域和工作组有什么区别?工作组:可以随时自由出入而没什么限制,从网上邻居最先看到的往往是自己机器所在的工作组的机器们。域是严格控制权限的私人会所,没有正确的域用户是根本无法登录到域上的,也就无法访问域所控制的资源。域是具有管理的能力的一种机制,采用的是分级的管理权限,而工作组在有域服务的时候,也就是网络中已经存在域服务器的时候可以看作是域中除去工作站外最简单的组织结构,在没有域服务的时候相互间是可以相互访问的。局域网中工作组和域的主要差别!“自由”的工作组工作组(WORKGROUP)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧)。为了解决这一问题,WINDOWS9X/NT/2000才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系的工作组名,双击就可以看到那个系别的电脑了。相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样。它本身的作用仅仅是提供一个“房间”,以方便网上计算机共享资源的浏览。域的管理和设置打个比方,如果说工作组是“免费的旅店”那么域(DOMAIN)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由WINDOWS9X构成的对等网中,数据的传输是非常不安全的。在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(DOMAINCONTROLLER,简写为DC)”。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问WINDOWS共享出来的资源,这样就在一定程度上保护了网络上的资源。要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。1.服务器端设置以系统管理员身份在已经设置好ACTIVEDIRECTORY(活动目录)的WINDOWS2000SERVER上登录,选择“开始”菜单中“程序”选项中的“管理工具”,然后再选择“ACTIVEDIRECTORY用户和计算机”,之后在程序界面中右击“COMPUTERS”,在弹出的菜单中单击“新建”,然后选择“计算机”,之后填入想要加入域的计算机名即可。要加入域的计算机名最好为英文,中文计算机名可能会引起一些问题。2.客户端设置首先要确认计算机名称是否正确,然后在桌面“网上邻居”上右击鼠标,点击“属性”出现网络属性设置窗口,确认“主网络登录”为“MICROSOFT网络用户”。选中窗口上方的“MICROSOFT网络用户”(如果没有此项,说明没有安装,点击“添加”安装“MICROSOFT网络用户”选项)。点击“属性”按钮,出现“MICROSOFT网络用户属性”对话框,选中“登录到WINDOWSNT域”复选框,在“WINDOWSNT域”中输入要登录的域名即可。这时,如果是WINDOWS98操作系统的话,系统会提示需要重新启动计算机,重新启动计算机之后,会出现一个登录对话框。在输入正确的域用户账号、密码以及登录域之后,就可以使用WINDOWS2000SERVER域中的资源了。请注意,这里的域用户账号和密码,必须是网络管理员为用户建的那个账号和密码,而不是由本机用户自己创建的账号和密码。如果没有将计算机加入到域中,或者登录的域名、用户名、密码有一项不正确,都会出现错误信息。10、XP可以当服务器建立活动目录吗?XP可以做服务器,但是微软限制了并发连接只有10个不能升级AD11、GROUP里面是对等的,没有SERVER或CLIENT的概念应该.DOMAIN里面好像除了域服务器外,其它的机器也是对等的.一、域(Domain)域是活动目录中逻辑结构的核心单元。一个域包含许多计算机,它们由管理员设定,共用一个目录数据库,一个域有一个唯一的名字。域是安全边界,保证域的管理员只能在该域内有必要的管理权限,除非得到其它域的明确授权。每个域都有自己的安全策略和与其它域的安全联系方式。注意:1、无法在一个域内实现不同的账号策略。2、父域对子域并没有任何管理特权,但要注意林根域下有企业管理员组EnterpriseAdmins,它默认对林中的其它域是有特权的。父域和子域间默认就有双向可传递的信任关系,也就是说用户可以使用林中任意一个域内的计算机,登录到林内的任何一个域上(操作上就是使用欲要登录的那个域的用户账号);还可以,以自己本域的账号登录,访问林内任何资源而不需要重新输入口令,当然要想能真正访问某一具体资源,在该资源上必须得有相应权限才行。二、组织单元(OU,OrganizationalUnits)在域下面,我们可以规划OU,放入计算机、用户、用户组等对象。也就是说通过OU,我们可以把对象组织起来,并形成一个有层次的逻辑结构。OU下面可以再建小OU,微软建议嵌套层次不要超过3层,我们平常一般1到2层就够用了。在规划OU时,要考虑到将来的管理和组策略的应用,一般应把有相同需求的计算机、用户等放在同一OU下。可以基于部门、基于管理责任,也可以基于地理位置来规划,使其最佳地适应你的公司的需求。在域下面规划OU,不是仅仅为得到一个层次结构,我们主要目的是要基于OU实现委派控制和将来链接相应的组策略来实现管理控制。委派的权限可以是完全控制,也可以是仅指定有限的权限(如:修改OU内的用户口令)给一个或几个用户和组。三、活动目录林(ActiveDirectoryForest)在林中建立的第一个域,被称为林根域,如前面提到的mcse.com。在刚开始时候,我们这个林中只有一个树,树内只有一个域,域内只有一台计算机作为域控制器。也就是说此时我们整个林就只有一台计算机。接下我们也可以为它添加子域,如sub.mcse.com.,再添加了一个新树下的域my.com。这样我们的这个林下就有了两个树:一个树由mcse.com域、和它的子域sub.mcse.com构成,一个树仅由my.com域构成。四、活动目录树(ActiveDirectoryTree活动目录树是Windows2000/03网络中的层次组织,同一树下的域共用连续的名字空间。如父域mcse.com(它同时也是树根域、林根域),树根域的名字一定是最短的。父域mcse.com和子域sub.mcse.com之间默认就有一个双向的、可传递的信任关系。也正由于这种信任关系的可传递性,使得sub.mcse.com和my.com间也有了双向信任关系。五、全局目录(GC,GlobalCatalog)全局目录GC包含了AD对象属性的子集,换句话说就是GC中包含了林中所有对象的摘要信息,也就是相对重要一些的属性,如用户对象的姓、名和登录名。全局目录GC本身必须首先是域控制器DC,GC不具有唯一性,可以有多个。全局目录GC使用户能够:1、查询整个林中的AD信息,无论数据在林中什么位置。以利于林中的跨域访问。2、使用通用组,即利用通用组成员身份的信息登录网络。