爲何咱們須要域？Active Directory系列之一

爲何須要域？

對不少剛開始鑽研微軟技術的朋友來講，域是一個讓他們感到很頭疼的對象。域的重要性毋庸置疑，微軟的重量級服務產品基本上都須要域的支持，不少公司招聘工程師的要求中也都明確要求應聘者熟悉或精通Active Directory。但域對初學者來講顯得複雜了一些，衆多的技術術語，例如Active Directory，站點，組策略，複製拓撲，操做主機角色，全局編錄….不少初學者容易陷入這些技術細節而缺乏了對全局的把握。從今天開始，咱們將推出Active Directory系列博文，但願對廣大學習AD的朋友有所幫助。

今天咱們談論的第一個問題就是爲何須要域這個管理模型？衆所周知，微軟管理計算機可使用域和工做組兩個模型，默認狀況下計算機安裝完操做系統後是隸屬於工做組的。咱們從不少書裏能夠看到對工做組特色的描述，例如工做組屬於分散管理，適合小型網絡等等。咱們這時要考慮一個問題，爲何工做組就不適合中大型網絡呢，難道每臺計算機分散管理很差嗎？下面咱們經過一個例子來討論這個問題。

假設如今工做組內有兩臺計算機，一臺是服務器Florence，一臺是客戶機Perth。服務器的職能你們都知道，無非是提供資源和分配資源。服務器提供的資源有多種形式，能夠是共享文件夾，能夠是共享打印機，能夠是電子郵箱，也能夠是數據庫等等。如今服務器Florence提供一個簡單的共享文件夾做爲服務資源，咱們的任務是要把這個共享文件夾的訪問權限授予公司內的員工張建國，注意，這個文件夾只有張建國一我的能夠訪問！那咱們就要考慮一下如何才能實現這個任務，通常狀況下管理員的思路都是在服務器上爲張建國這個用戶建立一個用戶帳號，若是訪問者能回答出張建國帳號的用戶名和密碼，咱們就承認這個訪問者就是張建國。基於這個樸素的管理思路，咱們來在服務器上進行具體的實施操做。

首先，以下圖所示，咱們在服務器上爲張建國建立了用戶帳號。

 

而後在共享文件夾中進行權限分配，以下圖所示，咱們只把共享文件夾的讀權限授予了用戶張建國。

 

好，接下來張建國就在客戶機Perth上準備訪問服務器上的共享文件夾了，張建國準備訪問資源\\Florence\人事檔案，服務器對訪問者提出了身份驗證請求，以下圖所示，張建國輸入了本身的用戶名和口令。

 

以下圖所示，張建國成功地經過了身份驗證，訪問到了目標資源。

 

看完了這個實例以後，不少朋友可能會想，在工做組模式下這個問題解決得很好啊，咱們不是成功地實現了預期目標嘛！沒錯，在這個小型網絡中，確實工做組模型沒有暴露出什麼問題。可是咱們要把問題擴展一下！如今假設公司不是一臺服務器，而是500臺服務器，這大體是一箇中型公司的規模，那麼咱們的麻煩就來了。若是這500臺服務器上都有資源要分配給張建國，那會有什麼樣的後果呢？因爲工做組的特色是分散管理，那麼意味着每臺服務器都要給張建國建立一個用戶帳號！張建國這個用戶就必須痛不欲生地記住本身在每一個服務器上的用戶名和密碼。而服務器管理員也好不到哪兒去，每一個用戶帳號都從新建立500次！若是公司內有1000人呢？咱們不可思議這麼管理網絡資源的後果，這一切的根源都是因爲工做組的分散管理！如今你們明白爲何工做組不適合在大型的網絡環境下工做了吧，工做組這種散漫的管理方式和大型網絡所要求的高效率是背道而馳的。

既然工做組不適合大型網絡的管理要求，那咱們就要從新審視一下其餘的管理模型了。域模型就是針對大型網絡的管理需求而設計的，域就是共享用戶帳號，計算機帳號和安全策略的計算機集合。從域的基本定義中咱們能夠看到，域模型的設計中考慮到了用戶帳號等資源的共享問題，這樣域中只要有一臺計算機爲公司員工建立了用戶帳號，其餘計算機就能夠共享帳號了。這樣就很好地解決剛纔咱們提到的帳號重複建立的問題。域中的這臺集中存儲用戶帳號的計算機就是域控制器，用戶帳號，計算機帳號和安全策略被存儲在域控制器上一個名爲Active Directory的數據庫中。

上述這個簡單的例子說明的只是域強大功能的冰山一角，其實域的功能遠遠不止這些。從下篇博文咱們將開始介紹域的部署以及管理，但願你們在使用過程當中逐步增長感性認識，對域有更加深刻及全面的瞭解，可以掌握好Active Directory這個微軟工程師必備的重要知識點。