【文章內(nèi)容簡介】 域管理的優(yōu)點(diǎn) 工作組與域的區(qū)別 現(xiàn)公司所有電腦采用工作組的管理模式，域管理與工作組管理的主要區(qū)別在于： （ 1） 工作組網(wǎng)實(shí)現(xiàn)的是分散的管理模式，每一臺(tái)計(jì)算機(jī)都是獨(dú)自自主的，用戶賬戶和權(quán)限信息保存在本機(jī)中，同時(shí)借助工作組來共享信息，共享信息的權(quán)限設(shè)置由每臺(tái)計(jì)算機(jī)控制。在網(wǎng)上鄰居中能夠看到的工作組機(jī)的列表叫瀏覽列表是通過廣播查詢?yōu)g覽主控服務(wù)器，由瀏覽主控服務(wù)器提供的。 （ 2） 而域網(wǎng)實(shí)現(xiàn)的是主 /從管理模式，通過一臺(tái)域控制器來集中管理域內(nèi)用戶帳號(hào)和權(quán)限，帳號(hào)信息保存在域控制器內(nèi)，共享信息分散在 每臺(tái)計(jì)算機(jī)中，但是訪問權(quán)限由控制器統(tǒng)一管理。這就是兩者最大的不同。 （ 3） 在“域”模式下，資源的訪問有較嚴(yán)格的管理 ， 至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，相當(dāng)于一個(gè)單位的門衛(wèi)一樣，稱為“域控制器（ Domain Controller，簡寫為 DC）”。 （ 4） 域控制器中包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的，用戶使用的登錄賬號(hào)是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會(huì)拒絕這個(gè)用戶 從這臺(tái)電腦登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源，他只能以對(duì)等網(wǎng)用戶的方式訪問 Windows 共享出來的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。而工作組只是進(jìn)行本地電腦的信息與安全的認(rèn)證。 公司采用域管理的好處 （ 1） 方便管理 ， 權(quán)限管理比較集中，管理人員可以較好的管理計(jì)算機(jī)資源。 （ 2） 安全性高，有利于企業(yè)的一些保密資料的管理，比如一個(gè)文件只能讓某一個(gè)人看 ， 或者指定人員可以看 ， 但不可以刪 、 改 、 移等。 （ 3） 方便對(duì)用戶操作進(jìn)行權(quán)限設(shè)置，可以分發(fā)，指派軟件等 ,實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的軟件一起安 裝。 （ 4） 很多服務(wù)必須建立在域環(huán)境中，對(duì)管理員來說有好處 :統(tǒng)一管理 ， 方便在 MS 軟件方面集成 ， 如 ISA EXCHANGE(郵件服務(wù)器 )、 ISA SERVER(上網(wǎng)的各種設(shè)置與管理 )等。 （ 5） 使用漫游賬戶和文件夾重定向技術(shù)，個(gè)人賬戶的工作文件及數(shù)據(jù)等可以存儲(chǔ)在服務(wù)器上，統(tǒng)一進(jìn)行備份、管理，用戶的數(shù)據(jù)更加安全、有保障。 （ 6） 方便用戶使用各種資源。 （ 7） SMS（ System Management Server）能夠分發(fā)應(yīng)用程序、系統(tǒng)補(bǔ)丁等，重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 7 頁 用戶可以選擇安裝，也可以由系統(tǒng)管理員指派自動(dòng)安裝。并能集中管理系統(tǒng) 補(bǔ)丁（如 Windows Updates），不需每臺(tái)客戶端服務(wù)器都下載同樣的補(bǔ)丁，從而節(jié)省大量網(wǎng)絡(luò)帶寬。 （ 8） 資源共享 ， 用戶和管理員可以不知道他們所需要的對(duì)象的確切名稱，但是他們可能知道這個(gè)對(duì)象的一個(gè)或多個(gè)屬性，他們可以通過查找對(duì)象的部分屬性在域中得到一個(gè)所有已知屬性相匹配的對(duì)象列表，通過域使得基于一個(gè)或者多個(gè)對(duì)象屬性來查找一個(gè)對(duì)象變得可能。 （ 9） 管理 ， 域控制器集中管理用戶對(duì)網(wǎng)絡(luò)的訪問，如登錄、驗(yàn)證、訪問目錄和共享資源。為了簡化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上進(jìn)行修改，這種更新可 以復(fù)制到域中所有的其他域控制器上。 （ 10） 域的實(shí)施通過提供對(duì)網(wǎng)絡(luò)上所有對(duì)象的單點(diǎn)管理進(jìn)一步簡化了管理。因?yàn)橛蚩刂破魈峁┝藢?duì)網(wǎng)絡(luò)上所有資源的單點(diǎn)登錄，管理遠(yuǎn)可以登錄到一臺(tái)計(jì)算機(jī)來管理網(wǎng)絡(luò)中任何計(jì)算機(jī)上的管理對(duì)象。在 NT 網(wǎng)絡(luò)中，當(dāng)用戶一次登陸一個(gè)域服務(wù)器后，就可以訪問該域中已經(jīng)開放的全部資源，而無需對(duì)同一域進(jìn)行多次登陸。但在需要共享不同域中的服務(wù)時(shí)，對(duì)每個(gè)域都必須要登陸一次，否則無法訪問未登陸域服務(wù)器中的資源或無法獲得未登陸域的服務(wù)。 （ 11） 可擴(kuò)展性 ， 在活動(dòng)目錄中，目錄通過將目錄組織成幾個(gè)部分存儲(chǔ)信息從而允 許存儲(chǔ)大量的對(duì)象。因此，目錄可以隨著組織的增長而一同擴(kuò)展，允許用戶從一個(gè)具有幾百個(gè)對(duì)象的小的安裝環(huán)境發(fā)展成擁有幾百萬對(duì)象的大型安裝環(huán)境。 （ 12） 安全性 ， 域?yàn)橛脩籼峁┝藛我坏牡卿涍^程來訪問網(wǎng)絡(luò)資源，如所有他們具有權(quán)限的文件、打印機(jī)和應(yīng)用程序資源。也就是說，用戶可以登錄到一臺(tái)計(jì)算機(jī)來使用網(wǎng)絡(luò)上另外一臺(tái)計(jì)算機(jī)上的資源，只要用戶具有對(duì)資源的合適權(quán)限。域通過對(duì)用戶權(quán)限合適的劃分，確定了只有對(duì)特定資源有合法權(quán)限的用戶才能使用該資源，從而保障了資源使用的合法性和安全性。 （ 13） 可冗余性 ， 每個(gè)域控制器保存和維護(hù)目錄的一個(gè)副本。在域中，你創(chuàng)建的每一個(gè)用戶帳號(hào)都會(huì)對(duì)應(yīng)目錄的一個(gè)記錄。當(dāng)用戶登錄到域中的計(jì)算機(jī)時(shí)，域控制器將按照目錄檢查用戶名、口令、登錄限制以驗(yàn)證用戶。當(dāng)存在多個(gè)域控制器時(shí)，他們會(huì)定期的相互復(fù)制目錄信息，域控制器間的數(shù)據(jù)復(fù)制，促使用戶信息發(fā)生改變時(shí)（比如用戶修改了口令），可以迅速的復(fù)制到其他的域控制器上，這樣當(dāng)一臺(tái)域控制器出現(xiàn)故障時(shí)，用戶仍然可以通過其他的域控制進(jìn)行登錄，保障了網(wǎng)絡(luò)的順利運(yùn)行。 應(yīng)用 Windows 2021 Server AD 的好處 Windows 2021 Server 是微軟推出的網(wǎng)絡(luò)操作系統(tǒng)服務(wù)器，它 沿用了 Windows 重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 8 頁 2021 Server 的先進(jìn)技術(shù)并且使之更易于部署、管理和使用。其結(jié)果是：其高效結(jié)構(gòu)有助于使您的網(wǎng)絡(luò)成為單位的戰(zhàn)略性資產(chǎn)。 應(yīng)用 Windows 2021 Server 的好處如 表 所示： 表 Windows 2021 server 的好處 優(yōu)勢(shì) 描述 可靠性 Windows Server 2021 是迄今為止最快、最可靠和最安全的 Windows 服務(wù)器操作系統(tǒng)。 提供集成結(jié)構(gòu)，用于幫助您確保商業(yè)信息的安全性。 提供可靠性 、實(shí)用性和可伸縮性，使您可以提供用戶需要的網(wǎng)絡(luò)結(jié)構(gòu)。 高效 Windows Server 2021 提供各種工具，允許您部署、管理和使用網(wǎng)絡(luò)結(jié)構(gòu)以獲得最大效率。 提供靈活易用的工具，有助于使您的設(shè)計(jì)和部署與組織及網(wǎng)絡(luò)的要求相匹配。 通過加強(qiáng)策略、使任務(wù)自動(dòng)化以及簡化升級(jí)來幫助您主動(dòng)管理網(wǎng)絡(luò)。 通過讓用戶自行處理更多的任務(wù)來降低支持開銷。 連接性 連接 Windows Server 2021 可以幫助您創(chuàng)建業(yè)務(wù)解決方案結(jié)構(gòu)，以便與雇員、合作伙伴、系統(tǒng)和客戶更好地連接。 提供集成的 Web 服務(wù)器和流媒體服 務(wù)器，幫助您快速、輕松和安全地創(chuàng)建動(dòng)態(tài) Intra 和 Inter Web 站點(diǎn)。 提供集成的應(yīng)用程序服務(wù)器，幫助您輕松地開發(fā)、部署和管理 XML Web 服務(wù)。 提供多種工具，使您得以將 XML Web 服務(wù)與內(nèi)部應(yīng)用程序、供應(yīng)商和合作伙伴連接起來。 最經(jīng)濟(jì) 與來自 Microsoft 的許多硬件、軟件和渠道合作伙伴的產(chǎn)品和服務(wù)相結(jié)合， Windows Server 2021 提供了有助于使您的基礎(chǔ)架構(gòu)投資獲得最大回報(bào)的選擇。 重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 9 頁 第 3 章 解決方案實(shí)施 AD 域命名和 DNS 的規(guī)劃 Windows 2021 AD 域命名和 DNS 的規(guī)劃之所以放在首要地位，是因?yàn)?AD 作為整個(gè) IT 架構(gòu)的基礎(chǔ)，不應(yīng)該輕易被調(diào)整。盡管安裝后， Windows 2021 AD 仍然可以重組和改名，但是我們?nèi)匀唤ㄗh做一個(gè)長遠(yuǎn)規(guī)劃，使得域命名和 DNS 服務(wù)能夠滿足企業(yè) 35 年的需求，盡量避免配置好后改作調(diào)整地巨大人力物力浪費(fèi)。 此外，部署 Windows 2021 AD，還必須確定 DNS 服務(wù)器，確保它們滿足域控制器定位器系統(tǒng)的要求。一個(gè)支持 AD 的 DNS 至少需要滿足以下要求： （ 1） 必須支持服務(wù)定位資源記錄（ SRV） ； （ 2） 應(yīng)該支持 DNS 動(dòng)態(tài) 更新協(xié)議（ RFC 2136） 。 Windows 2021 Server 提供的 DNS 服務(wù)同時(shí)滿足這些要求，并且還提供下列重要的附加功能和改進(jìn)： （ 1） Active Directory 集成： DNS 服務(wù)把區(qū)域數(shù)據(jù)存儲(chǔ)在目錄中，使得 DNS復(fù)制創(chuàng)建多個(gè)主域，也減少了對(duì)維護(hù)一個(gè)單獨(dú)的 DNS 區(qū)域傳送復(fù)制拓?fù)涞囊蟆? （ 2） 安全動(dòng)態(tài)更新：使得一個(gè)管理員可以精確地控制哪些計(jì)算機(jī)可以更新哪些名稱，并防止未經(jīng)授權(quán)的計(jì)算機(jī)從 DNS 獲得現(xiàn)有的名稱。 （ 3） 條件轉(zhuǎn)發(fā)：根據(jù)不同的對(duì)外訪問的域名后綴，可以將用戶的 DNS 名稱解析請(qǐng)求轉(zhuǎn)發(fā)到 不同的外部 DNS 服務(wù)器。 （ 4） 存根區(qū)域：可以定時(shí)地刷新和外部 DNS 服務(wù)器的連接，及時(shí)發(fā)現(xiàn)那些可能有故障、不再響應(yīng)用戶請(qǐng)求的服務(wù)器，提高用戶 DNS 名稱解析的效率。 確定 AD 邏輯結(jié)構(gòu) Windows 2021 活動(dòng)目錄的邏輯結(jié)構(gòu)由三個(gè)基本組件組成：森林、域和 OU。 確定森林規(guī)劃 森林是 Windows 2021 AD 域的集合。在很多情況下，單一森林就足夠了。單一森林環(huán)境易于建立和維護(hù)，森林間的域自動(dòng)建立雙向可傳遞內(nèi)部信任關(guān)系，不要求手動(dòng)建立外部信任配置，在安裝 Exchange 2021 Server 等應(yīng)用程序時(shí)，只需應(yīng)用一次架構(gòu)更改即可影響所有域。 如果各個(gè)單位有下列管理要求，就必須建立一個(gè)以上的森林： （ 1） 不互相信任管理員； （ 2） 希望限制信任關(guān)系范圍； （ 3） 不同意某種森林架構(gòu)更改策略。架構(gòu)更改、配置更改會(huì)影響到森林中所重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 10 頁 有的域。如果單位不同意一個(gè)公共架構(gòu)策略，它們就不能共存于同一個(gè)森林中。 制定域規(guī)劃 規(guī)劃域結(jié)構(gòu)時(shí)，始終遵循“簡單是最好的投資”的設(shè)計(jì)原則，盡管增加某些復(fù)雜結(jié)構(gòu)可以增值，但是簡單的結(jié)構(gòu)更易于說明、維護(hù)和調(diào)試。一開始時(shí)總是僅考慮每個(gè)森林中僅有一個(gè)域，然后為每一個(gè)增加 的新域提供詳細(xì)的理由，確保添加到森林中的域都是有益的，因?yàn)樗鼈儠?huì)帶來相應(yīng)的管理開銷而導(dǎo)致一定程度的成本上升。 創(chuàng)建更多的域的三種可能的原因是： （ 1） 希望實(shí)現(xiàn)相對(duì)分散式得 IT 管理模式：多域結(jié)構(gòu)更容易進(jìn)行相對(duì)獨(dú)立的管理、委派和權(quán)限控制。另外，不同的用戶帳戶在一個(gè)域內(nèi)是不能出現(xiàn)重名的，多域之間就沒有限制。對(duì)于人士管理相對(duì)獨(dú)立的集團(tuán)下屬公司，多域結(jié)構(gòu)具有更好的靈活性。 （ 2） 希望實(shí)