域管理培训教材.docVIP

域管理系统 3- PAGE 12 基本概念介绍 域和工作组 域和工作组是针对网络环境中的两种不同的网络资源管理模式。 在一个网络内，可能有成百上千台电脑，如果这些电脑不进行分组，都列在“网上邻居”内，可想而知会有多么乱。为了解决这一问题，Windows 9x/NT/2000就引用了“工作组”这个概念，将不同的电脑一般按功能分别列入不同的组中，如财务部的电脑都列入“财务部”工作组中，人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源，就在“网上邻居”里找到那个部门的工作组名，双击就可以看到那个部门的电脑了。 在对等网模式（PEER-TO-PEER）下，任何一台电脑只要接入网络，就可以访问共享资源，如共享打印机、文件、ISDN上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据是非常不安全的。一般来说，同一个工作组内部成员相互交换信息的频率最高，所以你一进入“网上邻居”，首先看到的是你所在工作组的成员。如果要访问其他工作组的成员，需要双击“整个网络”，就会看到网络上所有的工作组，双击工作组名称，就会看到里面的成员。 你也可以退出某个工作组，只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组，也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网络上计算机共享资源的浏览。 与工作组的“松散会员制”有所不同，“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。 在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器(Domain Controller，简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确，域控制器就拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，只能以对等网用户的方式访问Windows共享出来的资源，这样就一定程度上保护了网络上的资源。 域其实就是一个安全的边界。它的存在主要是便于管理大型的网络的，可以进行统一的管理，如统一发布组策略，统一安装某种应用软件等等，并且域中的用户在登陆的时候，身份验证的过程是在域控制器上完成的。 而工作组只适应于小型的网络。如果电脑比较多的话，那么工作组管理起来就极为不方便。因为每台电脑上面都有自己的安全账户数据库，所以身份验证过程必须在本地进行，如果你要是想登陆工作组中其他的电脑上面，你必须在那台电脑上面有你的用户账户才行。 活动目录 活动目录包括两方面：目录和目录相关的服务。目录是存储各种对象的一个物理上的容器，包含了有关各种对象如用户、用户组、计算机、域、文件、打印机、组织单位（OU）以及安全策略等资源的信息。这些信息可以被发布出来，以供用户和管理员的使用。而目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应用管理。活动目录提供了一种管理组成网络环境的各种对象的标志和关系的方法。 目录存储在被称为域控制器的服务器上，并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制，而且所有的域控制器都拥有目录的一个可写副本，所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。 普遍用户和系统通过活动目录查找网络资源，管理人员通过活动目录创建和发布资源信息及实施网络管理。 通过活动目录可实施网络的集中管理、控制用户的工作环境、或委派管理控制，实行分散管理。 活动目录对象 对象是活动目录中的信息实体，也即我们通常所见的“属性”，但它是一组属性的集合，往往代表了有形的实体，比如用户账户、 文件名等。对象通过属性描述它的基本特征，比如，一个用户账号的属性中可能包括用户姓名、 电话号码、电子邮件地址和家庭住址等。 容器 （Container） 容器是活动目录名字空间的一部分，与目录对象一样，它也有属性，但与目录对象不同的是，它不代表有形的实体，而是代表存放对象的空间，因为它仅代表存放一个对象的空间，所以它比名字空间小。比如一个用户，它是一个对象，但这个对象的容器就仅