14.1 将计算机加入域

14.1 将计算机加入域

14.1.1 集中式身份验证

　　访问本地计算机或网络资源时都需要提供身份标识。对于独立的（工作组）计算机而言，身份标识保存在本地计算机 Windows 系统的 SAM（Security Account Manager）数据库。

　　域（domain）是一个集中式身份认证解决方案。包括以下内容：

（1）域内的所有成员都信任这个集中式身份标识数据库。

（2）提供集中式的身份验证服务。

（3）域中有一个角色运行身份验证服务。

　　在域中运行身份验证服务角色的计算机称为域控制器（Domain Controller，简称DC）。集中式身份标识数据库称为活动目录（Active Directory，简称AD）。

　　每个域内可以有多台 DC，AD 将会在这些 DC 之间进行复制，从而提供了较高的可用性。

14.1.2  服务器的角色

　　安装了服务器版本 Windows 的计算机可能是以下3种角色之一。

◆ 域控制器

　　域内的每台 DC 各自保存着一份几乎完全相同的 AD 数据库。当用户在域内某台计算机登录时，会向其中一台 DC 提交身份验证请求，DC 验证通过后用户就可以登录成功。

◆ 成员服务器（Member Server）

　　当服务器级别的计算机加入域后，这台计算机就是成员服务器。它没有 AD 数据，它也不负责验证域用户的登录。

◆ 独立服务器（Stand-alone Server）

　　如果计算机没有加入域，那么它就是独立服务器或工作组服务器（Workgroup Server）。它只有一个本地的 SAM 用来审核本地用户（非域用户）的身份。

　　不推荐将 SQL Server 安装在担任域控制器角色的计算机上。在安装完成之后，不能将域控制器降级为成员服务器。

　　在成员服务器角色的计算机上安装 SQL Server 后，不能将这台计算机升级为域控制器角色。

14.1.3 将计算机加入域

　　修改计算机属性，在“隶属于”下方的“域”中填写正确的域名称。

　　如果计算机成功地连接到了该域的 DC，则会弹出帐号密码对话窗口，请使用具有权限域帐户。默认情况下，普通的域用户可以将不超过10台计算机加入域，域管理员则没有数量限制。域管理员也可以阻止普通域用户将计算机加入域，或者将权限委派给某些域用户。

必须重新启动计算机才会在些计算机应用这些更改。重新启动后，再次检查计算机属性，确认计算机全名（即 FQDN）。

本文出自 “SQL Server 管理员指南” 博客，谢绝转载！