windows域

域英文叫DOMAIN——域(Domain)是Windows網絡中獨立運行的單位，域之間相互訪問則需要建立信任關係(即Trust Relation)。信任關係是連接在域與域之間的橋樑。當一個域與其他域建立了信任關係後，2個域之間不但可以按需要相互進行管理，還可以跨網分配文件和打印機等設備資源，使不同的域之間實現網絡資源的共享與管理，以及相互通信和數據傳輸。

域既是 Windows 網絡操作系統的邏輯組織單元，也是Internet的邏輯組織單元，在 Windows 網絡操作系統中，域是安全邊界。域管理員只能管理域的內部，除非其他的域顯式地賦予他管理權限，他才能夠訪問或者管理其他的域，每個域都有自己的安全策略，以及它與其他域的安全信任關係。

其實可以把域和工作組聯繫起來理解，在工作組上你一切的設置在本機上進行包括各種策略，用户登錄也是登錄在本機的，密碼是放在本機的數據庫來驗證的。而如果你的計算機加入域的話，各種策略是域控制器統一設定，用户名和密碼也是放到域控制器去驗證，也就是説你的賬號密碼可以在同一域的任何一台計算機登錄。

如果説工作組是“免費的旅店”那麼域（Domain）就是“星級的賓館”；工作組可以隨便出出進進，而域則需要嚴格控制。“域”的真正含義指的是服務器控制網絡上的計算機能否加入的計算機組合。一提到組合，勢必需要嚴格的控制。所以實行嚴格的管理對網絡安全是非常必要的。在對等網模式下，任何一台電腦只要接入網絡，其他機器就都可以訪問共享資源，如共享上網等。儘管對等網絡上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構成的對等網中，數據的傳輸是非常不安全的 ^[1]  。

不過在“域”模式下，至少有一台服務器負責每一台聯入網絡的電腦和用户的驗證工作，相當於一個單位的門衞一樣，稱為“域控制器（Domain Controller，簡寫為DC）”。

域控制器中包含了由這個域的賬户、密碼、屬於這個域的計算機等信息構成的數據庫。當電腦聯入網絡時，域控制器首先要鑑別這台電腦是否是屬於這個域的，用户使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那麼域控制器就會拒絕這個用户從這台電腦登錄。不能登錄，用户就不能訪問服務器上有權限保護的資源，他只能以對等網用户的方式訪問Windows共享出來的資源，這樣就在一定程度上保護了網絡上的資源。

要把一台電腦加入域，僅僅使它和服務器在網上鄰居中能夠相互“看”到是遠遠不夠的，必須要由網絡管理員進行相應的設置，把這台電腦加入到域中。這樣才能實現文件的共享，集中統一，便於管理。

計算機可以通過LAN，WAN或使用VPN連接連接到域。域的用户能夠為其VPN連接使用增強的安全性，因為支持在將域添加到網絡時獲得的證書頒發機構，因此，可以使用智能卡和數字證書來確認身份並保護存儲的信息。

在Windows域中，該目錄駐留在配置為“域控制器”的計算機上。域控制器是Windows或Samba服務器，它管理用户和域交互之間的所有安全相關方面，集中安全性和管理。域控制器通常適用於具有10台以上PC的網絡。域是計算機的邏輯分組。域中的計算機可以在小型LAN上共享物理接近度，或者它們可以位於世界的不同部分。只要他們能夠溝通，他們的實際位置就無關緊要了 ^[2]  。

在運行Windows操作系統的PC必須集成到包含非Windows PC的域中的情況下，免費軟件包Samba是一種合適的替代方案。無論使用哪個包來控制它，數據庫都包含該域中資源的用户帳户和安全信息。

可以根據位置，組織結構或其他因素將Active Directory域內的計算機分配到組織單位中。在原始Windows Server域系統（Windows NT3.x / 4附帶）中，只能從管理工具中以兩種狀態查看計算機;檢測到的計算機（在網絡上）和實際屬於該域的計算機。Active Directory使管理員可以更輕鬆地管理和部署網絡更改和策略（請參閲組策略）到連接到域的所有計算機。

相比之下，Windows Workgroups是另一種模型，用於在Windows附帶的網絡環境中對運行Windows的計算機進行分組。工作組計算機被認為是“獨立的” - 即工作組沒有形成正式的成員身份或身份驗證過程。工作組沒有服務器和客户端，因此代表了對等（或客户端到客户端）網絡範例，而不是由Server-Client構成的集中式體系結構。工作組被認為難以管理超過十二個客户端，並且缺乏單點登錄，可擴展性，彈性/災難恢復功能以及許多安全功能。Windows Workgroups更適合小型或家庭辦公網絡。

如果企業網絡中計算機和用户數量較多時，要實現高效管理，就需要windows域。

要建立域進行管理，首先需安裝域控制器（dc），dc上存儲着域中的信息資源，如名稱、位置和特性描述等信息。通過在一台服務器上安裝活動目錄（AD），就會將這台計算機安裝成dc。

安裝條件

1安裝者必須具有本地管理員的權限。

2操作系統版本必須滿足條件（Windows server2003除web以外的所有都滿足）。

3本地磁盤必須有一個NTFS文件系統

4有TCP/IP設置

5有相應的DNS服務器支持

6有足夠的可用空間

安裝活動目錄（AD）步驟

1.打開ad開始--運行輸入dcpromo

2.是否創建新域。dc有兩種新域的域控和現有域的額外域控制器。一般選擇新域的域控。

3.新域的DNS全名。

4.新域的NetBIOS名。下一步

5.數據庫和日誌文件夾。為了優化性能，可以將數據庫和日誌放在不同的硬盤上。該文件夾不一定在NTFS分區。如果本計算機是域的第一台域控，則sam數據庫就會升級到C:\windows\ntds\ntds.dit，本地用户賬户變成域用户賬户。

6.共享的系統卷。共享系統卷SYSVOL文件夾存放的位置必須是NTFS文件系統。

7.DNS註冊診斷。AD需要DNS服務支持。選第二項，下一步。

8.域兼容性。如果網絡中不存在Windows server 2003 以前版本的域控制器，就選第二項。如果存在選第一項。

9.還原模式密碼。目錄服務還原模式的管理員密碼，是在目錄服務還原模式下登錄系統時使用。由於目錄服務還原模式下，所有的域賬户用户都不能使用，只有使用這個還原模式管理員賬户登錄。

10.安裝完成後需重啓計算機。

前面講解了怎樣創建windows域，接下來完善一下，講解怎樣將計算機加入域。 在安裝完AD後，需要將其它的服務器和客户計算機加入到域中。一般情況下，在從客户計算機加入域時，會在域中自動創建計算機賬號。不過，用户必須在本地客户計算機上擁有管理權限才能將其加入到域中。在加入域之前，首先檢查客户機的網絡配置：1.確保網絡上物理連通 2.設置IP地址 3.檢查客户機到服務器是否連通 4.配置客户機的首選DNS服務器（通常為第一台DC的IP） 在客户端計算機系統屬性中的“計算機名”選項卡里，單擊更改按鈕可以打開計算機加入域的對話框，選中域後，輸入正確的域名，然後再根據提示輸入具有加入域權限的用户名和密碼即可。 這樣就OK了！將客户機加入域，就可以在客户機上，使用域賬户加入到域，也可以使用客户機的本地用户賬户登錄到域。 前面一直提到DNS，下面講解DNS在域中的作用。 DNS在域中有兩個作用：域名的命名採用DNS的標準、定位DC。 1、域名的命名採用DNS標準。遵循DNS分佈式、等級結構的標準。這體現了辦公網絡與Internet集成的理念。 2、客户機如何定位DC。當域用户賬户登陸時或者查找活動目錄時，首先要定位DC，這需要DNS服務器支持，主要步驟： 1）客户機發送DNS查詢請求給DNS服務器。 2）DNS服務器查詢匹配的SRV資源記錄。 3）DNS服務器返回相關DC的ip地址列表給客户機。 4）客户機聯繫到DC 5）DC響應客户機的請求 DNS在活動目錄中為什麼能起到定位DC的作用哪？ 主要靠域的DNS區域中的SRV資源記錄。開始--程序--管理工具--DNS，打開DNS管理器，就是SRV資源記錄。

工作組是一羣計算機的集合，它僅僅是一個邏輯的集合，各自計算機還是各自管理的，你要訪問其中的計算機，還是要到被訪問計算機上來實現用户驗證的。而域不同，域是一個有安全邊界的計算機集合，在同一個域中的計算機彼此之間已經建立了信任關係，在域內訪問其他機器，不再需要被訪問機器的許可了。為什麼是這樣的呢？因為在加入域的時候，管理員為每個計算機在域中（可和用户不在同一域中）建立了一個計算機帳户，這個帳户和用户帳户一樣，也有密碼保護的。可是大家要問了，我沒有輸入過什麼密碼啊，是的，你確實沒有輸入，計算機帳户的密碼不叫密碼，在域中稱為登錄憑據，它是由2000的DC（域控制器）上的KDC服務來頒發和維護的。為了保證系統的安全，KDC服務每30天會自動更新一次所有的憑據，並把上次使用的憑據記錄下來。週而復始。也就是説服務器始終保存着2個憑據，其有效時間是60天，60天后，上次使用的憑據就會被系統丟棄。如果你的GHOST備份裏帶有的憑據是60天的，那麼該計算機將不能被KDC服務驗證，從而系統將禁止在這個計算機上的任何訪問請求（包括登錄），解決的方法呢，簡單的方法使將計算機脱離域並重新加入，KDC服務會重新設置這一憑據。或者使用2000資源包裏的NETDOM命令強制重新設置安全憑據。因此在有域的環境下，請儘量不要在計算機加入域後使用GHOST備份系統分區，如果作了，請在恢復時確認備份是在60天內作的，如果超出，就最好聯繫你的系統管理員，你可以需要管理員重新設置計算機安全憑據，否則你將不能登錄域環境。

域和工作組適用的環境不同，域一般是用在比較大的網絡裏，工作組則較小，在一個域中需要一台類似服務器的計算機，叫域控服務器，其他電腦如果想互相訪問首先都是經過它的，但是工作組則不同，在一個工作組裏的所有計算機都是對等的，也就是沒有服務器和客户機之分的，但是和域一樣，如果一台計算機想訪問其他計算機的話首先也要找到這個組中的一台類似組控服務器，組控服務器不是固定的，以選舉的方式實現，它存儲着這個組的相關信息，找到這台計算機後得到組的信息然後訪問。