為什么要組建局域網呢？就是要實現(xiàn)資源的共享，既然資源要共享，資源就不會太少。如何管理這些在不同機器上的資源呢？域和工作組就是在這樣的環(huán)境中產生的兩種不同的網絡資源管理模式。那么究竟什么是域，什么是工作

為什么要組建局域網呢？就是要實現(xiàn)資源的共享，既然資源要共享，資源就不會太少。如何管理這些在不同機器上的資源呢？域和工作組就是在這樣的環(huán)境中產生的兩種不同的網絡資源管理模式。那么究竟什么是域，什么是工作組呢？它們的區(qū)別又是什么呢？

域 ------公司

域控制器 ------公司制度(更形象的是公司大門的門禁系統(tǒng)）

計算機 ------每個人

工作組 -------沒有門禁系統(tǒng)的公司

“自由”的工作組

工作組（Work Group）就是將不同的電腦按功能分別列入不同的組中，以方便管理。比如在一個網絡內，可能有成百上千臺工作電腦，如果這些電腦不進行分組，都列在“網上鄰居”內，可想而知會有多么亂（恐怕網絡鄰居也會顯示“下一頁”吧）。為了解決這一問題，Windows 9x/NT/2000才引用了“工作組”這個概念，比如一所高校，會分為諸如數(shù)學系、中文系之類的，然后數(shù)學系的電腦全都列入數(shù)學系的工作組中，中文系的電腦全部都列入到中文系的工作組中……如果你要訪問某個系別的資源，就在“網上鄰居”里找到那個系的工作組名，雙擊就可以看到那個系別的電腦了。

那么怎么樣才能加入到工作組中呢？其實方法很簡單，只需要右擊Windows 桌面上的“網上鄰居”，在彈出的菜單出選擇“屬性”，點擊“標識”，在“計算機名”一欄中添入你想好的名字，在“工作組”一欄中添入你想加入的工作組名稱。如果你輸入的工作組名稱是一個不存在的工作組，那么就相當于新建一個工作組，當然也只有你自己的電腦在里面。不過要注意，計算機名和工作組的長度都不能超過15個英文字符，可以輸入漢字，但是也不能超過7個漢字?！坝嬎銠C說明”是附加信息，不填也可以，但是最好填上一些這臺電腦主人的信息，如“數(shù)學系主機”等。單擊“確定”按鈕后，Windows 98提示需要重新啟動，按要求重新啟動之后，再進入“網上鄰居”，就可以看到你所在工作組的成員了。

相對而言，所處在同一個工作組內部成員相互交換信息的頻率最高，所以你一進入“網上鄰居”，首先看到的是你所在工作組的成員。如果要訪問其他工作組的成員，需要雙擊“整個網絡”，然后你才會看到網絡上其他的工作組，雙擊其他工作組的名稱，這樣你才可以看到里面的成員，與之實現(xiàn)資源交換。

除此之外，你也可以退出某個工作組，方法也很簡單，只要將工作組名稱改變一下即可。不過這樣在網上別人照樣可以訪問你的共享資源，只不過換了一個工作組而已。也就是說，你可以隨便加入同一網絡上的任何工作組，也可以隨時離開一個工作組?！肮ぷ鹘M”就像一個自由加入和退出的俱樂部一樣。它本身的作用僅僅是提供一個“房間”，以方便網上計算機共享資源的瀏覽。

域的管理和設置

打個比方，如果說工作組是“免費的旅店”那么域（Domain ）就是“星級的賓館”；工作組可以隨便出出進進，而域則需要嚴格控制?！坝颉钡恼嬲x指的是服務器控制網絡上的計算機能否加入的計算機組合。一提到組合，勢必需要嚴格的控制。所以實行嚴格的管理對網絡安全是非常必要的。在對等網模式下，任何一臺電腦只要接入網絡，其他機器就都可以訪問共享資源，如共享上網等。盡管對等網絡上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構成的對等網中，數(shù)據的傳輸是非常不安全的。

不過在“域”模式下，至少有一臺服務器負責每一臺聯(lián)入網絡的電腦和用戶的驗證工作，相當于一個單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller，簡寫為DC ）”。

域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數(shù)據庫。當電腦聯(lián)入網絡時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務器上有權限保護的資源，他只能以對等網用戶的方式訪問Windows 共享出來的資源，這樣就在一定程度上保護了網絡上的資源。

要把一臺電腦加入域，僅僅使它和服務器在網上鄰居中能夠相互“看”到是遠遠不夠的，必須要由網絡管理員進行相應的設置，把這臺電腦加入到域中。這樣才能實現(xiàn)文件的共享。

1． 服務器端設置

以系統(tǒng)管理員身份在已經設置好Active Directory（活動目錄）的Windows 2000 Server上登錄，選擇“開始”菜單中“程序”選項中的“管理工具”，然后再選擇“Active Directory 用戶和計算機”，之后在程序界面中右擊“Computers”，在彈出的菜單中單擊“新建”，然后選擇“計算機”，之后填入想要加入域的計算機名即可。要加入域的計算機名最好為英文，中文計算機名可能會引起一些問題。

2． 客戶端設置

首先要確認計算機名稱是否正確，然后在桌面“網上鄰居”上右擊鼠標，點擊“屬性”出現(xiàn)網絡屬性設置窗口，確認“主網絡登錄”為“Microsoft網絡用戶”。選中窗口上方的“Microsoft網絡用戶”（如果沒有此項，說明沒有安裝，點擊“添加”安裝“Microsoft網絡用戶”選項）。點擊“屬性”按鈕，出現(xiàn)“Microsoft網絡用戶屬性”對話框，選中“登錄到Windows NT域”復選框，在“Windows NT域”中輸入要登錄的域名即可。這時，如果是Windows 98操作系統(tǒng)的話，系統(tǒng)會提示需要重新啟動計算機，重新啟動計算機之后，會出現(xiàn)一個登錄對話框。在輸入正確的域用戶賬號、密碼以及登錄域之后，就可以使用Windows 2000 Server域中的資源了。請注意，這里的域用戶賬號和密碼，必須是網絡管理員為用戶建的那個賬號和密碼，而不是由本機用戶自己創(chuàng)建的賬號和密碼。如果沒有將計算機加入到域中，或者登錄的域名、用戶名、密碼有一項不正確，都會出現(xiàn)錯誤信息

對多用戶管理缺乏層次

某市某供電局，有員工200人左右和12個業(yè)務或支撐部門。為了滿足公司未來發(fā)展和日常運營管理的安全需求，公司決定重新部署企業(yè)網絡。公司計劃部署一個由200臺計算機組成的局域網，用于完成企業(yè)數(shù)據通信和資源共享。

公司已有一個局域網，運行200臺計算機，服務器操作系統(tǒng)是Windows Server 2003，客戶端的操作系統(tǒng)是Windows XP ，工作在工作組模式下，員工一人一機辦公。公司從ISP 申請100M 專線，采用代理方式上網。由于計算機比較多，管理上缺乏層次，公司希望能夠利用Windows 域環(huán)境管理所有網絡資源，提高辦公效率，加強內部網絡安全，規(guī)范計算機使用。

按單域規(guī)劃辦公網絡

要組建Windows 辦公網絡，首先要規(guī)劃IP 地址，然后再根據域環(huán)境決定是采用單域還是多域結構，最后考慮賬戶、文件和打印服務等內容。

規(guī)劃IP 地址 本項目中IP 地址采用192 . 168 . 0 . 0/24網段。 計算機默認網關為 192 . 168 . 0 . 1～192 . 168 . 0 . 10之間的IP ，客戶機占用192 . 168 . 0 . 11以上的IP 。

規(guī)劃域 根據網絡規(guī)模、集中管理與結構簡單原則，公司決定采用單域結構，域名為angerfire . cn 。與多域結構相比，它能實現(xiàn)網絡資源集中管理并保障管理上的簡單性和低成本。在域內按照部門名稱劃分組織單位(OU)，分別是運行科、保護科、變配電科、巡檢科、人力資源科、招標辦公室、對標辦公室、財務辦公室、工程部、搶險辦公室、工會和局長辦公室(見表1) ，用于存儲和管理各部門的用戶資源。整個域結構與公司管理結構相匹配，可以實現(xiàn)網絡資源的層次管理。域控制器作為整個域的核心服務器，完成對公司所有員工的賬戶管理和安全策略的實施。

規(guī)劃用戶賬戶和組 在各部門的OU 中分別為該部門員工創(chuàng)建唯一的域用戶賬戶，并要求域用戶賬戶在首次登錄時更改密碼。密碼最小長度為8位，并且符合復雜性要求。為每個部門創(chuàng)建全局組，并將同部門的員工賬戶分別加入各部門的全局組。

規(guī)劃文件服務器 通過一臺專用文件服務器存儲公共文件以及員工的工作文檔。文件服務器的C 盤容量為10GB(安裝操作系統(tǒng)和軟件) ，D 盤容量大于100GB ，并采用NTFS 文件系統(tǒng)。在D 盤的一個名為software 的文件夾中存放公共文件，如常用軟件、規(guī)章制度等。另一個名為share 的文件夾存放部門和員工的工作文檔。

在D:share下為每個部門建立文件夾，部門文件夾下創(chuàng)建每個員工的文件夾，并為每個用戶配置共享權限和NTFS 權限，保障文件只被授權的用戶訪問(見表2) 。權限的配置應遵循AGDLP 規(guī)則，避免直接為用戶授權，除非該文件夾只有一個員工訪問。

在文件服務器上，普通員工最大使用空間為100MB ，部門經理的最大使用空間為1000MB ，總經理的最大使用空間不受限制。在文件上傳類型方面，只允許上傳文件后綴為.doc 、.xls 、.ppt 、.wps 、.txt 、.rar 的文件。對重要的文件夾要制定備份策略，可以采用常規(guī)備份加差異備份的策略，按任務計劃自動執(zhí)行。

規(guī)劃打印系統(tǒng) 根據公司需求，需要采購4臺打印設備(HP Laserjet 1020)。4臺設備分別安裝在打印服務器printsrv1、printsrv2、printsrv3、printsrv4 上，printsrv1供局長辦公室和財務辦公室使用，printsrv2和printsrv3供招標辦公室、工程部和工會使用，printsrv4供對標辦公室、搶險辦公室和人力資源科使用。局長、科長和普通員工的優(yōu)先級分別規(guī)劃為90、50和1。同時還要規(guī)劃邏輯打印機權限。

規(guī)劃上網方式 公司租用一條100M 專線上網。采用代理服務器軟件使局域網接入Internet 。防火墻/代理服務器軟件使用微軟應用級防火墻ISA2006。代理服務器的專用連接IP 為192 . 168 . 0 . 1，公共連接與100MB 專線連通，IP 地址從ISP 那里動態(tài)獲得，啟用的代理協(xié)議是HTTP ，使用域策略完成客戶端的統(tǒng)一配置，實現(xiàn)共享上網，啟用防火墻策略對用戶上網行為進行監(jiān)控并阻絕一切不適用的網絡通信。

啟示：遵從法則更重要

目前信息化項目層出不窮，內部網絡的安全規(guī)劃是重中之重。我們通常習慣性地認為安全就要靠防火墻和殺毒軟件。殊不知，這些都是解決表面問題的手段。

一個真正意義上的安全網絡，首先需要安全強壯的網絡拓撲結構，其次是基于強壯骨架之上的服務。而應用層的解決方法其實就在我們所熟知的Windows 域中。在基于域環(huán)境的計算機管理手段中，策略是強行管理企業(yè)內部網絡的鋼鐵法則。域環(huán)境之所以強大，之所以安全，也正是由于域的管理模式是基于法則的。

社會安定需要健全的法律來支持。而Windows 域環(huán)境正是以法則的方式對域中的計算機和賬戶等資源進行集中管理的。