大家好，又见面了，我是你们的朋友全栈君。

域的背景介绍

为什么要使用域？假设你是公司的系统管理员，你们公司有一千台电脑。如果你要为每台电脑设置登录帐户，设置权限(比如是否允许登录帐户安装软件)，那你要分别坐在这一千台电脑前工作。如果你要做一些改变，你也要分别在这一千台电脑上修改。相信没有哪个管理员想要用这种不吃不喝不睡觉的方式来工作，所以就应运而生了域的概念。

域（Domain）:

概念

域模型就是针对大型网络的管理需求而设计的，域就是共享用户账号，计算机账号和安全策略的计算机集合。

域的管理优点

1. 因为所有的用户信息都被集中存储，所以，域提供了集中的管理。
2. 只要用户账户有对资源的适当权限，使用账户都能登录域内的任一台计算机，都可以访问网络上另一计算机的资源。
3. 域提供了可伸缩性，这样可以创建非常大的网络。

域网络的组成

一般情况下 域中有三种计算机

1. 域控制器，域控制器上存储着Active Directory；
2. 成员服务器，负责提供邮件，数据库，DHCP等服务；
3. 工作站，是用户使用的客户机。

从域的基本定义中我们可以看到，域模型的设计中考虑到了用户账号等资源的共享问题。
域是Windows NT或者Windows 2000计算机网络的单一安全边界。 AD活动目录由一个或者多个域组成 ,在一个单机工作站上，域就是计算机本身，域可以扩展到不同的物理位置，并且每一个域有它自己的安全策略以及同其它域的安全关系。

1. 域是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系(即Trust
   Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后
2. 两个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理，以及相互通信和数据传输

工作组

概念

• 默认情况下计算机安装完操作系统后是隶属于工作组的。
• 工作组有时也叫做对等网络，因为网络上每台计算机的地位都是平等的，它们的资源与管理是分散在各个计算机上。

特点

1. 工作组中的每台计算机都维护一个本地安全数据库（我理解为可以登录的账户信息和共享的资源信息），这就分散了用户账户和资源安全的管理，在每台用户需要访问的计算机上，用户都必须使用此用户账户。

2. 用户账户的任何变化，例如修改密码或添加新的账户均必须在每台计算机上操作进行。

3. 如果忘记在每个计算机上添加新的用户账户，新用户将不能登录到没有此账户的计算机，也不能访问其上的资源。

4. 工作组内不一定要有服务器级的计算机。

工作组的管理优点

1. 工作组不需要运行Windows Server的计算机来容纳集中的安全性信息。

2. 设计和实现工作组是很简单的，它不需要广泛的计划和管理。

3. 对于在封闭的、相互接近的环境中使用有限数量的计算机来说，工作组是很方便的，但在超过10台计算机的环境中，工作组方式很不实用。

4. 工作组比较适合技术用户组组成的小组，他们不需要集中进行管理

工作组存在的问题

1. 权限分配不合理
2. 数据保护不安全
3. 内网接入无保护
4. 资源访问不统一
5. 资源访问无控制

AD域–活动目录

概念

AD是Active Directory的缩写，即活动目录。 Domain Controller是一台计算机，实现用户，计算机，目录的统一管理。AD（活动目录）是一种存储协议，基于LDAP。

• active directory 活动目录，指一组服务器和工作站的集合，域中的目录是始终呈激活可用，动态更新的状态
• 域将计算机、用户的账号密码集中放在一个数据库内，使得用户只使用一个账号和密码就能够访问网络中的其它资源

域控制器DC

概念:
DC是Domain Controller的缩写，即域控制器；域控制器是通过活动目录(AD)提供服务。例如，它负责维护活动目录数据库、审核用户的帐户与密码是否正确、将活动目录数据库复制到其他的域控制器。

特点:

1. 只有Windows Server 2003
   标准版、企业版或Datacenter版等服务器级的计算机版本才可以扮演域控制器的角色，而Web版没有该功能。
2. 活动目录的目录数据存储在域控制器内。
3. 一个域内可以有多台的域控制器，而在大部分情况下，每一台域控制器的地位是平等的。它们各存储着一份相同的活动目录。

AD域域工作组的区别：

工作组： 分散的管理模式（各主机地位平等，没有管理与被管理之分）

• 每一台计算机都是独自自主的，用户账户和权限信息保存在本机中。工作组网络是对等（peer-to-peer,p2p）网络技术在局域网中的应用（p2p网络主要应用于广域网中），是根据用户自定义的分组特点把网络中的许多用户计算机分门别类的纳入到不同工作组中。

AD域： 集中管理模式（各主机角色不平等，有管理与被管理之分）

• 由域控制器集中管理域内用户账号和权限。账号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。

AD域特点

• 域是一种基于对象和安全策略的分布式数据库系统
• 域中的信息不是以独立文件形式存在的，而是以字段信息之类的数据形式存在。
• 域是C/S管理模式在局域网中构建的应用
• AD本身就是一种目录数据库系统。包括三个表格：
  Schema表：包括所有可在活动目录创建的对象信息以及他们之间的相互关系。最小但最基础的的一个表
  Link表：包括活动目录中所有对象的属性以及所有属性的关联
  Data表：包括活动目录中用户、组、应用程序特殊数据和其它数据
• 集中管理，DC（域控制器）统一管理，统一部署
• 默认信任
• 集中存储
• 单点登录（Single Sing On,SSO）
• 支持漫游配置

AD域优点

• 方便管理
• 安全性高
• 网络访问方便
• SMS能够分发应用程序、系统补丁等
• 可拓展性大，微软ISA服务器，邮件服务器都依赖于域环境

AD域管理的好处：

• 数据信息的安全性
• 权限分配的严格性
• 资源访问的统一性
• 数据访问的可靠性
• 资源访问的便利性
• 资源使用的规范性
• 集中管理的简化性
  

AD域缺点

• 需要有专门的高性能服务器
• 安全配置更复杂

AD域可以做什么

一对一

• 一个员工对应一个账号
  
  一对多

• 一个账号对应多个应用
  

• 多对一
  多个账户多个组对应一个资源，账号和账号、组和组的权限各不相同

• 多对多
  多个账户多个组对应多个资源，账号和账号、组和组的权限各不相同

• 内网安全保护
  若没有公司分配的账号，则无法接入公司内网

• 数据安全保护
  公司或部门内的公共信息和资源，只有公司或部门内的人员哟访问、修改、删除、下载等权限

• 管理统一集中
  内部员工计算机账号密码保存在服务器端，由服务器集中管理

• 资源统一集中
  共享文件夹，共享打印机，软件安装、升级，系统升级都由域控来完成，用户只需要安装即可

• 权限统一集中
  按照公司部门组织结构，分级进行权限分配，可按照部门或者组分配不同权限