域英文叫DOMAIN 域(Domain)是Windows網絡中獨立運行的單位,域之間相互訪問則需要建立信任關系(即Trust Relation)。
信任關系是連接在域與域之間的橋梁。
當一個域與其他域建立了信任關系後,2個域之間不但可以按需要相互進行管理,還可以跨網分配文件和打印機等設備資源,使不同的域之間實現網絡資源的共享與管理。
域既是 Windows 網絡操作系統的邏輯組織單元,也是Internet的邏輯組織單元,在 Windows 網絡操作系統中,域是安全邊界。
域管理員只能管理域的內部,除非其他的域顯式地賦予他管理權限,他才能夠訪問或者管理其他的域;每個域都有自己的安全策略,以及它與其他域的安全信任關系。
域:域是一種管理邊界,用於一組計算機共享共用的安全數據庫,域實際上就是一組服務器和工作站的集合。
域在文件系統中,有時也稱做“字段”,是指數據中不可再分的基本單元。
一個域包含一個值。
如學生的名字等。
可以通過數據類型(如二進制、字符、字符串等)和長度(占用的字節數)兩個屬性對其進行描述。
域與工作組的關系 其實上我們可以把域和工作組聯繫起來理解,在工作組上你一切的設置在本機上進行包括各種策略,用戶登錄也是登錄在本機的,密碼是放在本機的數據庫來驗證的。
而如果你的計算機加入域的話,各種策略是域控制器統一設定,用戶名和密碼也是放到域控制器去驗證,也就是說你的賬號密碼可以在同一域的任何一臺計算機登錄。
如果說工作組是“免費的旅店”那麼域(Domain)就是“星級的賓館”;工作組可以隨便出出進進,而域則需要嚴格控制。
“域”的真正含義指的是服務器控制網絡上的計算機能否加入的計算機組合。
一提到組合,勢必需要嚴格的控制。
所以實行嚴格的管理對網絡安全是非常必要的。
在對等網模式下,任何一臺電腦只要接入網絡,其他機器就都可以訪問共享資源,如共享上網等。
儘管對等網絡上的共享文件可以加訪問密碼,但是非常容易被破解。
在由Windows 9x構成的對等網中,數據的傳輸是非常不安全的。
工作組是一群計算機的集合,它僅僅是一個邏輯的集合,各自計算機還是各自管理的,你要訪問其中的計算機,還是要到被訪問計算機上來實現用戶驗證的。
而域不同,域是一個有安全邊界的計算機集合,在同一個域中的計算機彼此之間已經建立了信任關系,在域內訪問其他機器,不再需要被訪問機器的許可了。
為什麼是這樣的呢?因為在加入域的時候,管理員為每個計算機在域中(可和用戶不在同一域中)建立了一個計算機帳戶,這個帳戶和用戶帳戶一樣,也有密碼保護的。
可是大家要問了,我沒有輸入過什麼密碼啊,是的,你確實沒有輸入,計算機帳戶的密碼不叫密碼,在域中稱為登錄票據,它是由2000的DC(域控制器)上的KDC服務來頒發和維護的。
為了保證系統的安全,KDC服務每30天會自動更新一次所有的票據,並把上次使用的票據記錄下來。
周而復始。
也就是說服務器始終保存著2個票據,其有效時間是60天,60天后,上次使用的票據就會被系統丟棄。
如果你的GHOST備份裡帶有的票據是60天的,那麼該計算機將不能被KDC服務驗證,從而系統將禁止在這個計算機上的任何訪問請求(包括登錄),解決的方法呢,簡單的方法使將計算機脫離域並重新加入,KDC服務會重新設置這一票據。
或者使用2000資源包裡的NETDOM命令強制重新設置安全票據。
因此在有域的環境下,請盡量不要在計算機加入域後使用GHOST備份系統分區,如果作了,請在恢復時確認備份是在60天內作的,如果超出,就最好聯繫你的系統管理員,你可以需要管理員重新設置計算機安全票據,否則你將不能登錄域環境。
域控制器 不過在“域”模式下,至少有一臺服務器負責每一臺聯入網絡的電腦和用戶的驗證工作,相當於一個單位的門衛一樣,稱為“域控制器(Domain Controller,簡寫為DC)”。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的數據庫。
當電腦聯入網絡時,域控制器首先要鑑別這台電腦是否是屬於這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。
如果以上信息有一樣不正確,那麼域控制器就會拒絕這個用戶從這台電腦登錄。
不能登錄,用戶就不能訪問服務器上有權限保護的資源,他只能以對等網用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網絡上的資源。
要把一臺電腦加入域,僅僅使它和服務器在網上鄰居中能夠相互“看”到是遠遠不夠的,必須要由網絡管理員進行相應的設置,把這台電腦加入到域中。
這樣才能實現文件的共享。
集中統一,便於管理。
域英文叫DOMAIN 域(Domain)是Windows網絡中獨立運行的單位,域之間相互訪問則需要建立信任關系(即Trust Relation)。
信任關系是連接在域與域之間的橋梁。
當一個域與其他域建立了信任關系後,2個域之間不但可以按需要相互進行管理,還可以跨網分配文件和打印機等設備資源,使不同的域之間實現網絡資源的共享與管理。
域既是 Windows 網絡操作系統的邏輯組織單元,也是Internet的邏輯組織單元,在 Windows 網絡操作系統中,域是安全邊界。
域管理員只能管理域的內部,除非其他的域顯式地賦予他管理權限,他才能夠訪問或者管理其他的域;每個域都有自己的安全策略,以及它與其他域的安全信任關系。
域:域是一種管理邊界,用於一組計算機共享共用的安全數據庫,域實際上就是一組服務器和工作站的集合。
域在文件系統中,有時也稱做“字段”,是指數據中不可再分的基本單元。
一個域包含一個值。
如學生的名字等。
可以通過數據類型(如二進制、字符、字符串等)和長度(占用的字節數)兩個屬性對其進行描述。
域與工作組的關系 其實上我們可以把域和工作組聯繫起來理解,在工作組上你一切的設置在本機上進行包括各種策略,用戶登錄也是登錄在本機的,密碼是放在本機的數據庫來驗證的。
而如果你的計算機加入域的話,各種策略是域控制器統一設定,用戶名和密碼也是放到域控制器去驗證,也就是說你的賬號密碼可以在同一域的任何一臺計算機登錄。
如果說工作組是“免費的旅店”那麼域(Domain)就是“星級的賓館”;工作組可以隨便出出進進,而域則需要嚴格控制。
“域”的真正含義指的是服務器控制網絡上的計算機能否加入的計算機組合。
一提到組合,勢必需要嚴格的控制。
所以實行嚴格的管理對網絡安全是非常必要的。
在對等網模式下,任何一臺電腦只要接入網絡,其他機器就都可以訪問共享資源,如共享上網等。
儘管對等網絡上的共享文件可以加訪問密碼,但是非常容易被破解。
在由Windows 9x構成的對等網中,數據的傳輸是非常不安全的。
工作組是一群計算機的集合,它僅僅是一個邏輯的集合,各自計算機還是各自管理的,你要訪問其中的計算機,還是要到被訪問計算機上來實現用戶驗證的。
而域不同,域是一個有安全邊界的計算機集合,在同一個域中的計算機彼此之間已經建立了信任關系,在域內訪問其他機器,不再需要被訪問機器的許可了。
為什麼是這樣的呢?因為在加入域的時候,管理員為每個計算機在域中(可和用戶不在同一域中)建立了一個計算機帳戶,這個帳戶和用戶帳戶一樣,也有密碼保護的。
可是大家要問了,我沒有輸入過什麼密碼啊,是的,你確實沒有輸入,計算機帳戶的密碼不叫密碼,在域中稱為登錄票據,它是由2000的DC(域控制器)上的KDC服務來頒發和維護的。
為了保證系統的安全,KDC服務每30天會自動更新一次所有的票據,並把上次使用的票據記錄下來。
周而復始。
也就是說服務器始終保存著2個票據,其有效時間是60天,60天后,上次使用的票據就會被系統丟棄。
如果你的GHOST備份裡帶有的票據是60天的,那麼該計算機將不能被KDC服務驗證,從而系統將禁止在這個計算機上的任何訪問請求(包括登錄),解決的方法呢,簡單的方法使將計算機脫離域並重新加入,KDC服務會重新設置這一票據。
或者使用2000資源包裡的NETDOM命令強制重新設置安全票據。
因此在有域的環境下,請盡量不要在計算機加入域後使用GHOST備份系統分區,如果作了,請在恢復時確認備份是在60天內作的,如果超出,就最好聯繫你的系統管理員,你可以需要管理員重新設置計算機安全票據,否則你將不能登錄域環境。
域控制器 不過在“域”模式下,至少有一臺服務器負責每一臺聯入網絡的電腦和用戶的驗證工作,相當於一個單位的門衛一樣,稱為“域控制器(Domain Controller,簡寫為DC)”。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的數據庫。
當電腦聯入網絡時,域控制器首先要鑑別這台電腦是否是屬於這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。
如果以上信息有一樣不正確,那麼域控制器就會拒絕這個用戶從這台電腦登錄。
不能登錄,用戶就不能訪問服務器上有權限保護的資源,他只能以對等網用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網絡上的資源。
要把一臺電腦加入域,僅僅使它和服務器在網上鄰居中能夠相互“看”到是遠遠不夠的,必須要由網絡管理員進行相應的設置,把這台電腦加入到域中。
這樣才能實現文件的共享。
集中統一,便於管理。