在域背景下,为什么要使用域? 假设你是公司的系统管理员,你们公司有一千台电脑。 如果要为每台计算机设置登录帐户和权限,则必须分别坐在一千台计算机前面工作,例如是否允许登录帐户安装软件。 如果要改变什么的话,你也必须分别用这一千台电脑进行修改。 相信没有管理者想以这种不吃、不喝、不睡的方式工作,于是产生了领域的概念。
域(Domain ) :概念域模型是为满足大型网络的管理需求而设计的,域是共享用户帐户、计算机帐户和安全策略的计算机集合。
的管理优势由于集中存储所有用户信息,域提供了集中管理。 只要用户帐户对资源具有适当的权限,使用帐户登录域中的任何计算机都可以访问网络中另一台计算机上的资源。 域提供可伸缩性,可以构建非常大的网络。 配置域网络一般来说,域中有三种类型的计算机
域控制器、域控制器中包含活动目录; 提供邮件、数据库和DHCP等服务的成员服务器工作站是用户使用的客户机。
从域的基本定义可以看出,域模型的设计考虑了资源共享问题,如用户帐户。
域是Windows NT或Windows 2000计算机网络的单个安全边界。 adactivedirectory由一个或多个域组成。 在独立工作站上,域是计算机本身,可以扩展到不同的物理位置,每个域都有自己的安全策略和与其他域的安全关系。
域是Windows网络中独立运行的单元,域之间的相互访问需要建立信任关系或信任
关系)。 信任关系是连接域和域的桥梁。 一个域与其他域建立信任关系后,两个域之间不仅可以根据需要相互管理,而且通过网络分配文件和打印机等设备资源,实现不同域之间的网络资源共享和管理,实现相互通信和数据工作组有时也称为对等网络。 因为网络上所有计算机的地位是平等的,资源和管理分散在各个计算机上。 特征工作组中的每台计算机都是本地安全数据库(被理解为可登录帐户信息和共享的资源信息)。 这将分散对用户帐户和资源安全的管理,要求用户在每个用户需要访问的计算机上使用此用户帐户。
更改用户帐户(如更改密码和添加新帐户)必须在每台计算机上操作。
如果忘记向每台计算机添加新的用户帐户,新用户将无法登录到没有此帐户的计算机或访问该资源。
工作组中不需要有服务器级计算机。
管理工作组的好处工作组不需要运行Windows Server的计算机来存储集中的安全信息。
工作组的设计和实施很简单,不需要广泛的规划和管理。
在封闭、相互接近的环境中使用数量有限的计算机时,工作组很有用,但在有10台以上计算机的环境中却不实用。
工作组适合于一组技术用户组,不需要集中管理
工作组中存在的问题权限分配不正确的数据保护不安全的内部网访问不受保护的资源访问不统一的资源访问不受控制的AD域-活动目录的缩写activedirectory。 域控制器是一台集成管理用户、计算机和目录的计算机。 活动目录(ad )是基于LDAP的存储协议。 activedirectoryactivedirectory是服务器和工作站的集合。 域中的目录始终处于活动状态,动态更新的状态域将计算机和用户的帐户密码组合到一个数据库中,用户只需要一个帐户和密码即可访问网络上的其他资源域控制器DC
直流是域控制器的缩写,是域控制器; 域控制器通过活动目录(ad )提供服务。 例如,它负责维护activedirectory数据库、审核用户帐户和密码是否正确,以及将activedirectory数据库复制到其他域控制器。
概念:
仅限Windows Server 2003
服务器级计算机版本(如标准版、企业版和数据中心版)用作域控制器,但不能用作web版。 activedirectory目录数据存储在域控制器中。 一个域中可以有多个域控制器,但在大多数情况下,每个域控制器的地位是平等的。 每个都保存着相同的activedirectory。 AD域工作组差异:特点:
每台计算机都是独立自主的,用户帐户和权限信息存储在本机中。 工作组网络是对等(对等,p2p )网络技术在局域网中的应用(p2p网络主要应用于广域网),基于用户定制的分组特征工作组: 分散的管理模式
域控制器集中管理域中的用户帐户和权限。 帐户信息存储在域控制器中,共享信息分布在每台计算机上,但访问权限由控制器集中管理。 AD域特性域作为字段信息等数据存在,而不是基于对象和安全策略的分布式数据库系统域中的信息作为独立文件存在。 其目的是域C/S管理模式建立在局域网上的APP应用AD本身
录数据库系统。包括三个表格:Schema表:包括所有可在活动目录创建的对象信息以及他们之间的相互关系。最小但最基础的的一个表
Link表:包括活动目录中所有对象的属性以及所有属性的关联
Data表:包括活动目录中用户、组、应用程序特殊数据和其它数据集中管理,DC(域控制器)统一管理,统一部署默认信任集中存储单点登录(Single Sing On,SSO)支持漫游配置 AD域优点 方便管理安全性高网络访问方便SMS能够分发应用程序、系统补丁等可拓展性大,微软ISA服务器,邮件服务器都依赖于域环境
AD域管理的好处:
数据信息的安全性权限分配的严格性资源访问的统一性数据访问的可靠性资源访问的便利性资源使用的规范性集中管理的简化性AD域缺点 需要有专门的高性能服务器安全配置更复杂 AD域可以做什么
一对一
一个员工对应一个账号
一对多
一个账号对应多个应用
多对一
多个账户多个组对应一个资源,账号和账号、组和组的权限各不相同
多对多
多个账户多个组对应多个资源,账号和账号、组和组的权限各不相同
内网安全保护
若没有公司分配的账号,则无法接入公司内网
数据安全保护
公司或部门内的公共信息和资源,只有公司或部门内的人员哟访问、修改、删除、下载等权限
管理统一集中
内部员工计算机账号密码保存在服务器端,由服务器集中管理
资源统一集中
共享文件夹,共享打印机,软件安装、升级,系统升级都由域控来完成,用户只需要安装即可
权限统一集中
按照公司部门组织结构,分级进行权限分配,可按照部门或者组分配不同权限