域和工作組有什么區(qū)別?工作組：可以隨時(shí)自由出入而沒什么限制，從網(wǎng)上鄰居最先看到的往往是自己機(jī)器所在的工作組的機(jī)器們。域是嚴(yán)格控制權(quán)限的私人會(huì)所， 沒有正確的域用戶是根本無法登錄到域上的，也就無法訪問域

域和工作組有什么區(qū)別?

工作組：可以隨時(shí)自由出入而沒什么限制，從網(wǎng)上鄰居最先看到的往往是自己機(jī)器所在的工作組的機(jī)器們。

域是嚴(yán)格控制權(quán)限的私人會(huì)所， 沒有正確的域用戶是根本無法登錄到域上的，也就無法訪問域所控制的資源。

域是具有管理的能力的一種機(jī)制，采用的是分級(jí)的管理權(quán)限，

而工作組在有域服務(wù)的時(shí)候，也就是網(wǎng)絡(luò)中已經(jīng)存在域服務(wù)器的時(shí)候可以看作是域中除去工作站外最簡(jiǎn)單的組織結(jié)構(gòu)，在沒有域服務(wù)的時(shí)候相互間是可以相互訪問的。

局域網(wǎng)中工作組和域的主要差別!

“自由”的工作組

工作組（WORK GROUP）就是將不同的電腦按功能分別列入不同的組中，以方便管理。比如在一個(gè)網(wǎng)絡(luò)內(nèi)，可能有成百上千臺(tái)工作電腦，如果這些電腦不進(jìn)行分組，都列在“網(wǎng)上鄰居”內(nèi)，可想而知會(huì)有多么亂（恐怕網(wǎng)絡(luò)鄰居也會(huì)顯示“下一頁”吧）。為了解決這一問題，WINDOWS 9X/NT/2000才引用了“工作組”這個(gè)概念，比如一所高校，會(huì)分為諸如數(shù)學(xué)系、中文系之類的，然后數(shù)學(xué)系的電腦全都列入數(shù)學(xué)系的工作組中，中文系的電腦全部都列入到中文系的工作組中……如果你要訪問某個(gè)系別的資源，就在“網(wǎng)上鄰居”里找到那個(gè)系的工作組名，雙擊就可以看到那個(gè)系別的電腦了。

相對(duì)而言，所處在同一個(gè)工作組內(nèi)部成員相互交換信息的頻率最高，所以你一進(jìn)入“網(wǎng)上鄰居”，首先看到的是你所在工作組的成員。如果要訪問其他工作組的成員，需要雙擊“整個(gè)網(wǎng)絡(luò)”，然后你才會(huì)看到網(wǎng)絡(luò)上其他的工作組，雙擊其他工作組的名稱，這樣你才可以看到里面的成員，與之實(shí)現(xiàn)資源交換。

除此之外，你也可以退出某個(gè)工作組，方法也很簡(jiǎn)單，只要將工作組名稱改變一下即可。不過這樣在網(wǎng)上別人照樣可以訪問你的共享資源，只不過換了一個(gè)工作組而已。也就是說，你可以隨便加入同一網(wǎng)絡(luò)上的任何工作組，也可以隨時(shí)離開一個(gè)工作組?！肮ぷ鹘M”就像一個(gè)自由加入和退出的俱樂部一樣。它本身的作用僅僅是提供一個(gè)“房間”，以方便網(wǎng)上計(jì)算機(jī)共享資源的瀏覽。

域的管理和設(shè)置

打個(gè)比方，如果說工作組是“免費(fèi)的旅店”那么域（DOMAIN ）就是“星級(jí)的賓館”；工作組可以隨便出出進(jìn)進(jìn)，而域則需要嚴(yán)格控制?！坝颉钡恼嬲x指的是服務(wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組合。一提到組合，勢(shì)必需要嚴(yán)格的控制。所以實(shí)行嚴(yán)格的管理對(duì)網(wǎng)絡(luò)安全是非常必要的。在對(duì)等網(wǎng)模式下，任何一臺(tái)電腦只要接入網(wǎng)絡(luò)，其他機(jī)器就都可以訪問共享資源，如共享上網(wǎng)等。盡管對(duì)等網(wǎng)絡(luò)上的共享文件可以加訪問密碼，但是非常容易被破解。在由WINDOWS 9X

構(gòu)成的對(duì)等網(wǎng)中，數(shù)據(jù)的傳輸是非常不安全的。

在“域”模式下，至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，相當(dāng)于一個(gè)單位的門衛(wèi)一樣，稱為“域控制器（DOMAIN CONTROLLER ，簡(jiǎn)寫為DC ）”。

域控制器中包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的，用戶使用的登錄賬號(hào)是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源，他只能以對(duì)等網(wǎng)用戶的方式訪問WINDOWS 共享出來的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。

要把一臺(tái)電腦加入域，僅僅使它和服務(wù)器在網(wǎng)上鄰居中能夠相互“看”到是遠(yuǎn)遠(yuǎn)不夠的，必須要由網(wǎng)絡(luò)管理員進(jìn)行相應(yīng)的設(shè)置，把這臺(tái)電腦加入到域中。這樣才能實(shí)現(xiàn)文件的共享。

1． 服務(wù)器端設(shè)置

以系統(tǒng)管理員身份在已經(jīng)設(shè)置好ACTIVE DIRECTORY（活動(dòng)目錄）的WINDOWS 2000 SERVER上登錄，選擇“開始”菜單中“程序”選項(xiàng)

中的“管理工具”，然后再選擇“ACTIVE DIRECTORY用戶和計(jì)算機(jī)”，之后在程序界面中右擊“COMPUTERS”，在彈出的菜單中單擊“新建”，然后選擇“計(jì)算機(jī)”，之后填入想要加入域的計(jì)算機(jī)名即可。要加入域的計(jì)算機(jī)名最好為英文，中文計(jì)算機(jī)名可能會(huì)引起一些問題。

2． 客戶端設(shè)置

首先要確認(rèn)計(jì)算機(jī)名稱是否正確，然后在桌面“網(wǎng)上鄰居”上右擊鼠標(biāo)，點(diǎn)擊“屬性”出現(xiàn)網(wǎng)絡(luò)屬性設(shè)置窗口，確認(rèn)“主網(wǎng)絡(luò)登錄”為“MICROSOFT網(wǎng)絡(luò)用戶”。選中窗口上方的“MICROSOFT網(wǎng)絡(luò)用戶”（如果沒有此項(xiàng)，說明沒有安裝，點(diǎn)擊“添加”安裝“MICROSOFT網(wǎng)絡(luò)用戶”選項(xiàng)）。點(diǎn)擊“屬性”按鈕，出現(xiàn)“MICROSOFT網(wǎng)絡(luò)用戶屬性”對(duì)話框，選中“登錄到WINDOWS NT域”復(fù)選框，在“WINDOWS NT域”中輸入要登錄的域名即可。這時(shí)，如果是WINDOWS 98操作系統(tǒng)的話，系統(tǒng)會(huì)提示需要重新啟動(dòng)計(jì)算機(jī)，重新啟動(dòng)計(jì)算機(jī)之后，會(huì)出現(xiàn)一個(gè)登錄對(duì)話框。在輸入正確的域用戶賬號(hào)、密碼以及登錄域之后，就可以使用WINDOWS 2000 SERVER域中的資源了。請(qǐng)注意，這里的域用戶賬號(hào)和密碼，必須是網(wǎng)絡(luò)管理員為用戶建的那個(gè)賬號(hào)和密碼，而不是由本機(jī)用戶自己創(chuàng)建的賬號(hào)和密碼。如果沒有將計(jì)算機(jī)加入到域中，或者登錄的域名、用戶名、密碼有一項(xiàng)不正確，都會(huì)出現(xiàn)錯(cuò)誤信息。

10、XP 可以當(dāng)服務(wù)器建立活動(dòng)目錄嗎？

XP 可以做服務(wù)器，但是微軟限制了并發(fā)連接只有10個(gè) 不能升級(jí)AD

11、GROUP 里面是對(duì)等的, 沒有SERVER 或CLIENT 的概念應(yīng)該.

DOMAIN 里面好像除了域服務(wù)器外, 其它的機(jī)器也是對(duì)等的.

一、域（Domain ）

域是活動(dòng)目錄中邏輯結(jié)構(gòu)的核心單元。一個(gè)域包含許多計(jì)算機(jī)，它們由管理員設(shè)定，共用一個(gè)目錄數(shù)據(jù)庫，一個(gè)域有一個(gè)唯一的名字。

域是安全邊界，保證域的管理員只能在該域內(nèi)有必要的管理權(quán)限，除非得到其它域的明確授權(quán)。每個(gè)域都有自己的安全策略和與其它域的安全聯(lián)系方式。注意：1、無法在一個(gè)域內(nèi)實(shí)現(xiàn)不同的賬號(hào)策略。2、父域?qū)ψ佑虿]有任何管理特權(quán)，但要注意林根域下有企業(yè)管理員組Enterprise Admins，它默認(rèn)對(duì)林中的其它域是有特權(quán)的。 父域和子域間默認(rèn)就有雙向可傳遞的信任關(guān)系，也就是說用戶可以使用林中任意一個(gè)域內(nèi)的計(jì)算機(jī)，登錄到林內(nèi)的任何一個(gè)域上（操作上就是使用欲要登錄的那個(gè)域的用戶賬號(hào)）；還可以，以自己本域的賬號(hào)登錄，訪問林內(nèi)任何資源而不需要重新輸入口令，當(dāng)然要想能真正訪問某一具體資源，在該資源上必須得有相應(yīng)權(quán)限才行。

二、組織單元（OU ，Organizational Units）

在域下面，我們可以規(guī)劃OU ，放入計(jì)算機(jī)、用戶、用戶組等對(duì)象。也就是說通過OU ，我們可以把對(duì)象組織起來，并形成一個(gè)有層次的邏輯結(jié)構(gòu)。OU 下面可以再建小OU ，微軟建議嵌套層次不要超過3層，我們平常一般1到2層就夠用了。

在規(guī)劃OU 時(shí)，要考慮到將來的管理和組策略的應(yīng)用，一般應(yīng)把有相同需求的計(jì)算機(jī)、用戶等放在同一OU 下。可以基于部門、基于管理責(zé)任，也可以基于地理位置來規(guī)劃，使其最佳地適應(yīng)你的公司的需求。

在域下面規(guī)劃OU ，不是僅僅為得到一個(gè)層次結(jié)構(gòu)，我們主要目的是要基于OU 實(shí)現(xiàn)委派控制和將來鏈接相應(yīng)的組策略來實(shí)現(xiàn)管理控制。委派的權(quán)限可以是完全控制，也可以是僅指定有限的權(quán)限（如：修改OU 內(nèi)的用戶口令）給一個(gè)或幾個(gè)用戶和組。

三、活動(dòng)目錄林（Active Directory Forest）

在林中建立的第一個(gè)域，被稱為林根域，如前面提到的mcse.com 。在剛開始時(shí)候，我們這個(gè)林中只有一個(gè)樹，樹內(nèi)只有一個(gè)域，域內(nèi)只有一臺(tái)計(jì)算機(jī)作為域控制器。也就是說此時(shí)我們整個(gè)林就只有一臺(tái)計(jì)算機(jī)。

接下我們也可以為它添加子域，如sub.mcse.com. ，再添加了一個(gè)新樹下的域my.com 。這樣我們的這個(gè)林下就有了兩個(gè)樹：一個(gè)樹由mcse.com 域、和它的子域sub.mcse.com 構(gòu)

成，一個(gè)樹僅由my.com 域構(gòu)成。

四、活動(dòng)目錄樹（Active Directory Tree

活動(dòng)目錄樹是Windows 2000/03網(wǎng)絡(luò)中的層次組織，同一樹下的域共用連續(xù)的名字空間。如父域mcse.com （它同時(shí)也是樹根域、林根域），樹根域的名字一定是最短的。父域mcse.com 和子域sub.mcse.com 之間默認(rèn)就有一個(gè)雙向的、可傳遞的信任關(guān)系。也正由于這種信任關(guān)系的可傳遞性，使得sub.mcse.com 和my.com 間也有了雙向信任關(guān)系。

五、全局目錄（GC ，Global Catalog）

全局目錄GC 包含了AD 對(duì)象屬性的子集，換句話說就是GC 中包含了林中所有對(duì)象的摘要信息，也就是相對(duì)重要一些的屬性，如用戶對(duì)象的姓、名和登錄名。全局目錄GC 本身必須首先是域控制器DC ，GC 不具有唯一性，可以有多個(gè)。

全局目錄GC 使用戶能夠：1、查詢整個(gè)林中的AD 信息，無論數(shù)據(jù)在林中什么位置。以利于林中的跨域訪問。2、使用通用組，即利用通用組成員身份的信息登錄網(wǎng)絡(luò)。