windows 域說(shuō)明域的含義域的原理域的作用域控安裝域的含義域的原理域的作用域控安裝域和組的區(qū)別域的含義域英文叫DOMAIN ——域(Domain)是Windows 網(wǎng)絡(luò)中獨(dú)立運(yùn)行的單位，域之間相互

windows 域說(shuō)明

域的含義

域的原理

域的作用

域控安裝

域的含義

域的原理

域的作用

域控安裝

域和組的區(qū)別

域的含義

域英文叫DOMAIN ——域(Domain)是Windows 網(wǎng)絡(luò)中獨(dú)立運(yùn)行的單位，域之間相互訪問(wèn)則需要建立信任關(guān)系(即Trust Relation)。信任關(guān)系是連接在域與域之間的橋梁。當(dāng)一個(gè)域與其他域建立了信任關(guān)系后，2個(gè)域之間不但可以按需要相互進(jìn)行管理，還可以跨網(wǎng)分配文件和打印機(jī)等設(shè)備資源，使不同的域之間實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享與管理。

域既是 Windows 網(wǎng)絡(luò)操作系統(tǒng)的邏輯組織單元，也是Internet 的邏輯組織單元，在 Windows 網(wǎng)絡(luò)操作系統(tǒng)中，域是安全邊界。域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問(wèn)或者管理其他的域; 每個(gè)域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。

域的原理

其實(shí)上可以把域和工作組聯(lián)系起來(lái)理解, 在工作組上你一切的設(shè)置在本機(jī)上進(jìn)行包括各種策略，用戶登陸也是登陸在本機(jī)的，密碼是放在本機(jī)的數(shù)據(jù)庫(kù)來(lái)驗(yàn)證的。而如果你的計(jì)算機(jī)加入域的話，各種策略是域控制器統(tǒng)一設(shè)定，用戶名和密碼也是放到域控制器去驗(yàn)證，也就是說(shuō)你的賬號(hào)密碼可以在同一域的任何一臺(tái)計(jì)算機(jī)登陸 .

如果說(shuō)工作組是“免費(fèi)的旅店”那么域（Domain ）就是“星級(jí)的賓館”；工作組可以隨便出出進(jìn)進(jìn)，而域則需要嚴(yán)格控制?！坝颉钡恼嬲x指的是服務(wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組合。一提到組合，勢(shì)必需要嚴(yán)格的控制。所以實(shí)行嚴(yán)格的管理對(duì)網(wǎng)絡(luò)安全是非常必要的。在對(duì)等網(wǎng)模式下，任何一臺(tái)電腦只要接入網(wǎng)絡(luò)，其他機(jī)器就都可以訪問(wèn)共享資源，如共享上網(wǎng)等。盡管對(duì)等網(wǎng)絡(luò)上的共享文件可以加訪問(wèn)密碼，但是非常容易被破解。在由Windows 9x 構(gòu)成的對(duì)等網(wǎng)中，數(shù)據(jù)的傳輸是非常不安全的。

不過(guò)在“域”模式下，至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，相當(dāng)于一個(gè)單位的門(mén)衛(wèi)一樣，稱(chēng)為“域控制器（Domain Controller ，簡(jiǎn)寫(xiě)為DC ）”。

域控制器中包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的，用戶使用的登錄賬號(hào)是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄。不能登錄，用戶就不能訪問(wèn)服務(wù)器上有權(quán)限保護(hù)的資源，他只能以對(duì)等網(wǎng)用戶的方式訪問(wèn)Windows 共享出來(lái)的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。

要把一臺(tái)電腦加入域，僅僅使它和服務(wù)器在網(wǎng)上鄰居中能夠相互“看”到是遠(yuǎn)遠(yuǎn)不夠的，必須要由網(wǎng)絡(luò)管理員進(jìn)行相應(yīng)的設(shè)置，把這臺(tái)電腦加入到域中。這樣才能實(shí)現(xiàn)文件的共享，集中統(tǒng)一，便于管理。

域的作用

如果企業(yè)網(wǎng)絡(luò)中計(jì)算機(jī)和用戶數(shù)量較多時(shí)，要實(shí)現(xiàn)高效管理，就需要windows 域。

域控安裝

要建立域進(jìn)行管理，首先需安裝域控制器（dc ），dc 上存儲(chǔ)著域中的信息資源，如名稱(chēng)、位置和特性描述等信息。通過(guò)在一臺(tái)服務(wù)器上安裝活動(dòng)目錄（AD ），就會(huì)將這臺(tái)計(jì)算機(jī)安裝成dc 。

安裝條件

1安裝者必須具有本地管理員的權(quán)限。

2操作系統(tǒng)版本必須滿足條件（Windows server2003除web 以外的所有都滿足）。

3本地磁盤(pán)必須有一個(gè)NTFS 文件系

4有TCP/IP設(shè)置

5有相應(yīng)的DNS 服務(wù)器支持

6有足夠的可用空間

安裝活動(dòng)目錄（AD ）步驟

1. 打開(kāi)ad 開(kāi)始--運(yùn)行輸入dcpromo

2. 是否創(chuàng)建新域。dc 有兩種新域的域控和現(xiàn)有域的額外域控制器。一般選擇新域的域控。

3. 新域的DNS 全名。

4. 新域的NetBIOS 名。下一步

5. 數(shù)據(jù)庫(kù)和日志文件夾。為了優(yōu)化性能，可以將數(shù)據(jù)庫(kù)和日志放在不同的硬盤(pán)上。該文件夾不一定在NTFS 分區(qū)。如果本計(jì)算機(jī)是域的第一臺(tái)域控，則sam 數(shù)據(jù)庫(kù)就會(huì)升級(jí)到C:windowsntdsntds.dit，本地用戶賬戶變成域用戶賬戶。

6. 共享的系統(tǒng)卷。共享系統(tǒng)卷SYSVOL 文件夾存放的位置必須是NTFS 文件系統(tǒng)。

7.DNS 注冊(cè)診斷。AD 需要DNS 服務(wù)支持。選第二項(xiàng)，下一步。

8. 域兼容性。如果網(wǎng)絡(luò)中不存在Windows server 2003 以前版本的域控制器，就選第二項(xiàng)。如果存在選第一項(xiàng)。

9. 還原模式密碼。目錄服務(wù)還原模式的管理員密碼，是在目錄服務(wù)還原模式下登錄系統(tǒng)時(shí)使用。由于目錄服務(wù)還原模式下，所有的域賬戶用戶都不能使用，只有使用這個(gè)還原模式管理員賬戶登錄。

10. 安裝完成后需重啟計(jì)算機(jī)。

前面講解了怎樣創(chuàng)建windows 域，現(xiàn)在完善一下，講解怎樣將計(jì)算機(jī)加入域。 在安裝完AD 后，需要將其它的服務(wù)器和客戶計(jì)算機(jī)加入到域中。一般情況下，在從客戶計(jì)算機(jī)加入域時(shí)，會(huì)在域中自動(dòng)創(chuàng)建計(jì)算機(jī)賬號(hào)。不過(guò)，用戶必須在本地客戶計(jì)算機(jī)上擁有管理權(quán)限才能將其加入到域中。在加入域之前，首先檢查客戶機(jī)的網(wǎng)絡(luò)配置：1. 確保網(wǎng)絡(luò)上物理連通 2.設(shè)置IP 地址 3.檢查客戶機(jī)到服務(wù)器是否連通 4.配置客戶機(jī)的首選DNS 服務(wù)器（通常為第一臺(tái)DC 的IP ） 在客戶端計(jì)算機(jī)系統(tǒng)屬性中的“計(jì)算機(jī)名”選項(xiàng)卡里，單擊更改按鈕可以打開(kāi)計(jì)算機(jī)加入域的對(duì)話框，選中域后，輸入正確的域名，然后再根據(jù)提示輸入具有加入域權(quán)限的用戶名和密碼即可。 這樣就OK 了！將客戶機(jī)加入域，就可以在客戶機(jī)上，使用域賬戶加入到域，也可以使用客戶機(jī)的本地用戶賬戶登錄到域。 前面一直提到DNS ，下面講解DNS 在域中的作用。 DNS在域中有兩個(gè)作用：域名的命名采用DNS 的標(biāo)準(zhǔn)、定位DC 。 1、域名的命名采用DNS 標(biāo)準(zhǔn)。遵循DNS 分布式、等級(jí)結(jié)構(gòu)的標(biāo)準(zhǔn)。這體現(xiàn)了辦公網(wǎng)絡(luò)與Internet 集成的理念。 2、客戶機(jī)如何定位DC 。當(dāng)域用戶賬戶登陸時(shí)或者查找活動(dòng)目錄時(shí)，首先要定位DC ，這需要DNS 服務(wù)器支持，主要步驟： 1）客戶機(jī)發(fā)送DNS 查詢請(qǐng)求給DNS 服務(wù)器。 2）DNS 服務(wù)器查詢匹配的SRV 資源記錄。 3）DNS 服務(wù)器返回相關(guān)DC 的ip 地址列表給客戶機(jī)。 4）客戶機(jī)聯(lián)系到DC 5）DC 響應(yīng)客戶機(jī)的請(qǐng)求 DNS在活動(dòng)目錄中為什么能起到定位DC 的作用哪？ 主要靠域的DNS 區(qū)域中的SPV 資源記錄。開(kāi)始--程序--管理工具--DNS ，打開(kāi)DNS 管理器，就是SRV 資源記錄。

域和組的區(qū)別

工作組是一群計(jì)算機(jī)的集合，它僅僅是一個(gè)邏輯的集合，各自計(jì)算機(jī)還是各自管理的，你要訪問(wèn)其中的計(jì)算機(jī)，還是要到被訪問(wèn)計(jì)算機(jī)上來(lái)實(shí)

現(xiàn)用戶驗(yàn)證的。而域不同，域是一個(gè)有安全邊界的計(jì)算機(jī)集合，在同一個(gè)域中的計(jì)算機(jī)彼此之間已經(jīng)建立了信任關(guān)系，在域內(nèi)訪問(wèn)其他機(jī)器，不再需要被訪問(wèn)機(jī)器的許可了。為什么是這樣的呢？因?yàn)樵诩尤胗虻臅r(shí)候，管理員為每個(gè)計(jì)算機(jī)在域中（可和用戶不在同一域中）建立了一個(gè)計(jì)算機(jī)帳戶，這個(gè)帳戶和用戶帳戶一樣，也有密碼保護(hù)的?？墒谴蠹乙獑?wèn)了，我沒(méi)有輸入過(guò)什么密碼啊，是的，你確實(shí)沒(méi)有輸入，計(jì)算機(jī)帳戶的密碼不叫密碼，在域中稱(chēng)為登錄票據(jù)，它是由2000的DC （域控制器）上的KDC 服務(wù)來(lái)頒發(fā)和維護(hù)的。為了保證系統(tǒng)的安全，KDC 服務(wù)每30天會(huì)自動(dòng)更新一次所有的票據(jù)，并把上次使用的票據(jù)記錄下來(lái)。周而復(fù)始。也就是說(shuō)服務(wù)器始終保存著2個(gè)票據(jù)，其有效時(shí)間是60天，60天后，上次使用的票據(jù)就會(huì)被系統(tǒng)丟棄。如果你的GHOST 備份里帶有的票據(jù)是60天的，那么該計(jì)算機(jī)將不能被KDC 服務(wù)驗(yàn)證，從而系統(tǒng)將禁止在這個(gè)計(jì)算機(jī)上的任何訪問(wèn)請(qǐng)求（包括登錄），解決的方法呢，簡(jiǎn)單的方法使將計(jì)算機(jī)脫離域并重新加入，KDC 服務(wù)會(huì)重新設(shè)置這一票據(jù)?；蛘呤褂?000資源包里的NETDOM 命令強(qiáng)制重新設(shè)置安全票據(jù)。因此在有域的環(huán)境下，請(qǐng)盡量不要在計(jì)算機(jī)加入域后使用GHOST 備份系統(tǒng)分區(qū)，如果作了，請(qǐng)?jiān)诨謴?fù)時(shí)確認(rèn)備份是在60天內(nèi)作的，如果超出，就最好聯(lián)系你的系統(tǒng)管理員，你可以需要管理員重新設(shè)置計(jì)算機(jī)安全票據(jù)，否則你將不能登錄域環(huán)境。

域和工作組適用的環(huán)境不同，域一般是用在比較大的網(wǎng)絡(luò)里，工作組則較小，在一個(gè)域中需要一臺(tái)類(lèi)似服務(wù)器的計(jì)算機(jī)，叫域控服務(wù)器，其他電腦如果想互相訪問(wèn)首先都是經(jīng)過(guò)它的，但是工作組則不同，在一個(gè)工作組里的所有計(jì)算機(jī)都是對(duì)等的，也就是沒(méi)有服務(wù)器和客戶機(jī)之分的，但是和域一樣，如果一臺(tái)計(jì)算機(jī)想訪問(wèn)其他算機(jī)的話首先也要找到這個(gè)組中的一臺(tái)類(lèi)似組控服務(wù)器，組控服務(wù)器不是固定的，以選舉的方式實(shí)現(xiàn)，它存儲(chǔ)這這個(gè)組的相關(guān)信息，找到這臺(tái)計(jì)算機(jī)后得到組的信息然后訪問(wèn)。