域的含義
域英文叫DOMAIN——域(Domain)是Windows網路中獨立運行的單位,域之間相互訪問則需要建立信任關係(即Trust Relation)。信任關係是連線在域與域之間的橋樑。當一個域與其他域建立了信任關係後,2個域之間不但可以按需要相互進行管理,還可以跨網分配檔案和印表機等設備資源,使不同的域之間實現網路資源的共享與管理,以及相互通信和數據傳輸。
域既是 Windows 網路作業系統的邏輯組織單元,也是Internet的邏輯組織單元,在 Windows 網路作業系統中,域是安全邊界。域管理員只能
管理域的內部,除非其他的域顯式地賦予他管理許可權,他才能夠訪問或者管理其他的域,每個域都有自己的
安全策略,以及它與其他域的安全信任關係。
域的原理
其實可以把域和
工作組聯繫起來理解,在工作組上你一切的設定在本機上進行包括各種策略,用戶登錄也是登錄在本機的,密碼是放在本機的資料庫來驗證的。而如果你的計算機加入域的話,各種策略是
域控制器統一設定,用戶名和密碼也是放到域控制器去驗證,也就是說你的賬號密碼可以在同一域的任何一台計算機登錄。
如果說工作組是“免費的旅店”那么域(Domain)就是“星級的賓館”;工作組可以隨便出出進進,而域則需要嚴格控制。“域”的真正含義指的是伺服器控制網路上的計算機能否加入的計算機組合。一提到組合,勢必需要嚴格的控制。所以實行嚴格的管理對網路安全是非常必要的。在對等網模式下,任何一台電腦只要接入網路,其他機器就都可以訪問共享資源,如
共享上網等。儘管
對等網路上的已分享檔案可以加訪問密碼,但是非常容易被破解。在由Windows 9x構成的對等網中,數據的傳輸是非常不安全的。
不過在“域”模式下,至少有一台伺服器負責每一台聯入網路的電腦和用戶的驗證工作,相當於一個單位的門衛一樣,稱為“
域控制器(Domain Controller,簡寫為DC)”。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的資料庫。當電腦聯入網路時,域控制器首先要鑑別這台電腦是否是屬於這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確,那么域控制器就會拒絕這個用戶從這台電腦登錄。不能登錄,用戶就不能訪問伺服器上有許可權保護的資源,他只能以對等網用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網路上的資源。
要把一台電腦加入域,僅僅使它和伺服器在
網上鄰居中能夠相互“看”到是遠遠不夠的,必須要由
網路管理員進行相應的設定,把這台電腦加入到域中。這樣才能實現檔案的共享,集中統一,便於管理。
域的作用
如果企業網路中計算機和
用戶數量較多時,要實現高效管理,就需要windows域。
域控安裝
要建立域進行管理,首先需安裝
域控制器(dc),dc上存儲著域中的信息資源,如名稱、位置和特性描述等信息。通過在一台伺服器上安裝
活動目錄(AD),就會將這台計算機安裝成dc。
安裝條件
1安裝者必須具有本地管理員的許可權。
2作業系統版本必須滿足條件(Windows server2003除web以外的所有都滿足)。
4有TCP/IP設定
6有足夠的可用空間
安裝活動目錄(AD)步驟
1.打開ad開始--運行輸入dcpromo
2.是否創建新域。dc有兩種新域的域控和現有域的
額外域控制器。一般選擇新域的域控。
3.新域的DNS全名。
4.新域的NetBIOS名。下一步
5.資料庫和日誌資料夾。為了最佳化性能,可以將資料庫和日誌放在不同的硬碟上。該資料夾不一定在
NTFS分區。如果本計算機是域的第一台域控,則sam資料庫就會升級到C:\windows\ntds\ntds.dit,本地用戶賬戶變成
域用戶賬戶。
6.共享的系統卷。共享系統卷SYSVOL資料夾存放的位置必須是NTFS檔案系統。
7.DNS註冊診斷。AD需要DNS服務支持。選第二項,下一步。
8.域兼容性。如果網路中不存在Windows server 2003 以前版本的
域控制器,就選第二項。如果存在選第一項。
9.還原模式密碼。
目錄服務還原模式的管理員密碼,是在目錄服務還原模式下登錄系統時使用。由於目錄服務還原模式下,所有的
域賬戶用戶都不能使用,只有使用這個還原模式管理員賬戶登錄。
10.安裝完成後需重啟計算機。
前面講解了怎樣創建windows域,接下來完善一下,講解怎樣將計算機加入域。 在安裝完AD後,需要將其它的伺服器和客戶計算機加入到域中。一般情況下,在從客戶計算機加入域時,會在域中自動創建計算機賬號。不過,用戶必須在本地客戶計算機上擁有管理許可權才能將其加入到域中。在加入域之前,首先檢查客戶機的網路配置:1.確保網路上物理連通 2.設定IP位址 3.檢查客戶機到伺服器是否連通 4.配置客戶機的首選DNS伺服器(通常為第一台DC的IP) 在客戶端計算機系統屬性中的“計算機名”選項卡里,單擊更改按鈕可以打開計算機加入域的對話框,選中域後,輸入正確的域名,然後再根據提示輸入具有加入
域許可權的用戶名和密碼即可。 這樣就OK了!將客戶機加入域,就可以在客戶機上,使用
域賬戶加入到域,也可以使用客戶機的本地用戶賬戶登錄到域。 前面一直提到DNS,下面講解DNS在域中的作用。 DNS在域中有兩個作用:域名的命名採用DNS的標準、定位DC。 1、域名的命名採用DNS標準。遵循DNS分散式、等級結構的標準。這體現了
辦公網路與Internet集成的理念。 2、客戶機如何定位DC。當
域用戶賬戶登入時或者查找
活動目錄時,首先要定位DC,這需要DNS伺服器支持,主要步驟: 1)客戶機傳送DNS查詢請求給DNS伺服器。 2)DNS伺服器查詢匹配的SRV
資源記錄。 3)DNS伺服器返回相關DC的ip地址列表給客戶機。 4)客戶機聯繫到DC 5)DC回響客戶機的請求 DNS在活動目錄中為什麼能起到定位DC的作用哪? 主要靠域的DNS區域中的SRV資源記錄。開始--程式--管理工具--DNS,打開DNS管理器,就是SRV資源記錄。
域和組的區別
工作組是一群計算機的集合,它僅僅是一個邏輯的集合,各自計算機還是各自管理的,你要訪問其中的計算機,還是要到被訪問計算機上來實現用戶驗證的。而域不同,域是一個有安全邊界的計算機集合,在同一個域中的計算機彼此之間已經建立了信任關係,在域內訪問其他機器,不再需要被訪問機器的許可了。為什麼是這樣的呢?因為在加入域的時候,管理員為每個計算機在域中(可和用戶不在同一域中)建立了一個計算機帳戶,這個帳戶和用戶帳戶一樣,也有密碼保護的。可是大家要問了,我沒有輸入過什麼密碼啊,是的,你確實沒有輸入,計算機帳戶的密碼不叫密碼,在域中稱為登錄憑據,它是由2000的DC(
域控制器)上的KDC服務來頒發和維護的。為了保證系統的安全,KDC服務每30天會自動更新一次所有的憑據,並把上次使用的憑據記錄下來。周而復始。也就是說伺服器始終保存著2個憑據,其有效時間是60天,60天后,上次使用的憑據就會被系統丟棄。如果你的GHOST備份裡帶有的憑據是60天的,那么該計算機將不能被KDC服務驗證,從而系統將禁止在這個計算機上的任何訪問請求(包括登錄),解決的方法呢,簡單的方法使將計算機脫離域並重新加入,KDC服務會重新設定這一憑據。或者使用2000資源包里的NETDOM命令強制重新設定安全憑據。因此在有域的環境下,請儘量不要在計算機加入域後使用GHOST備份
系統分區,如果作了,請在恢復時確認備份是在60天內作的,如果超出,就最好聯繫你的
系統管理員,你可以需要管理員重新設定
計算機安全憑據,否則你將不能登錄域環境。
域和工作組適用的環境不同,域一般是用在比較大的網路里,工作組則較小,在一個域中需要一台類似伺服器的計算機,叫
域控伺服器,其他電腦如果想互相訪問首先都是經過它的,但是工作組則不同,在一個工作組裡的所有計算機都是對等的,也就是沒有伺服器和客戶機之分的,但是和域一樣,如果一台計算機想訪問其他計算機的話首先也要找到這個組中的一台類似組控伺服器,組控伺服器不是固定的,以選舉的方式實現,它存儲著這個組的相關信息,找到這台計算機後得到組的信息然後訪問。