域和工作组
域和工作组是针对网络不同的网络资源管理模式。
在对等网模式PEER-TO-PEER 下,任何一台电脑只要接入网络,就可以访问共享资源,如共享打印机、文件、ISDN上网对等。尽管对等网络上的共享文件可以加密访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。一般来说,同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,就会看到网络上所有的工作组,双击工作组名称,就会看到里面的成员。
你也可以退出某个工作组,只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源,只不过换一个工作组而已。你可以随便加入同一网络上的任何工作组,也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网络上计算机共享资源的浏览。
在域模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器 Domain Controller”。 其包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否属于这个域,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就一定程度上保护了网络上的资源。
域便于管理大型网络,可以进行统一的管理,如统一发布组策略,统一安装应用软件等等,并且域中的用户在登录的时候,身份验证的过程是在域控制器上完成的。
工作组只适应小型网络。因为每台电脑上面都有自己的安全账户数据库,所以身份验证过程必须在本地进行,如果你要是想登陆工作组中其他的电脑上面,你必须在那台电脑上面有你的用户账户才行。(就是常用的远程登陆)
活动目录Active Directory
活动目录包括两个方面:目录和目录相关的服务。
目录是存储各种对象的一个物理上的容器,包含了有关各种对象如用户、用户组、计算机、域、文件、打印机、组织单位OU以及安全策略等资源信息。这些信息可以被发布出来,以供用户和管理员的使用。 目录服务 是使目录中所有信息和资源发挥作用的服务,如用户和资源管理、基于目录的网络服务、基于网络的应用管理。活动目录提供了一种管理组成网络环境的各种对象的标志和关系的方法。
目录存储在被称为域控制器的服务器上,并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。 每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的如何修改都可以从源域控制器复制到域、域树、或者森林中的其他域控制器上。由于目录可以被复制,而且所有的域控制器都拥有一个可写副本,所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。
普遍用户和系统通过活动目录查找网络资源,管理人员通过活动目录创建和发布资源信息以及实施网络管理。
通过活动目录可实施网络的集中管理、控制用户的工作环境、或者委派管理控制,实施分散管理。
活动目录对象
对象是活动目录中的信息实体,一组属性的集合。
容器 Container
容器是活动目录名称空间的一部分,与目录对象一样,它也有属性,但与目录对象不同的是,它不代表有形的实体,而是代表存对象的空间,因为它仅代表存放一个对象的空间,所以它的比名字空间小。比如一个用户,他是一个对象,但这个对象的容器就仅限于从这个对象本身所能提供的信息空间,如它仅能提供用户名、用户密码。或者:工作单位、联系电话等就不属于这个对象的容器范围了。
目录树 Directory Tree
在任何一个名字空间中,目录树是指由容器和对象构成的层次结构。树的叶子、节点往往是对象,树的非叶子节点是容器。目录树表达了对象的连接方式,也显示了从一个对象到另一个对象的路径。
在活动目录中,目录树是基本结构,从每一个容器作为起点,层层深入,都可以构成一颗子树,一个简单的目录可以构成一棵树,一个计算机网络或者一个域也可以构成一棵树。
域 Domain
Windows 2003网络系统的安全性边界。一个计算机网最基本的单元就是“域”,但是活动目录可以贯穿一个或者多个域。在独立的计算机上,域即指计算机本身,一个域可以分布在多个物理位置上,同时一个位置又可以划分不同网段为不同的域,每个域都有自己的安全策略以及它与其他域的信任关系。
域是Active Directory 服务逻辑结构的核心单元,是对象的容器。
域是由集中共享的账户数据管理的用户和计算机的逻辑组。 逻辑组不是对等的,有主次关系,里面有域控制器,成员服务器和工作组。
Active Directory 是由至少一个域所构成的集合
域是AD的分区单位。