工作组网络与域网络

       工作组（Workgroup）网络是对等的（Peer-to-Peer，P2P）网络技术在局域网（P2P网络更主要应用于广域网中）中的应用，是根据用户自定义的分组特点（如不同部门、不同爱好、不同操作系统类型等）把网络中的许多用户计算机分门别类地纳入到不同工作组中。划分工作组的主要目的是为了便于浏览、查找，另外还便于管理与对用户计算机的管理。

       1、工作组网络的主要特点

       ・工作组主机间是平等的

       工作组网络既然是“对等网”，从其名称中的“对等”两个字就可以看出来，对等网中的各主机都是对等的，地位平等，没有管理和被管理之分。在网络应用中，各主机既可以当作服务器，为其他主机提供访问服务，也可以当作客户机，访问其他主机。之所以是对等关系，那是因为在工作组网络中没有集中的账户管理和安全策略管理，网络中的主机都是各自为政、互不干涉。而不是像域网络那样，有专门的DC（域控制器）来集中管理域网络中的用户、计算机等对象账户和安全策略。

       ・正因工作组网络中各主机是平等、互不干涉的，管理和安全边界就是工作组中的各成员计算机。工作组本身不是管理和安全边界，不能直接针对工作组来进行安全管理和安全策略配置。在工作组网络中，主机之间的访问就需要访问方（在此姑且称为“客户机”）使用在被访问方（在此姑且称之为“服务器”）上配置了的用户账户和密码，通过身份验证后才能访问。因为在工作组网络中，只有本地账户才可以访问自己的主机，不能输入本机以外的任何用户账户来访问主机（当然，可能有两台或两台以上的主机中有相同用户名和密码的用户账户）。

       在工作组网络中也有一种匿名访问方式，那就是无须输入任何账户和密码就可以访问对方。其实这里也就是输入了用户名和密码，只是因为在默认情况下，各主机用于匿名访问的账户都是Guset（来宾）账户，且密码为空，所以在不输入用户名和密码的时候就是直接采用这种来宾账户进行登录访问的。但如果改变了这个Guset来宾账户的密码，即使启用了匿名账户，对方要访问自己时也需要输入本机上修改后的Guest账户信息。

       ・采用NetBIOS名称解析

       在工作组网络中，名称解析所用的协议是NetBIOS（Network Basic Input Output System，网络基本输入输出系统）。通过它可以将计算机名称解析成对应的IP地址。这个协议不能跨网提供名称解析功能，计算机名称限定只能在15个数字或字符（本来是16位的，只是微软的NetBIOS协议中，第16位用于标识网络服务）以内，不能识别长格式的DNS域名。

       ・在一个工作组网络中可以有多个工作组

       不要以为在一个工作组中只能有一个工作组，否则就没有任何意义了。在一个对称网中可以有多个工作组。工作组的划分可以是任意的，一般是按部门或者按工作性质等来划分的。但是要注意的是，工作组不代表安全边界。也就是说，不同工作组之间并没有权限意义上的区别，只是一种便于访问或管理的方式。它与现实生活中的“组”有些区别，因为现实生活中的“组”往往会有一个“组长”，负责整个组的管理。但在工作组中并没有一台主机具有管理整个组的权限，只是大家“平等相处”而已。

       ・不同的工作组是可以互相访问的

       就像没有划分多个组，在一个工作组中不同主机间的访问一样简单，也只是需要正确输入对方的用户账户信息即可。当然如果通信双方都启用了默认配置的一个单位，不能为不同组设置不同的安全级别，也不能像域网络中为不同域设置不同的账户系统和安全策略。

       【经验之谈】不同工作组只是用来标识不同组，不具有安全和安全边界特点，也就是在同一个工作组网络中，所有工作组间的用户计算机都是可以互相访问的，只要你有对方计算机上的正确用户账户信息即可。不存在只允许属于同一工作组中的用户计算机相互访问的问题，这一点要额外引起注意。因为在工作组网络中，管理和安全边界是各成员计算机本身，是最小的管理和安全边界。当在当前计算机上登录所使用的用户账户名和密码与要访问的那台计算机上的某个账户名和密码完全一样时，访问时是不需要输入用户名和密码的，因为系统自动认为你已是合法用户。其实这也是一各安全隐患，说不定哪天一个非法用户碰巧使用了与网络中某台计算机一样的账户名和密码，而又碰巧在网络中访问了那台计算机，则可能出现非授权访问，带来安全威胁。

 

工作组的主要优缺点

       工作网络相对于下面将要介绍的域网络来说，具有以下几方面的明显优缺点：

       ・安全管理简单

       ・这可以说是工作组网络的最大优点。因为在工作组网络中把网络安全边界下放到最终的用户端，外部计算机的访问必须使用本地计算机上合法的用户账户信息，这样一来，工作组网络的安全管理也就是各用户计算机自己的安全管理。而各用户计算机上的用户账户信息一般来说都非常简单，只有少数几个用户账户，只需要对本机（不涉及其他机器上的任何账户）上的少数账户进行适当的安全配置即可，所以在安全管理方面，较域网络安全管理容易一些。另外，在工作组中，各个成员计算机只使用自己计算机上的本地组策略，不会应用其他任何任何组策略，安全策略管理更简单。

       ・网络性能比较高

       因为在工作组网络中，除了基本的网络连接和资源共享外，基本上没有任何额外（如各种全局范围的安全策略和身份认证等）的网络资源消耗，用户登录都是在本机上进行，所以工作组网络的网络连接性能远比域网络的网络连接性能高，不存在什么网络延迟。这也是许多网友反映加入域网络后，登录和网络比较慢的根源所在。

       ・网络管理不方便

       这可以说是工作组网络的最大特点。因为工作组网络中，网络管理和安全边界下放到最终的用户端，用户账户、用户账户权限、安全策略等都是分散的，而且各用户计算机上的这些配置都可能不同，管理员很难甚至无法通过一台机器来集中管理工作网络中的用户账户系统。给整个网络管理带来混乱，特别是较大网络中。

       另外，对于管理员管理整个网络也一样，要实现对整个网络中的计算机进行管理，就必须在各计算机上配置有相同账户的管理员账户（注意，密码都必须一样），否则每一次访问一台计算机时，都提示要求输入用户名账户名和密码。

       ・网络公共应用配置比较繁琐

       因为工作组网络中的网络访问身份验证是依据各成员计算机的账户系统，所以在一些公共网络应用服务器中的安全配置就显得比较复杂了，要么是网络中各计算机都启用默认的guest账户（并且全都采用默认的空密码），要么在授权访问的计算机上配置相同的组或用户账户，否则就无法进行全面授权。如果启用Guest账户，又会给企业网络带来巨大的安全隐患。

        域网络其实是微软借鉴了互联网中的域名技术，是目前企业局域网中应用最为广泛的一种网络管理模式。

       域是什么？简单地说，域是一种基于对象（用户、组、计算机等账户都是对象）和安全策略的分布式数据库系统。

       之所以说是基于对象和安全策略，那是因为域网络的最大特点就是可以实现用户、计算机等对象账户，以及网络安全策略中的集中管理和部署。

       所谓“数据库”是指域中的信息（如账户信息、配置信息等）不是以独立文件形式存在，而是以字段之类的数据形式存在。我们知道，在微软的域网络中最显著的特点就是引入了“活动目录”（Active Directory，AD）技术。而AD本身就是一种目录数据库系统。只所以称之为“活动目录”，那是因为在域网络中的目录是始终呈激活可用、动态更新的状态，而不是像普通目录一样静态使用。这样做的目的就是方便系统中各服务器自身进行的或者用户操作的查询、更新、同步等，也提高了各服务器间数据复制的性能。

       在活动目录数据库中包括了3个表格：

       ・Schema表

       这个表中包含了所以可以在活动目录中创建的对象信息以及他们之间的相互关系，包括各种类型对象的可选及不可选的各种属性。这个表是活动目录数据库中最小的一个表，但也是最基础一个表。

       ・Link表

       link表包含所有属性的关联，包括活动目录中所有对象的属性的值。一个用户对象的所有属性的类型，包括每个属性的值及用户的组等信息都属于这个表。这个表要大于Schema表，但与Data表相比要小。

       ・Data表

       活动目录中用户、组、应用程序的特殊数据和其他的数据全部保存在Data表中。这是活动目录中存储信息最多的一个表，大量的活动目录的资料实际上还是存储在这个表中。

       所谓“分布式”就是这种活动目录配置信息数据库系统中的数据可以不是仅来源于或者存储在一台计算机上，而且可关联网络中的许多相关服务器（如DC、DNS、DHCP服务器等）。

       支持域网络管理模式的操作系统主要是微软的Windows NT核心操作系统，如Windows 2000、Windows XP、Windows Server 2003、Windows Vista和Windows Server 2008。但较新版本的Linux和Unix系统也可以通过一些LDAP（Lightweight Directory Access Protocol，轻量级目录访问协议）服务器功能创建自己的域网络或者加入到微软的域网络中（微软的活动目录也是一种LDAP协议）。Dos以及早期的Windows 95以前版本的Windows操作系统都不支持网路管理模式。

 

       1、域网络的主要特点

       域网络主要特点如下：

       ・集中管理

       前面说了，域网络可以实现对象（包括用户和计算机）和安全策略的集中管理和部署，这是域网络的最显著特点。域网络是C/S（客户机/服务器）管理模式在局域网构建中的应用。在域网络中，有专门用来管理或者提供服务的各种服务器，如用于对象、安全策略管理的各级域控制器（DC）。通过DC中的活动目录（AD）和域组策略就可以对整个网络中的用户账户（包括用户权限、权力）、计算机账户和安全管理策略进行统一管理、统一部署。这样一来，域网络中各成员计算机的角色并不是平等的，有管理（各域控制器）和被管理（各域客户机）之分。这是前面工作组网络所无法实现的。

       ・多级账户和安全策略

       在域网络中，域账户和安全策略可以有多级，最小的安全策略边界是域中的“组织单元”（OU），最大的安全边界是林；而用户账户可以是子域中的，也可以是父域中的。不同安全级别的配置应用是按照先本地，后域的规则进行的。在域层次中，则是按照精确度由低到高的顺序进行应用的，而最后应用的级别最高。如组策略的应用顺序是：本地组策略-站点组策略-域组策略-组织单元（OU）组策略-子OU组策略。

       因为存在多级账户和安全策略，所以在域网络中存在一个信任关系。也就是一个域可以域同一林中的其他域建立单向或者双向信任关系，不同林之间也可以建立单向或者双向的信任关系。这样一来，就可以实现单向或者双向访问的目的。

        ・在工作组网络中，由于各用户账户都只是对各自计算机本地生效，所以各成员计算机之间根本没有信任关系，要访问就必须先进行身份验证。而在域网络中，域用户账户在整个域网络中有效，所以加入了域的计算机都遵守了相同的信任协议，彼此相互信任，只要有域网络中合法的用户帐号即可。

       ・集中存储

       这也是域网络中的一大优势和特点。在域网络中的用户文档或者数据可以集中保存在网络中的一台或多台相应服务器上。用户文档还可以保存在服务器上为每个用户创建的用户主目录中，并且该目录只有用户自己可以访问，包括网络管理员也不能访问（当然网络管理员可以更改访问权限），提高了网路数据存储的安全性。这一点在工作组网络中无法实现，因为即使可以把数据存储在其他用户计算机中，文档同样可以被那台服务器上的用户所浏览、修改，甚至删除。

       ・单点登录

       在域网络中，采用的是单点登录（Single Sing On，SSO）。在域网络中，所谓“单点登录”就是用户只需要使用域账户登录一次，就可以实现对整个域网络共享资源的访问（当然这是要在授权了访问权限的前提下），而无须在访问不同计算机上的共享资源时输入不同的账户信息。这就大大简化了网络资源的访问验证过程。在工作组网络中，因为安全边界就是各用户计算机本身，用户账户都是存储在各用户计算机上，所以无法实现网络中的单点登录。

       当然，单点登录不仅应用于域网络用户的登录，它同样广泛应用于其他支持单点登录的应用系统，用户只需要登录一次就可以访问所有相互信任的应用系统。单点登录原理就是网络中的所有成员都信任同一套身份验证系统，可以是用户账户，也可以是用户邮箱名，还可以是其他应用系统的帐号。

       ・采用DNS解析协议

       在域网络中，用户计算机名称和IP地址的解析是通过DNS（Domain Name Services，域名服务）协议来进行的，而不再使用NetBIOS协议。但是对于不支持DNS协议的早期操作系统（如DOS、windows 95），仍能提供NetBIOS名称解析。DNS名称是以“.”分隔的具有层次结构的名称，最大长度为255个字符，比NetBIOS名称允许的长度长了很多。

       ・支持漫游配置

       在域网络中，每个域用户都可以在域网络任意一台允许本地登录的计算机上登录域，只要该计算机域DC在同一网络中即可。而且用户的桌面环境及其他账户配置不会因在不同计算机上登录而不同，因为域网络支持全局漫游用户配置文件。这样就极大方便了用户的网络访问。

 

       2.域网络的主要优缺点

       与任何事务都没有绝对的优点，也没有绝对的缺点一样，域管理模式域工作组管理模式相比，也存在一定的优点和缺点。

       ・管理更方便

       因为域网络可以实现在一台服务器上对用户/计算机账户和安全策略的集中管理，对于管理员来说，就可以更方便管理整个网络的用户账户（包括用户账户权限和权力）和安全策略，而不必分别到各用户计算机上配置。这对于网络规模较大的网络来说，优势更加明显。所以说，一般来说，域网络比较适用于较大的网络，但不是从性能上来考虑的。

       ・安全性更高

       因为域网络的全局用户账户和安全策略都是集中在一台或少数几台DC上进行配置与管理的，所以相对于工作组来说，这些配置的安全性就更高，更不容易被人攻击和破解。同样，由于域网络中的用户数据可以集中存放在一台或少数几台服务器上，企业数据也就更安全。

       ・网络访问更方便

       在前面的主要特点中介绍到，域网络是采用单点登录方式，用户只需用域账户登录一次域网络，就可以无限制（在基于授权基础上）访问所有网络资源，而无须反复输入不同账户信息进行身份验证。

       ・需要专门的高性能服务器

       因为域网络中的用户账户、计算机账户、域网络安全策略等都是在DC上进行统一部署和管理的，所以需要有专门的高性能服务器来担当。对于企业来说，相当于增加了一笔不小的开支。

       ・安全配置更复杂

       因为在域网络中涉及多级安全策略，各级策略的应用又有一定的规则，所以总体来说，安全配置更为复杂，不容易掌握。这对管理员的技能水平要求更高。

       ・网络性能较低

       因为域网络中的用户账户和安全策略都是在网络中的服务器上进行统一部署的，而且域网络中可能存在多级安全策略，所以用户在登录和进行网络访问时的性能不如工作组网络，存在一定的延时，特别是在大的域网络或者安全策略配置复杂（安全级别太多、采用的安全通信协议太多、安全策略设置启动太多等）、安全策略配置不合理（如存在许多冲突设置项）的域网络中表现尤其突出。

 

 

“工作组”与“域”的选择

       两者之间没有绝对的优势和劣势。具体选择哪一种网络管理模式，主要考虑以下几个方面：

       ・安全策略的复杂性

       如果自己单位网络的应用比较简单，只需部署基于用户计算机本身的单级安全策略，则可以考虑选择工作组网络管理模式，当然这还要结合以下其他需求。这样用户权限、安全策略配置与管理起来更简单。

       如果所在单位网络的应用系统访问权限配置比较复杂，有基于整个局域网的全局用户账户和安全策略管理需求，有基于多级组织（如公司总部、分公司、合作伙伴等）的安全策略配置需求，则必须选择域管理模式，因为在工作组网络中，无论网络中的工作组数量有多少，它们都是平等、互不影响的，是独立应用各自安全策略的。

       ・有无全局、集中管理需求

       我们知道，域网络可以在一台DC上实现全局的域用户/计算机账户（由活动目录完成）和安全策略（由域组策略完成）的统一管理和部署，而工作组中用户账户和安全策略都是基于各用户计算机，是分散的，不能集中的全局管理。如果公司的网络没有基于整个局域网的用户账户和网络安全全局管理需求，则可以考虑选择工作组网络管理模式（同样还要考虑其他需求），否则必须选择域网络管理模式。

       ・有无基于活动目录的应用与管理需求

       在Windows平台下的网络应用，有些是必须要依赖Windows服务器系统的活动目录服务的应用（主要是微软开发的应用服务器系统和管理系统），如DFS（分布式文件系统）、Exchange Server邮件服务器、ISA（Internet Security and Acceleration，因特网安全和加速）防火墙、PKI（公钥基础结构）、SharePoint、WSUS（Windows 系统更新服务）等。如果公司网络中没有以上需求，则可以考虑选择工作组网络管理模式，否则必须选择域网络管理模式。

       ・首要考虑

       因为域网络可能涉及多级、更加复杂的安全策略应用，以及服务器性能瓶颈，所以，域网络的用户登录和网络应用性能相比同等配置的工作组网络来说要差些。如果公司的网络硬件（包括交换机设备和各用户计算机硬件配置）配置不是很好，则建议考虑选择工作组网络管理模式，当然同样还要结合其他需求来考虑。如果公司的网络更注重整个网络的可管理性和安全性，则建议选择域网络管理模式。通常是若网络规模比较小，则建议选择工作组网络管理模式，因为这样规模的网络采用工作组管理模式后可以实现性能和管理双重均衡考虑。