認識Windows的域

一臺Windows計算機，它要麼隸屬於工作組，要麼隸屬於域。所以說到域，我們就不得不提一下工作組，工作組是MS的概念，一般的普遍稱謂是對等網。工作組通常是一個由不多於10臺計算機組成的邏輯集合，如果要管理更多的計算機，MS推薦你使用域的模式進行集中管理，這樣的管理更有效。你可以使用域、活動目錄、組策略等等各種功能，使你網路管理的工作量達到最小。當然這裡的10臺只是一個參考值，11臺甚至20臺，如果你不想進行集中的管理，那麼你仍然可以使用工作組模式。

工作組的特點就是實現簡單，不需要域控制器DC，每臺計算機自己管理自己，適用於距離很近的有限數目的計算機。另外工作組名並沒有太多的實際意義，只是在網路上的芳鄰的列表中實現一個分組而已；再就是對於“計算機瀏覽服務”，每一個工作組中，會自動推選出一個主瀏覽器，負責維護本工作組所有計算機的NetBIOS名稱列表。使用者可以使用預設的workgroup，也可以任意起個名字，同一工作組或不同工作組在訪問時也沒有什麼分別。

域（Domain）是一個共用“目錄服務資料庫”的計算機和使用者的集合，實現起來要複雜一些，至少需要一臺計算機安裝NT/2000/03 Server版本使其充當DC，來實現集中式的管理。

若考慮到容錯的話，至少需要兩臺。對於NT4域就是一臺PDC（具有唯一性），一至多臺BDC，對於2000/03域，已經沒有PDC和BDC的概念，要容錯就需要兩至多臺DC。

域是邏輯分組，與網路的物理拓撲無關，可以很小，比如只有一臺DC；也可以很大，包括遍佈世界各地的計算機，比如大型跨國公司網路上的域（當然實際中他們多采用多域結構，還可以利用AD站點來優化AD複製）。

這個“目錄服務資料庫”，在NT4時，儲存使用者帳號名稱和密碼等安全安全資訊，以及安全規則設定，又被稱作安全帳號管理（SAM）資料庫，簡稱SAM庫。在非DC上的本地的SAM庫與DC上域所用的SAM庫類似，只不過對於NT4域的SAM庫檔案，儲存有整個域的使用者和計算機，用“域使用者管理器”和“伺服器管理器”來管理，本地的SAM庫檔案，儲存有本地機的使用者，由“使用者管理器”來管理。

從2000開始，MS引入了活動目錄AD，DC通過AD來提供目錄的服務，例如它負責維護AD資料庫、稽核使用者的賬戶和密碼是否正確、將AD資料庫複製到其它的DC等。AD庫的核心檔案就是winnt
tds
tds.dit檔案。注意組策略的具體設定值，並不存在這個檔案中，而是儲存在winntsysvolsysvol這個共享夾下，用於向其它DC複製，傳播給域成員，來生效。但需要說明的是：2000/XP/03的非DC域成員計算機上仍使用和NT4一樣的SAM庫檔案來儲存本地帳號。

正是由於所有域成員計算機和域使用者都共用這個域的“目錄服務資料庫”，域管理員就可以基於域的“目錄服務資料庫”來進行集中管理、共享資源，如使用者、組、計算機帳號、許可權設定、組策略設定等等。目錄服務為管理員提供從網路上任何一個計算機上檢視和管理使用者和網路資源的能力。目錄服務也為使用者提供唯一的使用者名稱和密碼，使用者只需一次登入，即可訪問本域或有信任關係的其它域上的所有資源（當然使用者得有許可權才行），而不需要多次提供使用者名稱和密碼登入。

本文轉自redking51CTO部落格，原文連結：http://blog.51cto.com/redking/15583，如需轉載請自行聯絡原作者

認識Windows的域

相關文章