域管理系統(tǒng)? 域和工作組域和工作組是針對網(wǎng)絡(luò)環(huán)境中的兩種不同的網(wǎng)絡(luò)資源管理模式。在一個(gè)網(wǎng)絡(luò)內(nèi)，可能有成百上千臺電腦，如果這些電腦不進(jìn)行分組，都列在“網(wǎng)上鄰居”內(nèi)，可想而知會有多么亂。為了解決這一問題，

域管理系統(tǒng)

? 域和工作組

域和工作組是針對網(wǎng)絡(luò)環(huán)境中的兩種不同的網(wǎng)絡(luò)資源管理模式。

在一個(gè)網(wǎng)絡(luò)內(nèi)，可能有成百上千臺電腦，如果這些電腦不進(jìn)行分組，都列在“網(wǎng)上鄰居”內(nèi)，可想而知會有多么亂。為了解決這一問題，Windows 9x/NT/2000就引用了“工作組”這個(gè)概念，將不同的電腦一般按功能分別列入不同的組中，如財(cái)務(wù)部的電腦都列入“財(cái)務(wù)部”工作組中，人事部的電腦都列入“人事部”工作組中。你要訪問某個(gè)部門的資源，就在“網(wǎng)上鄰居”里找到那個(gè)部門的工作組名，雙擊就可以看到那個(gè)部門的電腦了。

在對等網(wǎng)模式（PEER-TO-PEER ）下，任何一臺電腦只要接入網(wǎng)絡(luò)，就可以訪問共享資源，如共享打印機(jī)、文件、ISDN 上網(wǎng)等。盡管對等網(wǎng)絡(luò)上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構(gòu)成的對等網(wǎng)中，數(shù)據(jù)是非常不安全的。一般來說，同一個(gè)工作組內(nèi)部成員相互交換信息的頻率最高，所以你一進(jìn)入“網(wǎng)上鄰居”，首先看到的是你所在工作組的成員。如果要訪問其他工作組的成員，需要雙擊“整個(gè)網(wǎng)絡(luò)”，就會看到網(wǎng)絡(luò)上所有的工作組，雙擊工作組名稱，就會看到里面的成員。

你也可以退出某個(gè)工作組，只要將工作組名稱改動(dòng)即可。不過這樣在網(wǎng)上別人照樣可以訪問你的共享資源，只不過換了一個(gè)工作組而已。你可以隨便加入同一網(wǎng)絡(luò)上的任何工作組，也可以離開一個(gè)工作組。“工作組”就像一個(gè)自由加入和退出的俱樂部一樣，它本身的作用僅僅是提供一個(gè)“房間”，以方便網(wǎng)絡(luò)上計(jì)算機(jī)共享資源的瀏覽。

與工作組的“松散會員制”有所不同，“域”是一個(gè)相對嚴(yán)格的組織?！坝颉敝傅氖欠?wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組合。實(shí)行嚴(yán)格的管理對網(wǎng)絡(luò)安全是非常必要的。

在“域”模式下，至少有一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，相當(dāng)于一個(gè)單位的門衛(wèi)一樣，稱為“域控制器(Domain Controller，簡寫為DC)”?！坝蚩刂破鳌敝邪擞蛇@個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別這臺電腦是否是屬于這個(gè)域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息不正確，域控制器就拒絕這個(gè)用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源，只能以對等網(wǎng)用戶的方式訪問Windows 共享出來

3- 1

域管理系統(tǒng)

的資源，這樣就一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。

域其實(shí)就是一個(gè)安全的邊界。它的存在主要是便于管理大型的網(wǎng)絡(luò)的，可以進(jìn)行統(tǒng)一的管理，如統(tǒng)一發(fā)布組策略，統(tǒng)一安裝某種應(yīng)用軟件等等，并且域中的用戶在登陸的時(shí)候，身份驗(yàn)證的過程是在域控制器上完成的。

而工作組只適應(yīng)于小型的網(wǎng)絡(luò)。如果電腦比較多的話，那么工作組管理起來就極為不方便。因?yàn)槊颗_電腦上面都有自己的安全賬戶數(shù)據(jù)庫，所以身份驗(yàn)證過程必須在本地進(jìn)行，如果你要是想登陸工作組中其他的電腦上面，你必須在那臺電腦上面有你的用戶賬戶才行。 ? 活動(dòng)目錄

活動(dòng)目錄包括兩方面：目錄和目錄相關(guān)的服務(wù)。目錄是存儲各種對象的一個(gè)物理上的容器，包含了有關(guān)各種對象如用戶、用戶組、計(jì)算機(jī)、域、文件、打印機(jī)、組織單位（OU ）以及安全策略等資源的信息。這些信息可以被發(fā)布出來，以供用戶和管理員的使用。而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)，如用戶和資源管理、基于目錄的網(wǎng)絡(luò)服務(wù)、基于網(wǎng)絡(luò)的應(yīng)用管理?；顒?dòng)目錄提供了一種管理組成網(wǎng)絡(luò)環(huán)境的各種對象的標(biāo)志和關(guān)系的方法。

目錄存儲在被稱為域控制器的服務(wù)器上，并且可以被網(wǎng)絡(luò)應(yīng)用程序或者服務(wù)所訪問。一個(gè)域可能擁有一臺以上的域控制器。每一臺域控制器都擁有它所在域的目錄的一個(gè)可寫副本。對目錄的任何修改都可以從源域控制器復(fù)制到域、域樹或者森林中的其它域控制器上。由于目錄可以被復(fù)制，而且所有的域控制器都擁有目錄的一個(gè)可寫副本，所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。

普遍用戶和系統(tǒng)通過活動(dòng)目錄查找網(wǎng)絡(luò)資源，管理人員通過活動(dòng)目錄創(chuàng)建和發(fā)布資源信息及實(shí)施網(wǎng)絡(luò)管理。

通過活動(dòng)目錄可實(shí)施網(wǎng)絡(luò)的集中管理、控制用戶的工作環(huán)境、或委派管理控制，實(shí)行分散管理。

? 活動(dòng)目錄對象

對象是活動(dòng)目錄中的信息實(shí)體，也即我們通常所見的“屬性”，但它是一組屬性的集合，往往代表了有形的實(shí)體，比如用戶賬戶、 文件名等。對象通過屬性描述它的基本特征，比如，一個(gè)用戶賬號的屬性中可能包括用戶姓名、 電話號碼、電子郵件地址和家庭住址等。

? 容器 （Container ）

容器是活動(dòng)目錄名字空間的一部分，與目錄對象一樣，它也有屬性，但與目錄對象不同的是，它不代表有形的實(shí)體，而是代表存放對象的空間，因?yàn)樗鼉H代表存放一個(gè)對象的空間，所以它比名字空間小。比如一個(gè)用戶，它是一個(gè)對象，但這個(gè)對象的容器就僅限于從這個(gè)對象本身所能提供的信息空間，如它僅能提供用戶名、用戶密碼。其它的如：工作單位、聯(lián)系電話、家庭住址等就不屬于這個(gè)對象的容器范圍了。

? 目錄樹 （Directory Tree）

在任何一個(gè)名字空間中，目錄樹是指由容器和對象構(gòu)成的層次結(jié)構(gòu)。樹的葉子、節(jié)點(diǎn)往往是對象，樹的非葉子節(jié)點(diǎn)是容器。目錄樹表達(dá)了對象的連接方式，也顯示了從一個(gè)對象到另一個(gè)對象的路徑。在活動(dòng)目錄中，目錄樹是基本的結(jié)構(gòu)，從每一個(gè)容器作為起點(diǎn)，層層深入， 都可以構(gòu)成一棵子樹。一個(gè)簡單的目錄可以構(gòu)成一棵樹，一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)或者一個(gè)域

3- 2

域管理系統(tǒng)

也可以構(gòu)成一棵樹。

? 域（Domain ）

域是Windows 網(wǎng)絡(luò)系統(tǒng)的安全性邊界。我們知道一個(gè)計(jì)算機(jī)網(wǎng)最基本的單元就是“域”，這一點(diǎn)不是Windows 所獨(dú)有的，但活動(dòng)目錄可以貫穿一個(gè)或多個(gè)域。在獨(dú)立的計(jì)算機(jī)上，域即指計(jì)算機(jī)本身，一個(gè)域可以分布在多個(gè)物理位置上，同時(shí)一個(gè)物理位置又可以劃分不同網(wǎng)段為不同的域，每個(gè)域都有自己的安全策略以及它與其他域的信任關(guān)系。當(dāng)多個(gè)域通過信任關(guān)系連接起來之后，活動(dòng)目錄可以被多個(gè)信任域共享。

域是活動(dòng)目錄邏輯結(jié)構(gòu)的核心單元，是一個(gè)計(jì)算機(jī)的集合，它們共享相同的目錄數(shù)據(jù)庫。在Windows 的網(wǎng)絡(luò)里，域定義了安全界限。目錄包含一個(gè)或多個(gè)域，每個(gè)域均有自己的安全策略以及與其它域的信任關(guān)系。域的管理員有權(quán)限執(zhí)行域內(nèi)的管理。域也是復(fù)制的單元，所有域的控制器在域里都分擔(dān)了復(fù)制，包含了整個(gè)域的目錄信息的一個(gè)復(fù)制。活動(dòng)目錄采用了一個(gè)多主機(jī)的復(fù)制模式，特定域中的所有域控制器均可接收更改內(nèi)容并將這些內(nèi)容復(fù)制到域中的所有其它域控制器中。

最容易管理的域結(jié)構(gòu)就是單域。在企業(yè)里第一個(gè)產(chǎn)生的Windows 2000域稱為根域（root domain ），包含了整個(gè)森林的配置和結(jié)構(gòu)信息。在作域規(guī)劃時(shí)，應(yīng)從單域開始，并且只有在單域模式不能滿足要求時(shí)，才增加其它的域。一個(gè)域可跨越多個(gè)站點(diǎn)并且包含數(shù)百萬個(gè)對象。站點(diǎn)結(jié)構(gòu)和域結(jié)構(gòu)互相獨(dú)立而且非常靈活。單域可跨越多個(gè)地理站點(diǎn)，并且單個(gè)站點(diǎn)可包含屬于多個(gè)域的用戶和計(jì)算機(jī)。如果只是反映公司的部門組織結(jié)構(gòu)，則不必創(chuàng)建獨(dú)立的域樹。在一個(gè)域中，可以使用組織單元來實(shí)現(xiàn)這個(gè)目標(biāo)。然后，可以指定組策略設(shè)置并將用戶、組和計(jì)算機(jī)放在組織單元中。在下面的原因可以考慮創(chuàng)建多個(gè)域：

部門之間不同的安全要求

大量的對象

不同的 Internet 域名

對復(fù)制進(jìn)行更多的控制

分散的網(wǎng)絡(luò)管理

? 組織單元 （Organization Unit，簡稱OU ）

包含在域中特別有用的目錄對象類型就是組織單元。組織單元也是一個(gè)邏輯層次的容器對象，用于管理域中的對象，如用戶、組、計(jì)算機(jī)、打印機(jī)和其他組織單元。組織單元是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用單位。組織單元不能包括來自其他域的對象。使用組織單元，就可以根據(jù)組織模型管理帳戶、資源的配置和使用，可創(chuàng)建可縮放到任意規(guī)模的管理模型。

1. 使用Ou 以組織企業(yè)的網(wǎng)絡(luò)資源。把網(wǎng)絡(luò)資源組織為邏輯的層次結(jié)構(gòu)以最好地

滿足管理的需要。

2. 在組織單元上給用戶或組委派管理權(quán)限，以反映公司的管理和安全政策，并可

減少網(wǎng)絡(luò)管理員的工作負(fù)擔(dān)和滿足實(shí)際情況。

? 域控制器 （Domain Controller，簡稱DC ）

域控制器是使用活動(dòng)目錄安裝向?qū)渲玫腤indows Server 的計(jì)算機(jī)?；顒?dòng)目錄安裝向?qū)О惭b和配置為網(wǎng)絡(luò)用戶和計(jì)算機(jī)提供活動(dòng)目錄服務(wù)的組件供用戶選擇使用。域控制器存儲著目錄數(shù)據(jù)并管理用戶域的交互關(guān)系，其中包括用戶登錄過程、身份驗(yàn)證和目錄搜索，一個(gè)域可有一個(gè)或多個(gè)域控制器。為了獲得高可用性和容錯(cuò)能力，使用單個(gè)局域網(wǎng) (LAN) 的小單位可能只需要一個(gè)具有兩個(gè)域控制器的域。具有多個(gè)網(wǎng)絡(luò)位置的大公司在每個(gè)位置都需要一個(gè)或多個(gè)域控制器以提供高可用性和容錯(cuò)能力。

3- 3

域管理系統(tǒng)

? 計(jì)算機(jī)管理

包括：把計(jì)算機(jī)添加到域、修改計(jì)算機(jī)名、從域中刪除計(jì)算機(jī)等工作

? 用戶和組管理

包括：介紹用戶登錄名的命名標(biāo)準(zhǔn)、創(chuàng)建用戶帳號、管理用戶帳號；創(chuàng)建組、管理組的成員。

? 文件管理

包括：文件權(quán)限介紹，共享權(quán)限的設(shè)置、NTFS 權(quán)限設(shè)置，網(wǎng)絡(luò)訪問。

? 打印管理

包括：打印機(jī)安裝、共享及訪問

? 應(yīng)用程序管理

域環(huán)境下常用軟件的管理。

3- 4

域管理系統(tǒng)

? 在服務(wù)器上的管理工具

Win2000 Server或Win2003 Server服務(wù)器操作系統(tǒng)安裝好后，通常都會自動(dòng)安裝有“管理工具”，但如果該服務(wù)器已經(jīng)加入到域，出于安全考慮，普通用戶的訪問權(quán)限有可能受到限制，不能在這些服務(wù)器上做交互式登錄或遠(yuǎn)程登錄，因此無法使用服務(wù)器上的“管理工具”。 ? 在客戶端計(jì)算機(jī)上安裝管理工具

可以在Win2000 Pro 或WinXP 的客戶端計(jì)算機(jī)上安裝域服務(wù)器管理工具，安裝方法簡單，直接雙擊ADMINPAK.MSI 文件即可安裝。

注意，對于Win2000客戶端，只能安裝Win2000 Server 安裝光盤的I386下的ADMINPAK.MSI 文件，而對于WinXP 客戶端，則要安裝Win2003 Server 安裝光盤的I386下的ADMINPAK.MSI 文件。

? 通過MMC 自定義管理工具

3- 5

域管理系統(tǒng)

? 將計(jì)算機(jī)添加到域

? 檢查網(wǎng)絡(luò)設(shè)置

1. 開始→運(yùn)行→輸入“CMD ”，按回車，進(jìn)入DOS 命令提示符窗口。

2. 在DOS 窗口狀態(tài)下，輸入“IPCONFIG /ALL”命令，查看計(jì)算機(jī)的IP 地址、網(wǎng)關(guān)、DNS 等設(shè)置是否正常。如果不正常，進(jìn)行檢查修改。

3. 在DOS 窗口狀態(tài)下，輸入“HOSTNAME ”命令，查看計(jì)算機(jī)的名稱是否符合命名規(guī)范。如果不規(guī)范，需先修改計(jì)算機(jī)名。

? 修改計(jì)算機(jī)名（如需要才做）

右鍵點(diǎn)擊“我的電腦”→“屬性”→“計(jì)算機(jī)名”→“更改”→在計(jì)算機(jī)名輸入框內(nèi)，輸入標(biāo)準(zhǔn)規(guī)范的計(jì)算機(jī)名→ 重新啟動(dòng)計(jì)算機(jī)

? 將計(jì)算機(jī)添加到域

右鍵點(diǎn)擊“我的電腦”→“屬性”→“計(jì)算機(jī)名”→“更改”→ 在隸屬于域的輸入框內(nèi)，輸入域名→ 按提示輸入有權(quán)限將計(jì)算機(jī)加入到域的域用戶名和密碼 → 重新啟動(dòng)計(jì)算機(jī)

? 修改計(jì)算機(jī)名

對于沒有加入到域的計(jì)算機(jī)，需要有計(jì)算機(jī)本地管理員的權(quán)限的用戶才能完成該工作。 右鍵點(diǎn)擊“我的電腦”→“屬性”→“計(jì)算機(jī)名”→“更改”→ 在計(jì)算機(jī)名輸入框內(nèi)，輸入標(biāo)準(zhǔn)規(guī)范的計(jì)算機(jī)名→ 重新啟動(dòng)計(jì)算機(jī)。

對于已經(jīng)加入到域的計(jì)算機(jī)，需要對計(jì)算機(jī)帳號所在OU 具有“修改”以上管理權(quán)限的域用戶才能完成該工作。

右鍵點(diǎn)擊“我的電腦”→“屬性”→“計(jì)算機(jī)名”→“更改”→在計(jì)算機(jī)名輸入框內(nèi)，

3- 6

域管理系統(tǒng)

輸入標(biāo)準(zhǔn)規(guī)范的計(jì)算機(jī)名→ 按提示輸入對計(jì)算機(jī)帳號所在OU 具有“修改”以上管理權(quán)限的用戶的用戶名和密碼 → 重新啟動(dòng)計(jì)算機(jī)

? 從域中刪除計(jì)算機(jī)

對于已經(jīng)加入到域的計(jì)算機(jī)，需要對計(jì)算機(jī)帳號所在OU 具有“修改”以上管理權(quán)限的域用戶才能完成該工作。

右鍵點(diǎn)擊“我的電腦”→“屬性”→“計(jì)算機(jī)名”→“更改”→在隸屬于工作組的輸入框內(nèi)，輸入工作組名 → 按提示輸入對計(jì)算機(jī)帳號所在OU 具有“修改”管理權(quán)限的用戶的用戶名和密碼 → 重新啟動(dòng)計(jì)算機(jī)

3- 7

域管理系統(tǒng)

? 用戶帳號

? 本地用戶帳號

1. 使用戶登錄和訪問賬號所在的計(jì)算機(jī)資源

2. 賬號建立在計(jì)算機(jī)的安全賬號數(shù)據(jù)庫中(SAM)

? 域用戶帳號

1. 使用戶登錄到域并訪問域的網(wǎng)絡(luò)資源

2. 賬號建立在活動(dòng)目錄中(Active Directory)

? 內(nèi)置用戶帳號

1. 管理員賬號行使網(wǎng)絡(luò)全部管理權(quán)限，客戶賬號提供沒有賬號的用戶臨時(shí)訪問資源的需求

2. 內(nèi)置賬號可能建立在計(jì)算機(jī)的SAM 數(shù)據(jù)庫中，也可能建立在 Active Directory

3- 8

域管理系統(tǒng)

? 用戶帳號命名標(biāo)準(zhǔn)（登錄名、顯示名）

用戶賬號控制用戶登錄和對計(jì)算機(jī)或網(wǎng)絡(luò)資源的訪問。每個(gè)計(jì)算機(jī)用戶都必須在活動(dòng)目錄中創(chuàng)建用戶賬號，并對賬號授予相應(yīng)的系統(tǒng)權(quán)力和資源權(quán)限，用戶在登錄時(shí)，提供正確賬號和口令，方能登錄和訪問。Windows 2003把用戶賬號集成進(jìn)活動(dòng)目錄，并提供了幾十個(gè)個(gè)人屬性，使用戶賬號也成為公司通訊簿。

? 登錄名

? 顯示名

? 創(chuàng)建用戶帳號

使用管理工具“Active Directory 用戶和計(jì)算機(jī)”來完成。

? 用戶帳號的屬性

? 有關(guān)網(wǎng)絡(luò)登錄的屬性：有關(guān)用戶登錄的權(quán)利和限制

1. 局域網(wǎng)內(nèi)的登錄

2. 遠(yuǎn)程訪問登錄

3. 終端服務(wù)器的登錄

? 有關(guān)用戶所屬組的信息

? 有關(guān)個(gè)人的屬性：有關(guān)用戶各種聯(lián)系方式和數(shù)字證書

（注意：域用戶賬號比本地用戶賬號屬性上多得多）

? 用戶帳號屬性的修改

使用管理工具“Active Directory 用戶和計(jì)算機(jī)”來完成。

? 限制臨時(shí)計(jì)算機(jī)用戶的用戶帳號有效時(shí)間

使用管理工具“Active Directory 用戶和計(jì)算機(jī)”來完成。

? 限制用戶在指定計(jì)算機(jī)上登錄

使用管理工具“Active Directory 用戶和計(jì)算機(jī)”來完成。

? 限制用戶在指定時(shí)間內(nèi)登錄

使用管理工具“Active Directory 用戶和計(jì)算機(jī)”來完成。

3- 9

域管理系統(tǒng) ? 用戶帳號鎖定與解鎖

使用管理工具“Active Directory 用戶和計(jì)算機(jī)”來完成。 ? 員工離職與用戶帳號禁用

使用管理工具“Active Directory 用戶和計(jì)算機(jī)”來完成。

3- 10