目錄

工作組

工作組的訪問

工作組的優缺點

域

?域結構

域的原理

部署域架構

如何加入域

域中主機的登錄

SRV出錯及解決辦法

SRV記錄注冊不成功的可能原因

禁用域中的賬戶

將計算機退出域

---

工作組

工作組是局域網中的一個概念，它是最常見的資源管理模式，簡單是因為默認情況下計算機都是采用工作組方式進行資源管理的。將不同的電腦按功能分別列入不同的組中，以方便管理。默認情況下所有計算機都處在名為 WORKGROUP 的工作組中，工作組資源管理模式適合于網絡中計算機不多，對管理要求不嚴格的情況。它的建立步驟簡單，使用起來也很好上手。大部分中小公司都采取工作組的方式對資源進行權限分配和目錄共享。相同組中的不同用戶通過對方主機的用戶名和密碼可以查看對方共享的文件夾，默認共享的是 Users目錄。

工作組的訪問

文件夾-->網絡，就可以查看到我們工作組中的其他計算機了，當你要訪問某臺計算機時，點擊它，然后輸入該主機的用戶名和密碼即可看到該主機共享的文件夾。

工作組的優缺點

優點：在一個網絡內，可能有上百臺電腦，如果這些電腦不進行分組，都列在“網上鄰居”中，電腦無規則的排列為我們訪問資源帶來不方便。為了解決這一問題，Windows98操作系統之后就引用了“工作組”這個概念，將不同的電腦按功能分別列入不同的組中，如軟件部的電腦都列入“軟件部”工作組中，網絡部的電腦都列入“網絡部”工作組中。你要訪問某個部門的資源，就在“網上鄰居”里找到那個部門的工作組名，雙擊就可以看到那個部門的電腦了。計算機通過工作組進行分類，使得我們訪問資源更加具有層次化。工作組情況下資源可以相當隨機和靈活的分布，更方便資源共享，管理員只需要實施相當低級的維護。
缺點：缺乏集中管理與控制的機制，沒有集中的統一帳戶管理，沒有對資源實施更加高效率的集中管理，沒有實施工作站的有效配置和安全性嚴密控制。只適合小規模用戶的使用。

基于以上缺點，當計算機數量比較多，大型企業中網絡規模大，需要統一的管理和集中的身份驗證，并且能夠給用戶提供方便的搜索和使用網絡資源的方式，工作組的組織形式就不合適了，于是域就出現了

域

域：用來描述一種架構，和“工作組”相對應，由工作組升級而來的高級架構

活動目錄AD(Active Directory)： 活動目錄的核心包含活動目錄數據庫，在活動目錄數據庫中包含了域中所有的對象（用戶，計算機，組……）

Builtin容器： Builtin容器是Active Driectory默認創建的第一個容器，主要用于保存域中本地安全組。
Computers容器： Computers容器是Active Driectory默認創建的第2個容器，用于存放Windows Server 2008域內所有成員計算機的計算機賬號。
Domain Controllers容器： Domain Controllers是一個特殊的容器，主要用于保存當前域控制器下創建的所有子域和輔助域。
Users容器：Users容器主要用于保存安裝Active Driectory時系統自動創建的用戶和登錄到當前域控制器的所有用戶賬戶。

域控DC(Domain Control)： 在域架構中用來管理所有客戶端的服務器，是域架構的核心，每個域控制器上都包含了AD活動目錄數據庫

域的功能和特點：

集中管理，可以集中地管理企業中成千上萬分布于異地的計算機和用戶
便捷的資源訪問，能夠很容易地定位到域中的資源。 用戶依次登錄就可以訪問整個網絡資源，集中地身份驗證
可擴展性，既可以適用于幾十臺計算機的小規模網絡，也可以用于跨國公司

DNS在域環境中的作用(SRV)：

域控服務器要求DNS服務器按名稱查找計算機、成員服務器和網絡服務。
域名解析： DNS服務器通過其A記錄將域名解析成IP地址
定位活動目錄服務：客戶機通過DNS服務器上的 SRV服務記錄定位提供某一個服務的計算機

SRV服務記錄是DNS服務器的數據庫中支持的一種資源記錄的類型，它記錄了哪臺計算機提供了哪個服務這么一個簡單的信息。

SRV服務記錄：一般是為Microsoft的活動目錄AD設置的應用。DNS可以獨立于活動目錄，但是活動目錄必須有DNS的幫助才能工作。為了活動目錄能夠正常的工作，DNS服務器必須支持服務定位（SRV）資源記錄，資源記錄把服務名字映射為提供服務的服務器名字。域主機和域控制器使用SRV資源記錄決定域控制器的IP地址。

工作組和域的區別：

工作組是對等網絡，域是B/S架構，集中式管理

域結構

單域：網絡中只建立了一個域

域樹：具有連續的名稱空間的多個域，樹形結構

域林： 由一個或多個沒有形成連續名稱空間的域樹組成，林中每個域樹都有唯一的名稱空間，之間不連續

域的原理

其實可以把域和工作組聯系起來理解，在工作組上你一切的設置比如在本機上進行各種策略，用戶登錄都是登錄在本機的，密碼是放在本機的數據庫來驗證的。而如果你的計算機加入域的話，各種策略是域控制器統一設定，用戶名和密碼也是放到域控制器去驗證，也就是說你的賬號密碼可以在同一域的任何一臺計算機登錄。

如果說工作組是“免費的旅店”，那么域（Domain）就是“星級的賓館”；工作組可以隨便出出進進，而域則需要嚴格控制。“域”的真正含義指的是服務器控制網絡上的計算機能否加入計算機組合。一提到組合，勢必需要嚴格的控制。所以實行嚴格的管理對網絡安全是非常必要的。在對等網模式下，任何一臺電腦只要接入網絡，其他機器就都可以訪問共享資源，如共享文件夾等。盡管對等網絡上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構成的對等網中，數據的傳輸是非常不安全的。

不過在“域”模式下，至少有一臺服務器負責每一臺聯入網絡的電腦和用戶的驗證工作，相當于一個單位的門衛一樣，稱為域控制器（Domain Controller，簡寫為DC）。

域控制器中包含了這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數據庫。當電腦聯入網絡時，域控制器首先要鑒別這臺電腦是否屬于這個域，使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務器上有權限保護的資源，他只能以對等網用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護了網絡上的資源。

要把一臺電腦加入域，僅僅使它和服務器在網上鄰居中能夠相互“看”到是遠遠不夠的，必須要由網絡管理員進行相應的設置，把這臺電腦加入到域中。這樣才能實現文件的共享，集中統一，便于管理

部署域架構

在域架構中，最核心的就是DC(Domain Control，域控制器)，創建域首先要創建DC，DC創建完成后，把所有的客戶端加入到DC，這樣就形成了域環境。 域控制器是由工作組計算機升級而成，通過dcpromo命令就可以完成升級。 只有Windows Server（WEB版本除外）才可以提升為域控制器。 在升級DC之前不需要安裝DNS服務，域控制器上必須要有NTFS文件系統的分區

首先，域控制器需要固定的ip地址以及DNS服務器為自己，如下

WIN+R ，打開運行框，輸入：dcpromo

然后它會自動檢查DNS的配置，需要會時間。如果你主機原來沒有安裝DNS的話，它會自動幫你勾選上DNS，然后你點擊下一步就可以，這時會彈出無法創建DNS服務器的委派，你不用管它，直接點擊 是即可。

然后這里會顯示那些文件的位置，因為SYSVOL文件必須得在NTFS文件系統的磁盤上，所以域控服務器必須得有NTFS文件系統的分區。

然后填目錄還原模式的Administrator密碼，下一步

然后需要重新啟動計算機以完成配置。

重新啟動后，我們檢查下面這些是否正確

檢查活動目錄是否正常安裝
檢查DNS服務域控制器注冊的SRV記錄

注：在計算機成為域控后，該主機上之前的賬號將全部變為域賬號，這些賬號將不能以本地登錄方式登錄。成為域控之后新建的用戶，必須滿足密碼規則。如果成為域控后新建的用戶不屬于administrators組，則這些用戶可以登錄除域控外的其他域內主機。域控只允許administrators組內的用戶以域身份登錄，域控不能以本地身份登錄。

如何加入域

如果想讓主機加入域中，首先將主機的DNS指向域控服務器的ip，并且確保兩者之間能通。

然后將主機的域名修改為域對應的名字，確定

然后會叫你輸入域內的用戶名，administrator 和域內普通用戶名 都可。

域中主機的登錄

如果你是想以本地的用戶登錄，主機名用戶名 ，該方式是通過SAM來進行NTLM認證的。傳送門——>Windows本地認證

如果你是以域中的用戶登錄，域名用戶名 (域名部分不用加.com) 或者 用戶名@域名，該方式是通過Kerberos協議進行認證的，傳送門——>Kerberos認證方式

在域控上，使用dsquerycomputer命令可以查詢域內所有的主機。

注：域控上的所有用戶均可以登錄域中的任意一臺主機(域控除外，默認情況下域控只允許域內的Administrator用戶才能登陸)，而域中的普通主機上的用戶只能以本地身份登錄該主機。

SRV出錯及解決辦法

但是由于某種原因，裝完活動目錄后發現DNS上正向區域的SRV記錄不全或者沒有，需要采取以下措施，強制讓域控制器向DNS注冊SRV記錄。

刪除DNS服務器上的正向解析。然后 管理工具→DNS→正向查找區域→右鍵，新建 _msdcs.xie.com 和 xie.com 的區域

然后重啟netlogon服務 停止服務命令：net stop netlogon 啟動服務命令：net start netlogon

SRV記錄注冊不成功的可能原因

DNS區域名稱是否正確，是否允許安全更新
確保域控制器全名已經包含了活動目錄的名字
確保域控制器的TCP/IP屬性已經選中“在DNS中注冊此鏈接的地址”

禁用域中的賬戶

加入到域的計算機，如果不打算讓使用者在該計算機上使用域用戶登錄，可以禁用計算機賬戶。但是這樣只會禁止域控服務器在成為域控服務器之后創建的用戶，之前創建的用戶不受影響

將計算機退出域

計算機要么是工作組計算機，要么是域中的計算機，不能同時屬于域和工作組，如果將計算機加入到工作組，計算機將自動從域中退出。退出時需要輸入域管理員賬號和密碼。

相關文章：Windows域的管理

總結

以上是生活随笔為你收集整理的Windows中的工作组和域的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。