第6章 Window s 域管理 很多人对域名、活动目录、DHCP、DNS 等术语可能还停留在概念性的阶段,于实际操作却有些陌生,本章有助于改善这一点。本章主要内容包括: 介绍域、活动目录等基础概念; 活动目录部署和配置; DHCP 部署和配置; 组策略 涉及以下一些方面: 普通 Server 2003 和域控制器之间的升降级 DHCP 和 DNS 的配置使用 添加或删除域用户 计算机加入域 SAM 数据库和 Syskey 组策略应用:对组策略进行编辑、设置,掌握强化系统的安全性的方法。 实验1 域管理基础 域是(Domain)Windows 网络管理的一个基本单位。域管理涉及域、活动目录(AD)和 SAM 数据库等概念。 1 . 域和工作组 首先我们介绍一下工作组(Work Group)的概念。域和工作组都是局域网环境下的两种不同的网络资源管理模式。 工作组的概念想必大家都很熟悉。它是我们默认安装完系统以后的最初、也是最常用的一种工作模式。工作组将局域网中的电脑按功能分组,以便查找和浏览共享资源。同一个工作组内部或不同工作组成员之间可以通过“网上邻居”实现资源共享。从“网上邻居”最先看到的是本机所在的工作组的机器。 “工作组”是一个“对等”网结构,就像一个自由加入和退出的俱乐部一样,可以随时自由出入毫无限制,它本身的作用仅仅是提供一个“房间”,以方便查找。在这种模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,没有 server 或 client 的概念。共享文件即使加有访问密码,也非常容易被破解。以工作组组成的局域网中,每一台电脑实现“个人自治”,一切设置在本机上进行,包括各种策略,用户登录也是在本机进行的,密码也是放在本机的数据库来验证的。显然,工作组模式在安全性上存在很大问题。 域的提出,放弃了可以随便出出进进的工作组模式,而采用了“中央集权”式的严格控制。我们可以说,域既是 Window s 网络系统的逻辑组织单元,也是 Internet 的逻辑组织单元。在 Window s 网络系统中,“域是安全边界”。以域方式组成的网络,里面必须至少有一台服务器作为管理机,即“域控制器(Domain Controller,DC)”,同一个域中的计算机彼此之间已经建立了信任关系。而在一个独立的工作站上,域就是计算机自身。 我们可以把域和工作组联系起来理解。每个域中有主域控制器、备份域控制器和服务器、工作站。每个域都有自己的安全策略以及与其...
