微軟技術(shù)：1）工作組：平等 2）域

主要優(yōu)點(diǎn)：集中管理/統(tǒng)一管理

域成員：1）域控制器：Domain Controller 2）成員機(jī)

創(chuàng)建域：
關(guān)鍵步驟：1）創(chuàng)建“活動(dòng)目錄/AD”，擁有AD的PC，稱為DC
2）DC安裝完畢后，一個(gè)域也就誕生了
3）然后可以陸續(xù)將其他PC加入域

活動(dòng)目錄AD(Active Directory)：域的優(yōu)點(diǎn)體現(xiàn)在活動(dòng)目錄的優(yōu)點(diǎn)上
1）優(yōu)點(diǎn)：實(shí)現(xiàn)集中管理
2）AD實(shí)際就是一個(gè)數(shù)據(jù)庫(kù)，AD中包含域資源（域用戶、域組、域共享、域計(jì)算機(jī)）
3）AD域需要與DNS服務(wù)器進(jìn)行配合！！DNS服務(wù)器起到在域中做定位的作用！
4）一個(gè)AD域必須有一個(gè)唯一的域名。
如: wencoll公司就可以起域名：wencoll.com

安裝活動(dòng)目錄：
1）必須有固定的靜態(tài)IP地址 （域控制器也是一個(gè)服務(wù)器）
2）系統(tǒng)版本必須為服務(wù)器版本
3）建議安裝AD前修改計(jì)算機(jī)名，并重啟生效
4）安裝AD必須是管理員身份
5）提前規(guī)劃好域的名字 ，如xzr.com

安裝：1）開始–運(yùn)行–輸入“dcpromo” 開始安裝活動(dòng)目錄
2）勾選安裝DNS
3）勾選“新林中新建域”
4）設(shè)置域名
5）設(shè)置“林功能級(jí)別”，“域功能級(jí)別”，建議保持為2003
6）設(shè)置目錄還原密碼
7）開始安裝，并重啟

活動(dòng)目錄安裝完畢后：
1）域控制器的本地用戶全部升級(jí)為域用戶。
如：本地administrator升級(jí)為域管理員
本地guest升級(jí)為域來賓用戶
2）驗(yàn)證是否成功安裝：
計(jì)算機(jī)右鍵屬性
計(jì)算機(jī)右鍵管理，檢查是否還有本地用戶
檢查管理工具中是否有Active Directory 用戶和計(jì)算機(jī)工具，并檢查是否可以打開
檢查DNS服務(wù)器是否安裝完畢，并檢查是否存在該域的配置文件及解析記錄

將PC加入域、新建域用戶
1）保證與DC/DNS可以通信！
2）DNS指向DC！
3）計(jì)算機(jī)右鍵–屬性–計(jì)算機(jī)名–更改–輸入域名–輸入管理員賬戶及密碼–成功-重啟
4）加入域成功后，驗(yàn)證：1.DNS上自動(dòng)出現(xiàn)解析記錄
2.在AD中，computer自動(dòng)出現(xiàn)成員機(jī)的計(jì)算機(jī)名
5）在AD上創(chuàng)建一個(gè)域用戶，并成功在成員機(jī)上登錄域！

在域中做文件共享服務(wù)器：
1）賦權(quán)限：給域用戶或域組賦權(quán)限

OU(Organization Union)：組織單位 作用：用于歸類域資源（域用戶、域計(jì)算機(jī)、域組）

組策略：Group Policy = GPO 需掌握組策略的阻止繼承及強(qiáng)制！
只有組織單元OU才可以附加組策略GPO
作用：可以修改計(jì)算機(jī)的各種屬性，如開始菜單、桌面背景、網(wǎng)絡(luò)參數(shù)等。
組策略在域中，是基于OU來下發(fā)的
組策略在域中下發(fā)后，用戶的應(yīng)用順序是：LSDOU
在應(yīng)用過程中，如果出現(xiàn)沖突，后應(yīng)用的生效！

整個(gè)域環(huán)境首先要有個(gè)名字，就叫域名。域環(huán)境也有后綴，比如域名叫 haha.com。
有了域控制器，就有了域環(huán)境。創(chuàng)建域環(huán)境重點(diǎn)就是創(chuàng)建域控制器，要想成為域控制器，重要的就是要有AD活動(dòng)目錄，因此域也叫AD域。
域控制器和域成員都要有自己的計(jì)算機(jī)名，如域控制器計(jì)算機(jī)名叫dc1，則計(jì)算機(jī)在這個(gè)域中完整的名字就叫做 dc1.haha.com
域環(huán)境中每個(gè)人都有名字，也有后綴，訪問PC可以直接通過訪問域名，則需要DNS服務(wù)器。一般DC和DNS是合二為一的。
DC上有張表叫AD活動(dòng)目錄表，用來存儲(chǔ)一些數(shù)據(jù)，如賬號(hào) 密碼，這些賬號(hào)用戶叫做域用戶。
當(dāng)域用戶成功在某PC上登錄時(shí)，會(huì)向DC發(fā)出請(qǐng)求，請(qǐng)求被控制。
域用戶可以在域中任意一臺(tái)PC上登錄。同理，域管理員在域中任意一臺(tái)PC有完全控制的權(quán)限。
配置文件 家目錄

DNS在服務(wù)器中起到定位的作用
nslook up abc.haha.com 即可解析到對(duì)方的IP地址
\abc\c$ \abc.haha.com\share 也可以省略 \abc\share

由于加入了域環(huán)境，PC上登錄了域用戶，提交訪問請(qǐng)求時(shí)會(huì)自動(dòng)將域用戶提交給服務(wù)器，因此域用戶訪問不用輸入賬號(hào)密碼，因?yàn)樽约褐挥幸粋€(gè)身份，即當(dāng)前系統(tǒng)的域賬號(hào)身份，會(huì)自動(dòng)提交到服務(wù)器。

也可以創(chuàng)建一個(gè)域組，把域用戶加到該組，再給該域組賦予權(quán)限，相當(dāng)于給該組的域用戶加權(quán)限。組的作用還是為了降低權(quán)限賦予的工作量

組策略GPO也是一張文件一張表，這個(gè)表可以基于部門可以基于計(jì)算機(jī)也可以基于組織單元OU（取決于組織單元的范圍大小）。 當(dāng)域用戶身份驗(yàn)證完畢后登陸上去，向DC發(fā)送請(qǐng)求，請(qǐng)求指示請(qǐng)求被控制。域用戶被下發(fā)一張GPO組策略表，域用戶便按照組策略GPO的策略進(jìn)行執(zhí)行。只有OU才可以附加GPO組策略