【赛迪网独家特稿】上一讲介绍DHCP时,说DHCP想取得营业执照 ,必须要得到域控制器的认可。域控制器和本文将要介绍的活动目录概念是学习三大服务必不可少的内容,也是网络管理员们必须掌握的功课。这次专门就这些问题为网管新手朋友们作一个扫盲级讲解,挂一漏万之处,敬请专家指正。
初识工作组
为了管好网络内的计算机,微软引入了“工作组”的概念。某公司可能有上百台电脑,网管就应该建立诸如工程部、财务部之类的组,然后工程部的电脑全都列入工程部工作组中,依此类推。要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到该部门的计算机列表了。
但这种工作组没有担任管理角色的计算机,大家“无组织无纪律”,各得其乐,平起平坐,一般来说也相安无事,任何一台电脑任何时候都可以加入或退出任何一个工作组,随进随出,没人管你。在这个意义上,工作组是没有边界的,也是不安全的,就像路边的免费停车位,“此处无人看管,丢失概不负责”,因为访问资源的权限仅仅取决于对共享资源所加的密码,而这种密码又非常容易破解,最重要的一点是无法实现组的嵌套(如无法在“管理层”组中加入“人事部”、“财务部”等组),这就好比记事本,可以在上面记一些东西,但是就不考虑排版、修饰的问题了。它只适合对网络安全性要求不高、规模较小的公司或团体、组织临时组建网络使用。
再说域
为提高安全性,微软又引入了“域”的概念,域和工作组类似,但域是“星级宾馆”,想混进一个“域”可不是一件容易的事。换句话说,域和工作组的区别就是域内有了一个或几个域控制器(Domain Controller,DC),它一方面负责对其他试图加入或进入本域的计算机进行严格的身份识别,另一方面又对域内成员严格管理。所以,域虽然也是一群计算机的组合,但它是一个组织有序的机构——内部有人事部门、门口有保安、周围有围墙、有“边界”,DC的存在增强了域内的安全性,而高度的安全性是网络存在的基石。
在域中,DC充当了类似人事主管兼保安队长的角色,负责对登陆网络的计算机进行身份识别,是为人民服务的机器,必须并且只能建立在W2K Server上,而没有建立DC的W2K Server称为成员服务器,他们可能另有任务,比如是DNS服务器,或者是DHCP服务器,或者是MAIL服务器,或者什么也不是,就是域内的一个成员(中央后补委员)等,其它9X、W2K Professional以下的计算机就泛称为客户机。域内的计算机也采用了类似工作组但比后者强大得多的管理方式。
在域内建立工作组的目的是让管理员利用组将访问共享资源的权限一次性授予组内的多个相应用户账号,而不必反复执行对用户授权的操作,并且在域内建立的组保存在活动目录中,可供网管在域中的任何地方使用,甚至还可以在多个域中使用。
DC包含了属于这个域的计算机账号和属于这个域的用户名、密码等信息构成的数据库。当网中另一台电脑登陆网络时,DC首先确定这台电脑是否属于该域;其次确定登陆域时使用的用户名是否存在、密码是否正确,只要有任何一项错误,那么DC就拒绝这个用户名从这台电脑登录到域,就只能登陆到本机以对等网的方式访问其它未加入到域的客户端,这样就在一定程度上保护了域内的共享资源。
1
2
3
下一页>>
