工作组模型

工作组（Workgroup）模型是Windows 2000中最基本的概念，它是资源和管理都分布在整个网络上的一种网络模式。这种网络被称为“对等网”，即在工作组模型中，每台计算机的地位都是平等的，每台计算机既可用做服务器，也可用做工作站，每台计算机都有自己的账户和对象。

组（Group）是活动目录或者本地计算机对象，它包含用户、联系人、计算机和其他组，用于分组管理用户和计算机对共享资源的访问。通常可将用户或计算机分为若干个组，授予每个组的权力和权限，也自动授予该组的成员，而不是具体授予每个成员。这样可使管理员将许多用户、计算机当做一个账户来管理。

域的基本概念

域是一组计算机构成的逻辑组织单元，管理员通过它对网络上的计算机系统进行安全管理。可以通过域把若干计算机组织起来构成一个计算机信息网络系统，域成员中的计算机有域控制器、域成员服务器和域成员计算机3种。没有加入域的计算机也可以像访问工作组一样访问域，但不能获得完全的服务。

一台服务器之所以称为域控制器，是因为在域控制器上存放着包含域的所有信息的域数据库，以数据库为基础对域进行管理的组件称为活动目录，即Active Directory（简称为AD），它是域的安全管理数据库。活动目录是高度伸缩的、分布式的、采用Internet标准技术建立并在操作系统级完全集成的企业级目录服务。它为运行在Windows上的应用程序提供全面的目录服务，同时它还被设计成一个统一的合并点，用于隔离、迁移和集中管理企业拥有的目录并减少目录的数目。这使得活动目录能在任何系统中正常工作，支持从只有几百个对象、一台服务器的小系统到拥有数百万个对象、上千台服务器的庞大系统，使其成为企业信息共享和网络资源通用管理的理想平台。

AD在作为域控制器的服务器上运行。通过AD的操作界面，管理员可以对网络实施有效的组织与管理。

活动目录只能在server版本上才可以安装，因此XP桌面操作系统中没有活动目录。如果需要安装ad用户和计算机,请将windows 2003光盘放入光驱,在光盘中的i386目录找到adminpak.msi管理工具包,用管理员权限安装后本地就会出现ad用户和计算机管理工具。

Active Directory的结构

Active Directory用简单直观的“由下而上”的方法来建置一个大型树形结构。

Active Directory中的单一域就是一个完整的目录分割区。为了便于管理，域被细分成一个个的组织单位（OU，Organizational Units）。单一域可能很小，但可以包含非常多的对象。如果需要更复杂的组织结构或需要存储大量对象，可以把多种Windows 2000 Server域结合成一棵树（Tree）。如果再将域树结合，则可形成域林（Forest）。域树中的第一个域称为根域（Root Domain）。同一域树中的额外域为子域。同一域树中，紧接在域上面的域，是子域的父系域。

域是Active Directory中逻辑结构的核心。一般而言，域适合大型组织的企业网络，因为可提供账户的管理与对等的数据共享。

在Windows 2000中，所谓域是由一台以上的Windows 2000 Server所组成的组，其中有一台需规划为域控制站。该控制站可以对用户进行认证，只有通过认证的用户才可以顺利登录域，登录域之后即可在规定的权限内使用域上的资源。在Windows 2000 Server的域结构中所有域控制器的地位都是平等的，且域控制器之间会定期进行数据复制以保持一致性。

由一个以上的Windows 2000域组成层次式排列，但这些域需分享一个连续的（Contiguous）名称空间。

由一个以上互不相连的（Disjointed）名称空间的域树组成层次式排列。当建立域林时，每一个域树内的根域之间会自动建立双向可传递的信任关系，因此每一个域内的使用者只要具备足够的权限就可以存取其他域树内的资源。

域模型

Windows 2000/NT Server的网络提供4种基本模型来组合各种配置，以满足用户的需求：单主域模型、主域模型、多主域模型、完全委托域模型。

1．单主域模型

该模型由1个域组成，有1个主域控制器和1个或多个后备域控制器和服务器。单主域模型特别适应于少量用户和资源的公司，它提供对用户账户的集中管理，不允许用户按部门分组。

2．主域模型

主域模型由至少2个域组成，每个域有其自己的域控制器，所有的用户账户信息保存在一个称为主域（Master Domain）的域中，其他的域则称为资源域。资源域负责维护文件、目录和打印机资源。资源域不需要维护用户账户，它们用主域中的账户来分配用户对本地资源的访问。

3．多主域模型

多主域模型中有多个主域，每个主域作为一个账户域，网络中的每个用户账户都是由这些主域之一创建。网络中还有其他的一些域，这些域作为资源域。它们由各部门创建，为主域提供资源。

4．完全委托域模型

完全委托域模型由多个域组成，每个域执行自己的管理，所有域在控制上都是平等的。完全委托域模型分布式地管理不同部门的用户、组和域，在此模型中，网络中所有的域相互委托，这样每个部门可以管理自己的域，定义自己的用户和全局组，这些用户和全局组能在所有的域上使用。这种模型适合于各部门管理自己的网络环境的公司。

域服务器类型

在域模型中有3种不同的服务器类型：主域控制器、后备域控制器和服务器。在Windows 2000域中，运行Windows 2000 Server并安装了活动目录的计算机就是一个域控制器。域控制器存储目录数据，管理用户和域之间的交互（包括用户登录、验证和目录搜索）。域控制器的多少可以根据网络的规模决定，但是使用多个域控制器可以提高域的可用性和容错性。

1．主域控制器（PDC，Primary Domain Controller）

每个域都需要有一个主域控制器，并且只能有一个主域控制器，它是整个域的控制中心，

它为域保存主账户数据库和安全性政策，账户库中的所有改动都必须在主域控制器上进行，同时它负责一个域中用户的合法性检验。主域控制器是域命名的第一台Windows 2000 Server计算机。

2．后备域控制器（BDC，Backup Domain Controller）

后备域控制器是用于保持PDC目录数据库副本的服务器，该BDC周期性地、自动地与PDC保持同步。BDC也可以协助PDC对用户登录操作进行身份验证，分担PDC的工作，减轻网络流量。同时，当PDC关机或出了故障时，BDC可以升级为PDC，但如果一个BDC升级为PDC，则在最后一次从原来的PDC拷贝目录数据库之后，用户对目录数据库所进行的更改都将会丢失。一个域可以有多个BDC。

主域控制器、后备域控制器都可作为文件、打印和应用程序的服务器。

3．独立的服务器（Stand Alone Server）

在域中不作为主域控制器和后备域控制器的域服务器称为服务器，它可以用做专用文件、打印和应用程序的服务器。服务器保存自身的数据库，域中的账户可被授权访问服务器上的资源。

委托关系

委托关系是Windows 2000 Server两域间的一个链，此链容许一个域识别另外一个域的用户账户，并且委托后者对这些用户进行注册时的身份验证。

1．单向委托关系

一个域委托其他域中的用户使用其资源。更准确地说，一个域委托其他域中的域控制器来确认用户账户，以使用户能使用其资源。这样，可用的资源被保存在委托域中，而利用这些资源的账户却在受托域中。如果委托域中的用户账户需要使用受托域中的资源，则需要双向委托关系。

2．双向委托关系

相当于两个单向委托关系，每个域都委托对方域中的用户账户，用户可从任一个域的计算机登录到他们的域账户中，每个域有自己的账户和资源。全局用户账户和全局组可用来从任何一个域中得到授权来访问其中任何一个域中的资源。

在所有的委托关系中，一个域为受托域，另外一个域就是委托域。

受托域：又称账户域，账户被放在受托域中。受托域的用户和组允许在委托域中拥有用户权力、资源权限和本地组员身份。

委托域：委托资源通常总放在委托域中，委托域允许其他域（受托域）的用户访问其资源。

委托与受托的概念差别可以从资源的角度考虑。通过建立恰当的委托关系和授予访问的权限，资源所在域可委托另外一个域的用户，并允许他们使用这些资源。

参考：

评论