域概念

AD 与 DC

  1. Active directory 简称 AD (活动目录)
Domain Controller 简称 DC (域控制器)

DC:服务器控制网络上的计算机是否能加入计算机的组合
负责每一台联入用户的验证工作,域内用户想互相访问需要DC的审核。
AD:提供目录服务的组件
目录是存储有关网络对象(用户,组,计算机,打印机)等信息。目录服务用于帮助用户快速从目录中查找道所需的信息服务。
AD 与 DC 的概念
AD把众多对象(计算机,用户组,打印机等)统一规划放一个仓库里,并做好检索信息,这样形成一个活动目录数据库,简称AD库。
我们把放有AD库的计算机成为DC,意思是一台服务器安装了AD后,它就变成了DC。

活动目录

Active Directory(AD) 是微软在Windows服务器中用于集中管理域中的计算机、用户、设备和其他网络资源的目录服务。它不仅是域的一部分,还为整个Windows网络提供了一种可扩展的架构和身份验证系统。

a. 目录服务

  • 活动目录提供一种目录服务,即存储网络中所有对象(用户、计算机、组等)信息的数据库。活动目录可以存储数百万个对象,使得大规模网络中的资源管理更加高效。

b. 域树和域林

  • 域树(Domain Tree):由一个或多个域组成,具有共同的命名空间。例如,admin.com 和其子域 sub.admin.com 就组成了一个域树。

image

  • 域林(Forest):由一个或多个域树组成,具有统一的目录结构,但域树可以有不同的命名空间。域林是Active Directory中最高的组织单位。

image

c. 组织单位(Organizational Unit, OU)

  • 组织单位(OU) 是域中的逻辑子结构,用来将用户、计算机和其他资源按部门、功能或位置进行分组。OU可以让管理员分层次管理和应用组策略。

d. 身份验证与授权

  • Kerberos身份验证:Active Directory使用Kerberos协议进行身份验证,确保用户和计算机在网络中安全地通信。
  • 单点登录(SSO):一旦用户通过域登录到网络,Active Directory允许他们使用单个登录凭据访问网络中的其他资源,而无需再次输入密码。

e. 域控制器复制

  • 活动目录通过多台域控制器实现复制,使得所有域控制器都保持最新的用户账户、组策略和权限信息。这种复制确保了网络的高可用性,即使某一台域控制器发生故障,其他域控制器仍然能够处理登录请求。

f. 全局目录

  • 全局目录(Global Catalog, GC) 是活动目录中用于存储域中所有对象的子集,并允许跨域的查询。它提高了大规模域环境下的查询和身份验证效率。

PDC 与 BDC

注:PDC和BDC的概念已被“域控制器”这一统一概念所取代。在Windows 2000及以后的版本中,所有的域控制器都是平等的,称为“域控制器(DC)”。PDC和BDC的角色被转化为“主域控制器模拟”(PDC Emulator),用于兼容旧系统,但所有域控制器都可以执行类似的操作。

  1. PDC:主域控制器,运行 windows NT server 负责验证域登录和维护域目录数据库的计算机。

BDC:辅域控制器(额外域控制器),是指除了一台域控制器之外的其它域控制器。

域的特点:

集中/统一管理

域的部署:

1)安装域控制器—→生成域环境
2)安装活动目录—→生成域控制器
3)活动目录:Active Directory = AD

域和活动目录关系

域与活动目录的关系

  • 是一个逻辑结构,用于组织用户、计算机和资源,而活动目录则是支撑域运作的服务。
  • 由一个或多个域控制器组成,域控制器通过活动目录进行统一管理和身份验证。
  • 活动目录管理域中的对象并为它们提供身份验证和授权服务,而域中的资源共享、安全控制和策略管理都依赖于活动目录的功能。

工作组

工作组是最常用最简单最普遍的资源管理模式。简单是因为默认情况下计算机都是采用工作组方式进行资源管理的。默认情况下我们个人所使用的电脑大部分都处在名为workgroup的工作组中,工作组资源管理模式适合于网络中计算机不多,对管理要求不严格的情况。它的建立步骤简单,使用起来也很好上手。大部分中小公司都采取工作组的方式对资源进行权限分配和目录共享。

优点:

  1. 在一个网络内,可能有上百台电脑,如果这些电脑不进行分组,都列在“网上邻居”中,电脑无规则的排列为我们访问资源带来不方便。为了解决这一问题,Windows98操作系统之后就引用了“工作组”这个概念,将不同的电脑按功能分别列入不同的组中,如软件部的电脑都列入“软件部”工作组中,网络部的电脑都列入“网络部”工作组中。你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。计算机通过工作组进行分类,使得我们访问资源更加具有层次化。工作组情况下资源可以相当随机和灵活的分布,更方便资源共享,管理员只需要实施相当低级的维护。

缺点:

  1. 缺乏集中管理与控制的机制,没有集中的统一帐户管理,没有对资源实施更加高效率的集中管理,没有实施工作站的有效配置和安全性严密控制。只适合小规模用户的使用。

1. 共享资源的设置

  • 共享文件夹:管理员可以在成员计算机上创建共享文件夹。通过设置共享权限,允许其他用户(包括管理员账户)访问这些资源。
  • 共享打印机:成员计算机可以共享打印机,其他用户可以通过网络访问。

2. 访问权限

  • 本地管理员权限:如果管理员在成员计算机上有本地管理员权限,他们可以访问共享资源,管理用户账户和权限。
  • 用户组管理:管理员可以将其他用户添加到特定用户组中,以便简化权限管理。

3. 网络连接

  • 直接访问:在同一网络内,管理员可以通过输入共享资源的路径(例如 \\计算机名\共享文件夹)直接访问其他计算机的共享资源。
  • 映射网络驱动器:管理员可以将共享文件夹映射为网络驱动器,以便更方便地访问。

4. 好处

  • 简化管理:通过共享资源,管理员可以集中管理文件和打印机,减少每台计算机单独管理的复杂性。
  • 提高协作:共享资源使得团队成员之间可以更高效地协作,促进信息共享。
  • 灵活性:工作组允许灵活的资源分配,管理员可以根据需要快速设置和调整共享权限。

1. 本地账户的创建

  • 成员计算机上的本地账户:每台计算机都有自己的本地账户管理。管理员需要在每台成员计算机上创建和管理这些账户。
  • 创建方式:可以通过“控制面板”中的“用户账户”或使用命令行工具(如 net user 命令)创建本地账户。

2. 账户的独立性

  • 不共享账户信息:工作组中的每台计算机管理自己的用户账户。成员计算机上的账户信息与其他计算机无关,即使在同一个网络中,它们也不会共享用户账户。
  • 独立管理:如果在不同的成员计算机上有同名的账户,它们实际上是独立的,不会相互影响。

3. 不需要Windows Server

  • 工作组架构:在工作组环境中,成员计算机可以运行任何版本的Windows(如Windows 10、Windows 11等),不需要依赖Windows Server。
  • Windows Server的使用:Windows Server通常用于域环境,以集中管理用户和资源。在工作组中,您只需使用个人计算机上的本地账户即可。

总结

  • 本地账户是在每台成员计算机上创建和管理的,与管理员账户无关。
  • 不同成员计算机的账户信息是独立的,不需要使用Windows Server,只需普通的Windows操作系统即可。

区别

1. 身份验证方式

  • 工作组
    • 去中心化:在工作组中,每台计算机都有自己的用户账户和安全设置。身份验证是本地的,每台计算机独立管理自己的用户。
    • 无集中管理:没有集中控制用户和权限,因此用户必须在每台计算机上单独创建和管理账户。
    • 集中化:在域中,身份验证通过域控制器(如PDC)进行,所有用户和计算机的账户信息都存储在域控制器上。
    • 集中管理:域管理员可以通过域控制器统一管理用户账户、权限和策略,简化了管理和安全设置。

2. 用户账户管理

  • 工作组
    • 用户账户在每台计算机上独立创建和管理,登录时需要输入每台计算机的本地账户凭证。
    • 用户在不同计算机上的访问权限需要分别设置。
    • 用户只需在域内创建一次账户,便可以访问域中的所有计算机和资源。
    • 域管理员可以设置组策略,批量管理用户权限和安全设置。

3. 网络规模和适用性

  • 工作组
    • 通常适用于小型网络,最多支持几十台计算机。适合家庭和小型办公室环境。
    • 适用性有限,随着计算机数量的增加,管理变得复杂。
    • 适用于中大型企业网络,可以支持数百到数千台计算机。
    • 提供更好的安全性、灵活性和可扩展性,适合需要集中管理和安全控制的环境。

4. 安全性

  • 工作组
    • 安全性依赖于每台计算机的本地设置,容易出现管理漏洞。
    • 难以实施统一的安全策略。
    • 通过域控制器提供更高的安全性,支持集中控制的策略和权限管理。
    • 可以实施复杂的访问控制和审计功能,增强了网络安全性。

总结

  • 工作组是去中心化的网络结构,适合小型环境,身份验证和账户管理独立于每台计算机。
  • 是集中化的网络架构,适合中大型网络,提供统一的身份验证、集中管理和更高的安全性。

总总结

工作组

  • 小组织用工作组(是去中心化的网络结构),大组织用域
  • 工作组通过共享文件夹和共享打印机:管理员可以在成员计算机上创建共享文件夹,共享打印机。通过设置共享权限,允许其他用户(包括管理员账户)访问这些资源。
  • 本地账户是在每台成员计算机上创建和管理的,与管理员账户无关。管理员不需要Windows server
  • 在工作组新建用户是需要在自己电脑上创建一个账户,再在用户电脑上创建一个相同的账户

资源共享

  • 共享设置:如果某个计算机的资源(如文件夹)被共享,其他计算机上的用户可以访问这些共享资源,但需要使用该资源所在计算机的本地账户凭证(用户名和密码)进行登录。

  • 共享访问:例如,计算机A上的文件夹可以设置为共享,用户在计算机B上使用计算机A的本地账户进行身份验证后,才能访问该共享文件夹。

    • 在计算机B上,用户可以通过以下方式访问计算机A的共享资源:

      1. 通过文件资源管理器

        • 在地址栏中输入计算机A的名称或IP地址,例如 \\计算机A,然后按Enter键。

      2. 映射网络驱动器

        • 用户可以选择将共享文件夹映射为网络驱动器,以便更方便地访问。

      3. 当用户尝试访问计算机A的共享资源时,系统会弹出身份验证窗口,要求输入用户名和密码。

        用户需要输入计算机A的本地账户凭证(如 计算机A\用户名 和密码)。

        计算机B会将这些凭证发送给计算机A进行身份验证。

创建需要

1. 操作系统

  • Windows Server:域的创建通常需要在Windows Server操作系统上进行,至少需要Windows Server 2008或更高版本。

2. 域控制器

  • 服务器角色:需要配置至少一台计算机作为域控制器(Domain Controller),该计算机将运行Active Directory域服务。

3. 网络环境

  • IP地址:域控制器应具有静态IP地址,以便其他计算机能够可靠地连接到域。
  • 网络配置:网络应配置为支持域成员之间的通信,通常需要良好的局域网(LAN)环境。

4. DNS服务器

  • 域名系统(DNS):域的创建通常需要配置DNS服务器,因为Active Directory依赖DNS来解析域名和处理身份验证请求。建议在同一台域控制器上安装和配置DNS服务器。

5. 域名

  • 选择域名:在创建域时,需要选择一个唯一的域名,通常遵循反向域名命名约定(例如:example.com)。

6. 管理员权限

  • 管理员账户:创建域需要使用具有管理员权限的账户,通常是本地管理员账户或具有相应权限的域管理员账户。

7. 物理资源

  • 硬件要求:确保域控制器满足最低的硬件要求,包括处理器、内存和存储空间。

8. 备份和恢复策略

  • 计划备份:在创建域之前,建议制定备份和恢复计划,以防出现意外情况。

9. 安全和合规性

  • 安全策略:在创建域之前,需要考虑组织的安全策略和合规要求,以确保域的安全性和可靠性。