域和工作组

一、工作组结构的网络

        工作组由一群用网络连接在一起的计算机组成，它们将计算机内部的资源共享给其他用户访问。

工作组网络也被称为“对等式”的网络，因为网络上每台计算机的地位都是平等的，它们的资源与管理是分散在各个计算机上。

工作组结构的网络具备以下的特性：
        1.网络上每台Window Server 2003、Windowd XP、Windows 2000、Windows NT等计算机都有自己的“本地安全账户数据库”，称为“安全账户管理器”（SAM,Security Accounts Manager）数据库。如果用户要访问每台计算机内的资源，那么必须在每台计算机的SAM数据库内创建该用户的账户。例如，如果用户Peter要访问每台计算机内的资源，则必须在每台计算机的SAM数据库中穿件Peter这个用户。
因此，当用户账户的数据发生变化时（例如要更改密码），就必须对每台计算机中的账户数据进行更新，比较麻烦。
        2.工作组内不一定要有服务器级别的计算机。例如，网络上不需要有Windows Server 2003，也就是说即使只有Windows XP、Windows 2000 Professional、Windows NT Workstation、Windows 98、Windows ME等计算机，也可以构建一个工作组结构的网络。
        3.如果企业内的计算机数量不多的话，可以采用工作组结构的网络。

二、域结构的网络

      域(Domain)是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后，2个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。
　　域既是 Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在 Windows 网络操作系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域;每个域都有自己的安全策略，以及它与其他域的安全信任关系。

        域由一群用网络连接在一起的计算机组成，它们将计算机内的资源共享给其他用户访问。与工作组不通的是，域内所有的计算机共享一个集中式的目录数据库，它包含着整个域内的用户账户与安全数据。在Windows Server 2003内负责目录服务的组件为活动目录（Active Directory），它负责目录数据库的添加、删除、更改与查询等任务。

        在域结构的Windows Server 2003网络内，这个目录数据库存储在所谓的“域控制器”内，而只有服务器级的计算机才可以扮演域控制器的角色。
        在Windows Serve 2003家族中，必须是Windows Server 2003标准版等级以上的计算机才可以扮演域控制器的角色。

        一个网络内可以有多个域，并且能够将这些域构建成“域目录树”。

域中的计算机类型
域结构的Windows Server 2003网络内可以存在如下的计算机：
1.域控制器 只有Windows Server 2003标准版、企业版或Datacenter版才可以扮演域控制器的角色，而Web版没有该功能。一个域内可以有多台域控制器，每台域控制器的地位都是平等的，它们各自存储着一份相同的活动目录。当在任何一台域控制器内添加了一个用户账户后，该账户被创建在这台域控制器的活动目录内，以后这份数据会自动 复制到其他域控制器的活动目录内。该复制操作可以确保所有域控制器内的活动目录数据都能够同步，也就是拥有相同的数据。
       用户从域上的某台计算机登录时，就会由其中的一台域控制器根据活动目录内的账户数据，负责审核用户所输入的账户与密码数据是否正确。
       如果正确，则用户就可以登录成功，反之，将被拒绝登录。
安装多台域控制器还可以提供容错的功能，因为即使一台域控制器出现故障了，仍然能够由其他的域控制器提供服务。另外，它还可以改善用户登录的效率，因为多台的域控制器可以分担审核用户登录身份（账户名与密码）的负担。
2.成员服务器  成员服务器包括：Windows Server 2003、Windows 2000 Server 或Windows Server NT Server。当用户在这些计算机上利用活动目录内的账户登录，则必须将这些计算机加入到域，此时这些计算机被称为“成员服务器”。成员服务器内没有活动目录的数据，他们不负责审核“域”的服务账户名与密码。
        如果上述服务器级的计算机并没有加入域，则被称为“独立服务器”，然而加入域后，就被称为“成员服务器”。但是，无论独立服务器或者成员服务器，其中都有一个“本地安全账户数据库”，可以用来审核“本地”用户（非域用户）的身份。
3.其他的计算机  域中还可以有Windows XP Professional、Windows 2000 Professional 或Windows NT Workstation等计算机。当用户在计算机安装了上述操作系统后，如果用户要让用户在这些计算机上利用活动目录内的账户登录，则必须将这些计算机加入到域。
        Windows Server 2003、Windows 2000 Server或Windows Server NT Server、Windows XP  Professional、Windows 2000 Professional或Windows NT Workstation等计算机必须加入域，用户才能够在这些计算机上利用活动目录域的帐户登录，否则只能够利用“本地安全数据库”内的帐户登录。
        Windows XP  Home Edition无法加入域，因此在启动时的登录对话框中，无法利用域用户帐户登录，只能够利用本地用户帐户登录。
        在Windows Server 2003的环境下，可以将Windows Server 2003、Windows 2000 Server独立服务器或成员服务器升级为域控制器，也可以将域控制器降级为独立服务器或成员器。