推荐点击下面图片,通过本站淘宝优惠价购买:
一、工作组
1.1、工作组介绍
工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有很多(成百上千)台工作电脑;如果不对这些电脑进行分组,则都会显示在"网上邻居"内,这样都很混乱,不好区分电脑归属,不利于资料的共享。比如,在一个公司内,有信息部、研发部、设备部、人力资源部等,则就创建对应的部门组,组内就是对应的成员电脑,这样就清晰明了了。
一台计算机只能属于一个工作组,但是它可以随时改变加入到别的工作组中去,甚至在任何一台计算机上都可以随意创建新的工作组。所以工作组模式实行的是松散式管理,大家可以随时改变自己所属的工作组,并没有统一的严格规定。
在生产环境中,一般是将计算机按所属部门加入到不同的工作组中去,如信息部的电脑都加入“信息部”工作组,研发部的电脑都列入“研发部”工作组,这样位于同一个工作组内的电脑互访起来也比较方便。
在工作组模式下,网络中的用户、资源和权限这些内容都是由每台计算机的使用者自行管理的。比如网络中的某个用户“张三”,只要他愿意,可以随时将自己电脑中的某个资源共享出来,至于谁能访问使用这个共享资源,并且在访问资源时拥有什么权限,都是由张三自己决定并进行设置的,而且张三也可以随时将这个已经共享的资源停掉。在工作组模式下,一是对每个用户的电脑技术水平要求较高,另外也很容易造成管理上的混乱,所以工作组模式主要适用于对网络管理或应用要求不高的小型网络。
1.2、创建、加入、查看工作组
Windows10创建工作组、加入工作组、查看工作组包含的所有电脑
https://coffeemilk.blog.csdn.net/article/details/121284535
1.3、在工作组中创建共享文件夹
Windows10中创建共享文件夹
https://coffeemilk.blog.csdn.net/article/details/121286621
1.4、工作组特点
工作组通常用于家庭和小规模的商业网络,特点如下:
①计算机的地位都是平等的;
②每一台计算机都独立维护自己的资源,不能集中管理所有网络资源;
③网络规模一般少于10台计算机(有些网络规模较大,但也采用工作组模式,这是因为这种网络对管理的要求不高)。
④十分自由,没有什么限制。
1、优势:
①资源可以相当随机和灵活的分布,更方便资源共享;
②管理员只需要实施相当低级的维护。
2、劣势:
①缺乏集中管理与控制的机制;
②没有集中的统一帐户管理;
③没有对资源实施更加高效率的集中管理,没有实施工作站的有效配置和安全性严密控制。
二、什么是域
2.1、域介绍
“域”(Domain)指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。域通常由在同一本地网络上的计算机组成。但是,连接到某个域的计算机可以通过VPN或Internet连接继续与域控制器通信。这使得企业或学校等单位能够远程管理的他们提供给员工或学生的电脑。
不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。
当计算机连接到一个域时,它不会使用自己的本地用户帐户,用户帐户和密码都是在域控制器上统一管理。当您登录到该域中的计算机时,计算机将使用域控制器验证您的用户帐户名称和密码。这意味着您可以在任何连接到该域的计算机上使用相同的用户名和密码登录。
2.2、域控(Domain Controller 简称:DC)
域控是活动目录(Active Directory)的存储地方,也就是说活动目录存储在域控制器内;安装了活动目录的计算机就称为域控制器,即在第一次安装活动目录的时,安装活动目录的那台计算机就成为了域控制器。一个域可以有一台或多台域控制器。最经典的做法是做一个主辅域控;
一个域内可以有多台域控制器,每台域控制器的地位几乎是平等的,它们各自存储着一份几乎完全相同的活动目录( Active Directory);当在任何一台域控制器内添加了一个用户账户后,此账户默认被创建在此域控制器的活动目录,之后会自动被复制到其他域控制器的活动目录,以便让所有域控制器内的活动数据都能够同步。
当用户在域内某台计算机登录时,会由其中一台域控制器根据其活动目录内的账户数据,来审核用户输入的账户与密码是否正确。如果是正确的,用户就可以登录成功;反之,会被拒绝登录。域控制器是由服务器级别的计算机来扮演的,例如 Windows Server 2008 R2和 Windows Server 2012 R2 等。通常,域控制器的 Active Directory 数据库是可以被读写的,除此之外,还有 Active Directory 数据库是只可以读取、不可以被修改的只读域控制器(Read-Only Domain Controller,RODC)。例如,某子公司位于远程网络,如果安全措施并不像总公司一样完备,则可以使用 RODC。
2.3、活动目录(Active Directory 简称:AD)
活动目录(Active Directory) 域内的目录数据库 (Directory Database)被用来存储用户账户、计算机账户、打印机和共享文件夹等对象;而提供目录服务的组件就是活动目录域服务(Active Directory Domain Service 简称:【AD DS】),它负责目录数据库的存储、添加、删除、修改与查询等操作;一般适用于一个局域网内。
在活动目录域服务(AD DS)内,活动目录就是一个命名空间(Namespace);利用活动目录,我们可以通过对象名称来找到与这个对象有关的所有信息。
在 TCP/IP 网络环境内利用域名系统( Domain Name System【DNS】)来解析【主机名与 IP 地址的对应关系】,也就是利用 DNS 来解析来得到主机的 IP 地址。除此之外,AD 域服务也与 DNS 紧密结合在一起,它的域命名空间也是采用 DNS 架构,因此域名采用 DNS 格式来命名,例如可以将 AD 域的域名命名为 coffeemilk.com。
域名系统(DNS)
https://coffeemilk.blog.csdn.net/article/details/121318900
2.4、活动目录(AD)与域名系统(DNS)的关系
在TCP/IP网络中,域名系统(DNS)是用来解决计算机名字和IP地址的映射关系的,活动目录和DNS是紧密不可分的,活动目录使用DNS服务器来登记域控制器的IP、各种资源的定位等,在一个域林中至少要有一个DNS服务器存在,所以安装活动目录时需要同时安装DNS。此外,域的命名也是采用DNS的格式来命名的。
2.4.1、LDAP介绍
1、目录服务
①目录服务是一个特殊的数据库,用来保存描述性的、基于属性的详细信息,支持过滤功能。
② 是动态的,灵活的,易扩展的。
如:人员组织管理,电话簿,地址簿。
2、LDAP介绍
①轻量级目录访问协议(【Light Directory Access Portocol】简称:LDAP),它是基于X.500标准。
②目录是一个为查询、浏览和搜索而优化的数据库,它成树状结构组织数据,类似文件目录一样。
③目录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据。所以目录天生是用来查询的,就好象它的名字一样。
LDAP目录服务是由目录数据库和一套访问协议组成的系统。
3、为什么要使用LDAP
LDAP是开放的Internet标准,支持跨平台的Internet协议,在业界中得到广泛认可的,并且市场上或者开源社区上的大多产品都加入了对LDAP的支持,因此对于这类系统,不需单独定制,只需要通过LDAP做简单的配置就可以与服务器做认证交互。“简单粗暴”,可以大大降低重复开发和对接的成本。
LDAP概念和原理介绍
https://www.cnblogs.com/wilburxu/p/9174353.html
LDAP 协议入门(轻量目录访问协议)
https://zhuanlan.zhihu.com/p/147768058
2.4.2、活动目录与组织单元
1、对象:用户、计算机、打印机、组等资源。每个对象都有自己的属性以及属性值。
2、组织单元(Organization Unit 简称:OU):组织单元是用来把对象按逻辑进行分组,便于管理、查找、授权和访问。组织单元只表示单个域中的对象集合(可包括组对象)组织单元具有继承性,子单元能够继承父单元的acl。同时域管理员可授予用户对域中所有组织单位或单个组织单位的管理权限。就像一个公司的各个部门的主管,权力平均化能更有效的管理。
3、标识名称(distinguished Name,DN):它是对象在活动目录内的完整路径,DN 有三个属性,分别是 CN,OU,DC。
DC (Domain Component):域名组件,表示 DNS 域名中的组件(如:coffeeMilk.com中的[coffee]和[com]);
OU (Organizational Unit):组织单位;
CN (Common Name):通用名称,一般为用户名或计算机名;
例如,上图所示的用户账户,
①其标识名称(DN) 为:CN=test01,OU=硬件组,OU=信息部,DC=coffeeMilk,DC=com;
②其中:coffeeMilk.com表示域名,信息部、硬件组都是组织单位,test01表示用户;
③此标识的路径为:coffeeMilk\信息部\硬件组\test01
2.5、域的优势
①方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。
②安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人或指定人员看,但不可以删/改/移等。
③方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。
④很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。
⑤使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。
⑥方便用户使用各种资源。
⑦SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
⑧资源共享:用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。
⑨管理
A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。
B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。
⑩可扩展性:在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。
⑩①安全性:域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。
⑩②可冗余性:每个域控制器保存和维护目录的一个副本。在域中,你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时,他们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时(比如用户修改了口令),可以迅速的复制到其他的域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其他的域控制进行登录,保障了网络的顺利运行。
工作笔记(四)windows域,AD域以及AD域部署
https://zhuanlan.zhihu.com/p/45553448
三、安装配置基本域环境
Windows服务器疑难解答文档 | Microsoft Docs
https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/welcome-windows-server
一般情况下,域中有三种计算机:
①域控制器,域控制器上存储(活动目录【Active Directory】);
②成员服务器,负责提供邮件,数据库,DHCP等服务;
③工作站,是用户使用的客户机。
基础与环境的拓扑图如下所示
windows server 2016 活动目录部署系列(一)DNS 配置
https://coffeemilk.blog.csdn.net/article/details/121336684
windows server 2016 活动目录部署系列(二)创建域控制器(AD DS)
https://coffeemilk.blog.csdn.net/article/details/121348038
windows server 2016 活动目录部署系列(三)加入域且创建域用户
https://coffeemilk.blog.csdn.net/article/details/121354274
windows server 2016 活动目录部署系列(四)资源的权限分配
https://coffeemilk.blog.csdn.net/article/details/121363852
windows server 2016 活动目录部署系列(五)域控制器的备份和还原
https://coffeemilk.blog.csdn.net/article/details/121370221
windows server 2016 活动目录部署系列(六)冗余域控制器的部署
https://coffeemilk.blog.csdn.net/article/details/121471851
windows server 2016 活动目录部署系列(七)活动目录的授权还原
https://coffeemilk.blog.csdn.net/article/details/121485207
windows server 2016 活动目录部署系列(八)冗余域控制器的离线部署
https://coffeemilk.blog.csdn.net/article/details/121509616
windows server 2016 活动目录部署系列(九)域控制器的卸载
https://coffeemilk.blog.csdn.net/article/details/121518201
windows server 2016 活动目录部署系列(十)操作主机角色转移
https://coffeemilk.blog.csdn.net/article/details/121529649
windows server 2016 活动目录部署系列(十一)AD域控上安装证书服务器
https://coffeemilk.blog.csdn.net/article/details/121572603
四、AD 域和站点部署系列
windows server 2012 AD 域和站点部署系列(一)环境准备
https://blog.csdn.net/xiezuoyong/article/details/25402881
windows server 2012 AD 域和站点部署系列(二)创建路由器
https://blog.csdn.net/xiezuoyong/article/details/25602597
windows server 2012 AD 域和站点部署系列(三)创建林中第一个域
https://blog.csdn.net/xiezuoyong/article/details/25613017
windows server 2012 AD 域和站点部署系列(四)创建站点
https://blog.csdn.net/xiezuoyong/article/details/25625577
windows server 2012 AD 域和站点部署系列(五)在站点中创建额外域控
https://blog.csdn.net/xiezuoyong/article/details/25684911
windows server 2012 AD 域和站点部署系列(六)在站点中创建林中另一域树
https://blog.csdn.net/xiezuoyong/article/details/25773491
本文链接:http://www.hqyman.cn/post/2483.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下,本站随机推荐观看栏目:
