為什么要組建局域網(wǎng)呢？就是要實(shí)現(xiàn)資源的共享，既然資源要共享，資源就不會(huì)太少。如何管理這些在不同機(jī)器上的資源呢？域和工作組就是在這樣的環(huán)境中產(chǎn)生的兩種不同的網(wǎng)絡(luò)資源管理模式。那么究竟什么是域，什么是工作

為什么要組建局域網(wǎng)呢？就是要實(shí)現(xiàn)資源的共享，既然資源要共享，資源就不會(huì)太少。如何管理這些在不同機(jī)器上的資源呢？域和工作組就是在這樣的環(huán)境中產(chǎn)生的兩種不同的網(wǎng)絡(luò)資源管理模式。那么究竟什么是域，什么是工作組呢？它們的區(qū)別又是什么呢？

域 ------公司

域控制器 ------公司制度(更形象的是公司大門(mén)的門(mén)禁系統(tǒng)）

計(jì)算機(jī) ------每個(gè)人

工作組 -------沒(méi)有門(mén)禁系統(tǒng)的公司

“自由”的工作組

工作組（Work Group）就是將不同的電腦按功能分別列入不同的組中，以方便管理。比如在一個(gè)網(wǎng)絡(luò)內(nèi)，可能有成百上千臺(tái)工作電腦，如果這些電腦不進(jìn)行分組，都列在“網(wǎng)上鄰居”內(nèi)，可想而知會(huì)有多么亂（恐怕網(wǎng)絡(luò)鄰居也會(huì)顯示“下一頁(yè)”吧）。為了解決這一問(wèn)題，Windows 9x/NT/2000才引用了“工作組”這個(gè)概念，比如一所高校，會(huì)分為諸如數(shù)學(xué)系、中文系之類的，然后數(shù)學(xué)系的電腦全都列入數(shù)學(xué)系的工作組中，中文系的電腦全部都列入到中文系的工作組中……如果你要訪問(wèn)某個(gè)系別的資源，就在“網(wǎng)上鄰居”里找到那個(gè)系的工作組名，雙擊就可以看到那個(gè)系別的電腦了。

那么怎么樣才能加入到工作組中呢？其實(shí)方法很簡(jiǎn)單，只需要右擊Windows 桌面上的“網(wǎng)上鄰居”，在彈出的菜單出選擇“屬性”，點(diǎn)擊“標(biāo)識(shí)”，在“計(jì)算機(jī)名”一欄中添入你想好的名字，在“工作組”一欄中添入你想加入的工作組名稱。如果你輸入的工作組名稱是一個(gè)不存在的工作組，那么就相當(dāng)于新建一個(gè)工作組，當(dāng)然也只有你自己的電腦在里面。不過(guò)要注意，計(jì)算機(jī)名和工作組的長(zhǎng)度都不能超過(guò)15個(gè)英文字符，可以輸入漢字，但是也不能超過(guò)7個(gè)漢字。“計(jì)算機(jī)說(shuō)明”是附加信息，不填也可以，但是最好填上一些這臺(tái)電腦主人的信息，如“數(shù)學(xué)系主機(jī)”等。單擊“確定”按鈕后，Windows 98提示需要重新啟動(dòng)，按要求重新啟動(dòng)之后，再進(jìn)入“網(wǎng)上鄰居”，就可以看到你所在工作組的成員了。

相對(duì)而言，所處在同一個(gè)工作組內(nèi)部成員相互交換信息的頻率最高，所以你一進(jìn)入“網(wǎng)上鄰居”，首先看到的是你所在工作組的成員。如果要訪問(wèn)其他工作組的成員，需要雙擊“整個(gè)網(wǎng)絡(luò)”，然后你才會(huì)看到網(wǎng)絡(luò)上其他的工作組，雙擊其他工作組的名稱，這樣你才可以看到里面的成員，與之實(shí)現(xiàn)資源交換。

除此之外，你也可以退出某個(gè)工作組，方法也很簡(jiǎn)單，只要將工作組名稱改變一下即可。不過(guò)這樣在網(wǎng)上別人照樣可以訪問(wèn)你的共享資源，只不過(guò)換了一個(gè)工作組而已。也就是說(shuō)，你可以隨便加入同一網(wǎng)絡(luò)上的任何工作組，也可以隨時(shí)離開(kāi)一個(gè)工作組?！肮ぷ鹘M”就像一個(gè)自由加入和退出的俱樂(lè)部一樣。它本身的作用僅僅是提供一個(gè)“房間”，以方便網(wǎng)上計(jì)算機(jī)共享資源的瀏覽。

域的管理和設(shè)置

打個(gè)比方，如果說(shuō)工作組是“免費(fèi)的旅店”那么域（Domain ）就是“星級(jí)的賓館”；工作組可以隨便出出進(jìn)進(jìn)，而域則需要嚴(yán)格控制?！坝颉钡恼嬲x指的是服務(wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組合。一提到組合，勢(shì)必需要嚴(yán)格的控制。所以實(shí)行嚴(yán)格的管理對(duì)網(wǎng)絡(luò)安全是非常必要的。在對(duì)等網(wǎng)模式下，任何一臺(tái)電腦只要接入網(wǎng)絡(luò)，其他機(jī)器就都可以訪問(wèn)共享資源，如共享上網(wǎng)等。盡管對(duì)等網(wǎng)絡(luò)上的共享文件可以加訪問(wèn)密碼，但是非常容易被破解。在由Windows 9x構(gòu)成的對(duì)等網(wǎng)中，數(shù)據(jù)的傳輸是非常不安全的。

不過(guò)在“域”模式下，至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，相當(dāng)于一個(gè)單位的門(mén)衛(wèi)一樣，稱為“域控制器（Domain Controller，簡(jiǎn)寫(xiě)為DC ）”。

域控制器中包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的，用戶使用的登錄賬號(hào)是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄。不能登錄，用戶就不能訪問(wèn)服務(wù)器上有權(quán)限保護(hù)的資源，他只能以對(duì)等網(wǎng)用戶的方式訪問(wèn)Windows 共享出來(lái)的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。

要把一臺(tái)電腦加入域，僅僅使它和服務(wù)器在網(wǎng)上鄰居中能夠相互“看”到是遠(yuǎn)遠(yuǎn)不夠的，必須要由網(wǎng)絡(luò)管理員進(jìn)行相應(yīng)的設(shè)置，把這臺(tái)電腦加入到域中。這樣才能實(shí)現(xiàn)文件的共享。

1． 服務(wù)器端設(shè)置

以系統(tǒng)管理員身份在已經(jīng)設(shè)置好Active Directory（活動(dòng)目錄）的Windows 2000 Server上登錄，選擇“開(kāi)始”菜單中“程序”選項(xiàng)中的“管理工具”，然后再選擇“Active Directory 用戶和計(jì)算機(jī)”，之后在程序界面中右擊“Computers”，在彈出的菜單中單擊“新建”，然后選擇“計(jì)算機(jī)”，之后填入想要加入域的計(jì)算機(jī)名即可。要加入域的計(jì)算機(jī)名最好為英文，中文計(jì)算機(jī)名可能會(huì)引起一些問(wèn)題。

2． 客戶端設(shè)置

首先要確認(rèn)計(jì)算機(jī)名稱是否正確，然后在桌面“網(wǎng)上鄰居”上右擊鼠標(biāo)，點(diǎn)擊“屬性”出現(xiàn)網(wǎng)絡(luò)屬性設(shè)置窗口，確認(rèn)“主網(wǎng)絡(luò)登錄”為“Microsoft網(wǎng)絡(luò)用戶”。選中窗口上方的“Microsoft網(wǎng)絡(luò)用戶”（如果沒(méi)有此項(xiàng)，說(shuō)明沒(méi)有安裝，點(diǎn)擊“添加”安裝“Microsoft網(wǎng)絡(luò)用戶”選項(xiàng)）。點(diǎn)擊“屬性”按鈕，出現(xiàn)“Microsoft網(wǎng)絡(luò)用戶屬性”對(duì)話框，選中“登錄到Windows NT域”復(fù)選框，在“Windows NT域”中輸入要登錄的域名即可。這時(shí)，如果是Windows 98操作系統(tǒng)的話，系統(tǒng)會(huì)提示需要重新啟動(dòng)計(jì)算機(jī)，重新啟動(dòng)計(jì)算機(jī)之后，會(huì)出現(xiàn)一個(gè)登錄對(duì)話框。在輸入正確的域用戶賬號(hào)、密碼以及登錄域之后，就可以使用Windows 2000 Server域中的資源了。請(qǐng)注意，這里的域用戶賬號(hào)和密碼，必須是網(wǎng)絡(luò)管理員為用戶建的那個(gè)賬號(hào)和密碼，而不是由本機(jī)用戶自己創(chuàng)建的賬號(hào)和密碼。如果沒(méi)有將計(jì)算機(jī)加入到域中，或者登錄的域名、用戶名、密碼有一項(xiàng)不正確，都會(huì)出現(xiàn)錯(cuò)誤信息

對(duì)多用戶管理缺乏層次

某市某供電局，有員工200人左右和12個(gè)業(yè)務(wù)或支撐部門(mén)。為了滿足公司未來(lái)發(fā)展和日常運(yùn)營(yíng)管理的安全需求，公司決定重新部署企業(yè)網(wǎng)絡(luò)。公司計(jì)劃部署一個(gè)由200臺(tái)計(jì)算機(jī)組成的局域網(wǎng)，用于完成企業(yè)數(shù)據(jù)通信和資源共享。

公司已有一個(gè)局域網(wǎng)，運(yùn)行200臺(tái)計(jì)算機(jī)，服務(wù)器操作系統(tǒng)是Windows Server 2003，客戶端的操作系統(tǒng)是Windows XP ，工作在工作組模式下，員工一人一機(jī)辦公。公司從ISP 申請(qǐng)100M 專線，采用代理方式上網(wǎng)。由于計(jì)算機(jī)比較多，管理上缺乏層次，公司希望能夠利用Windows 域環(huán)境管理所有網(wǎng)絡(luò)資源，提高辦公效率，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全，規(guī)范計(jì)算機(jī)使用。

按單域規(guī)劃辦公網(wǎng)絡(luò)

要組建Windows 辦公網(wǎng)絡(luò)，首先要規(guī)劃IP 地址，然后再根據(jù)域環(huán)境決定是采用單域還是多域結(jié)構(gòu)，最后考慮賬戶、文件和打印服務(wù)等內(nèi)容。

規(guī)劃IP 地址 本項(xiàng)目中IP 地址采用192 . 168 . 0 . 0/24網(wǎng)段。 計(jì)算機(jī)默認(rèn)網(wǎng)關(guān)為 192 . 168 . 0 . 1～192 . 168 . 0 . 10之間的IP ，客戶機(jī)占用192 . 168 . 0 . 11以上的IP 。

規(guī)劃域 根據(jù)網(wǎng)絡(luò)規(guī)模、集中管理與結(jié)構(gòu)簡(jiǎn)單原則，公司決定采用單域結(jié)構(gòu)，域名為angerfire . cn 。與多域結(jié)構(gòu)相比，它能實(shí)現(xiàn)網(wǎng)絡(luò)資源集中管理并保障管理上的簡(jiǎn)單性和低成本。在域內(nèi)按照部門(mén)名稱劃分組織單位(OU)，分別是運(yùn)行科、保護(hù)科、變配電科、巡檢科、人力資源科、招標(biāo)辦公室、對(duì)標(biāo)辦公室、財(cái)務(wù)辦公室、工程部、搶險(xiǎn)辦公室、工會(huì)和局長(zhǎng)辦公室(見(jiàn)表1) ，用于存儲(chǔ)和管理各部門(mén)的用戶資源。整個(gè)域結(jié)構(gòu)與公司管理結(jié)構(gòu)相匹配，可以實(shí)現(xiàn)網(wǎng)絡(luò)資源的層次管理。域控制器作為整個(gè)域的核心服務(wù)器，完成對(duì)公司所有員工的賬戶管理和安全策略的實(shí)施。

規(guī)劃用戶賬戶和組 在各部門(mén)的OU 中分別為該部門(mén)員工創(chuàng)建唯一的域用戶賬戶，并要求域用戶賬戶在首次登錄時(shí)更改密碼。密碼最小長(zhǎng)度為8位，并且符合復(fù)雜性要求。為每個(gè)部門(mén)創(chuàng)建全局組，并將同部門(mén)的員工賬戶分別加入各部門(mén)的全局組。

規(guī)劃文件服務(wù)器 通過(guò)一臺(tái)專用文件服務(wù)器存儲(chǔ)公共文件以及員工的工作文檔。文件服務(wù)器的C 盤(pán)容量為10GB(安裝操作系統(tǒng)和軟件) ，D 盤(pán)容量大于100GB ，并采用NTFS 文件系統(tǒng)。在D 盤(pán)的一個(gè)名為software 的文件夾中存放公共文件，如常用軟件、規(guī)章制度等。另一個(gè)名為share 的文件夾存放部門(mén)和員工的工作文檔。

在D:share下為每個(gè)部門(mén)建立文件夾，部門(mén)文件夾下創(chuàng)建每個(gè)員工的文件夾，并為每個(gè)用戶配置共享權(quán)限和NTFS 權(quán)限，保障文件只被授權(quán)的用戶訪問(wèn)(見(jiàn)表2) 。權(quán)限的配置應(yīng)遵循AGDLP 規(guī)則，避免直接為用戶授權(quán)，除非該文件夾只有一個(gè)員工訪問(wèn)。

在文件服務(wù)器上，普通員工最大使用空間為100MB ，部門(mén)經(jīng)理的最大使用空間為1000MB ，總經(jīng)理的最大使用空間不受限制。在文件上傳類型方面，只允許上傳文件后綴為.doc 、.xls 、.ppt 、.wps 、.txt 、.rar 的文件。對(duì)重要的文件夾要制定備份策略，可以采用常規(guī)備份加差異備份的策略，按任務(wù)計(jì)劃自動(dòng)執(zhí)行。

規(guī)劃打印系統(tǒng) 根據(jù)公司需求，需要采購(gòu)4臺(tái)打印設(shè)備(HP Laserjet 1020)。4臺(tái)設(shè)備分別安裝在打印服務(wù)器printsrv1、printsrv2、printsrv3、printsrv4 上，printsrv1供局長(zhǎng)辦公室和財(cái)務(wù)辦公室使用，printsrv2和printsrv3供招標(biāo)辦公室、工程部和工會(huì)使用，printsrv4供對(duì)標(biāo)辦公室、搶險(xiǎn)辦公室和人力資源科使用。局長(zhǎng)、科長(zhǎng)和普通員工的優(yōu)先級(jí)分別規(guī)劃為90、50和1。同時(shí)還要規(guī)劃邏輯打印機(jī)權(quán)限。

規(guī)劃上網(wǎng)方式 公司租用一條100M 專線上網(wǎng)。采用代理服務(wù)器軟件使局域網(wǎng)接入Internet 。防火墻/代理服務(wù)器軟件使用微軟應(yīng)用級(jí)防火墻ISA2006。代理服務(wù)器的專用連接IP 為192 . 168 . 0 . 1，公共連接與100MB 專線連通，IP 地址從ISP 那里動(dòng)態(tài)獲得，啟用的代理協(xié)議是HTTP ，使用域策略完成客戶端的統(tǒng)一配置，實(shí)現(xiàn)共享上網(wǎng)，啟用防火墻策略對(duì)用戶上網(wǎng)行為進(jìn)行監(jiān)控并阻絕一切不適用的網(wǎng)絡(luò)通信。

啟示：遵從法則更重要

目前信息化項(xiàng)目層出不窮，內(nèi)部網(wǎng)絡(luò)的安全規(guī)劃是重中之重。我們通常習(xí)慣性地認(rèn)為安全就要靠防火墻和殺毒軟件。殊不知，這些都是解決表面問(wèn)題的手段。

一個(gè)真正意義上的安全網(wǎng)絡(luò)，首先需要安全強(qiáng)壯的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，其次是基于強(qiáng)壯骨架之上的服務(wù)。而應(yīng)用層的解決方法其實(shí)就在我們所熟知的Windows 域中。在基于域環(huán)境的計(jì)算機(jī)管理手段中，策略是強(qiáng)行管理企業(yè)內(nèi)部網(wǎng)絡(luò)的鋼鐵法則。域環(huán)境之所以強(qiáng)大，之所以安全，也正是由于域的管理模式是基于法則的。

社會(huì)安定需要健全的法律來(lái)支持。而Windows 域環(huán)境正是以法則的方式對(duì)域中的計(jì)算機(jī)和賬戶等資源進(jìn)行集中管理的。