AD域與工作組
一、域和工作組存在的意義(目的)
為了資源共享,他們是兩種網路資源的管理模式。
工作組是自由市場,有幾個工作組就有幾個自由市場,你可以隨時自由出入而沒什麼限制,從網路上的芳鄰最先看到的往往是自己機器所在的工作組的機器們。
而域是嚴格控制許可權的私人會所,沒有正確的域使用者是根本無法登入到域上的,也就無法訪問域所控制的資源。
二、使用AD域的優點
1. 許可權管理集中、管理成本下降
工作組中一切的設定在本機上進行包括各種策略,使用者登陸也是登陸在本機的,密碼是放在本機的資料庫來驗證的。域環境中,所有網路資源,包括使用者,均是在域控制器上維護,便於集中管理。所有使用者只要登入到域,在域內均能進行身份驗證,管理人員可以較好的管理計算機資源,管理網路的成本大大降低。防止公司員工在客戶端隨意安裝軟體,能夠增強客戶端安全性、減少客戶端故障,降低維護成本。透過域管理可以有效的分發和指派軟體、補丁等,實現網路內的一起安裝,保證網路內軟體的統一性。配合ISA的話就可以根據使用者來確定可不可以上網。不然只能根據IP。控制使用者登入許可權,保障內網資訊保安(可強制設定登入地點、時間、裝置)。對使用者集中控制,利於工作效率最佳化快速高效(現有大型整合ERP軟體很多都是利用AD域進行賬戶分配及許可權管理)。
2. 安全效能加強、許可權更加分明
有利於企業的一些保密資料的管理,比如說某個盤允許某個人可以讀寫,但另一個人就不可以讀寫;哪一個檔案只讓哪個人看;或者讓某些人可以看,但不可以刪/改/移等。
可以封掉客戶端的USB埠,防止公司機密資料的外洩。
安全性完全與活動目錄(Active Directory) 整合。不僅可在目錄中的每個物件上定義訪問控制,而且還可在每個物件的屬性上定義。活動目錄(Active Directory)提供安全策略的儲存和應用範圍。安全策略可包含帳戶資訊:如域範圍內的密碼限制或對特定域資源的訪問權;透過組策略設定下發並執行安全策略。
3. 賬戶漫遊和資料夾重定向
個人賬戶的工作檔案及資料等可以儲存在伺服器上,統一進行備份、管理,使用者的資料更加安全、有保障。當客戶機故障時,只需使用其他客戶機安裝相應軟體以使用者帳號登入即可,使用者會發現自己的檔案仍然在“原來的位置”(比如,我的文件),沒有丟失,從而可以更快地進行故障修復。
卷影副本技術可以讓使用者自行找回檔案以前的版本或者誤刪除的檔案(限儲存過的32個版本)。在伺服器離線時(故障或其他情況),“離線資料夾”技術會自動讓使用者使用檔案的本地快取版本繼續工作,並在登出或登入系統時與伺服器上的檔案同步,保證使用者的工作不會被打斷。
4. 方便使用者使用各種共享資源
可由管理員指派登入指令碼對映分散式檔案系統根目錄,統一管理。使用者登入後就可以像使用本地磁碟機代號一樣,使用網路上的資源,且不需再次輸入密碼,使用者也只需記住一對使用者名稱/密碼即可。
各種資源的訪問、讀取、修改許可權均可設定,不同的賬戶可以有不同的訪問許可權。即使資源位置改變,使用者也不需任何操作,只需管理員修改連結指向並設定相關許可權即可,使用者甚至不會意識到資源位置的改變,不用像從前那樣,必須記住哪些資源在哪臺伺服器上。
5. SMS系統管理服務(System Management Server)
透過能夠分發應用程式、系統補丁等,使用者可以選擇安裝,也可以由系統管理員指派自動安裝。並能集中管理系統補丁(如Windows Updates),不需每臺客戶端伺服器都下載同樣的補丁,從而節省大量網路頻寬。
6. 靈活的查詢機制
使用者和管理員可使用“開始”選單、“網路上的芳鄰”或“Active Directory 使用者和計算機”上的“搜尋”命令,透過物件屬性快速查詢網路上的物件。例如,您可透過名字、姓氏、電子郵件名、辦公室位置或使用者帳戶的其他屬性來查詢使用者。透過使用全域性編錄來最佳化查詢資訊。
7. 擴充套件效能較好
WIN2K的活動目錄具有很強的可擴充套件性,管理員可以在計劃中增加新的物件類,或者給現有的物件類增加新的屬性。計劃包括可以儲存在目錄中的每一個物件類的定義和物件類的屬性。
8. 方便在 MS 軟體方面整合
三、“自由”的工作組
工作組(WORK GROUP)就是將不同的電腦按功能分別列入不同的組中,以方便管理。比如在一個網路內,可能有成百上千臺工作電腦,如果這些電腦不進行分組,都列在“網路上的芳鄰”內,可想而知會有多麼亂(恐怕網路鄰居也會顯示“下一頁”吧)。為了解決這一問題,WINDOWS 9X/NT/2000才引用了“工作組”這個概念,比如一所高校,會分為諸如數學系、中文系之類的,然後數學系的電腦全都列入數學系的工作組中,中文系的電腦全部都列入到中文系的工作組中……如果你要訪問某個系別的資源,就在“網路上的芳鄰”裡找到那個系的工作組名,雙擊就可以看到那個系別的電腦了。
那麼怎麼樣才能加入到工作組中呢?其實方法很簡單,只需要右擊WINDOWS桌面上的“網路上的芳鄰”,在彈出的選單出選擇“屬性”,點選“標識”,在“計算機名”一欄中添入你想好的名字,在“工作組”一欄中添入你想加入的工作組名稱。如果你輸入的工作組名稱是一個不存在的工作組,那麼就相當於新建一個工作組,當然也只有你自己的電腦在裡面。不過要注意,計算機名和工作組的長度都不能超過15個英文字元,可以輸入漢字,但是也不能超過7個漢字。“計算機說明”是附加資訊,不填也可以,但是最好填上一些這臺電腦主人的資訊,如“數學系主機”等。單擊“確定”按鈕後,WINDOWS 98提示需要重新啟動,按要求重新啟動之後,再進入“網路上的芳鄰”,就可以看到你所在工作組的成員了。
相對而言,所處在同一個工作組內部成員相互交換資訊的頻率最高,所以你一進入“網路上的芳鄰”,首先看到的是你所在工作組的成員。如果要訪問其他工作組的成員,需要雙擊“整個網路”,然後你才會看到網路上其他的工作組,雙擊其他工作組的名稱,這樣你才可以看到裡面的成員,與之實現資源交換。
除此之外,你也可以退出某個工作組,方法也很簡單,只要將工作組名稱改變一下即可。不過這樣在網上別人照樣可以訪問你的共享資源,只不過換了一個工作組而已。也就是說,你可以隨便加入同一網路上的任何工作組,也可以隨時離開一個工作組。“工作組”就像一個自由加入和退出的俱樂部一樣。它本身的作用僅僅是提供一個“房間”,以方便網上計算機共享資源的瀏覽。
四、域的管理和設定
打個比方,如果說工作組是“免費的旅店”那麼域(DOMAIN)就是“星級的賓館”;工作組可以隨便出出進進,而域則需要嚴格控制。“域”的真正含義指的是伺服器控制網路上的計算機能否加入的計算機組合。一提到組合,勢必需要嚴格的控制。所以實行嚴格的管理對網路安全是非常必要的。在對等網模式下,任何一臺電腦只要接入網路,其他機器就都可以訪問共享資源,如共享上網等。儘管對等網路上的共享檔案可以加訪問密碼,但是非常容易被破解。在由WINDOWS 9X構成的對等網中,資料的傳輸是非常不安全的。
不過在“域”模式下,至少有一臺伺服器負責每一臺聯入網路的電腦和使用者的驗證工作,相當於一個單位的門衛一樣,稱為“域控制器(DOMAIN CONTROLLER,簡寫為DC)”。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等資訊構成的資料庫。當電腦聯入網路時,域控制器首先要鑑別這臺電腦是否是屬於這個域的,使用者使用的登入賬號是否存在、密碼是否正確。如果以上資訊有一樣不正確,那麼域控制器就會拒絕這個使用者從這臺電腦登入。不能登入,使用者就不能訪問伺服器上有許可權保護的資源,他只能以對等網使用者的方式訪問WINDOWS共享出來的資源,這樣就在一定程度上保護了網路上的資源。
要把一臺電腦加入域,僅僅使它和伺服器在網路上的芳鄰中能夠相互“看”到是遠遠不夠的,必須要由網路管理員進行相應的設定,把這臺電腦加入到域中。這樣才能實現檔案的共享。
加入域,是指將某一計算機加入域。
登入域,是指使用域帳戶和密碼登入到域。
域帳戶是域控上額外建立的,使用域帳戶可以在任何加入到域中的計算機登入到域,沒加入域的計算機無法使用域帳戶登入到域?
為了資源共享,他們是兩種網路資源的管理模式。
工作組是自由市場,有幾個工作組就有幾個自由市場,你可以隨時自由出入而沒什麼限制,從網路上的芳鄰最先看到的往往是自己機器所在的工作組的機器們。
而域是嚴格控制許可權的私人會所,沒有正確的域使用者是根本無法登入到域上的,也就無法訪問域所控制的資源。
二、使用AD域的優點
1. 許可權管理集中、管理成本下降
工作組中一切的設定在本機上進行包括各種策略,使用者登陸也是登陸在本機的,密碼是放在本機的資料庫來驗證的。域環境中,所有網路資源,包括使用者,均是在域控制器上維護,便於集中管理。所有使用者只要登入到域,在域內均能進行身份驗證,管理人員可以較好的管理計算機資源,管理網路的成本大大降低。防止公司員工在客戶端隨意安裝軟體,能夠增強客戶端安全性、減少客戶端故障,降低維護成本。透過域管理可以有效的分發和指派軟體、補丁等,實現網路內的一起安裝,保證網路內軟體的統一性。配合ISA的話就可以根據使用者來確定可不可以上網。不然只能根據IP。控制使用者登入許可權,保障內網資訊保安(可強制設定登入地點、時間、裝置)。對使用者集中控制,利於工作效率最佳化快速高效(現有大型整合ERP軟體很多都是利用AD域進行賬戶分配及許可權管理)。
2. 安全效能加強、許可權更加分明
有利於企業的一些保密資料的管理,比如說某個盤允許某個人可以讀寫,但另一個人就不可以讀寫;哪一個檔案只讓哪個人看;或者讓某些人可以看,但不可以刪/改/移等。
可以封掉客戶端的USB埠,防止公司機密資料的外洩。
安全性完全與活動目錄(Active Directory) 整合。不僅可在目錄中的每個物件上定義訪問控制,而且還可在每個物件的屬性上定義。活動目錄(Active Directory)提供安全策略的儲存和應用範圍。安全策略可包含帳戶資訊:如域範圍內的密碼限制或對特定域資源的訪問權;透過組策略設定下發並執行安全策略。
3. 賬戶漫遊和資料夾重定向
個人賬戶的工作檔案及資料等可以儲存在伺服器上,統一進行備份、管理,使用者的資料更加安全、有保障。當客戶機故障時,只需使用其他客戶機安裝相應軟體以使用者帳號登入即可,使用者會發現自己的檔案仍然在“原來的位置”(比如,我的文件),沒有丟失,從而可以更快地進行故障修復。
卷影副本技術可以讓使用者自行找回檔案以前的版本或者誤刪除的檔案(限儲存過的32個版本)。在伺服器離線時(故障或其他情況),“離線資料夾”技術會自動讓使用者使用檔案的本地快取版本繼續工作,並在登出或登入系統時與伺服器上的檔案同步,保證使用者的工作不會被打斷。
4. 方便使用者使用各種共享資源
可由管理員指派登入指令碼對映分散式檔案系統根目錄,統一管理。使用者登入後就可以像使用本地磁碟機代號一樣,使用網路上的資源,且不需再次輸入密碼,使用者也只需記住一對使用者名稱/密碼即可。
各種資源的訪問、讀取、修改許可權均可設定,不同的賬戶可以有不同的訪問許可權。即使資源位置改變,使用者也不需任何操作,只需管理員修改連結指向並設定相關許可權即可,使用者甚至不會意識到資源位置的改變,不用像從前那樣,必須記住哪些資源在哪臺伺服器上。
5. SMS系統管理服務(System Management Server)
透過能夠分發應用程式、系統補丁等,使用者可以選擇安裝,也可以由系統管理員指派自動安裝。並能集中管理系統補丁(如Windows Updates),不需每臺客戶端伺服器都下載同樣的補丁,從而節省大量網路頻寬。
6. 靈活的查詢機制
使用者和管理員可使用“開始”選單、“網路上的芳鄰”或“Active Directory 使用者和計算機”上的“搜尋”命令,透過物件屬性快速查詢網路上的物件。例如,您可透過名字、姓氏、電子郵件名、辦公室位置或使用者帳戶的其他屬性來查詢使用者。透過使用全域性編錄來最佳化查詢資訊。
7. 擴充套件效能較好
WIN2K的活動目錄具有很強的可擴充套件性,管理員可以在計劃中增加新的物件類,或者給現有的物件類增加新的屬性。計劃包括可以儲存在目錄中的每一個物件類的定義和物件類的屬性。
8. 方便在 MS 軟體方面整合
三、“自由”的工作組
工作組(WORK GROUP)就是將不同的電腦按功能分別列入不同的組中,以方便管理。比如在一個網路內,可能有成百上千臺工作電腦,如果這些電腦不進行分組,都列在“網路上的芳鄰”內,可想而知會有多麼亂(恐怕網路鄰居也會顯示“下一頁”吧)。為了解決這一問題,WINDOWS 9X/NT/2000才引用了“工作組”這個概念,比如一所高校,會分為諸如數學系、中文系之類的,然後數學系的電腦全都列入數學系的工作組中,中文系的電腦全部都列入到中文系的工作組中……如果你要訪問某個系別的資源,就在“網路上的芳鄰”裡找到那個系的工作組名,雙擊就可以看到那個系別的電腦了。
那麼怎麼樣才能加入到工作組中呢?其實方法很簡單,只需要右擊WINDOWS桌面上的“網路上的芳鄰”,在彈出的選單出選擇“屬性”,點選“標識”,在“計算機名”一欄中添入你想好的名字,在“工作組”一欄中添入你想加入的工作組名稱。如果你輸入的工作組名稱是一個不存在的工作組,那麼就相當於新建一個工作組,當然也只有你自己的電腦在裡面。不過要注意,計算機名和工作組的長度都不能超過15個英文字元,可以輸入漢字,但是也不能超過7個漢字。“計算機說明”是附加資訊,不填也可以,但是最好填上一些這臺電腦主人的資訊,如“數學系主機”等。單擊“確定”按鈕後,WINDOWS 98提示需要重新啟動,按要求重新啟動之後,再進入“網路上的芳鄰”,就可以看到你所在工作組的成員了。
相對而言,所處在同一個工作組內部成員相互交換資訊的頻率最高,所以你一進入“網路上的芳鄰”,首先看到的是你所在工作組的成員。如果要訪問其他工作組的成員,需要雙擊“整個網路”,然後你才會看到網路上其他的工作組,雙擊其他工作組的名稱,這樣你才可以看到裡面的成員,與之實現資源交換。
除此之外,你也可以退出某個工作組,方法也很簡單,只要將工作組名稱改變一下即可。不過這樣在網上別人照樣可以訪問你的共享資源,只不過換了一個工作組而已。也就是說,你可以隨便加入同一網路上的任何工作組,也可以隨時離開一個工作組。“工作組”就像一個自由加入和退出的俱樂部一樣。它本身的作用僅僅是提供一個“房間”,以方便網上計算機共享資源的瀏覽。
四、域的管理和設定
打個比方,如果說工作組是“免費的旅店”那麼域(DOMAIN)就是“星級的賓館”;工作組可以隨便出出進進,而域則需要嚴格控制。“域”的真正含義指的是伺服器控制網路上的計算機能否加入的計算機組合。一提到組合,勢必需要嚴格的控制。所以實行嚴格的管理對網路安全是非常必要的。在對等網模式下,任何一臺電腦只要接入網路,其他機器就都可以訪問共享資源,如共享上網等。儘管對等網路上的共享檔案可以加訪問密碼,但是非常容易被破解。在由WINDOWS 9X構成的對等網中,資料的傳輸是非常不安全的。
不過在“域”模式下,至少有一臺伺服器負責每一臺聯入網路的電腦和使用者的驗證工作,相當於一個單位的門衛一樣,稱為“域控制器(DOMAIN CONTROLLER,簡寫為DC)”。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等資訊構成的資料庫。當電腦聯入網路時,域控制器首先要鑑別這臺電腦是否是屬於這個域的,使用者使用的登入賬號是否存在、密碼是否正確。如果以上資訊有一樣不正確,那麼域控制器就會拒絕這個使用者從這臺電腦登入。不能登入,使用者就不能訪問伺服器上有許可權保護的資源,他只能以對等網使用者的方式訪問WINDOWS共享出來的資源,這樣就在一定程度上保護了網路上的資源。
要把一臺電腦加入域,僅僅使它和伺服器在網路上的芳鄰中能夠相互“看”到是遠遠不夠的,必須要由網路管理員進行相應的設定,把這臺電腦加入到域中。這樣才能實現檔案的共享。
加入域,是指將某一計算機加入域。
登入域,是指使用域帳戶和密碼登入到域。
域帳戶是域控上額外建立的,使用域帳戶可以在任何加入到域中的計算機登入到域,沒加入域的計算機無法使用域帳戶登入到域?
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/22558114/viewspace-1701602/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 域組策略與本地組策略
- win10怎麼建立區域網工作組 win10組建區域網工作組的基本步驟Win10
- Tomcat組成與工作原理Tomcat
- 專案管理過程組與知識領域專案管理
- Word與Excel組合工作 批次列印信封(轉)Excel
- 關於JVM的組成與classloaderJVM
- 解密HTTP協議:探索其組成部分與工作原理解密HTTP協議
- 搭建AD域
- 微軟加入WebGL工作組微軟Web
- SAP 工作組選單
- 組策略-處理-作用域
- 位元組面試:領域、子域、核心域、通用域和支撐域怎麼劃分?面試
- AD域服務
- 工作組內網滲透內網
- 刪除工作負荷組
- Padavan安裝使用ZeroTier實現組建虛擬區域網的方法
- 基於AD作用於域使用者和計算機的組策略(1)計算機
- 基於AD作用於域使用者和計算機的組策略(2)計算機
- .Net開源工作流Roadflow的使用與整合
- JavaScript 作用域 與 作用域鏈JavaScript
- 領域邏輯的組織模式模式
- 我要去 Google 前端組工作了Go前端
- Jakarta EE工作組正式成立
- Novell開放工作組套件(轉)套件
- w10系統怎麼加入工作組_win10系統如何更改工作組Win10
- vue-element-admin與後端互動流程(補)(跨域)Vue後端跨域
- AUTOCAD——成組命令
- 伊麗莎白工程獎組委:只有約20%青少年對從事工程領域工作感興趣
- javascript之作用域與作用域鏈JavaScript
- js的作用域與作用域鏈JS
- 校園區域網組建方案分析
- 工控領域的組態軟體概念
- LoadRunner變數作用域變數
- ThreadLocal的工作原理thread
- 影片編輯領域AI革命:Adobe Premiere Pro 與 OpenAI 合作REMOpenAI
- 上海/GO工作/區塊鏈領域公司Go區塊鏈
- 智慧醫院2.0時代,詳解智慧醫院建設路徑與領域組成
- 區域網的組建及設定方法