工作组和域的优缺点
公司现状分析及建议方案
在分析公司现状之前,我们需要对局域网资源管理的两种模式:工作组和域的概念,各自的主要特点,各自的优缺点来综合的了解一下。
一、工作组
1.工作组的概念:
工作组(WorkGroup)网络是对等(peer-to-peer,P2P)网络技术在局域网(P2P网络更主要应用于广域网中)中的应用,是根据用户自定义的分组特点(如不同部门、不同爱好、不同操作系统类型等)把网络中的许多用户计算机分门别类地纳入到不同工作组中的。划分工作组的主要目的主要是为了便于浏览、查找,另外还方便于管理员对用户计算机的管理。
2.工作组的主要特点:
⑴.工作组主机间是平等的
工作组网络既然是“对等网”,从其名称中的“对等”两个字就可以看出来,对等网中的各主机都是对等的,地位平等,没有管理和被管理之分。在网络应用中,各主机既可以当作服务器,为其他主机提供访问服务,也可以当作客户机,访问其他主机。
⑵.管理和安全边界为各成员计算机
正因工作组网络中各主机是平等,互不干涉的,管理和安全边界就是工作组中各成员计算机,工作组本身不是管理和安全边界,不能直接针对工作组来进行管理和安全策略配置。在工作组网络中,主机之间的访问就需要访问方(在此估且称之为“客户机”)使用在被访问方(在此估且称之为“服务器”)上配置了的用户账户和密码,通过身份验证后才能访问。因为在工作组网络中,只有本地账户才可以访问自己的主机,不能输入本机以外的任何用户账户来访问本机(当然,可能有两台或两台以上主机中有相同用户名和密码的用户账户)。
⑶.在一个工作组网络中可以有多个工作组
在一个对称网中可以有多个工作组。工作组的划分可以是任意的,一般是按部门,或者按工作性质等来划分的。但是要注意的是,工作组不代表安全边界。也就是说,不同工作组之间并没有权限意义上的区别,只是一种便于访问或管理的方式。它与我们现实生活中的“组”有些区别,因为现实生活中的“组”往往会有一个“组长”,负责整个组的管理。但在工作组中并没有一台主机具有管理整个组的权限,只是大家“平等共处”而已。
⑷.不同工作组是可以相互访问的
在一个工作组网络中可以有多个工作组。大家或许会问,不同工作组的主机之间是否可以相互访问呢?这是肯定的,而且就像没有划分多个组,在一个工作组中不同主机间的访问一样简单,也只是需要正确输入对方的用户账户信息即可。当然如果通信双方都启用了默认配置的匿名访问,则也可以不用输入身份验证账户信息。原因就是,工作组不是网络安全边界的一个单位,不能为不同组设置不同的安全级别,也不能像域网络中为不同域设置不同的账户系统和安全策略。
3.工作组的优缺点
优点:
⑴.安全管理简单
这可以说是工作组网络的最大优点。因为在工作组网络中把网络安全边界下放到最终的用户端,外部计算机的访问必须使用本地计算机上合法的用户账户信息,这样一来,工作组网络的安全管理也就是各用户计算机自己的安全管理。而各用户计算机上的用户账户信息一般来说都非常简单,只有少数几个用户账户,只需要对本机(不涉及到其他机上的任何账户)上的少数账户进行适当的安全配置即可,所以在安全管理方面,要较域网络的安全管理容易些。另外,在工作组中,各成员计算机只使用自己计算机上的本地组策略,不会应用其他任
何组策略,安全策略管理更简单。
⑵.网络性能比较高
因为在工作组网络中,除了基本的网络连接和资源共享外,基本上是没有任何额外(如各种全局范围的安全策略和身份认证等)的网络资源消耗,用户登录都是在本机上进行,所以,工作组网络的网络连接性能要远比域网络的网络连接性能强。这也是许多网友反映加入域网络后,登录和网络应用比较慢的根源所在。
缺点:
⑴.网络管理不方便
这可以说是工作组网络的最大缺点。因为工作组网络中,网络管理和安全边界下放到最终的用户端,无论是用户账户,用户账户权限、安全策略等都是分散的,而且各用户计算机上的这些配置都可能不同,管理员很难,甚至无法通过一台机来集中管理工作组网络中的用户账户系统和安全策略系统,给整个网络管理带来混乱;另外对于管理员管理整个网络也一样,要实现对整个网络中的计算机进行管理,就必须在各计算机上配置有相同账户的管理员账户(注意,密码都必须一样),否则每次第一次访问一台计算机时,都提示要求输入用户账户名和密码。如果财贸系统中有一百台,则需要在一百台计算机创建和配置这个相同的用户账户信息,如果有一千台,则要进行一次同样的工作。其工作量是可想而知的。尽管可以直接通过复制用户配置文件来实现,但至少也要复制一千次啊。
⑵.网络公共应用配置比较繁琐
因为工作组网络中的网络访问身份验证是依据各成员计算机的账户系统,所以在一些公共网络应用服务器中的安全配置就显得比较复杂了,要么是网络中各计算机都启用默认的Guest账户(并且全都采用默认的空密码),要么在授权访问的每台计算机配置相同的组或者用户账户,否则就无法进行全面授权。如果启用Guest账户,会给企业网络带来巨大的安全隐患。
二、域
1.域的概念:
域其实是微软借鉴了互联网中的域名技术的,是目前企业局域网中应用最为广泛的一种网络管理模式。简单地说,域是一种基于对象和安全策略的分布式数据库系统。
之所以说是基于对象和安全策略,那就是因为域网络的最大特点就是可以实现用户、计算机等对象账户,以及网络安全策略的集中管理和部署。
所谓“数据库”是指域中的信息(如账户信息、配置信息等)不是以独立文件形式存在,而是以字段信息之类的数据形式存在。我们知道,在微软的域网络中最显著的特点就是引入了“活动目录”(Active Diretory,AD)技术。而AD本身就是一种目录数据库系统。之所以称之为“活动目录”,那是因这在域网络中的目录是始终呈激活可用,动态更新的状态,而不是像普通目录一样静态地使用。这样做的目的就是方便系统中各服务器自身进行的,或者用户操作的查询、更新、同步等,也提高了各服务器间数据复制的性能。
在活动目录数据库中包括了三个表格:
Schema表:这个表中包含了所有可在活动目录创建的对象信息,以及他们之间的相互关系;包括各种类型对象的可选及不可选的各种属性。这个表是活动目录数据库中最小的一个表,但是也是最基础的一个表。
Link 表:Link表包含所有属性的关联,包括活动目录中所有对象的属性的值。一个用户对象的所有属性的类型,包括每个属性的值及用户所属于的组等信息都属于这个表。 Data表:活动目录中用户、组、应用程序特殊数据和其他的数据全部保存在Data 表中。这是活动目录中存储信息最多的一个表,大量的活动目录的资料实际上还是存储在这个表中。
所谓“分布式”就是这种活动目录配置信息数据库系统中的数据可以不是仅来源或者存储在一台计算机上,而且可关联网络中许多相关服务器(如DC、DNS、DHCP服务器等)。
2.工作组的主要特点:
⑴.集中管理
域可以实现对象(包括用户和计算机)和安全策略的集中管理和部署,这是域的最显著特点。域是C/S(客户机/服务器)管理模式在局域网构建中的应用。在域中,有专门用来管理或者提供服务的各种服务器,如用于对象、安全策略管理的各级域控制器(DC)。通过DC中的活动目录(AD)和域组策略就可以对整个网络中的用户账户(包括用户权限、权利)、计算机账户和安全管理策略进行统一管理,统一部署。这样一来,域中各成员计算机的角色并不是平等的,有管理(各服务器)和被管理(各客户机)之分。这是前面工作组网络所无法实现的。
⑵.默认信任
在工作组网络中,由于各用户账户都只是对各自计算机本地有效,所以各成员计算机之间根本没有信任关系,要访问就必须先进行身份验证。而在域中,域用户账户在整个域有效,所以加入了域的计算机都遵守了相同的信任协议,彼此相互信任,只要有域网络中合法的用户账户即可。这也是后面将要介绍的“单点登录”的基础和前提。
⑶.集中存储
这也是域的一大优势和特点。在域中的用户文档或者数据可以集在保存在网络中的一台或者多台相应服务器上。用户文档还可以保存在服务器上为每个用户创建的用户主目录中,并且该目录只有用户自己可以访问,包括网络管理员也不能访问(当然网络管理员可以更改访问权限),极大地保障了各用户私有文档的安全性。同时也方便了网络数据的存储,提高警惕了网络数据存储的安全性。这一点在工作组网络中无法实现,因为即使你可以把数据存储在其他用户计算机中,你的文档同样可以被那台机上的用户所浏览、修改,甚至删除。
⑷.单点登录
在域中,采用的是单点登录(Single Sing On,SSO)。在域中的所谓“单点登录”就是用户只需要使用域账户登录一次,就可以实现对整个域网络共享资源的访问(当然这是要在授予了访问权限的前提下),而无需在访问不同计算机上共享资源时输入不同的账户信息。这就大大减化了网络资源的访问验证过程。在工作组网络中,因为安全边界就是各用户计算机本身,用户账户都是存储在各用户计算机上,所以无法实现网络中的单点登录。
当然,单点登录不仅应用于域网络用户的登录,它同样广泛应用于其他支持单点登录的应用系统,用户只需要登录一次就可以访问所有相互信任的应用系统。单点登录原理就是网络中的所有成员都信任同一套身份验证系统,可以是用户账户、也可以是用户邮箱名,还可以其他应用系统的帐号。
⑸.支持漫游配置
在域中,每个域用户账户都可以在域中任意一台允许本地登录的计算机上登录域,只要该计算机与DC在同一个网络中即可。而且用户的桌面环境及其他账户配置不会因在不同计算机上登录而不同,因为域支持全局漫游用户配置文件。这样就极大方便了用户的网络访问。
3.域的优缺点
优点:
⑴.管理更方便
因为域可以实现在一台服务器上对用户/计算机账户和安全策略的集中管理,对于管理员来说,就可以更方便地管理整个网络的用户账户(包括用户账户权限和权利)和安全策略。而不必分别到各用户计算机上分别配置。
⑵.安全性更高
因为域的全局用户账户和安全策略都是集中在一台或者少数几台DC上进行配置与管理的,所以相对工作组网络来说,这些配置的安全性就更高,更不容易被人攻击和破解。同样,由于域中的用户数据可以偏大中存放在一台或者少数几台服务器上,企业网络数据也就更安全。
⑶.网络访问更方便
在前面的主要特点中介绍到,域是采用单点登录方式,用户只需要用户域账户登录一次域,就可以无限地访问允许访问的所有网络资源,而无需反复输入不同账户信息进行身份验证。
缺点:
⑴.有专门的高性能服务器
因为在域中的用户账户、计算机账户、域安全策略等都是在DC上进行统一部署和管理的,所以需要有专门的高性能服务器来担当。对于企业说,相当于增加了一笔不小的开支。
⑵.安全配置更复杂
因为在域中涉及到多级安全策略,各级策略的应用又有一定规则,所以总体来说,安全配置更为复杂,不容易掌握。这对管理员的技能水平要求更高。
在我们了解了以上两者的概念,主要特点,优缺点后,主要区别我们来总结下:首先创建方式不同,"工作组"可以由任何一个计算机的主人来创建,他在"工作组"输入新名称,重新启动一下就创建了一个新组,每一个电脑都可以创建一个组。而"域"只能由服务器来创建,其他的计算机只能加入这个域。如下图:
其次是安全机制不同,在"域"中有可以登录该域的帐号,这些由域管理员来建立。在"工作组"中不存在组帐号,只有本机上的帐号和密码。看看下图:
再次登录方式不同,在工作组方式下,计算机启动后自动就在工作组中。登录"域"是要提交"域用户名"和"密码",一旦登录,便被赋予相应的权限。
结合SUNTECH公司的目前的现状:局域网采用的是工作组的管理方式,由于工作组的特点是分散管理,导致一系列的问题:
1.在安全策略上,用户下载与工作无关紧要的软件安装,造成计算机性能下降;
2.私自更改计算机的安全配置,导致计算机不能正常工作;
3.计算机名修改,导致局域网内的计算机很难找到它。
4.在局域网方面访问,用户要不厌其烦的记住对方的账号密码,每天登陆每次都要输入,然后才能访问。
5.有的用户用360软件关闭了guest帐户,或者不小心设置了密码,导致本门的其他人员无法访问;
6.在安全机制方面太低,公司有关保密数据方面存在很大的安全隐患。
7.计算机名没统一,不规范,各式各样五花八门的都有,导致用户难以记忆,不利于工作的顺利进行,浪费不必要的时间去寻找相关的资源。
8.资源共享方面权限设置太低,相关数据的安全,保密太差,非相关人员容易窃取机密文档,对公司的整体利润造成相当大的威胁。
9.当然还有其他诸多问题。
从公司的发展前景来考虑,采用域环境的主要好处:
1、权限管理比较集中,管理成本大大下降。
2.域环境,所有网络资源,包括用户,均是在域控制器上维护,便于集中管理。所有用户只要登入到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低。
3. 防止公司员工在客户端乱装软件, 能够增强客户端安全性、减少客户端故障,降低维护成本。
4. 安全性加强。有利于企业的一些保密资料的管理,比如说某个盘某个人可以进,但另一个人就不可以进;哪一个文件只让哪个人看;或者让某些人可以看,但不可以删/改/移等。
5. 方便用户使用各种资源。可由管理员指派登录脚本映射分布式文件系统根目录,统一管理。用户登录后就可以像使用本地盘符一样,使用网络上的资源,且不需再次输入密码,用户也只需记住一对用户名/密码即可。并且各种资源的访问、读取、修改权限均可设置,不同的账户可以有不同的访问权限。即使资源位置改变,用户也不需任何操作,只需管理员修改链接指向并设置相关权限即可,用户甚至不会意识到资源位置的改变,不用像从前那样,必须记住哪些资源在哪台服务器上。
6. SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
7.可扩展性的空间太大,微软公司大多服务都必须依赖域环境,像ISA服务器,邮件服
务器等等服务产品,在AD活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,更加有利于公司的壮大发展缩必须的条件。
所以建议公司采用域管理模式,这就需要建立域控服务器,而文件服务器须依赖域控服务,为了更加有效的利用公司资源,方便资源共享,配置相关权限问题,须建立文件服务器。
附:方案一:域控服务器架构规划
方案二:文件服务器架构规划
使用域管理的优点
1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。
B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。 9、安全性 域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。 10、可冗余性 每个域控制器保存和维护目录的一个副本。在域中,你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时,他们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时(比如用户修改了口令),可以迅速的复制到其他的域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其他的域控制进行登录,保障了网络的顺利运行。 三、公司域的详细规划
(整理)《域管理》教程一些基础知识.
?域和工作组 域和工作组是针对网络环境中的两种不同的网络资源管理模式。 在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱。为了解决这一问题,Windows 9x/NT/2000就引用了“工作组”这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入“财务部”工作组中,人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。 在对等网模式(PEER-TO-PEER)下,任何一台电脑只要接入网络,就可以访问共享资源,如共享打印机、文件、ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。一般来说,同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,就会看到网络上所有的工作组,双击工作组名称,就会看到里面的成员。 你也可以退出某个工作组,只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组,也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网络上计算机共享资源的浏览。 与工作组的“松散会员制”有所不同,“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。 在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来
域服务器概念及作用
域服务器概念及作用 域(Domain)是相对工作组(Workgroup)的概念,形象的说,域就像中央集权,由一台或数台域控制器(Domain Controller)管理域内的其他计算机;工作组就像各自为政,组内每一台计算机自己管理自己,他人无法干涉。 域是一个计算机群体的组合,是一个相对严格的组织,而域控制器则是这个域内的管理核心。 域控制器的作用相当一个门卫,它包含了由这个域的账户密码、管理策略等信息构成的数据库。当一台计算机登录域时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号和密码是否正确。如果正确则允许计算机登入这个域,使用该域内其有权限访问的任何资源,像文件服务器,打印服务器(也就是说域控制器仅起到一个验证作用,访问其他资源并不需要再跟域控制器扯上关系);如果不正确则不允许计算机登入,这时计算机将无法访问域内任何资源,这在一定程度上保护了企业网络资源。 另外,域控制器可以对域内计算机进行集中管理,比如在域控制器上可以定义所有用户不能更改桌面,或者所有用户的密码长度必须8位以上,而工作组环境的计算机则无法做到这些。 一般情况下,域控制器集成了DNS服务,可以解析域内的计算机名称(基于TCP/IP),解决了工作组环境不同网段计算机不能使用计算机名互访的问题。 域控制器自身所需配置非常低,对网络带宽的占用也几乎微不足道,另外正常情况下域控制器是不可能发布到外网使用的,因为它的安全关系到整个域组织的安全,如果用户希望他在外网也能够登入企业域使用内部资源,最常用的解决方式是在网关处开通VPN功能,这样既能保证账号密码传输的安全性,又能像在局域网一样便捷地访问网络资源。
域的功能作用
一工作组与域的区别 现公司所有电脑采用工作组的管理模式,域管理与工作组管理的主要区别在于: 1、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。 而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 二公司采用域管理的好处 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享
一、局域网中工作组和域的区分
公司局域网中的电脑有工作组管理与域管理,其主要区别在于: 工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。 域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。 我们公司实行域管理,电脑需要加入域TRZZ,并申请个人域账号,登陆电脑时用域账号登陆, 公司采用域管理的直接好处: 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业保密资料的管理,比如一个文件只能让某一个人看,或者指定人的一员可以看,但不可以删/改/移等。 3、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 4、方便用户使用各种共享资源,访问同一个域中的共享就无需再进行账号密码验证。 5、安全性 域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。 如何区分电脑是否加域? 1.右击“我的电脑”,点“属性”,如下图1.1 图1.1 2.在“系统属性”对话框中,选“计算机名”标签页,如果显示“域:TRZZ”,说明已经加域,如下图1.2;如果显示“工作组:workgroup”,说明未加域,还在工作组模式,如图1.3。如何加域,请参照“二、如何修改计算机名及加域”文件。
为什么我们需要域讲解
对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。从今天开始,我们将推出Active Directory系列博文,希望对广大学习AD的朋友有所帮助。 今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。 假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。服务器的职能大家都知道,无非是提供资源和分配资源。服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。现在服务器Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。 首先,如下图所示,我们在服务器上为张建国创建了用户账号。
局域网中域和工作组的差别介绍
局域网中域和工作组的差别介绍 局域网中域和工作组是局域网环境中产生的两种不同的网络资源管理模式。那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢?下面由小编给你做出详细的局域网中域和工作组的差别介绍!希望对你有帮助! 局域网中域和工作组的差别介绍: 局域网中域和工作组的差别:“自由”的工作组 工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧)。为了解决这一问题,Windows 9x/NT/2000才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系的工作组名,双击就可以看到那个系别的电脑了。
那么怎么样才能加入到工作组中呢?其实方法很简单,只需要右击Windows桌面上的“网上邻居”,在弹出的菜单出选择“属性”,点击“标识”,在“计算机名”一栏中添入你想好的名字,在“工作组”一栏中添入你想加入的工作组名称。如果你输入的工作组名称是一个不存在的工作组,那么就相当于新建一个工作组,当然也只有你自己的电脑在里面。不过要注意,计算机名和工作组的长度都不能超过15个英文字符,可以输入汉字,但是也不能超过7个汉字。“计算机说明”是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如“数学系主机”等。单击“确定”按钮后,Windows 98提示需要重新启动,按要求重新启动之后,再进入“网上邻居”,就可以看到你所在工作组的成员了。 相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。 除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。“工作组”就
网络中”域“是指什么
域和工作组有什么区别?A:域“和"工作组"有什么区别? 请问,网络中”域“是指什么?"工作组"是什么?我一直搞不清楚这两个有什么区别? 1、中央集权与各自为政的区别。 2、域的安全性高于工作组。 3、域好比校长董事会 工作组好比下面的各个系部 4、感觉如果设的不好, 你在域管理者面前有可能是裸奔. 5、楼上的解释好像不大对,这么说吧,工作组是自由市场,有几个工作组就有几个自由市场,你可以随时自由出入而没什么限制,从网上邻居最先看到的往往是自己机器所在的工作组的机器们。而域是严格控制权限的私人会所,没有正确的域用户是根本无法登录到域上的,也就无法访问域所控制的资源。 6、域的登陆密码是通过服务器验证的 7、看样子要提醒MS以后不要将名称搞的这么专业,还是要考虑到中国的国情,早知道将"域"改成"中央"将"工作组"改成"自由市场",这样方便易懂,就不会有这么多的问题了. 8、简单的说域是具有管理的能力的一种机制,采用的是分级的管理权限,比如:中央-》省->市-》县-》。。。-》个人但权限比这还要严格得多。 而工作组在有域服务的时候,也就是网络中已经存在域服务器的时候可以看作是域中除去工作站外最简单的组织结构,在没有域服务的时候相互间是可以相互访问的。 9、网上复制过来的 局域网中工作组和域的主要差别! 为什么要组建局域网呢?就是要实现资源的共享,既然资源要共享,资源就不会太少。如何管理这些在不同机器上的资源呢?域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢? “自由”的工作组 工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧)。为了解决这一问题,Windows 9x/NT/2000才引用了“工作组”这个概念,
什么是AD域
域和工作组有什么区别? 工作组:可以随时自由出入而没什么限制,从网上邻居最先看到的往往是自己机器所在的工作组的机器们。 域是严格控制权限的私人会所,没有正确的域用户是根本无法登录到域上的,也就无法访问域所控制的资源。 域是具有管理的能力的一种机制,采用的是分级的管理权限, 而工作组在有域服务的时候,也就是网络中已经存在域服务器的时候可以看作是域中除去工作站外最简单的组织结构,在没有域服务的时候相互间是可以相互访问的。 局域网中工作组和域的主要差别! “自由”的工作组 工作组(WORK GROUP)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧)。为了解决这一问题,WINDOWS 9X/NT/2000才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系的工作组名,双击就可以看到那个系别的电脑了。
相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。 除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样。它本身的作用仅仅是提供一个“房间”,以方便网上计算机共享资源的浏览。 域的管理和设置 打个比方,如果说工作组是“免费的旅店”那么域(DOMAIN)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由WINDOWS 9X
K3在工作组和域环境下用户的权限分配参考
K3在工作组和域环境下用户的权限分配参考<上一篇 | 下一篇> K3在工作组和域环境下用户的权限分配参考 近来很多朋友和网友都问我,关于K3在工作组和域环境中,到底要给我们客户端用户在服务器上什么样子的权限呢. 下面帮大家总结下: 工作组: USERS权限并有修改注册表读写权限建议使用POWERUSER权限 域:USERS权限并有修改注册读写表权限建议使用USERS权限加上backup组权限 注册表修改权限如下: 开始----运行----regedit----设置权限---设置用户的读写权限 下面是对2000系统的用户权限细则参考,同时也可以应用与2003系统的用户分配
对默认 Windows 2000 操作系统安装中内置组的默认组成员的必需更改和建议更改。这些内置组具有用户权限和特权以及组成员的预定义集合。五个内置组类型定义如下: ? 全局组 当建立 Windows 2000 域时,在 Active Directory 存储区中创建内置全局组。全局组用来对整个域中使用的通用类型用户和组帐户进行分组。全局组可以包含本机模式域中的其他组。 ? 域本地组 域本地组向用户提供特权和权限,以便在域控制器和 Active Directory 存储区中执行任务。域本地组只在域中使用,不能导出到 Active Directory 树中的其他域。 ? 通用组 只可以在本机 Windows 2000 域中使用通用组。可以跨整个目录林使用通用组。 ? 本地组 独立 Windows 2000 服务器、成员服务器和工作站都有内置本地组。这些内置本地组向成员提供了只在此组所属的特定计算机上执行任务的能力。 ? 系统组 系统组没有可以修改的特定成员。每个系统组用来代表特定用户类别或代表操作系统本身。这些组是在 Windows 2000 操作系统中自动创建的,但在组管理 GUI 中不显示。这些组只用于控制资源的访问权。 检查/修改域的组帐户成员身份 ? 访问域中的组帐户 1. 在域控制器中以管理帐户登录。 2. 从“开始”菜单,指向“程序”,指向“管理工具”,然后单击“Active Directory 用户和组”。 3. 在控制台树中,双击域节点。在“内置”和“用户”容器中可以找到组帐户。
域控制器的实际意义与工作组式网络的不同
1.什么是域控制器. 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。 要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。 2.在域控制器和工作组两者中如何选择? 如果是单机,不再网络上,选择工作组在网络上,有域-选择加入到域。前提是你网络的DC提供DHCP,不然需要加入工作组之后,重新设置IP,然后加入到域在网络上,没有域-选择工作组。以后设置IP可以设置为域控制器. 3.域和工作组有什么区别? 1、中央集权与各自为政的区别。 2、域的安全性高于工作组。 3、域好比校长董事会 工作组好比下面的各个系部 4、感觉如果设的不好, 你在域管理者面前有可能是裸奔. 5、楼上的解释好像不大对,这么说吧,工作组是自由市场,有几个工作组就有几个自由市场,你可以随时自由出入而没什么限制,从网上邻居最先看到的往往是自己机器所在的工作组的机器们。而域是严格控制权限的私人会所,没有正确的域用户是根本无法登录到域上的,也就无法访问域所控制的资源。 6、域的登陆密码是通过服务器验证的 7、看样子要提醒MS以后不要将名称搞的这么专业,还是要考虑到中国的国情,早知道将"域"改成"中央"将"工作组"改成"自由市场",这样方便易懂,就不会有这么多的问题了. 8、简单的说域是具有管理的能力的一种机制,采用的是分级的管理权限,比如:中央-》省->市-》县-》。。。-》个人但权限比这还要严格得多。 而工作组在有域服务的时候,也就是网络中已经存在域服务器的时候可以看作是域中除去工作站外最简单的组织结构,在没有域服务的时候相互间是可以相互访问的。 9、网上复制过来的 局域网中工作组和域的主要差别! 为什么要组建局域网呢?就是要实现资源的共享,既然资源要共享,资源就不会太少。如何管理这些在不同机器上的资源呢?域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢?
第一节-新建域和工作组计算机加入域
Active Directory 高级应用 1.新建域控制器 首先,先安装一个全新的windows server 2003 企业版,用管理员登陆 装域之前我们先看一下机器的配置情况,先查看一下计算机名,鼠标右键我的电脑-属性,打开系统属性选项卡,点击计算机名标签,这里计算机名为dc,环境是工作组WORKGROUP,因为还没有加入域,所以这里显示的是工作组
我们再来查看一下计算机的IP设置情况,鼠标右键网上邻居-属性,打开网络连接窗口,鼠标右键本地连接-属性,打开本地连接属性,选择Internet协议(tcp/ip)点属性,打开Internet 协议(tcp/ip)属性选项卡,这里我们把IP设置为192.168.2.1,子网掩码255.255.0.0,DNS设置 为192.168.2.1
好了,准备工作已经做好了,现在我们开始安装AD拉,还有一点要注意,安装AD时会用到系统安装光盘,所以我们现在把系统盘装入光驱,现在开始装DC,点击开始-运行,输入dcpromo,确定 这是欢迎向导界面,点击下一步
这是操作系统兼容性,点击下一步 这里是选择域控制器类型,因为我们这里是域中的第一台域控制器,所以我们选新域的域控制器,点击下一步 我们选在新林中的域,点击下一步
这里让我们添入新的域名,我们在新域的DNS全名里写入https://www.360docs.net/doc/8216421116.html,,点击下一步 这里让我们添写域的NetBIOS域名,直接默认就好了,点击下一步
更改,如果C盘够大直接默认就好拉,这里我就不修改了,点击下一步 这里让我们选择共享的系统卷的保存位置,默认好拉,点击下一步
域、工作组和家庭组
它们之间的主要区别是对网络中的计 域、工作组和家庭组之间有什么 区别? 适用于Win dows 7 域、工作组和家庭组表示在网络中组织计算机的不同方法。 算机和其他资源的管理方式。 网络中运行 Win dows 的计算机必须属于某个工作组或某个域。 家庭网络中运行 Win dows 的 计算机也可以属于某个家庭组,但这不是必需的。 家庭网络中的计算机通常是工作组的一部分, 也可能是家庭组的一部分, 而工作区网络上的计算 机通常是域的一部分。 、/1.、、、八 汪意 * 家庭组在 Win dows Server 2008 R2 中不可用 全部显示 检查计算机是否位于某个工作组或域的步骤 检查计算机是否属于家庭组的步骤 在工作组中: 所有的计算机都是对等的,没有计算机可以控制另一台计算机。 ? 每台计算机都具有一组用户帐户。若要登录到工作组中的任何计算机,您必须具有该计 算机上的帐户。 ? 通常情况下,计算机的数量不超过二十台。
?工作组不受密码保护。 ?所有的计算机必须在同一本地网络或子网中。 在家庭组中: *家庭网络中的计算机必须属于某个工作组,但它们也可以属于某个家庭组。使用家庭组, 可轻松与家庭网络中的其他人共享图片、音乐、视频、文档和打印机。 *家庭组受密码保护,但在将计算机添加到家庭组时,只需要键入一次密码即可。 在域中: *有一台或多台计算机为服务器。网络管理员使用服务器控制域中所有计算机的安全和权限。这使得更容易进行更改,因为更改会自动应用到所有的计算机。域用户在每次访问域 时必须提供密码或其他凭据。 *如果具有域上的用户帐户,您就可以登录到域中的任何计算机,而无需具有该计算机上的帐户。 *由于网络管理员经常要确保计算机之间的一致性,所以,您也许只能对计算机的设置进行有限制地更改。 ?一个域中可以有几千台计算机。 计算机可以位于不同的本地网络中
域与AD区别
域和AD的一篇入门文章 本文的目的,是作为域和AD的一篇入门文章,使没有安装过域,或刚刚接触域的年轻网管能对域和AD有一个全面的了解,并利用此文入门,将所管理的网络实现一个基于域的管理模式。一、认识Windows的域 本小节重点从理论上阐述域的概念、作用和Windows中域的产生。 一台Windows计算机,它要么隶属于工作组,要么隶属于域。所以说到域,我们就不得不提一下工作组,工作组是MS的概念,一般的普遍称谓是对等网。工作组通常是一个由不多于10台计算机组成的逻辑集合,如果要管理更多的计算机,MS推荐你使用域的模式进行集中管理,这样的管理更有效。你可以使用域、活动目录、组策略等等各种功能,使你网络管理的工作量达到最小。当然这里的10台只是一个参考值,11台甚至20台,如果你不想进行集中的管理,那么你仍然可以使用工作组模式。 工作组的特点就是实现简单,不需要域控制器DC,每台计算机自己管理自己,适用于距离很近的有限数目的计算机。另外工作组名并没有太多的实际意义,只是在网上邻居的列表中实现一个分组而已;再就是对于“计算机浏览服务”,每一个工作组中,会自动推选出一个主浏览器,负责维护本工作组所有计算机的NetBIOS名称列表。用户可以使用默认的workgroup,也可以任意起个名字,同一工作组或不同工作组在访问时也没有什么分别。 域(Domain)是一个共用“目录服务数据库”的计算机和用户的集合,实现起来要复杂一些,至少需要一台计算机安装NT/2000/03 Server版本使其充当DC,来实现集中式的管理。 若考虑到容错的话,至少需要两台。对于NT4域就是一台PDC(具有唯一性),一至多台BDC,对于2000/03域,已经没有PDC和BDC的概念,要容错就需要两至多台DC。 域是逻辑分组,与网络的物理拓扑无关,可以很小,比如只有一台DC;也可以很大,包括遍布世界各地的计算机,比如大型跨国公司网络上的域(当然实际中他们多采用多域结构,还可以利用AD站点来优化AD复制)。 这个“目录服务数据库”,在NT4时,保存用户帐号名称和密码等安全安全信息,以及安全规则设置,又被称作安全帐号管理(SAM)数据库,简称SAM库。在非DC上的本地的SAM库与DC上域所用的SAM库类似,只不过对于NT4域的SAM库文件,保存有整个域的用户和计算机,用“域用户管理器”和“服务器管理器”来管理,本地的SAM库文件,保存有本地机的用户,由“用户管理器”来管理。 从2000开始,MS引入了活动目录AD,DC通过AD来提供目录的服务,例如它负责维护AD数据库、审核用户的账户和密码是否正确、将AD数据库复制到其它的DC等。AD库的核心文件就是winnt\ntds\ntds.dit文件。注意组策略的具体设置值,并不存在这个文件中,而是保存在winnt\sysvol\sysvol这个共享夹下,用于向其它DC复制,传播给域成员,来生效。但需要说明的是:2000/XP/03的非DC域成员计算机上仍使用和NT4一样的SAM库文件来保存本地帐号。 正是由于所有域成员计算机和域用户都共用这个域的“目录服务数据库”,域管理员就可以基于域的“目录服务数据库”来进行集中管理、共享资源,如用户、组、计算机帐号、权限设置、组策略设置等等。目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力。目录服务也为用户提
域和工作组的对比
AD域与工作组的区别 一工作组与域的区别 现在许多公司所有电脑采用的都是工作组的管理模式,域管理与工作组管理的主要区别在于: 1、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。 而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正
确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 二公司采用域管理的好处 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁
用户组跟域的区别
局域网中工作组和域之间的差别 为什么要组建局域网呢?就是要实现资源的共享,既然资源要共享,资源就不会太少。如何管理这些在不同机器上的资源呢?域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢? "自由"的工作组 工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在"网上邻居"内,可想而知会有多么乱(恐怕网络邻居也会显示"下一页"吧)。为了解决这一问题,Windows 9x/NT/2000才引用了"工作组"这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在"网上邻居"里找到那个系的工作组名,双击就可以看到那个系别的电脑了。 那么怎么样才能加入到工作组中呢?其实方法很简单,只需要右击Windows桌面上的"网上邻居",在弹出的菜单出选择"属性",点击"标识",在"计算机名"一栏中添入你想好的名字,在"工作组"一栏中添入你想加入的工作组名称。如果你输入的工作组名称是一个不存在的工作组,那么就相当于新建一个工作组,当然也只有你自己的电脑在里面。不过要注意,计算机名和工作组的长度都不能超过15个英文字符,可以输入汉字,但是也不能超过7个汉字。"计算机说明"是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如"数学系主机"等。单击"确定"按钮后,Windows 98提示需要重新启动,按要求重新启动之后,再进入"网上邻居",就可以看到你所在工作组的成员了。 相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入"网上邻居",首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击"整个网络",然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。 除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。"工作组"就像一个自由加入和退出的俱乐部一样。它本身的作用仅仅是提供一个"房间",以方便网上计算机共享资源的浏览。 域的管理和设置 打个比方,如果说工作组是"免费的旅店"那么域(Domain)就是"星级的宾馆";工作组可以随便出出进进,而域则需要严格控制。"域"的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。 不过在"域"模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为"域控制器(Domain Controller,简写为DC)"。 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。 要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互"看"到是远远不够的,
计算机工作组和域的区别讲解
1.“工作组”的定义 “工作组”(workgroup)方式的网络也称为“对等网” 2.“工作组”的工作方式 工作组模式与域中的集中式管理方式截然不同的是其资源和帐户管理是分散在网络中的各个计算机上。通常适用于不超过10台计算机的小型对等网。 3.采用“工作组”模式的特点 [1] 工作组中所有计算机之间是一种平等的关系,没有主从之分 [2] 工作组模式下资源和帐户的管理是分散的。每台计算机上的管理员能够完全实现对自己计算机上的资源与帐户的管理。 [3] “人机”不分开。一个用户只能在为他创建了帐户的计算机上登录。 [4] 通常可以不必安装Windows 20000 Server,可以使用Windows 2000 Professional、Windows NT Workstation 4.0、Windows 95/98来组建。95/98中没有本地安全数据库。 [5] 资源是分散的,可通过以下途径实现资源的互相访问: 利用Guest帐户访问,即取消该帐户的“禁用”属性。 在目的(资源)计算机上为使用资源的用户创建一个帐户,当登录资源计算机或联接联接到目的资源上时,提示用户输入该帐户和密码。 1.“域”的定义 用户可以将网络组织成“域(domain)”的方式,一组由网络连接而成的计算机群组,可以将计算机内的资源共享给其他用户访问。 与“工作组”模式不同的是:域内所有计算机和用户共享一个集中控制的活动目录数据库,目录数据库中包括了域内所有计算机的用户帐户等对象的安全信息。 2.“域”的工作方式 Win2000 Server中负责维护目录服务的组件为活动目录,在“域”模式下的目录数据库就是活动目录数据库。该数据库存储在作为“域控制器”的计算机上,此计算机应当是一台运行Win2000 Server的服务器。 一个网络中,可以包含一个或多个“域”,通过设置将多个域设置成活动目录树。只要被定义在相同的域,彼此间就是有关联的“伙伴”,可以域中的资源。用户可以通过ISDN、PSTN 等拨号网络,从远程区域访问“域”中的资源。 3.“域”中计算机的分类 是一种不平等的关系。 (1)域控制器:安装了Win2000 Server的计算机,包括了“域”中所有对象,如用户、组等信息,以及“域”的安全策略的设置,是域中活动目录数据库的所在地。 当用户从域中任何一台计算机登录时,域控制器中的活动目录数据库负责验证用户的用户名和密码是否正确。 (2)成员服务器和独立服务器 安装了Win2000 Server 或Win NT Server 4.0,又加入了域的普通服务器称为“成员服务器(member server)”。安装时没有被安装成“域控制器”,主要用作专用服务器,如文件服务器、打印服务器、SQL服务器的RAS服务器等。 (3)域中的其他计算机:安装了Win2000 Professional, Win NT Server,Workstation的计算机,用户利用这些计算机登录域,访问域中的资源,使用域中的服务,又被称为客户机。 4. 采用“域”模式的特点 [1] 集中的帐户管理 [2] 资源的集中管理
域环境的主要特点
域环境的主要特点如下 ◆集中管理 域环境可以实现对象(包括用户和计算机)和安全策略的集中管理和部署,这是域环境的最显著特点。域环境是C/S(客户机/服务器)管理模式在局域网构建中的应用。在域环境中,有专门用来管理或者提供服务的各种服务器,如用于对象、安全策略管理的各级域控制器(DC)。通过DC中的活动目录(AD)和域组策略就可以对整个网络中的用户账户(包括用户权限、权利)、计算机账户和安全管理策略进行统一管理,统一部署。这样一来,域环境中各成员计算机的角色并不是平等的,有管理(各服务器)和被管理(各客户机)之分。这是前面工作组网络所无法实现的。 ◆多级账户和安全策略 在域环境中,域账户和安全策略可以有多级,最小的安全策略边界是域中的“组织单位”(OU),最大的安全边界是林;而用户账户可以是子域中的,也可以是父域中的。不同安全级别的配置应用是按照先本地,后域的规则进行的。在域层次中,则是按照精确度由低到高的顺序进行应用的。而最后应用的级别最高。如组策略的应用顺序是:本地组策略→站点组策略→域组策略→子域组策略→组织单位组策略。 因为存在多级账户和安全策略,所以在域环境中存在一个信任关系。也就是一个域可以与同一林中的其他域建立单向或者双向信任关系,不同林之间也可以建立单向或者双向信任关系。这样一来,就可以实现单向或者双向访问的目的。 ◆默认信任 在工作组网络中,由于各用户账户都只是对各自计算机本地有效,所以各成员计算机之间根本没有信任关系,要访问就必须先进行身份验证。而在域环境中,域用户账户在整个域环境有效,所以加入了域的计算机都遵守了相同的信任协议,彼此相互信任,只要有域环境中合法的用户账户即可。这也是后面将要介绍的“单点登录”的基础和前提。 ◆集中存储 这也是域环境的一大优势和特点。在域环境中的用户文档或者数据可以集在保存在网络中的一台或者多台相应服务器上。用户文档还可以保存在服务器上为每个用户创建的用户主目录中,并且该目录只有用户自己可以访问,包括网络管理员也不能访问(当然网络管理员可以更改访问权限),极大地保障了各用户私有文档的安全性。同时也方便了网络数据的存储,提高警惕了网络数据存储的安全性。这一点在工作组网络中无法实现,因为即使你可以把数据存储在其他用户计算机中,你的文档同样可以被那台机上的用户所浏览、修改,甚至删除。 ◆单点登录 在域环境中,采用的是单点登录(Single Sing On,SSO)。在域环境中的所谓“单点登录”就是用户只需要使用域账户登录一次,就可以实现对整个域环境共享资源的访问(当然这是要在授予了访问权限的前提下),而无需在访问不同计算机上共享资源时输入不同的账户信息。这就大大减化了网络资源的访问验证过程。在工作组网络中,因为安全边界就是各用户计算机本身,用户账户都是存储在各用户计算机上,所以无法实现网络中的单点登录。 当然,单点登录不仅应用于域环境用户的登录,它同样广泛应用于其他支持单点登录的应用系统,用户只需要登录一次就可以访问所有相互信任的应用系统。单点登录原理就是网络中的所有成员都信任同一套身份验证系统,可以是用户账户、也可以是用户邮箱名,还可以其他应用系统的帐号。 ◆采用DNS解析协议 在域环境中,用户计算机名称和IP地址的解析是通过DNS(Domain Name Services,域名服务)协议来进行的,而不再使用NetBIOS协议。但是对于不支持DNS协议的早期操作