域”和“工作组”的异同

1、一、认识 Windows 的域本小节重点从 论上阐述域的概 、作用和 Windows 中域的产生。一台 Windows 计算机，它要么隶属于工作组，要么隶属于域。所以说到域，我们就 得 提一下工作组， 工作组是 MS 的概 ，一般的普遍称谓是对等网。工作组通常是一个由 多于 10 台计算机组成的逻辑集 合，如果要管多的计算机，MS推荐你使用域的模式进 集中管，这样的管有效。你可以使用域、活动目录、组策 等等各种功能，使你网络管 的工作 达到最小。当然这 的 10 台只是一个参考 值， 11 台甚至 20 台，如果你 想进 集中的管 ，那么你仍然可以使用工作组模式。工作组的特点就是 实现简单， 需要域控制器DC,每台计算机自己管 自己，适用于距离很近的有限数目的计算机。另外 工作组名并没有太多的实际意义，只是在网上邻居的 表中实现一个分组而已；再就是对于“计算机浏览服 务”，每一个工作组中，会自动推选出一个主浏览器，负责维护本工作组所有计算机的NetBIOS名称 表。 用户可以使用默认的workgroup，也可以任意起个名字，同一工作组或 同工作组在访问时也没有 么分 别。域（Domai

2、n）是一个共用“目录服务数据库”的计算机和用户的集合，实现起来要复杂一些，至少需要 一台计算机安装NT/2000/03 Server版本使其充当DC，来实现集中式的管。 考虑到容错的话，至少 需要两台。对于NT4域就是一台PDC（具有唯一性），一至多台BDC，对于2000/03域，已经没有PDC 和BDC的概，要容错就需要两至多台DC。域是逻辑分组，与网络的物扑无关，可以很小，比如只有一台DC；也可以很大，包括遍布世界各地的计算机，比如大型跨国公司网络上的域（当然实际中他们 多采用多域结构，还可以 用AD站点来优化AD复制）。这个“目录服务数据库”，在NT4时，保存用户 帐号名称和密码等安全安全信息，以及安全规则设置，又被称作安全帐号管（SAM）数据库，简称SAM 库。在非DC上的本地的SAM库与DC上域所用的SAM库类似，只 过对于NT4域的SAM库文件， 保存有整个域的用户和计算机，用“域用户管 器”和“服务器管 器”来管 ，本地的 SAM 库文件，保存有 本地机的用户，由“用户管 器”来管 。从2000开始，MS弓I入 活动目录AD，DC通过AD来提供目录的服务， 如它负责维护A

3、D数据库、 审核用户的账户和密码是否正确、将 AD 数据库复制到其它的 DC 等。 AD 库的核心文件就是 winntntdsntds.dit文件。注意组策 的具体设置值，并 存在这个文件中，而是保存在winntsysvolsysvol 这个共享夹下，用于向其它DC复制，传播给域成员，来生效。但需要说明的是：2000/XP/03的非DC域 成员计算机上仍使用和NT4 样的SAM库文件来保存本地帐号。正是由于所有域成员计算机和域用户都 共用这个域的“目录服务数据库”，域管 员就可以基于域的“目录服务数据库”来进 集中管 、共享资源， 如用户、组、计算机帐号、权限设置、组策 设置等等。目录服务为管 员提供从网络上任何一个计算机 上查看和管 用户和网络资源的能 。目录服务也为用户提供唯一的用户名和密码，用户只需一次登录， 即可访问本域或有信任关系的其它域上的所有资源（当然用户得有权限才 ），而 需要多次提供用户 名和密码登录。二、构建 Windows 2000 的域这个过程简单说就是：选一台 2000S/AS 计算机，运 AD 安装向导，在其上安装活动目录，使其成为 DC。然后将其它的计算机

4、加入到这个域。说明：至于是用2000S，还是用2000AS，对于一般的用户差别大。2000S支持最多4个 CPU,最大4G内存；2000AS支持最多8个CPU,最大内存8G,还支持群集功能。但这些我们一般用 户都用 至U，所以对于普通用户来说，选择S或AS都是一样的。1、系统要求*一台2000S或2000AS独 或成员服务器，2000DS只有OEM版，随厂商硬件发售，平常我们是见 到的。*其上必须有一个NTFS 5.0分区，用来保存AD的sysvol文件夹。注意：2000的NTFS分区是NTFS 5.0，NT4的是NTFS 4.0，NT4必须安装SP4后，才可访问2000的NTFS分区。*网络上必须有可用的DNS服务器，并且必须支持SRV记录（Service Locaion Resource Record）和 动态 新功能。如：MS Win2000S DNS, UNIX的DNS BIND 8.12及以上版本，使用已有的NT4 DNS是 的。说明：构建NT4域并 需要DNS的支持，但2000域必须有DNS,且满足上述要求。SRV记录的作用是指明 域和站点（site）的DC、PDC仿真、G

5、C是谁。动态 新也是2000DNS的新特色，管 员 必再象NT4 DNS 那样手动为计算机创建或修改相应记录，在域成员计算机重启，或改名、改 IP 时依赖周期性 新，自动动态实现。如果没有DNS服务器的话，也 一定非得预装DNS，可以在安装AD过程中，选择在本机上安装2000 DNS。而且推荐初学者使用这种方法，因为系统会根据你提供的 FQDN域名，自动创建好DNS区域（zone），并配置成AD集成区域，仅安全动态 新。如果需要向外连或反向解析，用户只需配置上转发器和反向区域即可， 需要的话，直接就可以用。如果决定在安装AD过程 中在本机安装DNS，应在安装前，将本机TCP/IP配置/DNS服务器指向自己，这样在安装AD完成后重 启时， SRV 记录将被自动注册到 DNS 服务器的区域当中去的，生成四个以下划线开头的文件夹，如_msdcs, 03DNS在这 夹的层次结构有所变化，但本质没变。 当然如果忘 指，也可以后补上，只 过需要多重启一次。2、安装步骤、注意事项、常见问题、经验技巧（1）启动 AD 安装向导方法一：开始/程序/管 工具/配置服务器/ Active Directory

6、 /启动AD安装向导。 方法二：熟练后一般常用，开始/运 ： dcpromo。（ 2）安装选项：指定服务器角色三个界面，实现四种组合：新域附加DC新树子域新加入即：* 新域 新树 新* 附加 DC* 新域 子域* 新域新树加入全新安装：新域新树新 ，这样来建 第一个域中的第一台 DC。2000 的多域模型采用层次结构， 同于 NT4 域的平面结构， NT4 的多个域之间只是通过信任关系关联 起来。接下来以下图为 ，对 2000 的域、树、 进 简要说明： 这整个是一个，为 根域，有两个树，一个由和它的子域组成，另 一个由 单独组成， 中有 ， ， 三个域。相关概 如下：根域：在 中第一个建 的域，如： 树：共用连续的命名空间的多层域，如 和 树根域：树最高层的域，名最短。如： 说明：2000 可采用多层域结构，但最有效、最简 的管 方法仍是单域，所以大家在实际工作中要记住一个原 则“能用单域解决，就 用多域”。再者 2000AD 是针对大中型网络设计的，而我们一般管 的网络也就几 百个节点，属于小型网络，一般来讲用一个单域结构就够用 ， 要人为将管 环境复杂化。在实验中， 我们

7、甚至可以一个 中只有一个树，一个树中只有一个域，一个域 只有一台 DC。另外前面已经说过 ，域是逻辑分组，与网络的物 扑无关， 要总试图规划一个子网 一个域。当然实际中多个子网一个域，子网中 有 95/98/NT 计算机，无法 用 DNS 直接登录到域， 可以安装一台WINS服务器解决问题。将所有计算机，包括WINS服务器本身的TCP/IP配置中的 WINS 服务器指向此 WINS 服务器即可。(3)安装选项：新域的 DNS 全名说明：在这应该输入新域的完全有效域名FQDN,形如：。系统会打算以mcse作为此域的NetBIOS名称，并在网络中检查是否存在重名，需要等一会儿。重名则设为mcse，建议用户 要 修改此名；重名则设为mcseO,建议用户最好换个名字。这也就是说，网络中如果已有一个域，名字叫做 mcse.org，也会出现NetBIOS名称冲突的问题。(4)安装选项：为新域指定一个NetBIOS名称说明：NetBIOS名称，只是为95/98/NT等版本用户通过“浏览服务”或WINS来识别这个域用的，如果确信域 用户都是2000及以上系统(它们通过DNS定位域)，其实NetBIOS

8、名称冲 冲突，都无所谓。( 5)安装选项：指定 AD 库和日志文件位置说明：如果仅是实验，用默认值即可。 是在真正的服务器上，都会有多块物 硬盘，最好分开存放，以提高性 能。另外需要强调的是：AD库和日志文件并 要求非得NTFS 5.0分区，很多2000/03书在此语焉 详。( 6)安装选项：指定 sysvol 文件夹位置说明：是sysvol这个文件夹要求必须得NTFS 5.0分区。在它当中存储有DC间AD要同步的内容，包括组策 的设置值。(7)这时网络中无可用DNS服务器，就会出现提示：找到DNS服务器，需要考虑在本机上安装一 个DNS服务器。可先必会，点确定”，接下来选“是，在本机上安装并配置DNS”。初学者在此要选 “否，我将自己安装并配置 DNS”。( 8)几分后，安装完成，需要重启。说明：硬盘或网络上没有可用的2000S源文件，会提示要2000S光盘。最好用新装2000S来安装AD,这样 容 出问题。如果你是用一个台运 一段时间的2000S/AS，来 安装AD,使其成为DC。重启及登录时可能会很慢(有时可能长达20分钟)，这是较常见的现象。一般 2-3次以后就好，如果多次重启

9、后还那样，那就要重装系统及AD 。3、域成员计算机( 1)将计算机加入到域首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。然后我的 电脑/右键/属性/网络标识/属性/隶属于，选择域：输入域名，确定。提示输入用户口和口 ，确定后提示重 启。说明：加入域时，如果输入的域名为FQDN格式，形如，必须用DNS中的SRV记录 来找到DC，如果客户机的DNS指的 对，就无法加入到域。加入域时，如果输入的域名为NetBIOS格式，如mcse，也可以用浏览服务（广播方式） 直接找到DC,但它 是一个完善的服务，有时就会好使。这样虽然也可把计算机加入到域，而且在等较长时间后也可以登录到域上去，但 推荐。因为客户机的 DNS 指的 对，则它无法 用 2000DNS 的动态 新动能，也就是说无法在 DNS 区域中自动生成关于这台计 算机的 A 记录和 PTR 记录。那么同一域另一子网的 2000 及以上计算机就无法 用 DNS 找到它，这本 应是可以的。再者，管员无法在客户机上用域的管工具来远程管域，因为这些管工具必须使用DNS，出错提 示：找 到域命名信息（有时客户机的DNS Client服务有问题也会出现上述提示，重启服务即可）。这种情况下，要进 远程管，就只能 用TS （终端服务）基于IP来连。当然用户也可以手动配置WINS或Lmhosts文件，来查找DC。这主要用于95/98/NT 版本计算机跨子 网（由）查找DC或加入域，因为这些 版本计算机无法 用DNS来查找DC,浏览服务又是广播方 式，只能在本网段进 ，

《域”和“工作组”的异同》由会员pu****.1分享，可在线阅读，更多相关《域”和“工作组”的异同》请在金锄头文库上搜索。