工作組網(wǎng)絡(luò)的概念和特點(diǎn)工作組（WorkGroup ）網(wǎng)絡(luò)是對(duì)等（peer-to-peer ，P2P ）網(wǎng)絡(luò)技術(shù)在局域網(wǎng)（P2P 網(wǎng)絡(luò)更主要應(yīng)用于廣域網(wǎng)中）中的應(yīng)用，是根據(jù)用戶自定義的分組特點(diǎn)（如不同部

工作組網(wǎng)絡(luò)的概念和特點(diǎn)

工作組（WorkGroup ）網(wǎng)絡(luò)是對(duì)等（peer-to-peer ，P2P ）網(wǎng)絡(luò)技術(shù)在局域網(wǎng)（P2P 網(wǎng)絡(luò)更主要應(yīng)用于廣域網(wǎng)中）中的應(yīng)用，是根據(jù)用戶自定義的分組特點(diǎn)（如不同部門、不同愛好、不同操作系統(tǒng)類型等）把網(wǎng)絡(luò)中的許多用戶計(jì)算機(jī)分門別類地納入到不同工作組中的。劃分工作組的主要目的主要是為了便于瀏覽、查找，另外還方便于管理員對(duì)用戶計(jì)算機(jī)的管理。試想一下，如果網(wǎng)絡(luò)中有上百臺(tái)，甚至更多的用戶計(jì)算機(jī)，在進(jìn)行資源共享時(shí)，如果不分組的話，要通過(guò)“網(wǎng)上鄰居”來(lái)查找某臺(tái)用戶計(jì)算機(jī)上的共享資源，就可能非常困難了。如果根據(jù)某個(gè)特點(diǎn)劃分不了同的工作組，就縮小了查找范圍，查找起來(lái)就容易多了。

可以組建工作組網(wǎng)絡(luò)的操作系統(tǒng)可以是所有主流操作系統(tǒng)類型，如DOS 系統(tǒng)、Windows 系統(tǒng)、Linux 系統(tǒng)和Unix 系統(tǒng)。而且，可以在一個(gè)工作組網(wǎng)絡(luò)中還可以混合以上所有類型的操作系統(tǒng)。

1. 工作組網(wǎng)絡(luò)的主要特點(diǎn)

要正確理解工作組網(wǎng)絡(luò)，就需要對(duì)以下幾個(gè)重要方面特點(diǎn)有所了解： ????????? 工作組主機(jī)間是平等的

工作組網(wǎng)絡(luò)既然是“對(duì)等網(wǎng)”，從其名稱中的“對(duì)等”兩個(gè)字就可以看出來(lái)，對(duì)等網(wǎng)中的各主機(jī)都是對(duì)等的，地位平等，沒(méi)有管理和被管理之分。在網(wǎng)絡(luò)應(yīng)用中，各主機(jī)既可以當(dāng)作服務(wù)器，為其他主機(jī)提供訪問(wèn)服務(wù)，也可以當(dāng)作客戶機(jī)，訪問(wèn)其他主機(jī)。之所以是對(duì)等關(guān)系，那是因?yàn)樵诠ぷ鹘M網(wǎng)絡(luò)中沒(méi)有集中的賬戶管理和安全策略管理，網(wǎng)絡(luò)中的主機(jī)都是各自為政，互不干涉的。而不是像域網(wǎng)絡(luò)那樣，有專門的DC （域控制器）來(lái)集中管理域網(wǎng)絡(luò)中的用戶、計(jì)算機(jī)等對(duì)象賬戶和安全策略。

????????? 管理和安全邊界為各成員計(jì)算機(jī)

正因工作組網(wǎng)絡(luò)中各主機(jī)是平等，互不干涉的，管理和安全邊界就是工作組中各成員計(jì)算機(jī)，工作組本身不是管理和安全邊界，不能直接針對(duì)工作組來(lái)進(jìn)行管理和安全策略配置。在工作組網(wǎng)絡(luò)中，主機(jī)之間的訪問(wèn)就需要訪問(wèn)方（在此估且稱之為“客戶機(jī)”）使用在被訪問(wèn)方（在此估且稱之為“服務(wù)器”）上配置了的用戶賬戶和密碼，通過(guò)身份驗(yàn)證后才能訪問(wèn)。因?yàn)樵诠ぷ鹘M網(wǎng)絡(luò)中，只有本地賬戶才可以訪問(wèn)自己的主機(jī)，不能輸入本機(jī)以外的任何用戶賬戶來(lái)訪問(wèn)本機(jī)（當(dāng)然，可能有兩臺(tái)或兩臺(tái)以上主機(jī)中有相同用戶名和密碼的用戶賬戶）。

在工作組網(wǎng)絡(luò)中也有一種匿名訪問(wèn)方式，那就是無(wú)需輸入任何賬戶和密碼就可以訪問(wèn)對(duì)方。其實(shí)這里也是輸入了用戶名和密碼，只是因?yàn)樵谀J(rèn)情況下，各主機(jī)用于匿名訪問(wèn)的賬戶都是Guest （來(lái)賓）賬戶，且密碼為空，所以在不輸入用戶名和密碼的時(shí)候就是直接采用這種來(lái)賓賬戶進(jìn)行登錄訪問(wèn)的。但如果改變了這個(gè)Guest 來(lái)賓賬戶的密碼，即使啟用了匿名登錄，對(duì)方要訪問(wèn)自己時(shí)也需要輸入本機(jī)上修改后的Guest 賬戶信息。

【說(shuō)明】出于安全考慮，像360安全衛(wèi)士等網(wǎng)絡(luò)安全工具軟件都是建議你禁用Guest 賬戶的，所以在這種情況下是必須正確輸入被訪問(wèn)計(jì)算機(jī)上的用戶賬戶名和密碼才能訪問(wèn)。但是在注銷前，你再次訪問(wèn)同一工作組計(jì)算機(jī)上的共享資源時(shí)是不會(huì)再提示你輸入用戶賬戶名和密碼的。

????????? 采用NetBIOS 名稱解析

在工作組網(wǎng)絡(luò)中，名稱解析所用的協(xié)議是NetBIOS （Network Basic Input Output System ，網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)）協(xié)議。通過(guò)它可以將計(jì)算機(jī)名稱解

析成對(duì)應(yīng)的IP 地址。這個(gè)協(xié)議不能跨網(wǎng)提供名稱解析功能，計(jì)算機(jī)名稱限定只能在15個(gè)數(shù)字或者字符（本來(lái)是16位的，只是在微軟的NetBIOS 協(xié)議中，第16位是用于標(biāo)識(shí)網(wǎng)絡(luò)服務(wù)）以內(nèi)，不能識(shí)別長(zhǎng)格式的DNS 域名。在NetBIOS 名稱中，不能包括以下字符：/、[]、" 、:、; 、、|<、>、 、=,?*，不能包含“. ”。如果是中文的，則最多只能是7個(gè)純漢字，因?yàn)橐粋€(gè)漢字要占用兩個(gè)字符位。 ????????? 在一個(gè)工作組網(wǎng)絡(luò)中可以有多個(gè)工作組

不要以為在一個(gè)工作組網(wǎng)絡(luò)中只能有一個(gè)工作組，否則的話就沒(méi)有任何意義了。在一個(gè)對(duì)稱網(wǎng)中可以有多個(gè)工作組。工作組的劃分可以是任意的，一般是按部門，或者按工作性質(zhì)等來(lái)劃分的。但是要注意的是，工作組不代表安全邊界。也就是說(shuō)，不同工作組之間并沒(méi)有權(quán)限意義上的區(qū)別，只是一種便于訪問(wèn)或管理的方式。它與我們現(xiàn)實(shí)生活中的“組”有些區(qū)別，因?yàn)楝F(xiàn)實(shí)生活中的“組”往往會(huì)有一個(gè)“組長(zhǎng)”，負(fù)責(zé)整個(gè)組的管理。但在工作組中并沒(méi)有一臺(tái)主機(jī)具有管理整個(gè)組的權(quán)限，只是大家“平等共處”而已。

????????? 不同工作組是可以相互訪問(wèn)的

前面介紹到，在一個(gè)工作組網(wǎng)絡(luò)中可以有多個(gè)工作組。大家或許會(huì)問(wèn)，不同工作組的主機(jī)之間是否可以相互訪問(wèn)呢？這是肯定的，而且就像沒(méi)有劃分多個(gè)組，在一個(gè)工作組中不同主機(jī)間的訪問(wèn)一樣簡(jiǎn)單，也只是需要正確輸入對(duì)方的用戶賬戶信息即可。當(dāng)然如果通信雙方都啟用了默認(rèn)配置的匿名訪問(wèn)，則也可以不用輸入身份驗(yàn)證賬戶信息。原因就是，工作組不是網(wǎng)絡(luò)安全邊界的一個(gè)單位，不能為不同組設(shè)置不同的安全級(jí)別，也不能像域網(wǎng)絡(luò)中為不同域設(shè)置不同的賬戶系統(tǒng)和安全策略。

【經(jīng)驗(yàn)之談】不同工作組只是用來(lái)標(biāo)識(shí)不同組，不具有安全和安全邊界特點(diǎn)，也就是在同一個(gè)工作組網(wǎng)絡(luò)中，所有工作組間的用戶計(jì)算機(jī)都查可以相互訪問(wèn)的，只要你有對(duì)方計(jì)算機(jī)上的正確用戶賬戶信息即可。不存在只允許屬于同一個(gè)工作組中的用戶計(jì)算機(jī)相互訪問(wèn)的問(wèn)題，這一點(diǎn)要額外引起注意。因?yàn)樵诠ぷ鹘M網(wǎng)絡(luò)中的，管理和安全邊界都是各成員計(jì)算機(jī)本身，是最小的管理和安全邊界。當(dāng)你在當(dāng)前計(jì)算機(jī)上登錄所使用的用戶賬戶名和密碼與要訪問(wèn)的那臺(tái)計(jì)算機(jī)上的某個(gè)賬戶名和密碼完全一樣時(shí)，訪問(wèn)時(shí)是不需要輸入用戶名和密碼的，因?yàn)橄到y(tǒng)自動(dòng)認(rèn)為你已是合法用戶。其實(shí)這也是一個(gè)安全隱患，說(shuō)不一定那天一個(gè)非法用戶碰巧使用了與網(wǎng)絡(luò)中某臺(tái)計(jì)算機(jī)中一樣的賬戶名和密碼，而又碰巧在網(wǎng)絡(luò)中訪問(wèn)了那臺(tái)計(jì)算機(jī)，則可能能出現(xiàn)非授權(quán)訪問(wèn)，帶來(lái)安全威脅了。

2. 工作組的主要優(yōu)缺點(diǎn)

工作組網(wǎng)絡(luò)相對(duì)我們下面將要介紹的域網(wǎng)絡(luò)來(lái)說(shuō)，具有以下幾方面的明顯優(yōu)缺點(diǎn)：

????????? 安全管理簡(jiǎn)單

這可以說(shuō)是工作組網(wǎng)絡(luò)的最大優(yōu)點(diǎn)。因?yàn)樵诠ぷ鹘M網(wǎng)絡(luò)中把網(wǎng)絡(luò)安全邊界下放到最終的用戶端，外部計(jì)算機(jī)的訪問(wèn)必須使用本地計(jì)算機(jī)上合法的用戶賬戶信息，這樣一來(lái)，工作組網(wǎng)絡(luò)的安全管理也就是各用戶計(jì)算機(jī)自己的安全管理。而各用戶計(jì)算機(jī)上的用戶賬戶信息一般來(lái)說(shuō)都非常簡(jiǎn)單，只有少數(shù)幾個(gè)用戶賬戶，只需要對(duì)本機(jī)（不涉及到其他機(jī)上的任何賬戶）上的少數(shù)賬戶進(jìn)行適當(dāng)?shù)陌踩渲眉纯?，所以在安全管理方面，要較域網(wǎng)絡(luò)的安全管理容易些。另外，在工作組中，各成員計(jì)算機(jī)只使用自己計(jì)算機(jī)上的本地組策略，不會(huì)應(yīng)用其他任何組策略，安全策略管理更簡(jiǎn)單。

????????? 網(wǎng)絡(luò)性能比較高

因?yàn)樵诠ぷ鹘M網(wǎng)絡(luò)中，除了基本的網(wǎng)絡(luò)連接和資源共享外，基本上是沒(méi)有任何額外（如各種全局范圍的安全策略和身份認(rèn)證等）的網(wǎng)絡(luò)資源消耗，用戶登錄

都是在本機(jī)上進(jìn)行，所以，工作組網(wǎng)絡(luò)的網(wǎng)絡(luò)連接性能要遠(yuǎn)比域網(wǎng)絡(luò)的網(wǎng)絡(luò)連接性能向。這也是許多網(wǎng)友反映加入域網(wǎng)絡(luò)后，登錄和網(wǎng)絡(luò)應(yīng)用比較慢的根源所在。 ????????? 網(wǎng)絡(luò)管理不方便

這可以說(shuō)是工作組網(wǎng)絡(luò)的最大缺點(diǎn)。因?yàn)楣ぷ鹘M網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理和安全邊界下放到最終的用戶端，無(wú)論是用戶賬戶，用戶賬戶權(quán)限、安全策略等都是分散的，而且各用戶計(jì)算機(jī)上的這些配置都可能不同，管理員很難，甚至無(wú)法通過(guò)一臺(tái)機(jī)來(lái)集中管理工作組網(wǎng)絡(luò)中的用戶賬戶系統(tǒng)和安全策略系統(tǒng)。給整個(gè)網(wǎng)絡(luò)管理帶來(lái)混亂，特別是在較大網(wǎng)絡(luò)中。

另外，對(duì)于管理員管理整個(gè)網(wǎng)絡(luò)也一樣，要實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行管理，就必須在各計(jì)算機(jī)上配置有相同賬戶的管理員賬戶（注意，密碼都必須一樣），否則每次第一次訪問(wèn)一臺(tái)計(jì)算機(jī)時(shí)，都提示要求輸入用戶賬戶名和密碼。如果財(cái)貿(mào)系統(tǒng)中有一百臺(tái)，則需要在一百臺(tái)計(jì)算機(jī)創(chuàng)建和配置這個(gè)相同的用戶賬戶信息，如果有一千臺(tái)，則要進(jìn)行一次同樣的工作。其工作量是可想而知的。盡管可以直接通過(guò)復(fù)制用戶配置文件來(lái)實(shí)現(xiàn)，但至少也要復(fù)制一千次啊。所以，一般來(lái)說(shuō)，工作組網(wǎng)絡(luò)主要適用于中小型網(wǎng)絡(luò)（通常認(rèn)是百臺(tái)以內(nèi)），但這并不是從性能上考慮的，而是從管理上考慮的。

????????? 網(wǎng)絡(luò)公共應(yīng)用配置比較繁瑣

因?yàn)楣ぷ鹘M網(wǎng)絡(luò)中的網(wǎng)絡(luò)訪問(wèn)身份驗(yàn)證是依據(jù)各成員計(jì)算機(jī)的賬戶系統(tǒng)，所以在一些公共網(wǎng)絡(luò)應(yīng)用服務(wù)器中的安全配置就顯得比較復(fù)雜了，要么是網(wǎng)絡(luò)中各計(jì)算機(jī)都啟用默認(rèn)的Guest 賬戶（并且全都采用默認(rèn)的空密碼），要么在授權(quán)訪問(wèn)的每臺(tái)計(jì)算機(jī)配置相同的組或者用戶賬戶，否則就無(wú)法進(jìn)行全面授權(quán)。如果啟用Guest 賬戶，會(huì)給企業(yè)網(wǎng)絡(luò)帶來(lái)巨大的安全隱患。

域網(wǎng)絡(luò)

域網(wǎng)絡(luò)其實(shí)是微軟借鑒了互聯(lián)網(wǎng)中的域名技術(shù)的，是目前企業(yè)局域網(wǎng)中應(yīng)用最為廣泛的一種網(wǎng)絡(luò)管理模式。

域是什么？簡(jiǎn)單地說(shuō)，域是一種基于對(duì)象和安全策略的分布式數(shù)據(jù)庫(kù)系統(tǒng)。 之所以說(shuō)是基于對(duì)象和安全策略，那就是因?yàn)橛蚓W(wǎng)絡(luò)的最大特點(diǎn)就是可以實(shí)現(xiàn)用戶、計(jì)算機(jī)等對(duì)象賬戶，以及網(wǎng)絡(luò)安全策略的集中管理和部署。

所謂“數(shù)據(jù)庫(kù)”是指域中的信息（如賬戶信息、配置信息等）不是以獨(dú)立文件形式存在，而是以字段信息之類的數(shù)據(jù)形式存在。我們知道，在微軟的域網(wǎng)絡(luò)中最顯著的特點(diǎn)就是引入了“活動(dòng)目錄”（Active Diretory ，AD ）技術(shù)。而AD 本身就是一種目錄數(shù)據(jù)庫(kù)系統(tǒng)。之所以稱之為“活動(dòng)目錄”，那是因這在域網(wǎng)絡(luò)中的目錄是始終呈激活可用，動(dòng)態(tài)更新的狀態(tài)，而不是像普通目錄一樣靜態(tài)地使用。這樣做的目的就是方便系統(tǒng)中各服務(wù)器自身進(jìn)行的，或者用戶操作的查詢、更新、同步等，也提高了各服務(wù)器間數(shù)據(jù)復(fù)制的性能。

在活動(dòng)目錄數(shù)據(jù)庫(kù)中包括了三個(gè)表格：

●????????????? Schema 表

這個(gè)表中包含了所有可在活動(dòng)目錄創(chuàng)建的對(duì)象信息，以及他們之間的相互關(guān)系；包括各種類型對(duì)象的可選及不可選的各種屬性。這個(gè)表是活動(dòng)目錄數(shù)據(jù)庫(kù)中最小的一個(gè)表，但是也是最基礎(chǔ)的一個(gè)表。

●????????????? Link 表

Link表包含所有屬性的關(guān)聯(lián)，包括活動(dòng)目錄中所有對(duì)象的屬性的值。一個(gè)用戶對(duì)象的所有屬性的類型，包括每個(gè)屬性的值及用戶所屬于的組等信息都屬于這個(gè)表。

●????????????? Data 表

活動(dòng)目錄中用戶、組、應(yīng)用程序特殊數(shù)據(jù)和其他的數(shù)據(jù)全部保存在Data 表中。這是活動(dòng)目錄中存儲(chǔ)信息最多的一個(gè)表，大量的活動(dòng)目錄的資料實(shí)際上還是存儲(chǔ)在這個(gè)表中。

所謂“分布式”就是這種活動(dòng)目錄配置信息數(shù)據(jù)庫(kù)系統(tǒng)中的數(shù)據(jù)可以不是僅來(lái)源或者存儲(chǔ)在一臺(tái)計(jì)算機(jī)上，而且可關(guān)聯(lián)網(wǎng)絡(luò)中許多相關(guān)服務(wù)器（如DC 、DNS 、DHCP 服務(wù)器等）。

支持域網(wǎng)絡(luò)管理模式的操作系統(tǒng)是微軟的Windows NT核心操作系統(tǒng)，如Windows 2000、Windows XP、Windows Server 2003、Windows VISTA 和Windows Server 2008。但較新版本的Linux 系統(tǒng)也可通過(guò)SAMBA 服務(wù)器的配置加入到微軟的域網(wǎng)絡(luò)中。具體將在本書后面專門介紹。UNIX 、DOS ，以及早期的Windows 95以前版本的Windows 操作系統(tǒng)都不支持域網(wǎng)絡(luò)管理模式。

1. 域網(wǎng)絡(luò)的主要特點(diǎn)

域網(wǎng)絡(luò)的主要特點(diǎn)如下：

●????????????? 集中管理

前面說(shuō)到了，域網(wǎng)絡(luò)可以實(shí)現(xiàn)對(duì)象（包括用戶和計(jì)算機(jī)）和安全策略的集中管理和部署，這是域網(wǎng)絡(luò)的最顯著特點(diǎn)。域網(wǎng)絡(luò)是C/S（客戶機(jī)/服務(wù)器）管理模式在局域網(wǎng)構(gòu)建中的應(yīng)用。在域網(wǎng)絡(luò)中，有專門用來(lái)管理或者提供服務(wù)的各種服務(wù)器，如用于對(duì)象、安全策略管理的各級(jí)域控制器（DC ）。通過(guò)DC 中的活動(dòng)目錄（AD ）和域組策略就可以對(duì)整個(gè)網(wǎng)絡(luò)中的用戶賬戶（包括用戶權(quán)限、權(quán)利）、計(jì)算機(jī)賬戶和安全管理策略進(jìn)行統(tǒng)一管理，統(tǒng)一部署。這樣一來(lái)，域網(wǎng)絡(luò)中各成員計(jì)算機(jī)的角色并不是平等的，有管理（各服務(wù)器）和被管理（各客戶機(jī)）之分。這是前面工作組網(wǎng)絡(luò)所無(wú)法實(shí)現(xiàn)的。

●????????????? 多級(jí)賬戶和安全策略

在域網(wǎng)絡(luò)中，域賬戶和安全策略可以有多級(jí)，最小的安全策略邊界是域中的“組織單位”（OU ），最大的安全邊界是林；而用戶賬戶可以是子域中的，也可以是父域中的。不同安全級(jí)別的配置應(yīng)用是按照先本地，后域的規(guī)則進(jìn)行的。在域?qū)哟沃?，則是按照精確度由低到高的順序進(jìn)行應(yīng)用的。而最后應(yīng)用的級(jí)別最高。如組策略的應(yīng)用順序是：本地組策略→站點(diǎn)組策略→域組策略→子域組策略→組織單位組策略。

因?yàn)榇嬖诙嗉?jí)賬戶和安全策略，所以在域網(wǎng)絡(luò)中存在一個(gè)信任關(guān)系。也就是一個(gè)域可以與同一林中的其他域建立單向或者雙向信任關(guān)系，不同林之間也可以建立單向或者雙向信任關(guān)系。這樣一來(lái)，就可以實(shí)現(xiàn)單向或者雙向訪問(wèn)的目的。 ●????????????? 默認(rèn)信任

在工作組網(wǎng)絡(luò)中，由于各用戶賬戶都只是對(duì)各自計(jì)算機(jī)本地有效，所以各成員計(jì)算機(jī)之間根本沒(méi)有信任關(guān)系，要訪問(wèn)就必須先進(jìn)行身份驗(yàn)證。而在域網(wǎng)絡(luò)中，域用戶賬戶在整個(gè)域網(wǎng)絡(luò)有效，所以加入了域的計(jì)算機(jī)都遵守了相同的信任協(xié)議，彼此相互信任，只要有域網(wǎng)絡(luò)中合法的用戶賬戶即可。這也是后面將要介紹的“單點(diǎn)登錄”的基礎(chǔ)和前提。

●????????????? 集中存儲(chǔ)

這也是域網(wǎng)絡(luò)的一大優(yōu)勢(shì)和特點(diǎn)。在域網(wǎng)絡(luò)中的用戶文檔或者數(shù)據(jù)可以集在保存在網(wǎng)絡(luò)中的一臺(tái)或者多臺(tái)相應(yīng)服務(wù)器上。用戶文檔還可以保存在服務(wù)器上為每個(gè)用戶創(chuàng)建的用戶主目錄中，并且該目錄只有用戶自己可以訪問(wèn)，包括網(wǎng)絡(luò)管

理員也不能訪問(wèn)（當(dāng)然網(wǎng)絡(luò)管理員可以更改訪問(wèn)權(quán)限），極大地保障了各用戶私有文檔的安全性。同時(shí)也方便了網(wǎng)絡(luò)數(shù)據(jù)的存儲(chǔ)，提高警惕了網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)的安全性。這一點(diǎn)在工作組網(wǎng)絡(luò)中無(wú)法實(shí)現(xiàn)，因?yàn)榧词鼓憧梢园褦?shù)據(jù)存儲(chǔ)在其他用戶計(jì)算機(jī)中，你的文檔同樣可以被那臺(tái)機(jī)上的用戶所瀏覽、修改，甚至刪除。 ●????????????? 單點(diǎn)登錄

在域網(wǎng)絡(luò)中，采用的是單點(diǎn)登錄（Single Sing On，SSO ）。在域網(wǎng)絡(luò)中的所謂“單點(diǎn)登錄”就是用戶只需要使用域賬戶登錄一次，就可以實(shí)現(xiàn)對(duì)整個(gè)域網(wǎng)絡(luò)共享資源的訪問(wèn)（當(dāng)然這是要在授予了訪問(wèn)權(quán)限的前提下），而無(wú)需在訪問(wèn)不同計(jì)算機(jī)上共享資源時(shí)輸入不同的賬戶信息。這就大大減化了網(wǎng)絡(luò)資源的訪問(wèn)驗(yàn)證過(guò)程。在工作組網(wǎng)絡(luò)中，因?yàn)榘踩吔缇褪歉饔脩粲?jì)算機(jī)本身，用戶賬戶都是存儲(chǔ)在各用戶計(jì)算機(jī)上，所以無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)中的單點(diǎn)登錄。

當(dāng)然，單點(diǎn)登錄不僅應(yīng)用于域網(wǎng)絡(luò)用戶的登錄，它同樣廣泛應(yīng)用于其他支持單點(diǎn)登錄的應(yīng)用系統(tǒng)，用戶只需要登錄一次就可以訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)。單點(diǎn)登錄原理就是網(wǎng)絡(luò)中的所有成員都信任同一套身份驗(yàn)證系統(tǒng)，可以是用戶賬戶、也可以是用戶郵箱名，還可以其他應(yīng)用系統(tǒng)的帳號(hào)。

●????????????? 采用DNS 解析協(xié)議

在域網(wǎng)絡(luò)中，用戶計(jì)算機(jī)名稱和IP 地址的解析是通過(guò)DNS （Domain Name Services ，域名服務(wù)）協(xié)議來(lái)進(jìn)行的，而不再使用NetBIOS 協(xié)議。但是對(duì)于不支持DNS 協(xié)議的早期操作系統(tǒng)（如DOS 、Windows 95），仍能提供基于NetBIOS 名稱解析的。DNS 名稱是以“. “分隔的，具有層次結(jié)構(gòu)的名稱，最大長(zhǎng)度為255個(gè)字符，比NetBIOS 名稱允許的長(zhǎng)度長(zhǎng)了許多。

●????????????? 支持漫游配置

在域網(wǎng)絡(luò)中，每個(gè)域用戶賬戶都可以在域網(wǎng)絡(luò)中任意一臺(tái)允許本地登錄的計(jì)算機(jī)上登錄域網(wǎng)絡(luò)，只要該計(jì)算機(jī)與DC 在同一個(gè)網(wǎng)絡(luò)中即可。而且用戶的桌面環(huán)境及其他賬戶配置不會(huì)因在不同計(jì)算機(jī)上登錄而不同，因?yàn)橛蚓W(wǎng)絡(luò)支持全局漫游用戶配置文件。這樣就極大方便了用戶的網(wǎng)絡(luò)訪問(wèn)。

2. 域網(wǎng)絡(luò)的主要優(yōu)缺點(diǎn)

與任何事務(wù)都沒(méi)有絕對(duì)的優(yōu)點(diǎn)，也沒(méi)有絕對(duì)的缺點(diǎn)一樣，域管理模式與工作組管理模式相比，也存在一定的優(yōu)點(diǎn)與缺點(diǎn)。

●????????????? 管理更方便

因?yàn)橛蚓W(wǎng)絡(luò)可以實(shí)現(xiàn)在一臺(tái)服務(wù)器上對(duì)用戶/計(jì)算機(jī)賬戶和安全策略的集中管理，對(duì)于管理員來(lái)說(shuō)，就可以更方便地管理整個(gè)網(wǎng)絡(luò)的用戶賬戶（包括用戶賬戶權(quán)限和權(quán)利）和安全策略。而不必分別到各用戶計(jì)算機(jī)上分別配置。這對(duì)于網(wǎng)絡(luò)規(guī)模較大的網(wǎng)絡(luò)來(lái)說(shuō)，優(yōu)勢(shì)更加明顯。所以說(shuō)，一般來(lái)說(shuō)，域網(wǎng)絡(luò)比較適用于較大型的網(wǎng)絡(luò)，但也不是從性能上來(lái)考慮的。

●????????????? 安全性更高

因?yàn)橛蚓W(wǎng)絡(luò)的全局用戶賬戶和安全策略都是集中在一臺(tái)或者少數(shù)幾臺(tái)DC 上進(jìn)行配置與管理的，所以相對(duì)工作組網(wǎng)絡(luò)來(lái)說(shuō)，這些配置的安全性就更高，更不容易被人攻擊和破解。同樣，由于域網(wǎng)絡(luò)中的用戶數(shù)據(jù)可以偏大中存放在一臺(tái)或者少數(shù)幾臺(tái)服務(wù)器上，企業(yè)網(wǎng)絡(luò)數(shù)據(jù)也就更安全。

●????????????? 網(wǎng)絡(luò)訪問(wèn)更方便

在前面的主要特點(diǎn)中介紹到，域網(wǎng)絡(luò)是采用單點(diǎn)登錄方式，用戶只需要用戶域賬戶登錄一次域網(wǎng)絡(luò)，就可以無(wú)限地訪問(wèn)允許訪問(wèn)的所有網(wǎng)絡(luò)資源，而無(wú)需反復(fù)輸入不同賬戶信息進(jìn)行身份驗(yàn)證。

●????????????? 有專門的高性能服務(wù)器

因?yàn)樵谟蚓W(wǎng)絡(luò)中的用戶賬戶、計(jì)算機(jī)賬戶、域網(wǎng)絡(luò)安全策略等都是在DC 上進(jìn)行統(tǒng)一部署和管理的，所以需要有專門的高性能服務(wù)器來(lái)?yè)?dān)當(dāng)。對(duì)于企業(yè)說(shuō)，相當(dāng)于增加了一筆不小的開支。

●????????????? 安全配置更復(fù)雜

因?yàn)樵谟蚓W(wǎng)絡(luò)中涉及到多級(jí)安全策略，各級(jí)策略的應(yīng)用又有一定規(guī)則，所以總體來(lái)說(shuō)，安全配置更為復(fù)雜，不容易掌握。這對(duì)管理員的技能水平要求更高。 ●????????????? 網(wǎng)絡(luò)性能較低

因?yàn)樵谟蚓W(wǎng)絡(luò)中的用戶賬戶和安全策略都是在網(wǎng)絡(luò)中的服務(wù)器上進(jìn)行統(tǒng)一部署的，而且域網(wǎng)絡(luò)中可能存在多級(jí)安全策略，所以用戶在登錄和進(jìn)行網(wǎng)絡(luò)訪問(wèn)時(shí)的性能不如工作組網(wǎng)絡(luò)，存在一定的延時(shí)，特別是在大的域網(wǎng)絡(luò)，或者安全策略配置復(fù)雜（安全級(jí)別太多，采用的安全通信協(xié)議太多，安全策略設(shè)置啟用太多等）、安全策略配置不合理（如存在許多沖突設(shè)置項(xiàng)）的域網(wǎng)絡(luò)中表現(xiàn)尤其突出。

2.1.3 “工作組”與“域”的選擇

以上兩小節(jié)介紹分別介紹了工作組網(wǎng)絡(luò)的域網(wǎng)絡(luò)中的主要特點(diǎn)和主要優(yōu)缺點(diǎn)，從中可以看出，兩者之間沒(méi)有絕對(duì)的優(yōu)勢(shì)和劣勢(shì)。具體選擇哪一種網(wǎng)絡(luò)管理模式，主要考慮以下幾個(gè)方面：

●????????????? 安全策略的復(fù)雜性

如果自己?jiǎn)挝痪W(wǎng)絡(luò)的應(yīng)用比較簡(jiǎn)單，只需部署基于用戶計(jì)算機(jī)本身的單級(jí)安全策略需求，只需部署基于用戶計(jì)算機(jī)本身的安全策略，則可考慮選擇工作組網(wǎng)絡(luò)管理模式，當(dāng)然這還要結(jié)合以下其他需求。這樣用戶權(quán)限、安全策略配置與管理起來(lái)更簡(jiǎn)單。

如果你所在單位網(wǎng)絡(luò)的應(yīng)用系統(tǒng)訪問(wèn)權(quán)限配置比較復(fù)雜，有基于整個(gè)局域網(wǎng)的全局用戶賬戶和安全策略管理需求，有基于多級(jí)組織（如公司總部、分公司、合作伙伴等）的安全策略配置需求，則要必須選擇域管理模式了，因?yàn)樵诠ぷ鹘M網(wǎng)絡(luò)中，無(wú)論你的網(wǎng)絡(luò)中的工作組數(shù)量有多少，它們都是平等，互不影響的，是獨(dú)立應(yīng)用各自安全策略的。

●????????????? 有無(wú)全局、集中管理需求

我們知道，域網(wǎng)絡(luò)可以在一臺(tái)DC 上實(shí)現(xiàn)全局的域用戶/計(jì)算機(jī)賬戶（由活動(dòng)目錄完成）和安全策略（由域組策略完成）的統(tǒng)一管理和部署，而工作組中用戶賬戶和安全策略都是基于各用戶計(jì)算機(jī)，是分散的，不能實(shí)現(xiàn)集中的全局管理。如果你公司的網(wǎng)絡(luò)沒(méi)有基于整個(gè)局域網(wǎng)的用戶賬戶和網(wǎng)絡(luò)安全全局管理需求，則可以考慮選擇工作組網(wǎng)絡(luò)管理模式（同樣還要考慮其他需求），否則必須選擇域網(wǎng)絡(luò)管理模式

●????????????? 有無(wú)基于活動(dòng)目錄的應(yīng)用與管理需求

在Windows 平臺(tái)下的網(wǎng)絡(luò)應(yīng)用，有些是必須要依賴Windows 服務(wù)器系統(tǒng)的活動(dòng)目錄服務(wù)的，如DFS （分布式文件系統(tǒng)）、Exchange Server 郵件服務(wù)器、ISA （Internet Security and Acceleration，因特網(wǎng)安全和加速）防火墻、PKI （公鑰基礎(chǔ)結(jié)構(gòu)）、SharePoint 、WSUS （W indows 系統(tǒng)更新服務(wù)）等。如果你公司的網(wǎng)絡(luò)中沒(méi)以上需求，則可以考慮選擇工作組網(wǎng)絡(luò)管理模式，否則收必須選擇域網(wǎng)絡(luò)管理模式。

●????????????? 首要考慮

因?yàn)橛蚓W(wǎng)絡(luò)中可能涉及到多級(jí)、更加復(fù)雜的安全策略應(yīng)用，以及服務(wù)器性能瓶頸，所以，域網(wǎng)絡(luò)的用戶登錄和網(wǎng)絡(luò)應(yīng)用性能相比同等配置的工作組網(wǎng)絡(luò)來(lái)說(shuō)，要差些。所以，如果你公司的網(wǎng)絡(luò)硬件（包括交換機(jī)設(shè)備和各用戶計(jì)算機(jī)硬件配置）配置不是很好，則建議考慮選擇工作組網(wǎng)絡(luò)管理模式，當(dāng)然同樣還要結(jié)合其他需求來(lái)考慮。如果你公司的網(wǎng)絡(luò)更注重的是整個(gè)網(wǎng)絡(luò)的可管理性和安全性，則

建議選擇域網(wǎng)絡(luò)管理模式。通常是認(rèn)為網(wǎng)絡(luò)規(guī)模比較小的話，建議你選擇工作組網(wǎng)絡(luò)管理模式，因?yàn)檫@樣規(guī)模的網(wǎng)絡(luò)采用工作組管理模式后可以實(shí)現(xiàn)性能和管理雙重均衡考慮。否則，網(wǎng)絡(luò)規(guī)模擴(kuò)大后，勢(shì)必會(huì)帶來(lái)一些新的網(wǎng)絡(luò)應(yīng)用，以及相應(yīng)的網(wǎng)絡(luò)應(yīng)用安全需求，如果仍采用工作組管理模式的話，就可以給整個(gè)網(wǎng)絡(luò)的管理帶來(lái)較大難度，達(dá)不到性能和管理雙重均衡的效果。