为什么要创建Windows域?在小型网络中管理员通常独立管理每一台计算机,每一台计算机都可以作为一个独立的管理单元,例如,最为常用的用户管理,就可以使用本地账户和本地组来管理。但当网络规模扩大到一定程度后,如超过10台计算机,而每台计算机上有10个用户,那么管理员就要创建100个以上的用户账户,相同的工作就要重复很多遍。此时可以将网络中的多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做域(Domain)。域是组织与存储资源的核心管理单元。

域和活动目录的概念

1活动目录

  要创建Windows域,首先必须理解活动目录的概念,因为域与活动目录是密不可分的。那么,什么是活动目录呢?严格的说,活动目录是Windows网络中的目录服务。对于目录服务的概念,实际上包含两层含义:一是活动目录是一个目录; 二是活动目录是一种服务。

  这里所说的目录不是一个普通的文件目录,而是一个目录数据库,它存储着整个域(或整个Windows网络)的用户账号、组、打印机、共享文件夹等活动目录对象的相关数据。这使得用户可以非常方便地、快速地找到所需数据,也可以方便地对活动目录中的数据执行添加、删除、修改、查询等操作,所以,所以活动目录也是一种服务。

  活动目录提供了存储网络上的对象信息及网络用户使用该数据的方法,活动目录有以下特点.

 ●集中管理。

  活动目录集中组织和管理网络中的资源信息,它好比一个图书馆的图书目录,图书目录存放了这个图书馆的图书信息,而Window的活动目录就是Windows网络这个“图书馆”的一个“目录”,通过它可以方便地管理各种网络资源。

 ●便捷的网络资源访问。

  活动目录允许用户一次登录网络就可以访问网络中的所有该用户有权访问的资源。并且,用户访问网络资源时不必知道资源所在的物理位置。活动目录允许快速、方便地查询网络资源。网络资源主要包含用户账户、组、共享文件夹、打印机等。

 ●可扩展性。

  活动目录具有强大的可扩展性。目录可以随着公司或组织的增长而一同扩展,允许从一个网络对象较少的小型网络环境发展成大型网络环境。

2、域和域控制器

  域是在Windows网络环境中组建客户机/服务器网络的实现方式。所谓域,是由网络管理员定义的一组计算机的集合,实际上就是一个网络。在域中,至少有一台称为域控制器的计算机,充当服务器的角色。在域控制器中保存着整个域的用户账号和安全数据库,即活动目录数据库。管理员可以通过修改活动目录数据库的配置,实现对整个域的管理和控制。如管理员可以在活动目录为每个用户创建域用户账号,使他们可登陆域并访问域的资源。同时,管理员也可以控制所有域用户的行为,如控制用户能否登陆,在什么时间登陆,登陆后能执行哪些操作等。而域中的客户计算机要访问域的资源,必须先加入域,并通过管理员为其创建的域用户账号(即管理员在域控制器中创建的账号)登陆域。同时,也必须接受管理员的控制盒管理。总之,创建域后,管理员可以对整个网络实施集中控制和管理。

3、域树

  当需要配置一个包含多个域的网络时,应该将网络配置成域树结构。域树是具有连续的域名空间的多个域。域树是一种树型结构,如下图所示。在下图所示的域树中,最上层的域名为beijing.com,是这个域树的根域,也称为父域。下面的两个域haidian.beijing.com和chaoyang.beijing.com是beijing.com域的子域,三个域共同构成了域树



   活动目录的域名遵循DNS域名的命名规则,如上图中,连个子域的域名haidian.beijing.com和chaoyang.beijing.com中仍包含父域的域名beijing.com,因此,它们的名称空间是连续的。这也是判断连个域是否属于同一个域树的先决条件。

   在整个域树中,所有域共享同一个活动目录,即整个域树中只有一个活动目录。只不过这个活动目录分散地存储在不同域中(每个域主要负责存储与本域相关的数据,根域除了存储与本域相关的信息外,还存储目录树信息),整体上形成一个大的分布式的活动目录数据库。在配置一个较大规模的企业时,可以配置为域树结构,比如将企业总部的网路配置为根域,各分支机构的网络配置为子域,整体上形成一个域树,以实现集中管理。

4、林

   如果网络的规模比前面提到的域树还要大,甚至包含了多个域树,这时,可以将网络配置为林(也称为森林)结构。林由一个或多个域树组成,如上图所示。林中的每个域树都有唯一的命名空间,它们之间并不是连续的。在上图中,其中一个域树的名称以beijing.com结尾,而另一个域树的名称以shanghai.com结尾。

   在整个林中也存在着一个根域,这个根域是林中最先安装的域。如上图中,beijing.com是最先安装的,则这个域是林的根域。