Windows域是計算機網路的一種形式，其中所有使用者帳戶，計算機，印表機和其他安全主體都在位於稱為域控制器的一個或多箇中央計算機叢集上的中央資料庫中註冊。 身份驗證在域控制器上進行。 在域中使用計算機的每個人都會收到一個唯一的使用者帳戶，然後可以為該帳戶分配對該域內資源的訪問許可權。 從Windows Server 2003開始 ，Active Directory是負責維護該中央資料庫的Windows元件。Windows域的概念與工作組的概念形成對比，在該工作組中，每臺計算機都維護自己的安全主體資料庫。 域的作用 如果企業網路中計算機和使用者數量較多時，要實現高效管理，就需要windows域。 域和組的區別 工作組是一群計算機的集合，它僅僅是一個邏輯的集合，各自計算機還是各自管理的，你要訪問其中的計算機，還是要到被訪問計算機上來實現使用者驗證的。而域不同，域是一個有安全邊界的計算機集合，在同一個域中的計算機彼此之間已經建立了信任關係，在域內訪問其他機器，不再需要被訪問機器的許可了。 因為在加入域的時候，管理員為每個計算機在域中（可和使用者不在同一域中）建立了一個計算機帳戶，這個帳戶和使用者帳戶一樣，也有密碼保護的。可是大家要問了，我沒有輸入過什麼密碼啊，是的，你確實沒有輸入，計算機帳戶的密碼不叫密碼，在域中稱為登入憑據，它是由2000的DC（域控制器）上的KDC服務來頒發和維護的。 為了保證系統的安全，KDC服務每30天會自動更新一次所有的憑據，並把上次使用的憑據記錄下來。週而復始。也就是說伺服器始終儲存著2個憑據，其有效時間是60天，60天后，上次使用的憑據就會被系統丟棄。 如果你的GHOST備份裡帶有的憑據是60天的，那麼該計算機將不能被KDC服務驗證，從而系統將禁止在這個計算機上的任何訪問請求（包括登入），解決的方法呢，簡單的方法使將計算機脫離域並重新加入，KDC服務會重新設定這一憑據。或者使用2000資源包裡的NETDOM命令強制重新設定安全憑據。 因此在有域的環境下，請儘量不要在計算機加入域後使用GHOST備份系統分割槽，如果作了，請在恢復時確認備份是在60天內作的，如果超出，就最好聯絡你的系統管理員，你可以需要管理員重新設定計算機安全憑據，否則你將不能登入域環境。 域和工作組適用的環境不同，域一般是用在比較大的網路裡，工作組則較小，在一個域中需要一臺類似伺服器的計算機，叫域控伺服器，其他電腦如果想互相訪問首先都是經過它的，但是工作組則不同，在一個工作組裡的所有計算機都是對等的，也就是沒有伺服器和客戶機之分的。 但是和域一樣，如果一臺計算機想訪問其他計算機的話首先也要找到這個組中的一臺類似組控伺服器，組控伺服器不是固定的，以選舉的方式實現，它儲存著這個組的相關資訊，找到這臺計算機後得到組的資訊然後訪問。