一，工作組概念在一個大的單位內，可能有成百上千臺計算機互相連接組成局域網，它們都會列在“網絡”(網上鄰居)內。如果這些計算機不分組，情況會有多么混亂是可想而知的——很難找一臺計算機。為了解決這一問題，就有了工作組(Work Group)這個概念。將不同的計算機按功能(或部門)分別列入不同的工作組中，如技術部的計算機都列入“技術部”工作組中，行政部的計算機都列入“行政部”工作組中。要想訪問某個部門的資源，只要在“網絡”里找到那個部門的工作組名并雙擊，就可以看到那個部門的所有計算機了。二，域域(Domain)是一個有安全邊界的計算機集合(安全邊界的意思是：在兩個域中，一個域中的用戶無法訪問另一個域中的資源)，可以簡單地把域理解成升級版的工作組。相比工作組而言， 域有更加嚴格的安全管理控制機制。要想訪問域內的資源，用戶必須通過合法的身份登錄域，而用戶對該域內的資源擁有什么樣的權限，還取決于他在該域內的身份。域控制器(Domain Controller，DC)是一個域中的一臺類似管理服務器的計算機，我們可以形象地將它理解為一個單位的門衛。域控制器負責每一臺聯入的計算機和用戶的驗證工作。域內第 1 章 內網滲透測試基礎 3計算機如果想互相訪問，首先都要經過域控制器的審核。1．單域在一般的具有固定地理位置的小公司里，建立一個域就可以滿足所需。一般在一個域內要建立至少兩個域服務器，一個作為 DC，另一個作為備份 DC。如果沒有備份 DC，那么一旦 DC 癱 瘓了，域內的其他用戶就不能登錄該域了，因為活動目錄的數據庫(包括用戶的賬號信息)是存儲在 DC 中的。如果有一臺備份域控制器(BDC)，則至少該域還能正常使用(把癱瘓的 DC 恢復即可)。
2．父域和子域出于管理及其他需求，需要在網絡中劃分多個域。第一個域稱為父域，各分部的域稱為該域的子域。例如，一個大公司的不同分公司位于不同的地理位置，就需要父域及子域這樣的結構。如果把不同地理位置的分公司放在同一個域內，那么它們之間信息交互(包括同步、復制等)所花費的時間就會比較長，占用的帶寬也會比較大(因為在同一個域內，信息交互的條目是很多的，而且不壓縮；而在域和域之間，信息交互的條目相對較少，而且可以壓縮)。這樣處理還有一個好處，就是子公司可以通過自己的域來管理自己的資源。還有一種情況，就是出于安全策略的考慮(每個域都有自己獨有的安全策略)。例如，一個公司的財務部門希望能使用特定的安全策略(包括賬號密碼策略等)，那么可以將財務部門作為一個子域來單獨管理。3．域樹域樹(Tree)指若干個域通過建立信任關系而組成的集合。一個域管理員只能管理本域的內部，不能訪問或者管理其他域，兩個域之間相互訪問則需要建立信任關系(Trust Relation)。信任關系是連接不同域的橋梁。域樹內的父域與子域之間不但可以按照需要相互進行管理，還可以跨網分配文件和打印機等設備資源，從而在不同的域之間實現網絡資源的共享與管理、通信和數據傳輸。在一個域樹中，父域可以包含很多個子域。子域是相對父域來說的，是指域名中的每一個段。各子域之間用點號隔開，一個“.”代表一個層次。放在域名最后的子域稱為最高級子域或一級域，在它前面的子域稱為二級域。例如，域 asia.abc.com 就比域 abc.com 的級別低，因為域 asia.abc.com有兩個層次，而域 abc.com 只有一個層次。再如，域 cn.asia.abc.com 比域 asia.abc.com 的級別低。可以看出，子域只能使用父域作為域名的后綴，也就是說，在一個域樹中，域的名字是連續的，如圖

4．域森林域森林(Forest)是指若干個域樹通過建立信任關系組成的集合。例如，在一個公司兼并場景中，該公司使用域樹 abc.com，被兼并公司本來有自己的域樹 abc.net(或者在需要為被兼并公司建立具有自己特色的域樹時)，因為域樹 abc.net 無法掛在域樹 abc.com 下，則域樹 abc.com 與域樹 abc.net 之間需要通過建立信任關系來構成域森林。這樣，通過在域樹之間建立的信任關系，就可以管理和使用整個域森林中的資源，并保留被兼并公司自身原有的特性，如圖

域森林拓撲圖

5．域名服務器

域名服務器(Domain Name Server，DNS)是指用于進行域名(Domain Name)和與之相對應 的 IP 地址(IP Address)轉換的服務器。從對域樹的介紹中可以看出，域樹中的域的名字和 DNS域的名字非常相似，而實際上，因為域中的計算機是使用 DNS 來定位域控制器、服務器及其他計算機、網絡服務等的，所以域的名字就是 DNS 域的名字。一般在進行內網滲透時就是通過尋找DNS 服務器來定位域控制器的(DNS 服務器和域控制器通常會處在同一臺機器上)。

6，活動目錄

活動目錄(Active Directory，AD)是指域環境中提供目錄服務的組件。??目錄是什么？目錄就是存儲有關網絡對象(如用戶、組、計算機、共享資源、打印機和聯系??人等)的信息。目錄服務是指幫助用戶快速、準確地從目錄中找到其所需要的信息的服務。活動??目錄實現了目錄服務，為企業提供了網絡環境的集中式管理機制。??如果將企業的內網看成一本字典，那么內網里的資源就是字典的內容，活動目錄就相當于字??典的索引。也就是說，活動目錄存儲的是網絡中所有資源的快捷方式，用戶通過尋找快捷方式來??定位資源。??在活動目錄中，管理員可以完全忽略被管理對象的具體???.

7，域控制器和活動目錄的區別??域控制器和活動目錄的區別域控制器(DC)與活動目錄(AD)最大的區別是：如果網絡規模較大，就考慮把網絡中的眾多對象，如計算機、用戶、用戶組、打印機、共享文件等，分門別類、井然有序地放在一個大倉庫中，并將檢索信息整理好，以便查找、管理和使用這些對象(資源)。這個擁有層次結構的數據庫，就是活動目錄數據庫，簡稱 AD 庫。那么，我們應該把這個數據庫放在哪臺計算機上呢？用于存儲活動目錄數據庫的計算機稱為DC。所以，要實現域環境，其實就是要安裝 AD。當內網中的一臺計算機上安裝了 AD，它就變成了 DC。?

總結

以上是生活随笔為你收集整理的同一工作组无法访问_工作组，域的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。