域管理一些基础知识.doc

基本概念介绍 域和工作组 域和工作组是环境中的两种不同的网络资源管理模式。在一个网络内，可能有成百上千台电脑，如果这些电脑不进行分组，都列在“网上邻居”内，可想而知会有多么乱。为了解决这一问题，Windows 9x/NT/2000就引用了“工作组”这个概念，将不同的电脑一般按功能分别列入不同的组中，如财务部的电脑都列入“财务部”工作组中，人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源，就在“网上邻居”里找到那个部门的工作组名，双击就可以看到那个部门的电脑了。在对等网模式下，任何一台电脑只要接入网络，就可以访问共享资源，如共享ISDN上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据是非常不安全的。一般来说，同一个工作组内部成员相互交换信息的频率最高，所以你一进入“网上邻居”，首先看到的是你所在工作组的成员。如果要访问其他工作组的成员，需要双击“整个网络”，就会看到网络上所有的工作组，双击工作组名称，就会看到里面的成员。你也可以退出某个工作组，只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组，也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网上计算机共享资源的浏览。与工作组的“松散会员制”有所不同，“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器(Domain Controller，简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确，域控制器就拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，只能以对等网用户的方式访问Windows共享出来的资源，这样就一定程度上保护了网络上的资源。活动目录包括两方面：目录和目录相关的服务。目录是存储各种对象的一个物理上的容器，文件打印机等资源而目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应用管理。提供了一种管理组成网络环境的各种对象的标志和关系的方法。）））Windows所独有的，但活动目录可以贯穿一个或多个域。在独立的计算机上，域即指计算机本身，一个域可以分布在多个物理位置上，同时一个物理位置又可以划分不同网段为不同的域，每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后，活动目录可以被多个信任域共享。 域是活动目录逻辑结构的核心单元，是一个计算机的集合，它们共享相同的目录数据库。在Windows的网络里，域定义了安全界限。目录包含一个或多个域，每个域均有自己的安全策略以及与其它域的信任关系。域的管理员有权限执行域内的管理。域也是复制的单元，所有域的控制器在域里都分担了复制，包含了整个域的目录信息的一个复制。活动目录采用了一个多主机的复制模式，特定域中的所有域控制器均可接收更改内容并将这些内容复制到域中的所有其它域控制器中。 最容易管理的域结构就是单域。在企业里第一个产生的Windows 2000域称为根域（root domain），包含了整个森林的配置和结构信息。在作域规划时，应从单域开始，并且只有在单域模式不能满足要求时，才增加其它的域。一个域可跨越多个站点并且包含数百万个对象。站点结构和域结构互相独立而且非常灵活。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。如果只是反映公司的部门组织结构，则不必创建独立的域树。在一个域中，可以使用组织单元来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。在下面的原因可以考虑创建多个域： 部门之间不同的安全要求 大量的对象 不同的 Internet 域名 对复制进行更多的控制 分散的网络管理 组织单元 （Organization Unit，简称OU）Ou以组织企业的网络资源。把网络资源组织为逻辑的层次结构以最好地满足管理的需要。 在组织单元上给用户或组委派管理权限，以反映公司的管理和安全政策，并可减少网络管理员的工作负担和满足实际情况。 域控制器 （Domain Controller，简称DC） 域控制器是使用活动目录安装向导配置的Windows Server 的计算机。活动目录安装向导安装和配置为网络用户和计算机