密碼等安全安全信息，以及安全規則設置，又被稱做安全賬號管理（SAM）數據庫，簡稱SAM庫。在非DC上的本地的SAM庫與DC上域所用的SAM庫相似，只不過對於NT4域的SAM庫文件，保存有整個域的用戶和計算機，用「域用戶管理器」和「服務器管理器」來管理，本地的SAM庫文件，保存有本地機的用戶，由「用戶管理器」來管理。

　　從2000開始，MS引入了活動目錄AD，DC經過AD來提供目錄的服務，例如它負責維護AD數據庫、審覈用戶的帳戶和密碼是否正確、將AD數據庫複製到其它的DC等。AD庫的核心文件就是winnt\ntds\ntds.dit文件。注意組策略的具體設置值，並不存在這個文件中，而是保存在winnt\sysvol\sysvol這個共享夾下，用於向其它DC複製，傳播給域成員，來生效。但須要說明的是：2000/XP/03的非DC域成員計算機上仍使用和NT4同樣的SAM庫文件來保存本地賬號。

　　正是因爲全部域成員計算機和域用戶都共用這個域的「目錄服務數據庫」，域管理員就能夠基於域的「目錄服務數據庫」來進行集中管理、共享資源，如用戶、組、計算機賬號、權限設置、組策略設置等等。目錄服務爲管理員提供從網絡上任何一個計算機上查看和管理用戶和網絡資源的能力。目錄服務也爲用戶提供惟一的用戶名和密碼，用戶只需一次登陸，便可訪問本域或有信任關係的其它域上的全部資源（固然用戶得有權限才行），而不須要屢次提供用戶名和密碼登陸。