天天看点

Windows Server 2012 域与活动目录基本概念理解

开门简介:

1.一台Windows 计算机,它要么隶属于工作组,要么隶属于域。 所以说到域,我们就不得不提一下工作组,工作组是MS 的概念,一般的普遍称谓是对等网。 工作组通常是一个由不多于10 台计算机组成的逻辑集合,如果要管理更多的计算机,MS 推荐你使用域的模式进行集中管理,因为这样的管理更有效。这时你可以使用域、活动目录、组策略等等各种功能,使你网络管理的工作量达到最小。简单理解,域是为了减少“网络管理员”的工作量而提出的一个概念。

2.打个比方,如果说工作组是“免费的旅店”,那么域(Domain)就是“五星级的宾馆”。 工作组可以随便出出进进, 而域则需要严格控制。 “域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。

不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。

3.域控制器(相当于门卫)中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。

要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。

下面将围绕上面“粗体关键词”展开叙述,并进行拓展概念。

一、什么是域?

打个比方来理解,域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,两个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。

二.为什么需要域 ?

打个比方来理解, 如果资源分布在N台服务器上,那么用户需要资源时就要分别登陆这N台服务器,也就需要N个账号。一个用户如此,那M个呢,管理员也就需要给他们创建N*M个账户,这样不仅负责而且难管理。有了域,管理员只需要给每个用户创建一个域用户,用户只需在域中登陆一次就可以访问域中的资源,实现了单一登陆。用户信息是存放在域中的域控制器(DC,Domain Controller)上,上图中,可以在服务器中选定一台或者几台服务器作为域控制器。有多台域控制器时,各个域控制器是平等的,每个域控制器上都有所在域的全部用户的信息,域控制器之间需要同步这些信息。而其它不是域控制器的服务器仅仅是提供资源。

三.什么是活动目录(Active Directory)?

打个比方来理解,相当于书里的内容。活动目录(Active Directory)是Windows Server平台提供的目录服务。在中央数据库中存放信息,使用户在网络上只拥有一个用户账号。目录是存储各种对象的一个物理上的容器,目录服务是使目录中所有信息和资源发挥作用的服务。信息的安全性大大增强,引入基于策略的管理,使系统的管理更加明朗,具有很强的可扩展性、可伸缩性、智能的信息复制能力,与DNS集成紧密、与其他目录服务具有互操作性、具有灵活的查询。活动目录逻辑结构:域、组织单元、树、林。域控制器(DC,Domain Controller)上存放着域中所有用户、组、计算机等信息(实际上域控制器存放的信息还不止这些),域控制器把这些信息存放在活动目录中。活动目录和DNS 的关系在TCP/IP网络中。

四.知识补丁—DNS

DNS(Domain Name System)是用来解决计算机名字和IP地址的映射关系的。 活动目录和DNS是紧密不可分的,活动目录使用DNS服务器来登记域控制器的IP、各种资源的定位等,在一个域林中至少要有一个DNS服务器存在,所以安装活动目录时需要同时安装DNS。此外,域的命名也是采用DNS的格式来命名的。

五、活动目录与组织单元(OU,Organization Unit):

对象:用户、计算机、打印机、组等等。每个对象都有自己的属性以及属性值。

组织单元(OU,Organization Unit):组织单元是用来把对象按逻辑进行分组,便于管理、查找、授权和访问。打个比方来理解,OU可以理解为课本的目录,有科学逻辑的组织,方便我们查找,管理及其他需求。

组织单元只表示单个域中的对象集合(可包括组对象)组织单元具有继承性,子单元能够继承父单元的acl。同时域管理员可授予用户对域中所有组织单位或单个组织单位的管理权限。就像一个公司的各个部门的主管,权力平均化能更有效的管理。

六.为什么要把电脑加入到域?

活动目录的首要任务或者说主要目标是 客户端的安全管理,然后是客户端的标准化管理。

1、安全管理:

2、标准化管理:

如果这两点完成了,活动目录将成为企业基础架构的根本,所有的高级服务都会向活动目录整合,以利用其统一的身份验证、安全管理以及资源公用

七.什么是服务器?

服务器,也称伺服器,是提供计算服务的设备。由于服务器需要响应服务请求,并进行处理,因此一般来说服务器应具备承担服务并且保障服务的能力。

服务器的构成包括处理器、硬盘、内存、系统总线等,因此可以看成一台特殊的计算机。和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

八.什么是计算机组合?

计算机的集合。

九.什么是对等网络?

Windows Server 2012 域与活动目录基本概念理解

对等网络,即对等计算机网络,是一种在对等者(Peer)之间分配任务和工作负载的分布式应用架构,是对等计算模型在应用层形成的一种组网或网络形式。“Peer”在英语里有“对等者、伙伴、对端”的意义。因此,从字面上,P2P可以理解为对等计算或对等网络

十.什么是域控制器?

在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。

十一.什么是网上领居?

你理解成,电脑+邻居就好了。

如一个局域网,建立个电脑邻居,可以共享资料什么的,在网上邻居就可以打开看到了。

右键网上邻居,属性,就可以看到本地连接。

网上邻居作用是你可以在你与相连的电脑上获取或共享文件和资料,方便传输和查看,一般都是在企业或单位里才用到,需要两台或两台以上的电脑建成局域网后才可以使用.下面提示可供你参考:

两台或两台以上才会用到”网上邻居”,在家一般用不上,但可以在装了网卡后,进行有关设置。

”网上邻居”通常(经常)的用途:

1、一根线,多台机子上网。

2、在自身的局域网中实现共享。如文件相互调阅,打印机共享等。

继续阅读