一、認(rèn)識(shí)Windows 的域 本小節(jié)重點(diǎn)從理論上闡述域的概念、作用和Windows 中域的產(chǎn)生。 一臺(tái)Windows 計(jì)算機(jī)，它要么隸屬于工作組，要么隸屬于域。所以說到域，我們就不得不提一下工作組，工

一、認(rèn)識(shí)Windows 的域
本小節(jié)重點(diǎn)從理論上闡述域的概念、作用和Windows 中域的產(chǎn)生。
一臺(tái)Windows 計(jì)算機(jī)，它要么隸屬于工作組，要么隸屬于域。所以說到域，我們就不得不提一下工作組，工作組是MS 的概念，一般的普遍稱謂是對(duì)等網(wǎng)。工作組通常是一個(gè)由不多于10 臺(tái)計(jì)算機(jī)組成的邏輯集合，如果要管理更多的計(jì)算機(jī)，MS 推薦你使用域的模式進(jìn)行集中管理，這樣的管理更有效。你可以使用域、活動(dòng)目錄、組策略等等各種功能，使你網(wǎng)絡(luò)管理的工作量達(dá)到最小。當(dāng)然這里的10 臺(tái)只是一個(gè)參考值，11 臺(tái)甚至20 臺(tái)，如果你不想進(jìn)行集中的管理，那么你仍然可以使用工作組模式。工作組的特點(diǎn)就是實(shí)現(xiàn)簡(jiǎn)單，不需要域控制器DC，每臺(tái)計(jì)算機(jī)自己管理自己，適用于距離很近的有限數(shù)目的計(jì)算機(jī)。另外工作組名并沒有太多的實(shí)際意義，只是在網(wǎng)上鄰居的列表中實(shí)現(xiàn)一個(gè)分組而已；再就是對(duì)于“計(jì)算機(jī)瀏覽服務(wù)”，每一個(gè)工作組中，會(huì)自動(dòng)推選出一個(gè)主瀏覽器，負(fù)責(zé)維護(hù)本工作組所有計(jì)算機(jī)的NetBIOS 名稱列表。用戶可以使用默認(rèn)的workgroup，也可以任意起個(gè)名字，同一工作組或不同工作組在訪問時(shí)也沒有什么分別。域（Domain）是一個(gè)共用“目錄服務(wù)數(shù)據(jù)庫(kù)”的計(jì)算機(jī)和用戶的集合，實(shí)現(xiàn)起來要復(fù)雜一些，至少需要一臺(tái)計(jì)算機(jī)安裝NT/2000/03 Server 版本使其充當(dāng)DC，來實(shí)現(xiàn)集中式的管理。若考慮到容錯(cuò)的話，至少需要兩臺(tái)。對(duì)于NT4 域就是一臺(tái)PDC（具有唯一性），一至多臺(tái)BDC，對(duì)于2000/03 域，已經(jīng)沒有PDC 和BDC 的概念，要容錯(cuò)就需要兩至多臺(tái)DC。域是邏輯分組，與網(wǎng)絡(luò)的物理拓?fù)錈o(wú)關(guān)，可以很小，比如只有一臺(tái)DC；也可以很大，包括遍布世界各地的計(jì)算機(jī)，比如大型跨國(guó)公司網(wǎng)絡(luò)上的域（當(dāng)然實(shí)際中他們多采用多域結(jié)構(gòu)，還可以利用AD 站點(diǎn)來優(yōu)化AD 復(fù)制）。這個(gè)“目錄服務(wù)數(shù)據(jù)庫(kù)”，在NT4 時(shí)，保存用戶帳號(hào)名稱和密碼等安全安全信息，以及安全規(guī)則設(shè)置，又被稱作安全帳號(hào)管理（SAM）數(shù)據(jù)庫(kù)，簡(jiǎn)稱SAM 庫(kù)。在非DC 上的本地的SAM庫(kù)與DC 上域所用的SAM 庫(kù)類似，只不過對(duì)于NT4 域的SAM 庫(kù)文件，保存有整個(gè)域的用戶和計(jì)算機(jī)，用“域用戶管理器”和“服務(wù)器管理器”來管理，本地的SAM 庫(kù)文件，保存有本地機(jī)的用戶，由“用戶管理器”來管理。
從2000 開始，MS 引入了活動(dòng)目錄AD，DC 通過AD 來提供目錄的服務(wù)，例如它負(fù)責(zé)維護(hù)AD 數(shù)據(jù)庫(kù)、審核用戶的賬戶和密碼是否正確、將AD 數(shù)據(jù)庫(kù)復(fù)制到其它的DC 等。AD 庫(kù)的核心文件就是winntntdsntds.dit 文件。注意組策略的具體設(shè)置值，并不存在這個(gè)文件中，而是保存在winntsysvolsysvol 這個(gè)共享夾下，用于向其它DC 復(fù)制，傳播給域成員，來