工作組網(wǎng)絡(luò)的概念和特點工作組（WorkGroup ）網(wǎng)絡(luò)是對等（peer-to-peer ，P2P ）網(wǎng)絡(luò)技術(shù)在局域網(wǎng)（P2P 網(wǎng)絡(luò)更主要應(yīng)用于廣域網(wǎng)中）中的應(yīng)用，是根據(jù)用戶自定義的分組特點（如不同部

工作組網(wǎng)絡(luò)的概念和特點

工作組（WorkGroup ）網(wǎng)絡(luò)是對等（peer-to-peer ，P2P ）網(wǎng)絡(luò)技術(shù)在局域網(wǎng)（P2P 網(wǎng)絡(luò)更主要應(yīng)用于廣域網(wǎng)中）中的應(yīng)用，是根據(jù)用戶自定義的分組特點（如不同部門、不同愛好、不同操作系統(tǒng)類型等）把網(wǎng)絡(luò)中的許多用戶計算機分門別類地納入到不同工作組中的。劃分工作組的主要目的主要是為了便于瀏覽、查找，另外還方便于管理員對用戶計算機的管理。試想一下，如果網(wǎng)絡(luò)中有上百臺，甚至更多的用戶計算機，在進行資源共享時，如果不分組的話，要通過“網(wǎng)上鄰居”來查找某臺用戶計算機上的共享資源，就可能非常困難了。如果根據(jù)某個特點劃分不了同的工作組，就縮小了查找范圍，查找起來就容易多了。

可以組建工作組網(wǎng)絡(luò)的操作系統(tǒng)可以是所有主流操作系統(tǒng)類型，如DOS 系統(tǒng)、Windows 系統(tǒng)、Linux 系統(tǒng)和Unix 系統(tǒng)。而且，可以在一個工作組網(wǎng)絡(luò)中還可以混合以上所有類型的操作系統(tǒng)。

1. 工作組網(wǎng)絡(luò)的主要特點

要正確理解工作組網(wǎng)絡(luò)，就需要對以下幾個重要方面特點有所了解： ????????? 工作組主機間是平等的

工作組網(wǎng)絡(luò)既然是“對等網(wǎng)”，從其名稱中的“對等”兩個字就可以看出來，對等網(wǎng)中的各主機都是對等的，地位平等，沒有管理和被管理之分。在網(wǎng)絡(luò)應(yīng)用中，各主機既可以當(dāng)作服務(wù)器，為其他主機提供訪問服務(wù)，也可以當(dāng)作客戶機，訪問其他主機。之所以是對等關(guān)系，那是因為在工作組網(wǎng)絡(luò)中沒有集中的賬戶管理和安全策略管理，網(wǎng)絡(luò)中的主機都是各自為政，互不干涉的。而不是像域網(wǎng)絡(luò)那樣，有專門的DC （域控制器）來集中管理域網(wǎng)絡(luò)中的用戶、計算機等對象賬戶和安全策略。

????????? 管理和安全邊界為各成員計算機

正因工作組網(wǎng)絡(luò)中各主機是平等，互不干涉的，管理和安全邊界就是工作組中各成員計算機，工作組本身不是管理和安全邊界，不能直接針對工作組來進行管理和安全策略配置。在工作組網(wǎng)絡(luò)中，主機之間的訪問就需要訪問方（在此估且稱之為“客戶機”）使用在被訪問方（在此估且稱之為“服務(wù)器”）上配置了的用戶賬戶和密碼，通過身份驗證后才能訪問。因為在工作組網(wǎng)絡(luò)中，只有本地賬戶才可以訪問自己的主機，不能輸入本機以外的任何用戶賬戶來訪問本機（當(dāng)然，可能有兩臺或兩臺以上主機中有相同用戶名和密碼的用戶賬戶）。

在工作組網(wǎng)絡(luò)中也有一種匿名訪問方式，那就是無需輸入任何賬戶和密碼就可以訪問對方。其實這里也是輸入了用戶名和密碼，只是因為在默認(rèn)情況下，各主機用于匿名訪問的賬戶都是Guest （來賓）賬戶，且密碼為空，所以在不輸入用戶名和密碼的時候就是直接采用這種來賓賬戶進行登錄訪問的。但如果改變了這個Guest 來賓賬戶的密碼，即使啟用了匿名登錄，對方要訪問自己時也需要輸入本機上修改后的Guest 賬戶信息。

【說明】出于安全考慮，像360安全衛(wèi)士等網(wǎng)絡(luò)安全工具軟件都是建議你禁用Guest 賬戶的，所以在這種情況下是必須正確輸入被訪問計算機上的用戶賬戶名和密碼才能訪問。但是在注銷前，你再次訪問同一工作組計算機上的共享資源時是不會再提示你輸入用戶賬戶名和密碼的。

????????? 采用NetBIOS 名稱解析

在工作組網(wǎng)絡(luò)中，名稱解析所用的協(xié)議是NetBIOS （Network Basic Input Output System ，網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)）協(xié)議。通過它可以將計算機名稱解

析成對應(yīng)的IP 地址。這個協(xié)議不能跨網(wǎng)提供名稱解析功能，計算機名稱限定只能在15個數(shù)字或者字符（本來是16位的，只是在微軟的NetBIOS 協(xié)議中，第16位是用于標(biāo)識網(wǎng)絡(luò)服務(wù)）以內(nèi)，不能識別長格式的DNS 域名。在NetBIOS 名稱中，不能包括以下字符：/、[]、" 、:、; 、、|<、>、 、=,?*，不能包含“. ”。如果是中文的，則最多只能是7個純漢字，因為一個漢字要占用兩個字符位。 ????????? 在一個工作組網(wǎng)絡(luò)中可以有多個工作組

不要以為在一個工作組網(wǎng)絡(luò)中只能有一個工作組，否則的話就沒有任何意義了。在一個對稱網(wǎng)中可以有多個工作組。工作組的劃分可以是任意的，一般是按部門，或者按工作性質(zhì)等來劃分的。但是要注意的是，工作組不代表安全邊界。也就是說，不同工作組之間并沒有權(quán)限意義上的區(qū)別，只是一種便于訪問或管理的方式。它與我們現(xiàn)實生活中的“組”有些區(qū)別，因為現(xiàn)實生活中的“組”往往會有一個“組長”，負(fù)責(zé)整個組的管理。但在工作組中并沒有一臺主機具有管理整個組的權(quán)限，只是大家“平等共處”而已。

????????? 不同工作組是可以相互訪問的

前面介紹到，在一個工作組網(wǎng)絡(luò)中可以有多個工作組。大家或許會問，不同工作組的主機之間是否可以相互訪問呢？這是肯定的，而且就像沒有劃分多個組，在一個工作組中不同主機間的訪問一樣簡單，也只是需要正確輸入對方的用戶賬戶信息即可。當(dāng)然如果通信雙方都啟用了默認(rèn)配置的匿名訪問，則也可以不用輸入身份驗證賬戶信息。原因就是，工作組不是網(wǎng)絡(luò)安全邊界的一個單位，不能為不同組設(shè)置不同的安全級別，也不能像域網(wǎng)絡(luò)中為不同域設(shè)置不同的賬戶系統(tǒng)和安全策略。

【經(jīng)驗之談】不同工作組只是用來標(biāo)識不同組，不具有安全和安全邊界特點，也就是在同一個工作組網(wǎng)絡(luò)中，所有工作組間的用戶計算機都查可以相互訪問的，只要你有對方計算機上的正確用戶賬戶信息即可。不存在只允許屬于同一個工作組中的用戶計算機相互訪問的問題，這一點要額外引起注意。因為在工作組網(wǎng)絡(luò)中的，管理和安全邊界都是各成員計算機本身，是最小的管理和安全邊界。當(dāng)你在當(dāng)前計算機上登錄所使用的用戶賬戶名和密碼與要訪問的那臺計算機上的某個賬戶名和密碼完全一樣時，訪問時是不需要輸入用戶名和密碼的，因為系統(tǒng)自動認(rèn)為你已是合法用戶。其實這也是一個安全隱患，說不一定那天一個非法用戶碰巧使用了與網(wǎng)絡(luò)中某臺計算機中一樣的賬戶名和密碼，而又碰巧在網(wǎng)絡(luò)中訪問了那臺計算機，則可能能出現(xiàn)非授權(quán)訪問，帶來安全威脅了。

2. 工作組的主要優(yōu)缺點

工作組網(wǎng)絡(luò)相對我們下面將要介紹的域網(wǎng)絡(luò)來說，具有以下幾方面的明顯優(yōu)缺點：

????????? 安全管理簡單

這可以說是工作組網(wǎng)絡(luò)的最大優(yōu)點。因為在工作組網(wǎng)絡(luò)中把網(wǎng)絡(luò)安全邊界下放到最終的用戶端，外部計算機的訪問必須使用本地計算機上合法的用戶賬戶信息，這樣一來，工作組網(wǎng)絡(luò)的安全管理也就是各用戶計算機自己的安全管理。而各用戶計算機上的用戶賬戶信息一般來說都非常簡單，只有少數(shù)幾個用戶賬戶，只需要對本機（不涉及到其他機上的任何賬戶）上的少數(shù)賬戶進行適當(dāng)?shù)陌踩渲眉纯?，所以在安全管理方面，要較域網(wǎng)絡(luò)的安全管理容易些。另外，在工作組中，各成員計算機只使用自己計算機上的本地組策略，不會應(yīng)用其他任何組策略，安全策略管理更簡單。

????????? 網(wǎng)絡(luò)性能比較高

因為在工作組網(wǎng)絡(luò)中，除了基本的網(wǎng)絡(luò)連接和資源共享外，基本上是沒有任何額外（如各種全局范圍的安全策略和身份認(rèn)證等）的網(wǎng)絡(luò)資源消耗，用戶登錄

都是在本機上進行，所以，工作組網(wǎng)絡(luò)的網(wǎng)絡(luò)連接性能要遠(yuǎn)比域網(wǎng)絡(luò)的網(wǎng)絡(luò)連接性能向。這也是許多網(wǎng)友反映加入域網(wǎng)絡(luò)后，登錄和網(wǎng)絡(luò)應(yīng)用比較慢的根源所在。 ????????? 網(wǎng)絡(luò)管理不方便

這可以說是工作組網(wǎng)絡(luò)的最大缺點。因為工作組網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理和安全邊界下放到最終的用戶端，無論是用戶賬戶，用戶賬戶權(quán)限、安全策略等都是分散的，而且各用戶計算機上的這些配置都可能不同，管理員很難，甚至無法通過一臺機來集中管理工作組網(wǎng)絡(luò)中的用戶賬戶系統(tǒng)和安全策略系統(tǒng)。給整個網(wǎng)絡(luò)管理帶來混亂，特別是在較大網(wǎng)絡(luò)中。

另外，對于管理員管理整個網(wǎng)絡(luò)也一樣，要實現(xiàn)對整個網(wǎng)絡(luò)中的計算機進行管理，就必須在各計算機上配置有相同賬戶的管理員賬戶（注意，密碼都必須一樣），否則每次第一次訪問一臺計算機時，都提示要求輸入用戶賬戶名和密碼。如果財貿(mào)系統(tǒng)中有一百臺，則需要在一百臺計算機創(chuàng)建和配置這個相同的用戶賬戶信息，如果有一千臺，則要進行一次同樣的工作。其工作量是可想而知的。盡管可以直接通過復(fù)制用戶配置文件來實現(xiàn)，但至少也要復(fù)制一千次啊。所以，一般來說，工作組網(wǎng)絡(luò)主要適用于中小型網(wǎng)絡(luò)（通常認(rèn)是百臺以內(nèi)），但這并不是從性能上考慮的，而是從管理上考慮的。

????????? 網(wǎng)絡(luò)公共應(yīng)用配置比較繁瑣

因為工作組網(wǎng)絡(luò)中的網(wǎng)絡(luò)訪問身份驗證是依據(jù)各成員計算機的賬戶系統(tǒng)，所以在一些公共網(wǎng)絡(luò)應(yīng)用服務(wù)器中的安全配置就顯得比較復(fù)雜了，要么是網(wǎng)絡(luò)中各計算機都啟用默認(rèn)的Guest 賬戶（并且全都采用默認(rèn)的空密碼），要么在授權(quán)訪問的每臺計算機配置相同的組或者用戶賬戶，否則就無法進行全面授權(quán)。如果啟用Guest 賬戶，會給企業(yè)網(wǎng)絡(luò)帶來巨大的安全隱患。

域網(wǎng)絡(luò)

域網(wǎng)絡(luò)其實是微軟借鑒了互聯(lián)網(wǎng)中的域名技術(shù)的，是目前企業(yè)局域網(wǎng)中應(yīng)用最為廣泛的一種網(wǎng)絡(luò)管理模式。

域是什么？簡單地說，域是一種基于對象和安全策略的分布式數(shù)據(jù)庫系統(tǒng)。 之所以說是基于對象和安全策略，那就是因為域網(wǎng)絡(luò)的最大特點就是可以實現(xiàn)用戶、計算機等對象賬戶，以及網(wǎng)絡(luò)安全策略的集中管理和部署。

所謂“數(shù)據(jù)庫”是指域中的信息（如賬戶信息、配置信息等）不是以獨立文件形式存在，而是以字段信息之類的數(shù)據(jù)形式存在。我們知道，在微軟的域網(wǎng)絡(luò)中最顯著的特點就是引入了“活動目錄”（Active Diretory ，AD ）技術(shù)。而AD 本身就是一種目錄數(shù)據(jù)庫系統(tǒng)。之所以稱之為“活動目錄”，那是因這在域網(wǎng)絡(luò)中的目錄是始終呈激活可用，動態(tài)更新的狀態(tài)，而不是像普通目錄一樣靜態(tài)地使用。這樣做的目的就是方便系統(tǒng)中各服務(wù)器自身進行的，或者用戶操作的查詢、更新、同步等，也提高了各服務(wù)器間數(shù)據(jù)復(fù)制的性能。

在活動目錄數(shù)據(jù)庫中包括了三個表格：

●????????????? Schema 表

這個表中包含了所有可在活動目錄創(chuàng)建的對象信息，以及他們之間的相互關(guān)系；包括各種類型對象的可選及不可選的各種屬性。這個表是活動目錄數(shù)據(jù)庫中最小的一個表，但是也是最基礎(chǔ)的一個表。

●????????????? Link 表

Link表包含所有屬性的關(guān)聯(lián)，包括活動目錄中所有對象的屬性的值。一個用戶對象的所有屬性的類型，包括每個屬性的值及用戶所屬于的組等信息都屬于這個表。

●????????????? Data 表

活動目錄中用戶、組、應(yīng)用程序特殊數(shù)據(jù)和其他的數(shù)據(jù)全部保存在Data 表中。這是活動目錄中存儲信息最多的一個表，大量的活動目錄的資料實際上還是存儲在這個表中。

所謂“分布式”就是這種活動目錄配置信息數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)可以不是僅來源或者存儲在一臺計算機上，而且可關(guān)聯(lián)網(wǎng)絡(luò)中許多相關(guān)服務(wù)器（如DC 、DNS 、DHCP 服務(wù)器等）。

支持域網(wǎng)絡(luò)管理模式的操作系統(tǒng)是微軟的Windows NT核心操作系統(tǒng)，如Windows 2000、Windows XP、Windows Server 2003、Windows VISTA 和Windows Server 2008。但較新版本的Linux 系統(tǒng)也可通過SAMBA 服務(wù)器的配置加入到微軟的域網(wǎng)絡(luò)中。具體將在本書后面專門介紹。UNIX 、DOS ，以及早期的Windows 95以前版本的Windows 操作系統(tǒng)都不支持域網(wǎng)絡(luò)管理模式。

1. 域網(wǎng)絡(luò)的主要特點

域網(wǎng)絡(luò)的主要特點如下：

●????????????? 集中管理

前面說到了，域網(wǎng)絡(luò)可以實現(xiàn)對象（包括用戶和計算機）和安全策略的集中管理和部署，這是域網(wǎng)絡(luò)的最顯著特點。域網(wǎng)絡(luò)是C/S（客戶機/服務(wù)器）管理模式在局域網(wǎng)構(gòu)建中的應(yīng)用。在域網(wǎng)絡(luò)中，有專門用來管理或者提供服務(wù)的各種服務(wù)器，如用于對象、安全策略管理的各級域控制器（DC ）。通過DC 中的活動目錄（AD ）和域組策略就可以對整個網(wǎng)絡(luò)中的用戶賬戶（包括用戶權(quán)限、權(quán)利）、計算機賬戶和安全管理策略進行統(tǒng)一管理，統(tǒng)一部署。這樣一來，域網(wǎng)絡(luò)中各成員計算機的角色并不是平等的，有管理（各服務(wù)器）和被管理（各客戶機）之分。這是前面工作組網(wǎng)絡(luò)所無法實現(xiàn)的。

●????????????? 多級賬戶和安全策略

在域網(wǎng)絡(luò)中，域賬戶和安全策略可以有多級，最小的安全策略邊界是域中的“組織單位”（OU ），最大的安全邊界是林；而用戶賬戶可以是子域中的，也可以是父域中的。不同安全級別的配置應(yīng)用是按照先本地，后域的規(guī)則進行的。在域?qū)哟沃?，則是按照精確度由低到高的順序進行應(yīng)用的。而最后應(yīng)用的級別最高。如組策略的應(yīng)用順序是：本地組策略→站點組策略→域組策略→子域組策略→組織單位組策略。

因為存在多級賬戶和安全策略，所以在域網(wǎng)絡(luò)中存在一個信任關(guān)系。也就是一個域可以與同一林中的其他域建立單向或者雙向信任關(guān)系，不同林之間也可以建立單向或者雙向信任關(guān)系。這樣一來，就可以實現(xiàn)單向或者雙向訪問的目的。 ●????????????? 默認(rèn)信任

在工作組網(wǎng)絡(luò)中，由于各用戶賬戶都只是對各自計算機本地有效，所以各成員計算機之間根本沒有信任關(guān)系，要訪問就必須先進行身份驗證。而在域網(wǎng)絡(luò)中，域用戶賬戶在整個域網(wǎng)絡(luò)有效，所以加入了域的計算機都遵守了相同的信任協(xié)議，彼此相互信任，只要有域網(wǎng)絡(luò)中合法的用戶賬戶即可。這也是后面將要介紹的“單點登錄”的基礎(chǔ)和前提。

●????????????? 集中存儲

這也是域網(wǎng)絡(luò)的一大優(yōu)勢和特點。在域網(wǎng)絡(luò)中的用戶文檔或者數(shù)據(jù)可以集在保存在網(wǎng)絡(luò)中的一臺或者多臺相應(yīng)服務(wù)器上。用戶文檔還可以保存在服務(wù)器上為每個用戶創(chuàng)建的用戶主目錄中，并且該目錄只有用戶自己可以訪問，包括網(wǎng)絡(luò)管

理員也不能訪問（當(dāng)然網(wǎng)絡(luò)管理員可以更改訪問權(quán)限），極大地保障了各用戶私有文檔的安全性。同時也方便了網(wǎng)絡(luò)數(shù)據(jù)的存儲，提高警惕了網(wǎng)絡(luò)數(shù)據(jù)存儲的安全性。這一點在工作組網(wǎng)絡(luò)中無法實現(xiàn)，因為即使你可以把數(shù)據(jù)存儲在其他用戶計算機中，你的文檔同樣可以被那臺機上的用戶所瀏覽、修改，甚至刪除。 ●????????????? 單點登錄

在域網(wǎng)絡(luò)中，采用的是單點登錄（Single Sing On，SSO ）。在域網(wǎng)絡(luò)中的所謂“單點登錄”就是用戶只需要使用域賬戶登錄一次，就可以實現(xiàn)對整個域網(wǎng)絡(luò)共享資源的訪問（當(dāng)然這是要在授予了訪問權(quán)限的前提下），而無需在訪問不同計算機上共享資源時輸入不同的賬戶信息。這就大大減化了網(wǎng)絡(luò)資源的訪問驗證過程。在工作組網(wǎng)絡(luò)中，因為安全邊界就是各用戶計算機本身，用戶賬戶都是存儲在各用戶計算機上，所以無法實現(xiàn)網(wǎng)絡(luò)中的單點登錄。

當(dāng)然，單點登錄不僅應(yīng)用于域網(wǎng)絡(luò)用戶的登錄，它同樣廣泛應(yīng)用于其他支持單點登錄的應(yīng)用系統(tǒng)，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。單點登錄原理就是網(wǎng)絡(luò)中的所有成員都信任同一套身份驗證系統(tǒng)，可以是用戶賬戶、也可以是用戶郵箱名，還可以其他應(yīng)用系統(tǒng)的帳號。

●????????????? 采用DNS 解析協(xié)議

在域網(wǎng)絡(luò)中，用戶計算機名稱和IP 地址的解析是通過DNS （Domain Name Services ，域名服務(wù)）協(xié)議來進行的，而不再使用NetBIOS 協(xié)議。但是對于不支持DNS 協(xié)議的早期操作系統(tǒng)（如DOS 、Windows 95），仍能提供基于NetBIOS 名稱解析的。DNS 名稱是以“. “分隔的，具有層次結(jié)構(gòu)的名稱，最大長度為255個字符，比NetBIOS 名稱允許的長度長了許多。

●????????????? 支持漫游配置

在域網(wǎng)絡(luò)中，每個域用戶賬戶都可以在域網(wǎng)絡(luò)中任意一臺允許本地登錄的計算機上登錄域網(wǎng)絡(luò)，只要該計算機與DC 在同一個網(wǎng)絡(luò)中即可。而且用戶的桌面環(huán)境及其他賬戶配置不會因在不同計算機上登錄而不同，因為域網(wǎng)絡(luò)支持全局漫游用戶配置文件。這樣就極大方便了用戶的網(wǎng)絡(luò)訪問。

2. 域網(wǎng)絡(luò)的主要優(yōu)缺點

與任何事務(wù)都沒有絕對的優(yōu)點，也沒有絕對的缺點一樣，域管理模式與工作組管理模式相比，也存在一定的優(yōu)點與缺點。

●????????????? 管理更方便

因為域網(wǎng)絡(luò)可以實現(xiàn)在一臺服務(wù)器上對用戶/計算機賬戶和安全策略的集中管理，對于管理員來說，就可以更方便地管理整個網(wǎng)絡(luò)的用戶賬戶（包括用戶賬戶權(quán)限和權(quán)利）和安全策略。而不必分別到各用戶計算機上分別配置。這對于網(wǎng)絡(luò)規(guī)模較大的網(wǎng)絡(luò)來說，優(yōu)勢更加明顯。所以說，一般來說，域網(wǎng)絡(luò)比較適用于較大型的網(wǎng)絡(luò)，但也不是從性能上來考慮的。

●????????????? 安全性更高

因為域網(wǎng)絡(luò)的全局用戶賬戶和安全策略都是集中在一臺或者少數(shù)幾臺DC 上進行配置與管理的，所以相對工作組網(wǎng)絡(luò)來說，這些配置的安全性就更高，更不容易被人攻擊和破解。同樣，由于域網(wǎng)絡(luò)中的用戶數(shù)據(jù)可以偏大中存放在一臺或者少數(shù)幾臺服務(wù)器上，企業(yè)網(wǎng)絡(luò)數(shù)據(jù)也就更安全。

●????????????? 網(wǎng)絡(luò)訪問更方便

在前面的主要特點中介紹到，域網(wǎng)絡(luò)是采用單點登錄方式，用戶只需要用戶域賬戶登錄一次域網(wǎng)絡(luò)，就可以無限地訪問允許訪問的所有網(wǎng)絡(luò)資源，而無需反復(fù)輸入不同賬戶信息進行身份驗證。

●????????????? 有專門的高性能服務(wù)器

因為在域網(wǎng)絡(luò)中的用戶賬戶、計算機賬戶、域網(wǎng)絡(luò)安全策略等都是在DC 上進行統(tǒng)一部署和管理的，所以需要有專門的高性能服務(wù)器來擔(dān)當(dāng)。對于企業(yè)說，相當(dāng)于增加了一筆不小的開支。

●????????????? 安全配置更復(fù)雜

因為在域網(wǎng)絡(luò)中涉及到多級安全策略，各級策略的應(yīng)用又有一定規(guī)則，所以總體來說，安全配置更為復(fù)雜，不容易掌握。這對管理員的技能水平要求更高。 ●????????????? 網(wǎng)絡(luò)性能較低

因為在域網(wǎng)絡(luò)中的用戶賬戶和安全策略都是在網(wǎng)絡(luò)中的服務(wù)器上進行統(tǒng)一部署的，而且域網(wǎng)絡(luò)中可能存在多級安全策略，所以用戶在登錄和進行網(wǎng)絡(luò)訪問時的性能不如工作組網(wǎng)絡(luò)，存在一定的延時，特別是在大的域網(wǎng)絡(luò)，或者安全策略配置復(fù)雜（安全級別太多，采用的安全通信協(xié)議太多，安全策略設(shè)置啟用太多等）、安全策略配置不合理（如存在許多沖突設(shè)置項）的域網(wǎng)絡(luò)中表現(xiàn)尤其突出。

2.1.3 “工作組”與“域”的選擇

以上兩小節(jié)介紹分別介紹了工作組網(wǎng)絡(luò)的域網(wǎng)絡(luò)中的主要特點和主要優(yōu)缺點，從中可以看出，兩者之間沒有絕對的優(yōu)勢和劣勢。具體選擇哪一種網(wǎng)絡(luò)管理模式，主要考慮以下幾個方面：

●????????????? 安全策略的復(fù)雜性

如果自己單位網(wǎng)絡(luò)的應(yīng)用比較簡單，只需部署基于用戶計算機本身的單級安全策略需求，只需部署基于用戶計算機本身的安全策略，則可考慮選擇工作組網(wǎng)絡(luò)管理模式，當(dāng)然這還要結(jié)合以下其他需求。這樣用戶權(quán)限、安全策略配置與管理起來更簡單。

如果你所在單位網(wǎng)絡(luò)的應(yīng)用系統(tǒng)訪問權(quán)限配置比較復(fù)雜，有基于整個局域網(wǎng)的全局用戶賬戶和安全策略管理需求，有基于多級組織（如公司總部、分公司、合作伙伴等）的安全策略配置需求，則要必須選擇域管理模式了，因為在工作組網(wǎng)絡(luò)中，無論你的網(wǎng)絡(luò)中的工作組數(shù)量有多少，它們都是平等，互不影響的，是獨立應(yīng)用各自安全策略的。

●????????????? 有無全局、集中管理需求

我們知道，域網(wǎng)絡(luò)可以在一臺DC 上實現(xiàn)全局的域用戶/計算機賬戶（由活動目錄完成）和安全策略（由域組策略完成）的統(tǒng)一管理和部署，而工作組中用戶賬戶和安全策略都是基于各用戶計算機，是分散的，不能實現(xiàn)集中的全局管理。如果你公司的網(wǎng)絡(luò)沒有基于整個局域網(wǎng)的用戶賬戶和網(wǎng)絡(luò)安全全局管理需求，則可以考慮選擇工作組網(wǎng)絡(luò)管理模式（同樣還要考慮其他需求），否則必須選擇域網(wǎng)絡(luò)管理模式

●????????????? 有無基于活動目錄的應(yīng)用與管理需求

在Windows 平臺下的網(wǎng)絡(luò)應(yīng)用，有些是必須要依賴Windows 服務(wù)器系統(tǒng)的活動目錄服務(wù)的，如DFS （分布式文件系統(tǒng)）、Exchange Server 郵件服務(wù)器、ISA （Internet Security and Acceleration，因特網(wǎng)安全和加速）防火墻、PKI （公鑰基礎(chǔ)結(jié)構(gòu)）、SharePoint 、WSUS （W indows 系統(tǒng)更新服務(wù)）等。如果你公司的網(wǎng)絡(luò)中沒以上需求，則可以考慮選擇工作組網(wǎng)絡(luò)管理模式，否則收必須選擇域網(wǎng)絡(luò)管理模式。

●????????????? 首要考慮

因為域網(wǎng)絡(luò)中可能涉及到多級、更加復(fù)雜的安全策略應(yīng)用，以及服務(wù)器性能瓶頸，所以，域網(wǎng)絡(luò)的用戶登錄和網(wǎng)絡(luò)應(yīng)用性能相比同等配置的工作組網(wǎng)絡(luò)來說，要差些。所以，如果你公司的網(wǎng)絡(luò)硬件（包括交換機設(shè)備和各用戶計算機硬件配置）配置不是很好，則建議考慮選擇工作組網(wǎng)絡(luò)管理模式，當(dāng)然同樣還要結(jié)合其他需求來考慮。如果你公司的網(wǎng)絡(luò)更注重的是整個網(wǎng)絡(luò)的可管理性和安全性，則

建議選擇域網(wǎng)絡(luò)管理模式。通常是認(rèn)為網(wǎng)絡(luò)規(guī)模比較小的話，建議你選擇工作組網(wǎng)絡(luò)管理模式，因為這樣規(guī)模的網(wǎng)絡(luò)采用工作組管理模式后可以實現(xiàn)性能和管理雙重均衡考慮。否則，網(wǎng)絡(luò)規(guī)模擴大后，勢必會帶來一些新的網(wǎng)絡(luò)應(yīng)用，以及相應(yīng)的網(wǎng)絡(luò)應(yīng)用安全需求，如果仍采用工作組管理模式的話，就可以給整個網(wǎng)絡(luò)的管理帶來較大難度，達(dá)不到性能和管理雙重均衡的效果。