版权归原作者所有,如有侵权,请联系我们

[科普中国]-windows域

科学百科
原创
科学百科为用户提供权威科普内容,打造知识科普阵地
收藏

Windows域是计算机网络的一种形式,其中所有用户帐户 ,计算机,打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。 身份验证在域控制器上进行。 在域中使用计算机的每个人都会收到一个唯一的用户帐户,然后可以为该帐户分配对该域内资源的访问权限。 从Windows Server 2003开始 , Active Directory是负责维护该中央数据库的Windows组件。Windows域的概念与工作组的概念形成对比,在该工作组中,每台计算机都维护自己的安全主体数据库。

域的含义域英文叫DOMAIN——域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。

域既是 Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在 Windows 网络操作系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域,每个域都有自己的安全策略,以及它与其他域的安全信任关系。

域的原理其实可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。

如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的1。

不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。

要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享,集中统一,便于管理。

配置计算机可以通过LAN,WAN或使用VPN连接连接到域。域的用户能够为其VPN连接使用增强的安全性,因为支持在将域添加到网络时获得的证书颁发机构,因此,可以使用智能卡和数字证书来确认身份并保护存储的信息。

域控制器在Windows域中,该目录驻留在配置为“域控制器”的计算机上。域控制器是Windows或Samba服务器,它管理用户和域交互之间的所有安全相关方面,集中安全性和管理。域控制器通常适用于具有10台以上PC的网络。域是计算机的逻辑分组。域中的计算机可以在小型LAN上共享物理接近度,或者它们可以位于世界的不同部分。只要他们能够沟通,他们的实际位置就无关紧要了2。

集成在运行Windows操作系统的PC必须集成到包含非Windows PC的域中的情况下,免费软件包Samba是一种合适的替代方案。无论使用哪个包来控制它,数据库都包含该域中资源的用户帐户和安全信息。

Active Directory可以根据位置,组织结构或其他因素将Active Directory域内的计算机分配到组织单位中。在原始Windows Server域系统(Windows NT3.x / 4附带)中,只能从管理工具中以两种状态查看计算机;检测到的计算机(在网络上)和实际属于该域的计算机。Active Directory使管理员可以更轻松地管理和部署网络更改和策略(请参阅组策略)到连接到域的所有计算机。

工作组相比之下,Windows Workgroups是另一种模型,用于在Windows附带的网络环境中对运行Windows的计算机进行分组。工作组计算机被认为是“独立的” - 即工作组没有形成正式的成员身份或身份验证过程。工作组没有服务器和客户端,因此代表了对等(或客户端到客户端)网络范例,而不是由Server-Client构成的集中式体系结构。工作组被认为难以管理超过十二个客户端,并且缺乏单点登录,可扩展性,弹性/灾难恢复功能以及许多安全功能。Windows Workgroups更适合小型或家庭办公网络。

域的作用如果企业网络中计算机和用户数量较多时,要实现高效管理,就需要windows域。

域控安装要建立域进行管理,首先需安装域控制器(dc),dc上存储着域中的信息资源,如名称、位置和特性描述等信息。通过在一台服务器上安装活动目录(AD),就会将这台计算机安装成dc。

安装条件

1安装者必须具有本地管理员的权限。

2操作系统版本必须满足条件(Windows server2003除web以外的所有都满足)。

3本地磁盘必须有一个NTFS文件系统

4有TCP/IP设置

5有相应的DNS服务器支持

6有足够的可用空间

安装活动目录(AD)步骤

1.打开ad开始--运行输入dcpromo

2.是否创建新域。dc有两种新域的域控和现有域的额外域控制器。一般选择新域的域控。

3.新域的DNS全名。

4.新域的NetBIOS名。下一步

5.数据库和日志文件夹。为了优化性能,可以将数据库和日志放在不同的硬盘上。该文件夹不一定在NTFS分区。如果本计算机是域的第一台域控,则sam数据库就会升级到C:\windows\ntds\ntds.dit,本地用户账户变成域用户账户。

6.共享的系统卷。共享系统卷SYSVOL文件夹存放的位置必须是NTFS文件系统。

7.DNS注册诊断。AD需要DNS服务支持。选第二项,下一步。

8.域兼容性。如果网络中不存在Windows server 2003 以前版本的域控制器,就选第二项。如果存在选第一项。

9.还原模式密码。目录服务还原模式的管理员密码,是在目录服务还原模式下登录系统时使用。由于目录服务还原模式下,所有的域账户用户都不能使用,只有使用这个还原模式管理员账户登录。

10.安装完成后需重启计算机。

前面讲解了怎样创建windows域,接下来完善一下,讲解怎样将计算机加入域。 在安装完AD后,需要将其它的服务器和客户计算机加入到域中。一般情况下,在从客户计算机加入域时,会在域中自动创建计算机账号。不过,用户必须在本地客户计算机上拥有管理权限才能将其加入到域中。在加入域之前,首先检查客户机的网络配置:1.确保网络上物理连通 2.设置IP地址 3.检查客户机到服务器是否连通 4.配置客户机的首选DNS服务器(通常为第一台DC的IP) 在客户端计算机系统属性中的“计算机名”选项卡里,单击更改按钮可以打开计算机加入域的对话框,选中域后,输入正确的域名,然后再根据提示输入具有加入域权限的用户名和密码即可。 这样就OK了!将客户机加入域,就可以在客户机上,使用域账户加入到域,也可以使用客户机的本地用户账户登录到域。 前面一直提到DNS,下面讲解DNS在域中的作用。 DNS在域中有两个作用:域名的命名采用DNS的标准、定位DC。 1、域名的命名采用DNS标准。遵循DNS分布式、等级结构的标准。这体现了办公网络与Internet集成的理念。 2、客户机如何定位DC。当域用户账户登陆时或者查找活动目录时,首先要定位DC,这需要DNS服务器支持,主要步骤: 1)客户机发送DNS查询请求给DNS服务器。 2)DNS服务器查询匹配的SRV资源记录。 3)DNS服务器返回相关DC的ip地址列表给客户机。 4)客户机联系到DC 5)DC响应客户机的请求 DNS在活动目录中为什么能起到定位DC的作用哪? 主要靠域的DNS区域中的SRV资源记录。开始--程序--管理工具--DNS,打开DNS管理器,就是SRV资源记录。

域和组的区别工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。而域不同,域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。为什么是这样的呢?因为在加入域的时候,管理员为每个计算机在域中(可和用户不在同一域中)建立了一个计算机帐户,这个帐户和用户帐户一样,也有密码保护的。可是大家要问了,我没有输入过什么密码啊,是的,你确实没有输入,计算机帐户的密码不叫密码,在域中称为登录凭据,它是由2000的DC(域控制器)上的KDC服务来颁发和维护的。为了保证系统的安全,KDC服务每30天会自动更新一次所有的凭据,并把上次使用的凭据记录下来。周而复始。也就是说服务器始终保存着2个凭据,其有效时间是60天,60天后,上次使用的凭据就会被系统丢弃。如果你的GHOST备份里带有的凭据是60天的,那么该计算机将不能被KDC服务验证,从而系统将禁止在这个计算机上的任何访问请求(包括登录),解决的方法呢,简单的方法使将计算机脱离域并重新加入,KDC服务会重新设置这一凭据。或者使用2000资源包里的NETDOM命令强制重新设置安全凭据。因此在有域的环境下,请尽量不要在计算机加入域后使用GHOST备份系统分区,如果作了,请在恢复时确认备份是在60天内作的,如果超出,就最好联系你的系统管理员,你可以需要管理员重新设置计算机安全凭据,否则你将不能登录域环境。

域和工作组适用的环境不同,域一般是用在比较大的网络里,工作组则较小,在一个域中需要一台类似服务器的计算机,叫域控服务器,其他电脑如果想互相访问首先都是经过它的,但是工作组则不同,在一个工作组里的所有计算机都是对等的,也就是没有服务器和客户机之分的,但是和域一样,如果一台计算机想访问其他计算机的话首先也要找到这个组中的一台类似组控服务器,组控服务器不是固定的,以选举的方式实现,它存储着这个组的相关信息,找到这台计算机后得到组的信息然后访问。

本词条内容贡献者为:

闫晓东 - 副教授 - 中央民族大学信息工程学院