一 AD概述
1.1 AD简介
域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系。
当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。
域既是 Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在 Windows 网络操作系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域,每个域都有自己的安全策略,以及它与其他域的安全信任关系。
1.2 域的原理
工作组方式使得系统的一切设置在本机上进行,包括各种策略、用户登录,密码也是存放在本机的数据库来验证。若该计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,即账号密码可以在同一域的任何一台计算机登录。
“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。
在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,称为“域控制器(Domain Controller,简写为DC)”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。
当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。
如果以上信息有一样不一致,那么域控制器则拒绝这个用户从这台电脑登录。
1.3 域和组的区别
工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机各自管理,若要访问其他计算机,需要被访问计算机上来实现用户验证的。
而域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。
因为在加入域的时候,管理员为每个计算机在域中(可和用户不在同一域中)建立了一个计算机帐户,这个帐户和用户帐户一样,也有密码(登录凭证,由DC(域控制器)上的KDC服务来颁发和维护)保护的。
域和工作组适用的环境不同,域一般是用在比较大的网络里,工作组则较小,在一个域中需要一台类似服务器的计算机,叫域控服务器,其他电脑如果想互相访问首先都是经过它的。
但是工作组则不同,在一个工作组里的所有计算机都是对等的,也就是没有服务器和客户机之分。
1.4 域的优势
- 方便管理,权限管理比较集中,可以较好的管理计算机资源。
- 安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人或指定人员看,但不可以删/改/移等。
- 方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。
- 很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。
- 使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。
- 方便用户使用各种资源。
- SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
- 资源共享:用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。
提示:如上参考 https://zhuanlan.zhihu.com/p/45553448 。
二 部署规划准备
2.1 服务器规划
按照如下规划配置主机名(domain前缀)及IP。
服务器名称 11-15 12:20 |