Windows系统之工作组和域
工作组:
工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。
域:
域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。
工作组和域的区别:
域和工作组适用的环境不同,域一般是用在比较大的网络里,工作组则较小,在一个域中需要一台类似服务器的计算机,叫域控服务器,其他电脑如果想互相访问首先都是经过它的,但是工作组则不同,在一个工作组里的所有计算机都是对等的,也就是没有服务器和客户机之分的,但是和域一样,如果一台计算机想访问其他计算机的话首先也要找到这个组中的一台类似组控服务器,组控服务器不是固定的,以选举的方式实现,它存储着这个组的相关信息,找到这台计算机后得到组的信息然后访问。
在加入域的时候,管理员为每个计算机在域中(可和用户不在同一域中)建立了一个计算机帐户,这个帐户和用户帐户一样,也有密码保护的。计算机帐户的密码不叫密码,在域中称为登录凭据,它是由 2000 的 DC(域控制器) 上的 KDC 服务来颁发和维护的。为了保证系统的安全,KDC 服务每 30 天会自动更新一次所有的凭据,并把上次使用的凭据记录下来。周而复始。也就是说服务器始终保存着 2 个凭据,其有效时间是 60 天,60 天后,上次使用的凭据就会被系统丢弃。如果 GHOST 备份里带有的凭据是 60 天的,那么该计算机将不能被 KDC 服务验证,从而系统将禁止在这个计算机上的任何访问请求(包括登录),解决的方法呢,简单的方法使将计算机脱离域并重新加入,KDC 服务会重新设置这一凭据。或者使用 2000 资源包里的 NETDOM 命令强制重新设置安全凭据。因此在有域的环境下,请尽量不要在计算机加入域后使用 GHOST 备份系统分区,如果作了,请在恢复时确认备份是在 60 天内作的,如果超出, 就最好联系你的系统管理员,你可以需要管理员重新设置计算机安全凭据,否则你将不能登录域环境。
实验环境:
网卡:NAT
客户端:Windows 7
服务器端:Windows server 2008
IP地址:自动获取(通过Vmware软件自动分配IP地址)
实验步骤:
(一)安装域控制器
1.打开windows server 2008,“服务器管理器”->“角色”->“添加角色”->“添加角色向导”
2.根据“添加角色向导”指示进行,在“服务器角色”一项中勾选“Active Directory域服务”
(二)建立新域
1.启动“Active Directory域服务安装向导”
2.勾选“使用高级模式安装”
3.勾选“在新林中新建域”
4.命名林根域为“ST13.com”
5.设置林功能级别为“Windows Server 2008 R2”
6.勾选“否,不创建DNS委派”
7.设置Administrator密码
8.完成安装并重启电脑
(三)在active directory域服务中新建
1.在ST13.com域中新建组织单位Student
2.在Student组织单位中新建组class13
3.在Student组织单位中新建用户wangyi
(四)将客户端加入到服务器端win sever的域下
1.查询Windows server 2008的IP地址
2.将查询到的Windows server 2008的IP地址设置为Windows 7的DNS服务器地址
3.更改域名后确定,进入用户名登录界面登录,重启计算机。