域的管理及组策略.ppt

第4章 域的管理及组策略 4.1.1 工作组 工作组是一个由许多在同一物理地点，被相同的局域网连接起来的用户组成的小组。相应地，一个工作组也可以是遍布一个机构的，被同一网络连接的用户构成的逻辑小组。在以上两种情况下，工作组中的用户都可以以预定义的方式，共享文档、应用程序、电子邮件和系统资源。 在工作组中，资源和账户的管理都是基于本机的，其管理是分散在网络中的各个计算机中的。 4.1.1 工作组 下面以Windows Server 2003操作系统为例，讲解加入指定计算机工作组的方法：执行“开始”→“控制面板”→“系统”命令，打开“系统属性”对话框，如下图a所示。切换至“计算机名”选项卡，单击“更改”按钮，打开“计算机名称更改”对话框，选中“工作组”单选按钮，如下图b所示。然后在下面的文本框中输入要加入的工作组的名称即可。 4.1.1 工作组 4.1.1 工作组 当建立工作组或将计算机添加到工作组时，工作组的命名要遵守命名规则。工作组名称必须满足以下条件： 对于工作组中的所有计算机是相同的。 工作组中任何计算机的名称不能相同。 计算机名称不能与工作组名称相同。 4.1.2 域 工作组是一个由许多在同一物理地点，而且被相同的局域网连接起来的用户组成的小组。工作组中的的计算机不区分服务器和客户机，各自的地位是平等的，每台计算机都是自己管理自己，这种较分散的管理方式，适合一些小型的网络使用。如果要管理一个中等规模甚至大型网络，真正实现一种集中式的管理模式，即不但能对网络中账户进行集中管理，而且可以对各种网络服务进行集中管理，就需要使用域对网络进行管理。 4.1.2 域 1.域的基本概念 1）域的定义 域（domain）是Windows Server 2003网络系统的安全性边界。一个Windows 网络最基本的单元就是“域”。在独立的计算机上，域即指计算机本身。一个域可以分布在多个物理位置上，同时一个物理位置又可以将不同网段划分为不同的域，每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后，活动目录可以被多个信任域共享。 域是一种逻辑分组，与网络的物理拓扑结构无关，域可以很小，如只有一台计算机；也可以很大，包括遍布世界各地的计算机，如大型跨国公司网络上的域（实际中它们多采用多域结构）。 4.1.2 域 可以把域和工作组联系起来理解，在工作组中，一切设置都在本机上进行，包括各种策略，用户登录也是登录到本机的，密码是放在本机的数据库来验证的。而如果计算机加入域的话，各种策略由域控制器统一设定，用户名和密码也放到域控制器去验证，也就是说，相同的账号密码可以在同一域的任何一台计算机上登录。 4.1.2 域 2）域的安全边界 域的安全边界，可以理解为服务器控制网络上的计算机能否加入的计算机组合。在使用域之后，服务器和用户的计算机都在同一域中，用户在域中只要拥有一个账户，用账户登录后即取得一个身份，有了该身份便可以在域中漫游，访问域中任何一台服务器上的资源。 4.1.2 域 3）域控制器 在域模式下，至少有一台服务器负责每一台连入网络的计算机和用户的验证工作，相当于一个单位的门卫一样，称为域控制器（domain controller，DC），它包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当计算机连入网络时，域控制器首先要鉴别这台计算机是否属于这个域，用户使用的登录账户是否存在，密码是否正确。 4.1.2 域 一台Windows计算机，它要么隶属于工作组，要么隶属于域。工作组通常是由不多于10台计算机组成的逻辑集合。如果要管理更多的计算机，微软推荐使用域模型进行集中管理，这样的管理更有效。可以使用域模型来管理网络，使网络管理的工作量达到最小。这里的10台只是一个参考值，如果有11台甚至更多的计算机，但不想进行集中的管理，仍然可以使用工作组模型。 4.1.2 域 4）域名 Windows计算机隶属于域时，用户需要给这些属于同一个安全边界（即在同一域内）的计算机取一个名字即域名（类似工作组名）。域代表与DNS域对应的名称空间（将在第5章介绍）。例如，某公司采用域模型来管理公司内部的网络，公司的域名为。公司内部的计算机就属于这个域，当然公司内部还能再划分多个子域，类似公司使用工作组模型时，加入工作组一样。但计算机加入域时，必须接受域内的服务器的认证、管理以及资源和共享的权限分配等控制。下面介绍客户机加入一个域的过程。 4.1.2 域 下面以将Windo