Windows域和工作組

域的定義

　　域英文叫DOMAIN

　　域(Domain)是Windows網絡中獨立運作的機關，域之間互相通路則需要建立信任關系(即Trust Relation)。信任關系是連接配接在域與域之間的橋梁。當一個域與其他域建立了信任關系後，2個域之間不但可以按需要互相進行管理，還可以跨網配置設定檔案和列印機等裝置資源，使不同的域之間實作網絡資源的共享與管理。

　　域既是 Windows 網絡作業系統的邏輯組織單元，也是Internet的邏輯組織單元，在 Windows 網絡作業系統中，域是安全邊界。域管理者隻能管理域的内部，除非其他的域顯式地賦予他管理權限，他才能夠通路或者管理其他的域;每個域都有自己的安全政策，以及它與其他域的安全信任關系。

　　域：域是一種管理邊界，用于一組計算機共享共用的安全資料庫，域實際上就是一組伺服器和工作站的集合。

　　域在檔案系統中，有時也稱做“字段”，是指資料中不可再分的基本單元。一個域包含一個值。如學生的名字等。可以通過資料類型（如二進制、字元、字元串等）和長度（占用的位元組數）兩個屬性對其進行描述。

域與工作組的關系

　　其實上我們可以把域和工作組聯系起來了解,在工作組上你一切的設定在本機上進行包括各種政策，使用者登入也是登入在本機的，密碼是放在本機的資料庫來驗證的。而如果你的計算機加入域的話，各種政策是域控制器統一設定，使用者名和密碼也是放到域控制器去驗證，也就是說你的賬号密碼可以在同一域的任何一台計算機登入。

　　如果說工作組是“免費的旅店”那麼域（Domain）就是“星級的飯店”；工作組可以随便出出進進，而域則需要嚴格控制。“域”的真正含義指的是伺服器控制網絡上的計算機能否加入的計算機組合。一提到組合，勢必需要嚴格的控制。是以實行嚴格的管理對網絡安全是非常必要的。在對等網模式下，任何一台電腦隻要接入網絡，其他機器就都可以通路共享資源，如共享上網等。盡管對等網絡上的共享檔案可以加通路密碼，但是非常容易被破解。在由Windows 9x構成的對等網中，資料的傳輸是非常不安全的。

　　工作組是一群計算機的集合，它僅僅是一個邏輯的集合，各自計算機還是各自管理的，你要通路其中的計算機，還是要到被通路計算機上來實作使用者驗證的。而域不同，域是一個有安全邊界的計算機集合，在同一個域中的計算機彼此之間已經建立了信任關系，在域内通路其他機器，不再需要被通路機器的許可了。為什麼是這樣的呢？因為在加入域的時候，管理者為每個計算機在域中（可和使用者不在同一域中）建立了一個計算機帳戶，這個帳戶和使用者帳戶一樣，也有密碼保護的。可是大家要問了，我沒有輸入過什麼密碼啊，是的，你确實沒有輸入，計算機帳戶的密碼不叫密碼，在域中稱為登入票據，它是由2000的DC（域控制器）上的KDC服務來頒發和維護的。為了保證系統的安全，KDC服務每30天會自動更新一次所有的票據，并把上次使用的票據記錄下來。周而複始。也就是說伺服器始終儲存着2個票據，其有效時間是60天，60天後，上次使用的票據就會被系統丢棄。如果你的GHOST備份裡帶有的票據是60天的，那麼該計算機将不能被KDC服務驗證，進而系統将禁止在這個計算機上的任何通路請求（包括登入），解決的方法呢，簡單的方法使将計算機脫離域并重新加入，KDC服務會重新設定這一票據。或者使用2000資源包裡的NETDOM指令強制重新設定安全票據。是以在有域的環境下，請盡量不要在計算機加入域後使用GHOST備份系統分區，如果作了，請在恢複時确認備份是在60天内作的，如果超出，就最好聯系你的系統管理者，你可以需要管理者重新設定計算機安全票據，否則你将不能登入域環境。