试谈建立与管理帐户(53页)详解：.pptVIP

建立網域 Windows 2000 系統實務 Ch07 建立網域 -1 微軟的企業網路架構裡, 最重要的角色即是『網域』。 許多 Windows 2000的重要功能, 都建立在『網域』上。 AD 服務就是建立在網域的基礎之上 並非 Windows 2000 網路一定只能採取網域的架構 建立網域 -2 規劃 Windows 2000 網路環境時, 可以有『工作群組（Workgroup）』和『網域（Domain）』兩種選擇。 工作群組適合用於小型的網路, 而網域因擁有較優越的管理能力, 適合用於中、大型的網路。 各自為政的網路架構－工作群組 -1 工作群組是泛指一群以網路相連的電腦, 彼此分享對方的資源（如檔案或印表機） 每台電腦的地位皆是平等, 所以也有人把它稱為『對等式』（Peer to Peer）網路 以 Windows 2K所組成的工作群組為例, 不管是伺服器或工作站, 都擁有本機的帳戶資料庫, 唯有登記在資料庫內的使用者, 才能合法使用該電腦上的資源 圖7-2 各自為政的網路架構－工作群組 -2 從網路管理的角度來看, 這樣的架構有 2 個明顯的缺點： 帳戶管理較麻煩 假設網路上有 5 部伺服器和30 名使用者, 總共要建立 150 （5 * 30）筆帳戶資料, 才能讓所有使用者取用每部伺服器的資源。而且, 如果有任何一筆資料需要異動, 得做 5 次修改才行。 只能個別對電腦做安全性設定 例如：系統管理員希望限制使用者的登入時段, 這就必須到每一部伺服器前設定。 中央集權的網路架構－網域 『網域』的基本觀念為, 在網路中挑一部電腦當作『安全控管』伺服器（在 Windows 2000 稱為網域控制站）, 由它專門負責網域的帳戶與安全管理。所有加入網域的電腦, 都以網域控制站的帳戶和安全性設定為準。 拿前面的例子來說, 只要在伺服器中擇一擔任網域控制站, 再將其它的電腦和所有使用者統統加入網域。系統管理員只需維護 35 （30+5）筆帳戶資料（包括電腦及使用者）, 即可讓所有使用者使用全部電腦上的資源。 圖7-4 Windows 95/98 能否加入網域？ 嚴格來說, Windows NT/2000 之外的機器（例如 Windows 95/98）, 不算『加入』網域, 而只是能『連接』到網域。換言之, 雖然使用者能夠利用網域帳戶, 從 Windows 95/98 的電腦登入到網域裡存取資源, 可是這些機器並未受到網域的管轄, 而且在網域控制站上也不會有這些機器的帳戶資料 網域中的電腦角色 網域中的電腦依其功能, 區分為以下 3 種角色： 網域控制站 成員伺服器 工作站 網域控制站 -1 安裝了 Windows 2000 Server, 而且啟用 AD 服務的電腦, 即為網域控制站。 網域控制站在網域中扮演運作核心的地位, 除了特定的網管人員之外, 應限制其它使用者都不允許登入網域控制站, 以防止 AD 資料遭到破壞。 網域控制站 -2 網域控制站主要負責的工作如下： 提供 AD 服務。 儲存與複製 AD 資料庫。 管理網域中的活動, 包括『使用者登入』、『身分驗證』、與『目錄查詢』等等。 成員伺服器 -1 安裝了 Windows 2000 Server, 但是不啟用 AD 服務的電腦；或者是安裝 Windows NT 4.0 Server 的電腦, 都算是成員伺服器 成員伺服器依其提供服務的不同, 可能會被冠上不同的名稱, 例如檔案伺服器、應用程式伺服器、或資料庫伺服器等等。不過它們在網域中的角色都是一樣的, 都需接受網域控制站的控管 成員伺服器 -2 由於這些伺服器同屬網域的成員, 所以審核使用者身份的工作, 都交由網域控制站執行, 只要通過網域控制站的驗證, 即允許使用者登入。 成員伺服器的本機帳戶 成員伺服器上仍保留有本機的帳戶資料庫, 因此使用者也可以利用這些本機帳戶, 登入該伺服器。 對網域的安全管理而言, 成員資料庫上的本機帳戶, 無疑是安全性上的一個漏洞。所以最好是關閉所有成員伺服器上的本機帳戶, 僅允許使用者以網域的帳戶登入, 才有最佳保障 工作站 -1 所有安裝 Windows 2K Professional 或 Windows NT 4.0 Workstation, 而且加入網域的電腦, 都歸類為工作站 工作站可以存取網域中的資源、執行應用程式等。但是, Windows 2K許多新增的功能, 例如 AD 服務、群組原則、軟體發布、DNS 名稱動態更新等, 必須配合 Windows 2000 Professional 工作站才能發揮功效。而 Windows NT 工作站雖然能加入網域, 不過無法享