為什么要組建局域網(wǎng)呢？就是要實(shí)現(xiàn)資源的共享，既然資源要共享，資源就不會太少。如何管理這些在不同機(jī)器上的資源呢？域和工作組就是在這樣的環(huán)境中產(chǎn)生的兩種不同的網(wǎng)絡(luò)資源管理模式。那么究竟什么是域，什么是工作

為什么要組建局域網(wǎng)呢？就是要實(shí)現(xiàn)資源的共享，既然資源要共享，資源就不會太少。如何管理這些在不同機(jī)器上的資源呢？域和工作組就是在這樣的環(huán)境中產(chǎn)生的兩種不同的網(wǎng)絡(luò)資源管理模式。那么究竟什么是域，什么是工作組呢？它們的區(qū)別又是什么呢？

域 ------公司

域控制器 ------公司制度(更形象的是公司大門的門禁系統(tǒng)）

計(jì)算機(jī) ------每個人

工作組 -------沒有門禁系統(tǒng)的公司

“自由”的工作組

工作組（Work Group）就是將不同的電腦按功能分別列入不同的組中，以方便管理。比如在一個網(wǎng)絡(luò)內(nèi)，可能有成百上千臺工作電腦，如果這些電腦不進(jìn)行分組，都列在“網(wǎng)上鄰居”內(nèi)，可想而知會有多么亂（恐怕網(wǎng)絡(luò)鄰居也會顯示“下一頁”吧）。為了解決這一問題，Windows 9x/NT/2000才引用了“工作組”這個概念，比如一所高校，會分為諸如數(shù)學(xué)系、中文系之類的，然后數(shù)學(xué)系的電腦全都列入數(shù)學(xué)系的工作組中，中文系的電腦全部都列入到中文系的工作組中……如果你要訪問某個系別的資源，就在“網(wǎng)上鄰居”里找到那個系的工作組名，雙擊就可以看到那個系別的電腦了。

那么怎么樣才能加入到工作組中呢？其實(shí)方法很簡單，只需要右擊Windows 桌面上的“網(wǎng)上鄰居”，在彈出的菜單出選擇“屬性”，點(diǎn)擊“標(biāo)識”，在“計(jì)算機(jī)名”一欄中添入你想好的名字，在“工作組”一欄中添入你想加入的工作組名稱。如果你輸入的工作組名稱是一個不存在的工作組，那么就相當(dāng)于新建一個工作組，當(dāng)然也只有你自己的電腦在里面。不過要注意，計(jì)算機(jī)名和工作組的長度都不能超過15個英文字符，可以輸入漢字，但是也不能超過7個漢字?！坝?jì)算機(jī)說明”是附加信息，不填也可以，但是最好填上一些這臺電腦主人的信息，如“數(shù)學(xué)系主機(jī)”等。單擊“確定”按鈕后，Windows 98提示需要重新啟動，按要求重新啟動之后，再進(jìn)入“網(wǎng)上鄰居”，就可以看到你所在工作組的成員了。

相對而言，所處在同一個工作組內(nèi)部成員相互交換信息的頻率最高，所以你一進(jìn)入“網(wǎng)上鄰居”，首先看到的是你所在工作組的成員。如果要訪問其他工作組的成員，需要雙擊“整個網(wǎng)絡(luò)”，然后你才會看到網(wǎng)絡(luò)上其他的工作組，雙擊其他工作組的名稱，這樣你才可以看到里面的成員，與之實(shí)現(xiàn)資源交換。

除此之外，你也可以退出某個工作組，方法也很簡單，只要將工作組名稱改變一下即可。不過這樣在網(wǎng)上別人照樣可以訪問你的共享資源，只不過換了一個工作組而已。也就是說，你可以隨便加入同一網(wǎng)絡(luò)上的任何工作組，也可以隨時離開一個工作組?！肮ぷ鹘M”就像一個自由加入和退出的俱樂部一樣。它本身的作用僅僅是提供一個“房間”，以方便網(wǎng)上計(jì)算機(jī)共享資源的瀏覽。

域的管理和設(shè)置

打個比方，如果說工作組是“免費(fèi)的旅店”那么域（Domain ）就是“星級的賓館”；工作組可以隨便出出進(jìn)進(jìn)，而域則需要嚴(yán)格控制?！坝颉钡恼嬲x指的是服務(wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組合。一提到組合，勢必需要嚴(yán)格的控制。所以實(shí)行嚴(yán)格的管理對網(wǎng)絡(luò)安全是非常必要的。在對等網(wǎng)模式下，任何一臺電腦只要接入網(wǎng)絡(luò)，其他機(jī)器就都可以訪問共享資源，如共享上網(wǎng)等。盡管對等網(wǎng)絡(luò)上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構(gòu)成的對等網(wǎng)中，數(shù)據(jù)的傳輸是非常不安全的。

不過在“域”模式下，至少有一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，相當(dāng)于一個單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller，簡寫為DC ）”。

域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源，他只能以對等網(wǎng)用戶的方式訪問Windows 共享出來的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。

要把一臺電腦加入域，僅僅使它和服務(wù)器在網(wǎng)上鄰居中能夠相互“看”到是遠(yuǎn)遠(yuǎn)不夠的，必須要由網(wǎng)絡(luò)管理員進(jìn)行相應(yīng)的設(shè)置，把這臺電腦加入到域中。這樣才能實(shí)現(xiàn)文件的共享。

1． 服務(wù)器端設(shè)置

以系統(tǒng)管理員身份在已經(jīng)設(shè)置好Active Directory（活動目錄）的Windows 2000 Server上登錄，選擇“開始”菜單中“程序”選項(xiàng)中的“管理工具”，然后再選擇“Active Directory 用戶和計(jì)算機(jī)”，之后在程序界面中右擊“Computers”，在彈出的菜單中單擊“新建”，然后選擇“計(jì)算機(jī)”，之后填入想要加入域的計(jì)算機(jī)名即可。要加入域的計(jì)算機(jī)名最好為英文，中文計(jì)算機(jī)名可能會引起一些問題。

2． 客戶端設(shè)置

首先要確認(rèn)計(jì)算機(jī)名稱是否正確，然后在桌面“網(wǎng)上鄰居”上右擊鼠標(biāo)，點(diǎn)擊“屬性”出現(xiàn)網(wǎng)絡(luò)屬性設(shè)置窗口，確認(rèn)“主網(wǎng)絡(luò)登錄”為“Microsoft網(wǎng)絡(luò)用戶”。選中窗口上方的“Microsoft網(wǎng)絡(luò)用戶”（如果沒有此項(xiàng)，說明沒有安裝，點(diǎn)擊“添加”安裝“Microsoft網(wǎng)絡(luò)用戶”選項(xiàng)）。點(diǎn)擊“屬性”按鈕，出現(xiàn)“Microsoft網(wǎng)絡(luò)用戶屬性”對話框，選中“登錄到Windows NT域”復(fù)選框，在“Windows NT域”中輸入要登錄的域名即可。這時，如果是Windows 98操作系統(tǒng)的話，系統(tǒng)會提示需要重新啟動計(jì)算機(jī)，重新啟動計(jì)算機(jī)之后，會出現(xiàn)一個登錄對話框。在輸入正確的域用戶賬號、密碼以及登錄域之后，就可以使用Windows 2000 Server域中的資源了。請注意，這里的域用戶賬號和密碼，必須是網(wǎng)絡(luò)管理員為用戶建的那個賬號和密碼，而不是由本機(jī)用戶自己創(chuàng)建的賬號和密碼。如果沒有將計(jì)算機(jī)加入到域中，或者登錄的域名、用戶名、密碼有一項(xiàng)不正確，都會出現(xiàn)錯誤信息

對多用戶管理缺乏層次

某市某供電局，有員工200人左右和12個業(yè)務(wù)或支撐部門。為了滿足公司未來發(fā)展和日常運(yùn)營管理的安全需求，公司決定重新部署企業(yè)網(wǎng)絡(luò)。公司計(jì)劃部署一個由200臺計(jì)算機(jī)組成的局域網(wǎng)，用于完成企業(yè)數(shù)據(jù)通信和資源共享。

公司已有一個局域網(wǎng)，運(yùn)行200臺計(jì)算機(jī)，服務(wù)器操作系統(tǒng)是Windows Server 2003，客戶端的操作系統(tǒng)是Windows XP ，工作在工作組模式下，員工一人一機(jī)辦公。公司從ISP 申請100M 專線，采用代理方式上網(wǎng)。由于計(jì)算機(jī)比較多，管理上缺乏層次，公司希望能夠利用Windows 域環(huán)境管理所有網(wǎng)絡(luò)資源，提高辦公效率，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全，規(guī)范計(jì)算機(jī)使用。

按單域規(guī)劃辦公網(wǎng)絡(luò)

要組建Windows 辦公網(wǎng)絡(luò)，首先要規(guī)劃IP 地址，然后再根據(jù)域環(huán)境決定是采用單域還是多域結(jié)構(gòu)，最后考慮賬戶、文件和打印服務(wù)等內(nèi)容。

規(guī)劃IP 地址 本項(xiàng)目中IP 地址采用192 . 168 . 0 . 0/24網(wǎng)段。 計(jì)算機(jī)默認(rèn)網(wǎng)關(guān)為 192 . 168 . 0 . 1～192 . 168 . 0 . 10之間的IP ，客戶機(jī)占用192 . 168 . 0 . 11以上的IP 。

規(guī)劃域 根據(jù)網(wǎng)絡(luò)規(guī)模、集中管理與結(jié)構(gòu)簡單原則，公司決定采用單域結(jié)構(gòu)，域名為angerfire . cn 。與多域結(jié)構(gòu)相比，它能實(shí)現(xiàn)網(wǎng)絡(luò)資源集中管理并保障管理上的簡單性和低成本。在域內(nèi)按照部門名稱劃分組織單位(OU)，分別是運(yùn)行科、保護(hù)科、變配電科、巡檢科、人力資源科、招標(biāo)辦公室、對標(biāo)辦公室、財(cái)務(wù)辦公室、工程部、搶險(xiǎn)辦公室、工會和局長辦公室(見表1) ，用于存儲和管理各部門的用戶資源。整個域結(jié)構(gòu)與公司管理結(jié)構(gòu)相匹配，可以實(shí)現(xiàn)網(wǎng)絡(luò)資源的層次管理。域控制器作為整個域的核心服務(wù)器，完成對公司所有員工的賬戶管理和安全策略的實(shí)施。

規(guī)劃用戶賬戶和組 在各部門的OU 中分別為該部門員工創(chuàng)建唯一的域用戶賬戶，并要求域用戶賬戶在首次登錄時更改密碼。密碼最小長度為8位，并且符合復(fù)雜性要求。為每個部門創(chuàng)建全局組，并將同部門的員工賬戶分別加入各部門的全局組。

規(guī)劃文件服務(wù)器 通過一臺專用文件服務(wù)器存儲公共文件以及員工的工作文檔。文件服務(wù)器的C 盤容量為10GB(安裝操作系統(tǒng)和軟件) ，D 盤容量大于100GB ，并采用NTFS 文件系統(tǒng)。在D 盤的一個名為software 的文件夾中存放公共文件，如常用軟件、規(guī)章制度等。另一個名為share 的文件夾存放部門和員工的工作文檔。

在D:share下為每個部門建立文件夾，部門文件夾下創(chuàng)建每個員工的文件夾，并為每個用戶配置共享權(quán)限和NTFS 權(quán)限，保障文件只被授權(quán)的用戶訪問(見表2) 。權(quán)限的配置應(yīng)遵循AGDLP 規(guī)則，避免直接為用戶授權(quán)，除非該文件夾只有一個員工訪問。

在文件服務(wù)器上，普通員工最大使用空間為100MB ，部門經(jīng)理的最大使用空間為1000MB ，總經(jīng)理的最大使用空間不受限制。在文件上傳類型方面，只允許上傳文件后綴為.doc 、.xls 、.ppt 、.wps 、.txt 、.rar 的文件。對重要的文件夾要制定備份策略，可以采用常規(guī)備份加差異備份的策略，按任務(wù)計(jì)劃自動執(zhí)行。

規(guī)劃打印系統(tǒng) 根據(jù)公司需求，需要采購4臺打印設(shè)備(HP Laserjet 1020)。4臺設(shè)備分別安裝在打印服務(wù)器printsrv1、printsrv2、printsrv3、printsrv4 上，printsrv1供局長辦公室和財(cái)務(wù)辦公室使用，printsrv2和printsrv3供招標(biāo)辦公室、工程部和工會使用，printsrv4供對標(biāo)辦公室、搶險(xiǎn)辦公室和人力資源科使用。局長、科長和普通員工的優(yōu)先級分別規(guī)劃為90、50和1。同時還要規(guī)劃邏輯打印機(jī)權(quán)限。

規(guī)劃上網(wǎng)方式 公司租用一條100M 專線上網(wǎng)。采用代理服務(wù)器軟件使局域網(wǎng)接入Internet 。防火墻/代理服務(wù)器軟件使用微軟應(yīng)用級防火墻ISA2006。代理服務(wù)器的專用連接IP 為192 . 168 . 0 . 1，公共連接與100MB 專線連通，IP 地址從ISP 那里動態(tài)獲得，啟用的代理協(xié)議是HTTP ，使用域策略完成客戶端的統(tǒng)一配置，實(shí)現(xiàn)共享上網(wǎng)，啟用防火墻策略對用戶上網(wǎng)行為進(jìn)行監(jiān)控并阻絕一切不適用的網(wǎng)絡(luò)通信。

啟示：遵從法則更重要

目前信息化項(xiàng)目層出不窮，內(nèi)部網(wǎng)絡(luò)的安全規(guī)劃是重中之重。我們通常習(xí)慣性地認(rèn)為安全就要靠防火墻和殺毒軟件。殊不知，這些都是解決表面問題的手段。

一個真正意義上的安全網(wǎng)絡(luò)，首先需要安全強(qiáng)壯的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，其次是基于強(qiáng)壯骨架之上的服務(wù)。而應(yīng)用層的解決方法其實(shí)就在我們所熟知的Windows 域中。在基于域環(huán)境的計(jì)算機(jī)管理手段中，策略是強(qiáng)行管理企業(yè)內(nèi)部網(wǎng)絡(luò)的鋼鐵法則。域環(huán)境之所以強(qiáng)大，之所以安全，也正是由于域的管理模式是基于法則的。

社會安定需要健全的法律來支持。而Windows 域環(huán)境正是以法則的方式對域中的計(jì)算機(jī)和賬戶等資源進(jìn)行集中管理的。