目录
工作组
工作组是局域网中的一个概念,它是最常见的资源管理模式,简单是因为默认情况下计算机都是采用工作组方式进行资源管理的。将不同的电脑按功能分别列入不同的组中,以方便管理。默认情况下所有计算机都处在名为 WORKGROUP 的工作组中,工作组资源管理模式适合于网络中计算机不多,对管理要求不严格的情况。它的建立步骤简单,使用起来也很好上手。大部分中小公司都采取工作组的方式对资源进行权限分配和目录共享。相同组中的不同用户通过对方主机的用户名和密码可以查看对方共享的文件夹,默认共享的是 Users 目录。
工作组的访问
文件夹-->网络,就可以查看到我们工作组中的其他计算机了,当你要访问某台计算机时,点击它,然后输入该主机的用户名和密码即可看到该主机共享的文件夹。
工作组的优缺点
优点:在一个网络内,可能有上百台电脑,如果这些电脑不进行分组,都列在“网上邻居”中,电脑无规则的排列为我们访问资源带来不方便。为了解决这一问题,Windows98操作系统之后就引用了“工作组”这个概念,将不同的电脑按功能分别列入不同的组中,如软件部的电脑都列入“软件部”工作组中,网络部的电脑都列入“网络部”工作组中。你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。计算机通过工作组进行分类,使得我们访问资源更加具有层次化。工作组情况下资源可以相当随机和灵活的分布,更方便资源共享,管理员只需要实施相当低级的维护。
缺点:缺乏集中管理与控制的机制,没有集中的统一帐户管理,没有对资源实施更加高效率的集中管理,没有实施工作站的有效配置和安全性严密控制。只适合小规模用户的使用。
基于以上缺点,当计算机数量比较多,大型企业中网络规模大,需要统一的管理和集中的身份验证,并且能够给用户提供方便的搜索和使用网络资源的方式,工作组的组织形式就不合适了,于是域就出现了
域
域:用来描述一种架构,和“工作组”相对应,由工作组升级而来的高级架构
活动目录AD(Active Directory): 活动目录的核心包含活动目录数据库,在活动目录数据库中包含了域中所有的对象(用户,计算机,组……)
- Builtin容器: Builtin容器是Active Driectory默认创建的第一个容器,主要用于保存域中本地安全组。
- Computers容器: Computers容器是Active Driectory默认创建的第2个容器,用于存放Windows Server 2008域内所有成员计算机的计算机账号。
- Domain Controllers容器: Domain Controllers是一个特殊的容器,主要用于保存当前域控制器下创建的所有子域和辅助域。
- Users容器:Users容器主要用于保存安装Active Driectory时系统自动创建的用户和登录到当前域控制器的所有用户账户。
域控DC(Domain Control): 在域架构中用来管理所有客户端的服务器,是域架构的核心,每个域控制器上都包含了AD活动目录数据库
域的功能和特点:
- 集中管理,可以集中地管理企业中成千上万分布于异地的计算机和用户
- 便捷的资源访问,能够很容易地定位到域中的资源。 用户依次登录就可以访问整个网络资源,集中地身份验证
- 可扩展性,既可以适用于几十台计算机的小规模网络,也可以用于跨国公司
DNS在域环境中的作用(SRV):
- 域控服务器要求DNS服务器按名称查找计算机、成员服务器和网络服务。
- 域名解析: DNS服务器通过其A记录将域名解析成IP地址
- 定位活动目录服务:客户机通过DNS服务器上的 SRV服务记录定位提供某一个服务的计算机
SRV服务记录是DNS服务器的数据库中支持的一种资源记录的类型,它记录了哪台计算机提供了哪个服务这么一个简单的信息。
SRV服务记录:一般是为Microsoft的活动目录AD设置的应用。DNS可以独立于活动目录,但是活动目录必须有DNS的帮助才能工作。为了活动目录能够正常的工作,DNS服务器必须支持服务定位(SRV)资源记录,资源记录把服务名字映射为提供服务的服务器名字。域主机和域控制器使用SRV资源记录决定域控制器的IP地址。
工作组和域的区别:
工作组是对等网络,域是B/S架构,集中式管理
域结构
单域:网络中只建立了一个域
域树:具有连续的名称空间的多个域,树形结构
域林: 由一个或多个没有形成连续名称空间的域树组成,林中每个域树都有唯一的名称空间,之间不连续
域的原理
其实可以把域和工作组联系起来理解,在工作组上你一切的设置比如在本机上进行各种策略,用户登录都是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。
如果说工作组是“免费的旅店”,那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享文件夹等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。
不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为域控制器(Domain Controller,简写为DC)。
域控制器中包含了这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否属于这个域,使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享,集中统一,便于管理
部署域架构
在域架构中,最核心的就是DC(Domain Control,域控制器),创建域首先要创建DC,DC创建完成后,把所有的客户端加入到DC,这样就形成了域环境。 域控制器是由工作组计算机升级而成,通过 dcpromo 命令就可以完成升级。 只有Windows Server(WEB版本除外)才可以提升为域控制器。 在升级DC之前不需要安装DNS服务,域控制器上必须要有NTFS文件系统的分区
首先,域控制器需要固定的ip地址以及DNS服务器为自己,如下
WIN+R ,打开运行框,输入:dcpromo
然后它会自动检查DNS的配置,需要会时间。如果你主机原来没有安装DNS的话,它会自动帮你勾选上DNS,然后你点击下一步就可以,这时会弹出无法创建DNS服务器的委派,你不用管它,直接点击 是 即可。
然后这里会显示那些文件的位置,因为SYSVOL文件必须得在NTFS文件系统的磁盘上,所以域控服务器必须得有NTFS文件系统的分区。
然后填目录还原模式的Administrator密码,下一步
然后需要重新启动计算机以完成配置。
重新启动后,我们检查下面这些是否正确
- 检查活动目录是否正常安装
- 检查DNS服务域控制器注册的SRV记录
注:在计算机成为域控后,该主机上之前的账号将全部变为域账号,这些账号将不能以本地登录方式登录。成为域控之后新建的用户,必须满足密码规则。如果成为域控后新建的用户不属于administrators组,则这些用户可以登录除域控外的其他域内主机。域控只允许administrators组内的用户以域身份登录,域控不能以本地身份登录。
如何加入域
如果想让主机加入域中,首先将主机的DNS指向域控服务器的ip,并且确保两者之间能通。
然后将主机的域名修改为域对应的名字,确定
然后会叫你输入域内的用户名,administrator 和 域内普通用户名 都可。
域中主机的登录
如果你是想以本地的用户登录,主机名用户名 ,该方式是通过SAM来进行NTLM认证的。传送门——> Windows本地认证
如果你是以域中的用户登录,域名用户名 (域名部分不用加.com) 或者 用户名@域名,该方式是通过Kerberos协议进行认证的,传送门——> Kerberos认证方式
在域控上,使用 dsquery computer 命令可以查询域内所有的主机。
注:域控上的所有用户均可以登录域中的任意一台主机(域控除外,默认情况下域控只允许域内的Administrator用户才能登陆),而域中的普通主机上的用户只能以本地身份登录该主机。
SRV出错及解决办法
但是由于某种原因,装完活动目录后发现DNS上正向区域的SRV记录不全或者没有,需要采取以下措施,强制让域控制器向DNS注册SRV记录。
删除DNS服务器上的正向解析。然后 管理工具→DNS→正向查找区域→右键,新建 _msdcs.xie.com 和 xie.com 的区域
然后重启netlogon服务 停止服务命令:net stop netlogon 启动服务命令:net start netlogon
SRV记录注册不成功的可能原因
- DNS区域名称是否正确,是否允许安全更新
- 确保域控制器全名已经包含了活动目录的名字
- 确保域控制器的TCP/IP属性已经选中“在DNS中注册此链接的地址”
禁用域中的账户
加入到域的计算机,如果不打算让使用者在该计算机上使用域用户登录,可以禁用计算机账户。但是这样只会禁止域控服务器在成为域控服务器之后创建的用户,之前创建的用户不受影响
将计算机退出域
计算机要么是工作组计算机,要么是域中的计算机,不能同时属于域和工作组,如果将计算机加入到工作组,计算机将自动从域中退出。退出时需要输入域管理员账号和密码。
