域

域英文叫DOMAIN (a set of websites on the Internet which end with the same group of letters,for exemple'.com','org'-------《牛津高階英漢雙解詞典》）。

域（Domain）是Windows網絡中獨立運行的單位，域之間相互訪問則需要建立信任關係（即Trust Relation）。信任關係是連接在域與域之間的橋樑。當一個域與其他域建立了信任關係後，2個域之間不但可以按需要相互進行管理，還可以跨網分配文件和打印機等設備資源，使不同的域之間實現網絡資源的共享與管理。

域既是 Windows 網絡操作系統的邏輯 ^[2]  組織單元，也是Internet的邏輯組織單元，在 Windows 網絡操作系統中，域是安全邊界。域管理員只能管理域的內部，除非其他的域顯式地賦予他管理權限，他才能夠訪問或者管理其他的域；每個域都有自己的安全策略，以及它與其他域的安全信任關係。

域是一種管理邊界，用於一組計算機共享共用的安全數據庫，域實際上就是一組服務器和工作站的集合。

域在文件系統中，有時也稱做“字段”，是指數據中不可再分的基本單元。一個域包含一個值。如學生的名字等。可以通過數據類型（如二進制、字符、字符串等）和長度（佔用的字節數）兩個屬性對其進行描述。

域，在WORD文檔中是一種可以發生變化的數據。他在頁面視圖中，與一般的文本看不出有什麼區別，但是，當光標移入域中，就會發現，整體域的底紋顏色變成灰色（約灰色-30%）。

域

域就是PowerDesigner中的數據類型模板 。

實際上我們可以把域和 ^[3]  工作組聯繫起來理解，在工作組上你一切的設置在本機上進行包括各種策略，用户登錄也是登錄在本機的，密碼是放在本機的數據庫來驗證的。而如果你的計算機加入域的話，各種策略是域控制器統一設定，用户名和密碼也是放到域控制器去驗證，也就是説你的賬號密碼可以在同一域的任何一台計算機登錄。

如果説工作組是“免費的旅店”那麼域（Domain）就是“星級的賓館”；工作組可以隨便出出進進，而域則需要嚴格控制。“域”的真正含義指的是服務器控制網絡上的計算機能否加入的計算機組合。一提到組合，勢必需要嚴格的控制。所以實行嚴格的管理對網絡安全是非常必要的。在對等網模式下，任何一台電腦只要接入網絡，其他機器就都可以訪問共享資源，如共享上網等。儘管對等網絡上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構成的對等網中，數據的傳輸是非常不安全的。

工作組是一羣計算機的集合，它僅僅是一個邏輯的集合，各自計算機還是各自管理的，你要訪問其中的計算機，還是要到被訪問計算機上來實現用户驗證的。而域不同，域是一個有安全邊界的計算機集合，在同一個域中的計算機彼此之間已經建立了信任關係，在域內訪問其他機器，不再需要被訪問機器的許可了。

為什麼是這樣的呢？因為在加入域的時候，管理員為每個計算機在域中（可和用户不在同一域中）建立了一個計算機帳户，這個帳户和用户帳户一樣，也有密碼保護的。可是大家要問了，我沒有輸入過什麼密碼啊，是的，你確實沒有輸入，計算機帳户的密碼不叫密碼，在域中稱為登錄票據，它是由2000的DC（域控制器）上的KDC服務來頒發和維護的。

為了保證系統的安全，KDC服務每30天會自動更新一次所有的票據，並把上次使用的票據記錄下來。週而復始。也就是説服務器始終保存着2個票據，其有效時間是60天，60天后，上次使用的票據就會被系統丟棄。如果你的GHOST備份裏帶有的票據是60天的，那麼該計算機將不能被KDC服務驗證，從而系統將禁止在這個計算機上的任何訪問請求（包括登錄），解決的方法呢，簡單的方法是將計算機脱離域並重新加入，KDC服務會重新設置這一票據。或者使用2000資源包裏的NETDOM命令強制重新設置安全票據。因此在有域的環境下，請儘量不要在計算機加入域後使用GHOST備份系統分區，如果作了，請在恢復時確認備份是在60天內作的，如果超出，就最好聯繫你的系統管理員，你可以需要管理員重新設置計算機安全票據，否則你將不能登錄域環境。

如果企業網絡中計算機和用户數量較多時，要實現高效管理，就需要windows域。

不過在“域”模式下，至少有一台服務器負責每一台聯入網絡的電腦和用户的驗證工作，相當於一個單位的門衞一樣，稱為“域控制器（Domain Controller，簡寫為DC）”。

域控制器中包含了由這個域的賬户、密碼、屬於這個域的計算機等信息構成的數據庫。當電腦聯入網絡時，域控制器首先要鑑別這台電腦是否是屬於這個域的，用户使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那麼域控制器就會拒絕這個用户從這台電腦登錄。不能登錄，用户就不能訪問服務器上有權限保護的資源，他只能以對等網用户的方式訪問Windows共享出來的資源，這樣就在一定程度上保護了網絡上的資源。

要把一台電腦加入域，僅僅使它和服務器在網上鄰居中能夠相互“看”到是遠遠不夠的，必須要由網絡管理員進行相應的設置，把這台電腦加入到域中。這樣才能實現文件的共享。集中統一，便於管理。

要建立域進行管理，首先需安裝域控制器（dc），dc上存儲着域中的信息資源，如名稱、位置和特性描述等信息。通過在一台服務器上安裝活動目錄（AD），就會將這台計算機安裝成dc。

1、安裝者必須具有本地管理員的權限。

2、操作系統版本必須滿足條件（Windows server2003除web以外的所有都滿足）。

3、本地磁盤必須有一個NTFS文件系統。

4、有TCP/IP設置。

5、有相應的DNS服務器支持。

6、有足夠的可用空間。

1.打開ad開始--運行輸入dcpromo。

2.是否創建新域。dc有兩種新域的域控和現有域的額外域控制器。一般選擇新域的域控。

3.新域的DNS全名。

4.新域的NetBIOS名。下一步。

5.數據庫和日誌文件夾。為了優化性能，可以將數據庫和日誌放在不同的硬盤上。該文件夾不一定在NTFS分區。如果本計算機是域的第一台域控，則sam數據庫就會升級到C:\windows\ntds\ntds.dit，本地用户賬户變成域用户賬户。

6.共享的系統卷。共享系統卷SYSVOL文件夾存放的位置必須是NTFS文件系統。

7.DNS註冊診斷。AD需要DNS服務支持。選第二項，下一步。

8.域兼容性。如果網絡中不存在Windows server 2003 以前版本的域控制器，就選第二項。如果存在選第一項。

9.還原模式密碼。目錄服務還原模式的管理員密碼，是在目錄服務還原模式下登錄系統時使用。由於目錄服務還原模式下，所有的域賬户用户都不能使用，只有使用這個還原模式管理員賬户登錄。

10.安裝完成後需重啓計算機。

前面講解了怎樣創建windows域，接下來完善一下，講解怎樣將計算機加入域。 在安裝完AD後，需要將其它的服務器和客户計算機加入到域中。一般情況下，在從客户計算機加入域時，會在域中自動創建計算機賬號。不過，用户必須在本地客户計算機上擁有管理權限才能將其加入到域中。在加入域之前，首先檢查客户機的網絡配置：

1.確保網絡上物理連通 。 2.設置IP地址。 3.檢查客户機到服務器是否連通。 4.配置客户機的首選DNS服務器（通常為第一台DC的IP） 在客户端計算機系統屬性中的“計算機名”選項卡里，單擊更改按鈕可以打開計算機加入域的對話框，選中域後，輸入正確的域名，然後再根據提示輸入具有加入域權限的用户名和密碼即可。 這樣就OK了！ 將客户機加入域，就可以在客户機上，使用域賬户加入到域，也可以使用客户機的本地用户賬户登錄到域。 前面一直提到DNS，下面講解DNS在域中的作用。 DNS在域中有兩個作用：域名的命名採用DNS的標準、定位DC。

1、域名的命名採用DNS標準。遵循DNS分佈式、等級結構的標準。這體現了辦公網絡與Internet集成的理念。

2、客户機如何定位DC。當域用户賬户登陸時或者查找活動目錄時，首先要定位DC，這需要DNS服務器支持，主要步驟： 1）客户機發送DNS查詢請求給DNS服務器。 2）DNS服務器查詢匹配的SRV資源記錄。 3）DNS服務器返回相關DC的ip地址列表給客户機。 4）客户機聯繫到DC 5）DC響應客户機的請求 DNS在活動目錄中為什麼能起到定位DC的作用哪？ 主要靠域的DNS區域中的SPV資源記錄。開始--程序--管理工具--DNS，打開DNS管理器，就是SRV資源記錄。

Domain：網絡術語

Internet地址的主要子部分，位於最後一個圓點之後。在美國標準的域如下所示：

域　意義

.com　Commercial（商業組織）

.cn China (中國域名)

.edu　Educational（教育機構）

.gov　Government（政府部門）

.mil　Military（軍事部門）

.org　Non-Profit organization（非盈利組織）

.net　Network（主要網絡支持中心）

在美國之外，最高層域通常是國家域，例如.cn 代表中國（china）等等。

Matlab 中的語言“域”