windows中的域

域是windows网络中独立运行的单位。在windows中，域是安全便捷，域管理员只能管理域内部，职能被显示的赋予权限，才能访问管理其他的域。每个与都有自己的安全策略和其他域的信任关系。

计算机加入域，仅仅是时他和服务器能够在网络邻居中能够相互看见是不够的。必须把它加入域中。当计算机连入网络是，域控制器必须检查这台电脑是否属于这个域，用户使用的登录账号是否正确。注意，本地系统账户只能登录到本地系统，而不加限制的话，域账户可以在任意客户端登录，也可以通过网络访问资源。

相比之下，工作组是一个计算机的集合，仅仅是一个逻辑的集合，每台计算机各自管理，如果要访问其他的计算机，还是要到被访问的计算机上实现用户认证。而域不一样，相互之间访问其他机器，不需要被许可。在加入域的时候，管理员为每一个计算机建立了一个账户，也有登录凭据，有server上的域控制器通过KDC进行维护。每三十天系统会自动更新一次。工作组内所有计算机都是对等的，而域中存在域控服务器，相互访问首先要经过它。

用户被分为全局组，域本地组和通用组。能添加到全局组的用户只有同一域的用户，也可以添加其他可信任域的全局组，可以访问域中的任何资源。一句话概括，来自于本域，可以作用于全林。

通用组相对而言就是来自于全林，作用于全林，可以获得多个域中的访问权限。因为通用组的组员来自于全林，所以其信息存储在全局编录中，任何改动都会导致全局编录修改。所以一般不将用户直接添加到通用组，而是先形成全局组，再将相对稳定的全局组信息加入通用组。

域本地组的可以来自于本地域账户和任何域中的账户，当然也可以是其他域的全局组，也可以是通用组。只能访问本地资源，一句话概括，来自于全林，作用于本域。

比如说A域需要BC域的某些用户参与共享本域的资源，分别在B,C域中建立一个全局组。在A中创建一个域本地组，赋予其访问共享资源的权限，然后将B和C的全局组加入即可