從武俠門派的角度去解釋域、域樹、林的含義（上）

自從WINDOWS 98系統出現之後，WINDOWS作業系統就不是孤立存在的，可以通過網絡聯機互相聯系。當然，除非你隻有一台計算機。預設安裝的WINDOWS作業系統是以工作組模式運作。當然WINDOWS聯機的模式隻有兩種:域模式和工作組模式。

    一、工作組。 很多專業的描述是工作組模式是由互相獨立的計算機組成。他們再網絡中的地位平等，各自獨立、分散的維護和管理着自身。這個較抽象的描述是可以宏觀表述的，看。在武俠世界裡就展現着。就是金庸武俠小說中《笑傲江湖》裡面五嶽劍派。

（圖1）

五嶽劍派最初是由上圖的五個門派組成的。最初的目的是為了團結起來對抗少林，武當，日月神教等大派。五嶽劍派由嵩山左冷禅提議組建，最後華山嶽不群當上所謂的盟主。實際上這五個門派就組成了一個工作組。

由5台計算機（五個門派）組成的一個工作組

工作組（workgroup)=五嶽劍派

為什麼是工作組呢？原來雖然這五個門派組成了所謂的五嶽劍派，也有了所謂的盟主。但是五嶽劍派實際上仍然是各自為政。比如恒山派掌門令狐沖（相當于華山這台機器的本地管理者）恒山派弟子（本地使用者）的建立（招弟子）删除（逐出弟子）等問題仍然由令狐沖說的算，根本就不理睬盟主号令。另外恒山弟子（本地使用者）也聽令狐沖的号令。頂多是由嵩山派弟子來訪（相當于來共享一個資源給他們通路）或者華山派被人揍了，請求恒山支援（可以想象成另一種資源的共享方式）。

二、域

什麼是域？就是把我們企業IT環境中的所有資源在邏輯上進行統一集中管理的一種手段。還有什麼邏輯組織最小單元呀，什麼安全邊界了，有點抽象了。好吧，我告訴你，域就是一個門派：就是少林，就是武當，就是明教。（以下所有以明教舉例）明教就是宏觀存在的邏輯組織，明教教衆在明教教主的帶領下進行轟轟烈烈的革命。

關于域名和DNS指令等問題在這裡不介紹了，估計比較容易明白。

（圖2）

看圖2當看到mingjiao.com這個表示一個單域的時候，你就可以想到明教。

（圖3）

請大家認真看圖3，我來解釋一下這張圖。域的實體是由計算機和人員組成的。我們先看幾個轉化公式.

明教教主=域管理者

明教弟子=域使用者

加入域的成員計算機=丁家大院

加入域的成員伺服器=明教錢莊

域控制器(DC)=光明頂

在域中要添加使用者賬戶，就是域賬戶。而這裡普通域使用者賬戶就相當于明教弟子。

在域中計算機分别擔任三種角色。

第一種，是安裝WINDOWS作業系統的計算機。比如WIN XP和WIN 7。加入域後這種計算機叫成員計算機。在這裡我們可以想象明教是一個大派，全國各地都有人有地盤。由于我們是人去操作計算機，是以這裡的計算機就可以想象成一個地盤（一個具體的實物，比如房屋）我這裡叫做丁家大院。等于丁家大院就是明教的産業了。預設情況下，任何明教弟子（普通域使用者）在登入驗證後都可以進入丁家大院了。可以在裡面休息，下棋等。(通路資源)不過名教弟子畢竟不是丁家大院的所有者.是以不可以拆牆,建樓等行為(相對修改計算機系統) 那麼誰是丁家大院的所有者呢? 有兩個.一個就是原丁家大院的主人(本地管理者),一個就是明教教主(域管理者)想想都是明教的産業了,當然是所有者了。當然假如有一天丁家大院不再是明教的産業了. 被變賣了.這個行為就相當于WINDOWS計算機退出域.隻有上面的2個所有者有這個能力.當然明教教主(域管理者)可以委派一個明教弟子(域使用者)成為丁家大院主人(本地管理者)

第二種,是安裝WINDOWS SERVER作業系統的計算機.比如WIN 2003 SERVER 、WIN2008 SERVER。加入域的這類計算機叫成員伺服器。同樣，這種機器也相當于明教的一個地盤或者叫産業。與上面相同的是，這個産業也有主人（本地管理者）。明教弟子（域普通使用者）也可以進入這個産業（登入到該機器上）但是也有不同的，伺服器一般都是提供共享資源應用的伺服器。比如做一個檔案伺服器，一個WEB伺服器。是以這個産業中存放的是域使用者的共用資源,在這裡相當于明教的一個錢莊（明教弟子把錢都放在這裡，可以存取）

第三種，是安裝WINDOWS SERVER作業系統的計算機安裝了AD（活動目錄）這時候這台計算機就成了域控制器。活動目錄是什麼？活動目錄就相當于一個資料庫，一個明教的賬本。這個賬本記錄了哪些是明教的産業（加入域的計算機）誰是明教弟子（域使用者賬戶）甚至還有 明教錢莊的錢（共享資源）等。是以域控制器就相當于明教之聖地-光明頂。每一個加入明教的弟子（建立使用者）每一個歸入明教的産業（加入成員計算機）都要到光明頂的賬本中登記（記錄到活動目錄中）不過，光明頂與上面的丁家大院與明教錢莊不同。光明頂不歸入明教的産業，也就沒有主人（本地賬戶）其次光明頂是神聖的地方，一般明教弟子是不準進入的（預設域使用者無法登陸到域控中）當然，明教教主（域管理者）是可以進去，管理這個賬本（活動目錄）。也可以修改這個條例（修改預設域控政策）允許指定的明教弟子進入（登陸域控）。

好了，上面的圖解釋完了，下面解釋一個比較重要的問題。域使用者登陸域的問題。其實就好比明教弟子要進入自己的地盤一樣。首先你是明教弟子（擁有域使用者賬号），其次你進入的是明教的地盤或叫産業（加入域的計算機）。否則，一個明教弟子跑到少林寺去非要進人家的藏經閣（非明教的産業）不被打出來才怪呢。再者你說你是明教弟子，你就是明教弟子了？别着急，明教有驗證的辦法。比如明教弟子王小五，要進入丁家大院。（使用者王小五，要利用成員計算機登陸到域）首先報告給大院管家（計算機系統）大院管家收到資訊後無法驗證，這個時候把這個資訊飛鴿傳書到光明頂（域控制器）光明頂管家（DC計算機系統）檢視賬本（活動目錄）驗證是否存在此人，确認後飛鴿傳書一個腰牌給王小五。從此王小五就可以進入到丁家大院了。這個腰牌上面有一個特殊的資訊，就是标明了王小五的身份，王小五在丁家大院能幹什麼不能幹什麼就靠這個了。當然王小五拿這個腰牌也可以直接在去明教錢莊。拿屬于自己的錢（授權通路的資源）如果王小五出了明教的地盤（登出，登出等）腰牌自動收回。當然這個過程有一個關鍵，就是如果丁家大院與光明頂在飛鴿傳書的過程中不順利，比如鴿子沒找到路，（相當于成員計算機無法找到域控）要麼王小五就不能進丁家大院了。不過俗話說，一回生，二回熟。當王小五第二次進丁家大院的時候，會發生一點點變化。假如還是上面的過程，飛鴿傳書換腰牌，但是沒成功，但是王小五因為上次進了丁家大院，在六角亭擺了一牌棋自己和自己下，沒下完就走了。這次王小五告訴丁家大院管家（計算機系統）他上面在哪牌棋，多少子，棋局如何。。管家一看，對呀。他是明教弟子，進來吧。（這就是利用當域控無法聯系，但是使用者之前登陸過，利用緩存憑證來登陸）有一個叫王小六的弟子是第一次進丁家大院，那麼因為沒有留下什麼東西，誰也不知道他這鳥是不是明教弟子，自然無法進丁家大院（無法登陸）

本文轉自 z00w00 51CTO部落格，原文連結：http://blog.51cto.com/z00w00/704397，如需轉載請自行聯系原作者