windows 域說明域的含義域的原理域的作用域控安裝域的含義域的原理域的作用域控安裝域和組的區(qū)別域的含義域英文叫DOMAIN ——域(Domain)是Windows 網(wǎng)絡(luò)中獨(dú)立運(yùn)行的單位，域之間相互

windows 域說明

域的含義

域的原理

域的作用

域控安裝

域的含義

域的原理

域的作用

域控安裝

域和組的區(qū)別

域的含義

域英文叫DOMAIN ——域(Domain)是Windows 網(wǎng)絡(luò)中獨(dú)立運(yùn)行的單位，域之間相互訪問則需要建立信任關(guān)系(即Trust Relation)。信任關(guān)系是連接在域與域之間的橋梁。當(dāng)一個域與其他域建立了信任關(guān)系后，2個域之間不但可以按需要相互進(jìn)行管理，還可以跨網(wǎng)分配文件和打印機(jī)等設(shè)備資源，使不同的域之間實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享與管理。

域既是 Windows 網(wǎng)絡(luò)操作系統(tǒng)的邏輯組織單元，也是Internet 的邏輯組織單元，在 Windows 網(wǎng)絡(luò)操作系統(tǒng)中，域是安全邊界。域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問或者管理其他的域; 每個域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。

域的原理

其實(shí)上可以把域和工作組聯(lián)系起來理解, 在工作組上你一切的設(shè)置在本機(jī)上進(jìn)行包括各種策略，用戶登陸也是登陸在本機(jī)的，密碼是放在本機(jī)的數(shù)據(jù)庫來驗(yàn)證的。而如果你的計(jì)算機(jī)加入域的話，各種策略是域控制器統(tǒng)一設(shè)定，用戶名和密碼也是放到域控制器去驗(yàn)證，也就是說你的賬號密碼可以在同一域的任何一臺計(jì)算機(jī)登陸 .

如果說工作組是“免費(fèi)的旅店”那么域（Domain ）就是“星級的賓館”；工作組可以隨便出出進(jìn)進(jìn)，而域則需要嚴(yán)格控制?！坝颉钡恼嬲x指的是服務(wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組合。一提到組合，勢必需要嚴(yán)格的控制。所以實(shí)行嚴(yán)格的管理對網(wǎng)絡(luò)安全是非常必要的。在對等網(wǎng)模式下，任何一臺電腦只要接入網(wǎng)絡(luò)，其他機(jī)器就都可以訪問共享資源，如共享上網(wǎng)等。盡管對等網(wǎng)絡(luò)上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x 構(gòu)成的對等網(wǎng)中，數(shù)據(jù)的傳輸是非常不安全的。

不過在“域”模式下，至少有一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，相當(dāng)于一個單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller ，簡寫為DC ）”。

域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源，他只能以對等網(wǎng)用戶的方式訪問Windows 共享出來的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。

要把一臺電腦加入域，僅僅使它和服務(wù)器在網(wǎng)上鄰居中能夠相互“看”到是遠(yuǎn)遠(yuǎn)不夠的，必須要由網(wǎng)絡(luò)管理員進(jìn)行相應(yīng)的設(shè)置，把這臺電腦加入到域中。這樣才能實(shí)現(xiàn)文件的共享，集中統(tǒng)一，便于管理。

域的作用

如果企業(yè)網(wǎng)絡(luò)中計(jì)算機(jī)和用戶數(shù)量較多時，要實(shí)現(xiàn)高效管理，就需要windows 域。

域控安裝

要建立域進(jìn)行管理，首先需安裝域控制器（dc ），dc 上存儲著域中的信息資源，如名稱、位置和特性描述等信息。通過在一臺服務(wù)器上安裝活動目錄（AD ），就會將這臺計(jì)算機(jī)安裝成dc 。

安裝條件

1安裝者必須具有本地管理員的權(quán)限。

2操作系統(tǒng)版本必須滿足條件（Windows server2003除web 以外的所有都滿足）。

3本地磁盤必須有一個NTFS 文件系

4有TCP/IP設(shè)置

5有相應(yīng)的DNS 服務(wù)器支持

6有足夠的可用空間

安裝活動目錄（AD ）步驟

1. 打開ad 開始--運(yùn)行輸入dcpromo

2. 是否創(chuàng)建新域。dc 有兩種新域的域控和現(xiàn)有域的額外域控制器。一般選擇新域的域控。

3. 新域的DNS 全名。

4. 新域的NetBIOS 名。下一步

5. 數(shù)據(jù)庫和日志文件夾。為了優(yōu)化性能，可以將數(shù)據(jù)庫和日志放在不同的硬盤上。該文件夾不一定在NTFS 分區(qū)。如果本計(jì)算機(jī)是域的第一臺域控，則sam 數(shù)據(jù)庫就會升級到C:windowsntdsntds.dit，本地用戶賬戶變成域用戶賬戶。

6. 共享的系統(tǒng)卷。共享系統(tǒng)卷SYSVOL 文件夾存放的位置必須是NTFS 文件系統(tǒng)。

7.DNS 注冊診斷。AD 需要DNS 服務(wù)支持。選第二項(xiàng)，下一步。

8. 域兼容性。如果網(wǎng)絡(luò)中不存在Windows server 2003 以前版本的域控制器，就選第二項(xiàng)。如果存在選第一項(xiàng)。

9. 還原模式密碼。目錄服務(wù)還原模式的管理員密碼，是在目錄服務(wù)還原模式下登錄系統(tǒng)時使用。由于目錄服務(wù)還原模式下，所有的域賬戶用戶都不能使用，只有使用這個還原模式管理員賬戶登錄。

10. 安裝完成后需重啟計(jì)算機(jī)。

前面講解了怎樣創(chuàng)建windows 域，現(xiàn)在完善一下，講解怎樣將計(jì)算機(jī)加入域。 在安裝完AD 后，需要將其它的服務(wù)器和客戶計(jì)算機(jī)加入到域中。一般情況下，在從客戶計(jì)算機(jī)加入域時，會在域中自動創(chuàng)建計(jì)算機(jī)賬號。不過，用戶必須在本地客戶計(jì)算機(jī)上擁有管理權(quán)限才能將其加入到域中。在加入域之前，首先檢查客戶機(jī)的網(wǎng)絡(luò)配置：1. 確保網(wǎng)絡(luò)上物理連通 2.設(shè)置IP 地址 3.檢查客戶機(jī)到服務(wù)器是否連通 4.配置客戶機(jī)的首選DNS 服務(wù)器（通常為第一臺DC 的IP ） 在客戶端計(jì)算機(jī)系統(tǒng)屬性中的“計(jì)算機(jī)名”選項(xiàng)卡里，單擊更改按鈕可以打開計(jì)算機(jī)加入域的對話框，選中域后，輸入正確的域名，然后再根據(jù)提示輸入具有加入域權(quán)限的用戶名和密碼即可。 這樣就OK 了！將客戶機(jī)加入域，就可以在客戶機(jī)上，使用域賬戶加入到域，也可以使用客戶機(jī)的本地用戶賬戶登錄到域。 前面一直提到DNS ，下面講解DNS 在域中的作用。 DNS在域中有兩個作用：域名的命名采用DNS 的標(biāo)準(zhǔn)、定位DC 。 1、域名的命名采用DNS 標(biāo)準(zhǔn)。遵循DNS 分布式、等級結(jié)構(gòu)的標(biāo)準(zhǔn)。這體現(xiàn)了辦公網(wǎng)絡(luò)與Internet 集成的理念。 2、客戶機(jī)如何定位DC 。當(dāng)域用戶賬戶登陸時或者查找活動目錄時，首先要定位DC ，這需要DNS 服務(wù)器支持，主要步驟： 1）客戶機(jī)發(fā)送DNS 查詢請求給DNS 服務(wù)器。 2）DNS 服務(wù)器查詢匹配的SRV 資源記錄。 3）DNS 服務(wù)器返回相關(guān)DC 的ip 地址列表給客戶機(jī)。 4）客戶機(jī)聯(lián)系到DC 5）DC 響應(yīng)客戶機(jī)的請求 DNS在活動目錄中為什么能起到定位DC 的作用哪？ 主要靠域的DNS 區(qū)域中的SPV 資源記錄。開始--程序--管理工具--DNS ，打開DNS 管理器，就是SRV 資源記錄。

域和組的區(qū)別

工作組是一群計(jì)算機(jī)的集合，它僅僅是一個邏輯的集合，各自計(jì)算機(jī)還是各自管理的，你要訪問其中的計(jì)算機(jī)，還是要到被訪問計(jì)算機(jī)上來實(shí)

現(xiàn)用戶驗(yàn)證的。而域不同，域是一個有安全邊界的計(jì)算機(jī)集合，在同一個域中的計(jì)算機(jī)彼此之間已經(jīng)建立了信任關(guān)系，在域內(nèi)訪問其他機(jī)器，不再需要被訪問機(jī)器的許可了。為什么是這樣的呢？因?yàn)樵诩尤胗虻臅r候，管理員為每個計(jì)算機(jī)在域中（可和用戶不在同一域中）建立了一個計(jì)算機(jī)帳戶，這個帳戶和用戶帳戶一樣，也有密碼保護(hù)的。可是大家要問了，我沒有輸入過什么密碼啊，是的，你確實(shí)沒有輸入，計(jì)算機(jī)帳戶的密碼不叫密碼，在域中稱為登錄票據(jù)，它是由2000的DC （域控制器）上的KDC 服務(wù)來頒發(fā)和維護(hù)的。為了保證系統(tǒng)的安全，KDC 服務(wù)每30天會自動更新一次所有的票據(jù)，并把上次使用的票據(jù)記錄下來。周而復(fù)始。也就是說服務(wù)器始終保存著2個票據(jù)，其有效時間是60天，60天后，上次使用的票據(jù)就會被系統(tǒng)丟棄。如果你的GHOST 備份里帶有的票據(jù)是60天的，那么該計(jì)算機(jī)將不能被KDC 服務(wù)驗(yàn)證，從而系統(tǒng)將禁止在這個計(jì)算機(jī)上的任何訪問請求（包括登錄），解決的方法呢，簡單的方法使將計(jì)算機(jī)脫離域并重新加入，KDC 服務(wù)會重新設(shè)置這一票據(jù)。或者使用2000資源包里的NETDOM 命令強(qiáng)制重新設(shè)置安全票據(jù)。因此在有域的環(huán)境下，請盡量不要在計(jì)算機(jī)加入域后使用GHOST 備份系統(tǒng)分區(qū)，如果作了，請?jiān)诨謴?fù)時確認(rèn)備份是在60天內(nèi)作的，如果超出，就最好聯(lián)系你的系統(tǒng)管理員，你可以需要管理員重新設(shè)置計(jì)算機(jī)安全票據(jù)，否則你將不能登錄域環(huán)境。

域和工作組適用的環(huán)境不同，域一般是用在比較大的網(wǎng)絡(luò)里，工作組則較小，在一個域中需要一臺類似服務(wù)器的計(jì)算機(jī)，叫域控服務(wù)器，其他電腦如果想互相訪問首先都是經(jīng)過它的，但是工作組則不同，在一個工作組里的所有計(jì)算機(jī)都是對等的，也就是沒有服務(wù)器和客戶機(jī)之分的，但是和域一樣，如果一臺計(jì)算機(jī)想訪問其他算機(jī)的話首先也要找到這個組中的一臺類似組控服務(wù)器，組控服務(wù)器不是固定的，以選舉的方式實(shí)現(xiàn)，它存儲這這個組的相關(guān)信息，找到這臺計(jì)算機(jī)后得到組的信息然后訪問。