windows 域說明域的含義域的原理域的作用域控安裝域的含義域的原理域的作用域控安裝域和組的區(qū)別域的含義域英文叫DOMAIN ——域(Domain)是Windows 網(wǎng)絡中獨立運行的單位，域之間相互

windows 域說明

域的含義

域的原理

域的作用

域控安裝

域的含義

域的原理

域的作用

域控安裝

域和組的區(qū)別

域的含義

域英文叫DOMAIN ——域(Domain)是Windows 網(wǎng)絡中獨立運行的單位，域之間相互訪問則需要建立信任關(guān)系(即Trust Relation)。信任關(guān)系是連接在域與域之間的橋梁。當一個域與其他域建立了信任關(guān)系后，2個域之間不但可以按需要相互進行管理，還可以跨網(wǎng)分配文件和打印機等設(shè)備資源，使不同的域之間實現(xiàn)網(wǎng)絡資源的共享與管理。

域既是 Windows 網(wǎng)絡操作系統(tǒng)的邏輯組織單元，也是Internet 的邏輯組織單元，在 Windows 網(wǎng)絡操作系統(tǒng)中，域是安全邊界。域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問或者管理其他的域; 每個域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。

域的原理

其實上可以把域和工作組聯(lián)系起來理解, 在工作組上你一切的設(shè)置在本機上進行包括各種策略，用戶登陸也是登陸在本機的，密碼是放在本機的數(shù)據(jù)庫來驗證的。而如果你的計算機加入域的話，各種策略是域控制器統(tǒng)一設(shè)定，用戶名和密碼也是放到域控制器去驗證，也就是說你的賬號密碼可以在同一域的任何一臺計算機登陸 .

如果說工作組是“免費的旅店”那么域（Domain ）就是“星級的賓館”；工作組可以隨便出出進進，而域則需要嚴格控制?！坝颉钡恼嬲x指的是服務器控制網(wǎng)絡上的計算機能否加入的計算機組合。一提到組合，勢必需要嚴格的控制。所以實行嚴格的管理對網(wǎng)絡安全是非常必要的。在對等網(wǎng)模式下，任何一臺電腦只要接入網(wǎng)絡，其他機器就都可以訪問共享資源，如共享上網(wǎng)等。盡管對等網(wǎng)絡上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x 構(gòu)成的對等網(wǎng)中，數(shù)據(jù)的傳輸是非常不安全的。

不過在“域”模式下，至少有一臺服務器負責每一臺聯(lián)入網(wǎng)絡的電腦和用戶的驗證工作，相當于一個單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller ，簡寫為DC ）”。

域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。當電腦聯(lián)入網(wǎng)絡時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務器上有權(quán)限保護的資源，他只能以對等網(wǎng)用戶的方式訪問Windows 共享出來的資源，這樣就在一定程度上保護了網(wǎng)絡上的資源。

要把一臺電腦加入域，僅僅使它和服務器在網(wǎng)上鄰居中能夠相互“看”到是遠遠不夠的，必須要由網(wǎng)絡管理員進行相應的設(shè)置，把這臺電腦加入到域中。這樣才能實現(xiàn)文件的共享，集中統(tǒng)一，便于管理。

域的作用

如果企業(yè)網(wǎng)絡中計算機和用戶數(shù)量較多時，要實現(xiàn)高效管理，就需要windows 域。

域控安裝

要建立域進行管理，首先需安裝域控制器（dc ），dc 上存儲著域中的信息資源，如名稱、位置和特性描述等信息。通過在一臺服務器上安裝活動目錄（AD ），就會將這臺計算機安裝成dc 。

安裝條件

1安裝者必須具有本地管理員的權(quán)限。

2操作系統(tǒng)版本必須滿足條件（Windows server2003除web 以外的所有都滿足）。

3本地磁盤必須有一個NTFS 文件系

4有TCP/IP設(shè)置

5有相應的DNS 服務器支持

6有足夠的可用空間

安裝活動目錄（AD ）步驟

1. 打開ad 開始--運行輸入dcpromo

2. 是否創(chuàng)建新域。dc 有兩種新域的域控和現(xiàn)有域的額外域控制器。一般選擇新域的域控。

3. 新域的DNS 全名。

4. 新域的NetBIOS 名。下一步

5. 數(shù)據(jù)庫和日志文件夾。為了優(yōu)化性能，可以將數(shù)據(jù)庫和日志放在不同的硬盤上。該文件夾不一定在NTFS 分區(qū)。如果本計算機是域的第一臺域控，則sam 數(shù)據(jù)庫就會升級到C:windowsntdsntds.dit，本地用戶賬戶變成域用戶賬戶。

6. 共享的系統(tǒng)卷。共享系統(tǒng)卷SYSVOL 文件夾存放的位置必須是NTFS 文件系統(tǒng)。

7.DNS 注冊診斷。AD 需要DNS 服務支持。選第二項，下一步。

8. 域兼容性。如果網(wǎng)絡中不存在Windows server 2003 以前版本的域控制器，就選第二項。如果存在選第一項。

9. 還原模式密碼。目錄服務還原模式的管理員密碼，是在目錄服務還原模式下登錄系統(tǒng)時使用。由于目錄服務還原模式下，所有的域賬戶用戶都不能使用，只有使用這個還原模式管理員賬戶登錄。

10. 安裝完成后需重啟計算機。

前面講解了怎樣創(chuàng)建windows 域，現(xiàn)在完善一下，講解怎樣將計算機加入域。 在安裝完AD 后，需要將其它的服務器和客戶計算機加入到域中。一般情況下，在從客戶計算機加入域時，會在域中自動創(chuàng)建計算機賬號。不過，用戶必須在本地客戶計算機上擁有管理權(quán)限才能將其加入到域中。在加入域之前，首先檢查客戶機的網(wǎng)絡配置：1. 確保網(wǎng)絡上物理連通 2.設(shè)置IP 地址 3.檢查客戶機到服務器是否連通 4.配置客戶機的首選DNS 服務器（通常為第一臺DC 的IP ） 在客戶端計算機系統(tǒng)屬性中的“計算機名”選項卡里，單擊更改按鈕可以打開計算機加入域的對話框，選中域后，輸入正確的域名，然后再根據(jù)提示輸入具有加入域權(quán)限的用戶名和密碼即可。 這樣就OK 了！將客戶機加入域，就可以在客戶機上，使用域賬戶加入到域，也可以使用客戶機的本地用戶賬戶登錄到域。 前面一直提到DNS ，下面講解DNS 在域中的作用。 DNS在域中有兩個作用：域名的命名采用DNS 的標準、定位DC 。 1、域名的命名采用DNS 標準。遵循DNS 分布式、等級結(jié)構(gòu)的標準。這體現(xiàn)了辦公網(wǎng)絡與Internet 集成的理念。 2、客戶機如何定位DC 。當域用戶賬戶登陸時或者查找活動目錄時，首先要定位DC ，這需要DNS 服務器支持，主要步驟： 1）客戶機發(fā)送DNS 查詢請求給DNS 服務器。 2）DNS 服務器查詢匹配的SRV 資源記錄。 3）DNS 服務器返回相關(guān)DC 的ip 地址列表給客戶機。 4）客戶機聯(lián)系到DC 5）DC 響應客戶機的請求 DNS在活動目錄中為什么能起到定位DC 的作用哪？ 主要靠域的DNS 區(qū)域中的SPV 資源記錄。開始--程序--管理工具--DNS ，打開DNS 管理器，就是SRV 資源記錄。

域和組的區(qū)別

工作組是一群計算機的集合，它僅僅是一個邏輯的集合，各自計算機還是各自管理的，你要訪問其中的計算機，還是要到被訪問計算機上來實

現(xiàn)用戶驗證的。而域不同，域是一個有安全邊界的計算機集合，在同一個域中的計算機彼此之間已經(jīng)建立了信任關(guān)系，在域內(nèi)訪問其他機器，不再需要被訪問機器的許可了。為什么是這樣的呢？因為在加入域的時候，管理員為每個計算機在域中（可和用戶不在同一域中）建立了一個計算機帳戶，這個帳戶和用戶帳戶一樣，也有密碼保護的?？墒谴蠹乙獑柫?，我沒有輸入過什么密碼啊，是的，你確實沒有輸入，計算機帳戶的密碼不叫密碼，在域中稱為登錄票據(jù)，它是由2000的DC （域控制器）上的KDC 服務來頒發(fā)和維護的。為了保證系統(tǒng)的安全，KDC 服務每30天會自動更新一次所有的票據(jù)，并把上次使用的票據(jù)記錄下來。周而復始。也就是說服務器始終保存著2個票據(jù)，其有效時間是60天，60天后，上次使用的票據(jù)就會被系統(tǒng)丟棄。如果你的GHOST 備份里帶有的票據(jù)是60天的，那么該計算機將不能被KDC 服務驗證，從而系統(tǒng)將禁止在這個計算機上的任何訪問請求（包括登錄），解決的方法呢，簡單的方法使將計算機脫離域并重新加入，KDC 服務會重新設(shè)置這一票據(jù)。或者使用2000資源包里的NETDOM 命令強制重新設(shè)置安全票據(jù)。因此在有域的環(huán)境下，請盡量不要在計算機加入域后使用GHOST 備份系統(tǒng)分區(qū)，如果作了，請在恢復時確認備份是在60天內(nèi)作的，如果超出，就最好聯(lián)系你的系統(tǒng)管理員，你可以需要管理員重新設(shè)置計算機安全票據(jù)，否則你將不能登錄域環(huán)境。

域和工作組適用的環(huán)境不同，域一般是用在比較大的網(wǎng)絡里，工作組則較小，在一個域中需要一臺類似服務器的計算機，叫域控服務器，其他電腦如果想互相訪問首先都是經(jīng)過它的，但是工作組則不同，在一個工作組里的所有計算機都是對等的，也就是沒有服務器和客戶機之分的，但是和域一樣，如果一臺計算機想訪問其他算機的話首先也要找到這個組中的一臺類似組控服務器，組控服務器不是固定的，以選舉的方式實現(xiàn)，它存儲這這個組的相關(guān)信息，找到這臺計算機后得到組的信息然后訪問。