组策略与域管理

局域网的分组管理和域管理的区别？就好像自由市场和中央管理的区别局域网中的工作组和域为什么要组建局域网呢？就是要实现资源的共享，既然资源要共享，资源就不会太少。如何管理这些在不同机器上的资源呢？域和工作

局域网的分组管理和域管理的区别？

就好像自由市场和中央管理的区别

局域网中的工作组和域

为什么要组建局域网呢？就是要实现资源的共享，既然资源要共享，资源就不会太少。如何管理这些在不同机器上的资源呢？域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。那么究竟什么是域，什么是工作组呢？它们的区别又是什么呢？ “自由”的工作组

工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中，以方便管理。比如在一个网络内，可能有成百上千台工作电脑，如果这些电脑不进行分组，都列在“网上邻居”内，可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧) 。为了解决这一问题，Windows 9x/NT/2000才引用了“工作组”这个概念，比如一所高校，会分为诸如数学系、中文系之类的，然后数学系的电脑全都列入数学系的工作组中，中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源，就在“网上邻居”里找到那个系的工作组名，双击就可以看到那个系别的电脑了。

那么怎么样才能加入到工作组中呢？其实方法很简单，只需要右击Windows 桌面上的“网上邻居”，在弹出的菜单出选择“属性”，点击“标识”，在“计算机名”一栏中添入你想好的名字，在“工作组”一栏中添入你想加入的工作组名称。如果你输入的工作组名称是一个不存在的工作组，那么就相当于新建一个工作组，当然也只有你自己的电脑在里面。不过要注意，计算机名和工作组的长度都不能超过15个英文字符，可以输入汉字，但是也不能超过7个汉字。“计算机说明”是附加信息，不填也可以，但是最好填上一些这台电脑主人的信息，如“数学系主机”等。单击“确定”按钮后，Windows 98提示需要重新启动，按要求重新启动之后，再进入“网上邻居”，就可以看到你所在工作组的成员了。

相对而言，所处在同一个工作组内部成员相互交换信息的频率最高，所以你一进入“网上邻居”，首先看到的是你所在工作组的成员。如果要访问其他工作组的成员，需要双击“整个网络”，然后你才会看到网络上其他的工作组，双击其他工作组的名称，这样你才可以看到里面的成员，与之实现资源交换。

除此之外，你也可以退出某个工作组，方法也很简单，只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。也就是说，你可以随便加入同一网络上的任何工作组，也可以随时离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样。它本身的作用仅仅是提供一个“房间”，以方便网上计算机共享资源的浏览。

域的管理和设置

打个比方，如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”；工作组可以随便出出进进，而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合，势必需要严格的控制。所以实行严格的管理对网络安全

是非常必要的。在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器(Domain Controller，简写为DC)”。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows 共享出来的资源，这样就在一定程度上保护了网络上的资源。

要把一台电脑加入域，仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的，必须要由网络管理员进行相应的设置，把这台电脑加入到域中。这样才能实现文件的共享。

1． 服务器端设置

以系统管理员身份在已经设置好Active Directory(活动目录) 的Windows 2000 Server上登录，选择“开始”菜单中“程序”选项中的“管理工具”，然后再选择“Active Directory用户和计算机”，之后在程序界面中右击“Computers”，在弹出的菜单中单击“新建”，然后选择“计算机”，之后填入想要加入域的计算机名即可。要加入域的计算机名最好为英文，中文计算机名可能会引起一些问题。

2． 客户端设置

首先要确认计算机名称是否正确，然后在桌面“网上邻居”上右击鼠标，点击“属性”出现网络属性设置窗口，确认“主网络登录”为“Microsoft网络用户”。选中窗口上方的“Microsoft 网络用户”(如果没有此项，说明没有安装，点击“添加”安装“Microsoft网络用户”选项) 。点击“属性”按钮，出现“Microsoft网络用户属性”对话框，选中“登录到Windows NT域”复选框，在“Windows NT域”中输入要登录的域名即可。这时，如果是Windows 98操作系统的话，系统会提示需要重新启动计算机，重新启动计算机之后，会出现一个登录对话框。在输入正确的域用户账号、密码以及登录域之后，就可以使用Windows 2000 Server域中的资源了。请注意，这里的域用户账号和密码，必须是网络管理员为用户建的那个账号和密码，而不是由本机用户自己创建的账号和密码。如果没有将计算机加入到域中，或者登录的域名、用户名、密码有一项不正确，都会出现错误信息。

1

添加到搜藏

已解决

什么是域管理员？是否可以删掉？如何删掉？这个管理员是否可以远程登陆我的电脑？

悬赏分：0 - 解决时间：2006-3-9 17:28

提问者： hr99 - 魔法学徒 一级

最佳答案

1. 域是一种管理计算机网络的方式，你的电脑如果加入了域的话，域里面的用户可以用域帐号登录你的机器。

2. 域管理员是域里面权限最高的用户，没有达到管理员的权限是不能删掉改帐户的。

3. 要远程登录你的电脑光有域管理员帐号还是不够的，只要你的机器没有设置远程桌面连接，没有装VNC 之类的软件也没有中木马，或者没有联网，想要登录你的机器，都要到“本地”来操作。

3

添加到搜藏

已解决

办公室电脑组建一个局域网，每台电脑都有自己的用户名，密码才能登陆，重装系统时，都要管理员给它加域。

悬赏分：10 - 解决时间：2005-12-7 03:26

是否能在这台电脑上备份这个加域的文件，下次直接拷贝？这样可行吗？如xp sp2系统为例！！

提问者： andylv1015 - 童生 一级

最佳答案

我明白你的意思了, 你是说把系统备份了, 下次还原后, 还用不用管理员再把这台计算机入域对吗?

如果我理解你的问题没错的话, 是可以的, 可以把系统备份, 然后再还原, 不用管理员再把这台计算机加域, 它已经在域里面了!

但是如果是重新安装系统就要重新加入域了!

回答者： zlmin - 秀才 三级 2005-12-6 23:01

我来评论>>

提问者对于答案的评价：

多谢！

笔者花了一个通宵的时间制定了一个绝妙的网络管理方案, 如今网络已经全部安装通过, 便急忙把这个方案共享出来与大家一同分享。

一共十台机器, 笔者打算用PIII933安装Windows 2000 Server 作主域控制器, 在另一台WIN98工作站上另外安装Windows 2000 Server作额外域控制器, 以防主域控制器突然失灵后可以暂时充当主域控制器角色, 另外八台工作站各分部在各个科室中, 距离不是很远, 公司用的是一台16口100M 的HUB 。

Windows 2000 Server已经推出很长时间了, 我想各位只要不是顶级菜鸟, 肯定已经安装过不止一次了吧, 所以Windows 2000 Sever的安装不是本文的重点, 本文主要介绍怎样用Windows 2000 Server来组建一个全能网络, 以及怎样利用一些软件来方便我们的管理操作。

组网篇

(一) 主域控制器的安装

其实按正确的说法Windows 2000 Server 中已经没有主域控制器和非主域控制器之分, 不过我们为了讲解方便从而把Windows 2000 Server的域控制器分为主域控制器和额外域控制器。

首先在服务器上安装Windows 2000 Server, 分区类型选择NTFS 格式, 由于此时我们的域还没有建立起来, 所以我们先让其属于WORKGROUP 工作组, 笔者输入的计算机名是WAN-SERVER, 连接方式我们选择“每服务器”,同时允许的最大连接数我们选择10。

当Windows 2000 Server安装完毕后会自动打开“配置服务器”窗口,, 由于这是我们的域内的第一台服务器, 并没有其他的域控制器正在运行, 所以在这里我们应该选择“这是网络中唯一的服务器”然后点下一步。

系统提示将会在这台计算机上安装Active Directory,DHCP 和DNS, 如果你想了解关于这三项的其他信息, 请点击“其他详细信息”或是请点击“了解其他”,然后请继续点击下一步。将域命名为什么？在这里我们入“BADBOY”作为域名, 由于我们并没有在Internet 上注册的域名, 所以我们键入本地名, 我们输入 “LOCAL”作为本地名(当然你输入“COM”或“NET”会更形象些。那样我们的服务器的DNS 全名就是wan-server .badboy.com 啦) 。

点击下一步之后系统会提示你确认这些操作。而且人家也告诉你说接下来的过程会花几分钟的时间, 所以你千万不能着急, 不过要是你的机器足够的old, 那可能要花不止几分钟的时间了。我们点击下一步。

Windows 开始安装我们所选择的组件。组件安装完成后, 将出现配置Active Directory 的窗口。

注意这个过程用的时间非常的长, 而且也没有一个进度条提示, 你要有足够的耐心才对, 系统配置完成后将会提示你重新启动。

当Windows 2000 Server 再次启动后会出现的配置服务器画面, 取消“启动时显示该屏幕”然后关闭该窗口。OK! 服务器这样就配置好了。需要说明的是, 这时这台服务器的IP 地址系统自动设成了10.10.0.0, 当然我们是可以改变它的, 依次打开网上邻居--属性--本地连接--属性--TCP/IP属性。

由于本局域网中的计算机数量不多, 笔者采用为每台工作站设定固定的IP 地址的方案. 以方便我们某一时刻的管理。

接下来, 我们在wan-server 这台服务器上建立用户和组, 我们依次点击开始--程序--管理工具----Active Directory 用户和计算机, 笔者为九台工作站的办公室人员设置的用户名. 另外包括我的网络和打印机管理两个全局组. 其中我的网络全局组属于users 本地组, 包括wan001--wan009九个成员, 而打印机管理全局组属于Print oprerators本地组包括wan008和wan009两个成员。(推荐在Windows 2000

Sever 中对用户进行以下的管理：将用户加入全局组, 以便能访问整个域资源, 把全局组加入某个本地组, 以便管理用户权限。)

整个局域网中有两台域控制器, 其中wan-bak-server 是我们以下将要安装的额外域控制器。域中的工作站情况。这些数据要根据你自己网络的情况进行合理设置噢!

(二) 额外域控制器的安装

接下来我们在另外一台工作站中安装Windows 2000 Server , 安装过程基本与安装主域控制器相同, 只不过这次我们输入计算机名为wan-bak-server , 我们依然可以将其放入workgroup 工作组。安装完成后也会打开服务器配置窗口。不过这次我们点击一下左边的“Active Directory”，将会出现画面. 你可以在这里先了解一下有关Active Directory的情况, 然后点击“启动”来启动ActiveDirectory 向导。出现安装向导, 我们点下一步。在窗口中系统询问是把这台服务器当作新域的域控制器还是当作现有域的额外域控制器, 在这里我们并不是想建立一个新的域, 所以我们选择“现有域的额外域控制器”然后点击下一步继续。输入有权进行此次操作的用户名。密码和现有的域, 如果你输入的信息不正确则不能进行下一步的安装, 然后点击下一步继续。

输入现有域的DNS 全名, 对于我们的域来讲DNS 全名为badboy.local. 当然你可以点击浏览来查找现有的域的DNS 名。接下来我们接受系统的默认设置. 输入额外域控制器

的管理员密码, 当计算机在目录恢复模式下启动时, 会用到这个密码。确认刚才的设置点击下一步。

看! 额外域控制器正从主域控制器上下传用户数据呢, 看网线上突起的数据包, 还真形象! 注意这一步时间也是特别特别的长, 你如果没有足够的耐心, 那你就去对面的咖啡屋里去喝杯咖啡去吧?!

等你回来的时候, 你会发现完成画面己恭候你多时啦!! 接下来重新启动,OK! 额外域控制器的安装也就完成了, 怎么样, 不复杂吧？但有一点你一定要注意了----安装额外域控制器的时候, 你一定要把主域控制器打开, 不然的话你点击下一步系统会告诉你输入的用户名不存在或是找不到指定的域。

额外域控制器的IP 地址设置。当额外域控制器安装完成后你打开Active Directory用户和计算机会发现, 里面的一切数据和主域控制器上的一样哎! 以后当两台服务器都打开的情况下, 你在任何一台控制器上所做的更改系统都会立即在两台服务器上进行复制, 以使两台服务器的用户数据库保持同步。另外在主域控制器没有打开的情况下额外域控制器也可以对用户的登录请求进行验证。

而当你在更改数据时(比如新建一个用户) 如果另一台域控制器没有打开, 那么系统会提示出错信息, 提示你现在不能进行全局编录。只有用户名被验证为唯一后, 才能用此用户名进行登录。

当有一天我们的主域控制器突然瘫痪的时候, 我们应该立即把额外域控制器提升为操作主机角色, 以便不影响网络的正常运作,(正情况下主域控制器是域中的操作主机角色, 操作主机角色在域中是唯一的, 操作主机负责向其他域控制器分配RID 池并且充当Windows 2000以前版本的域的主域控制器角色), 把额外域控制器提升为操作主机角色的具体做法是, 打开Active Directory 用户和计算机, 如前边的, 在左边窗口的“badboy.local”域上点击右键, 选择“操作主机”将会出现窗口。

依次点RID,PDC, 结构三个选项卡, 分别点击更改按钮即可. 在出现的确认窗口中点击是, 确认后出现成功消息框。这时额外域控制器被提升为操作主机角色, 而主域控制器则降级为额外域控制器了。

好了, 两台域控制器都已经安装成功, 至于网络的使用管理那就是各位网管的事了, 跟本文没有多大关系. 在此不再赘述。由于各台工作站笔者设置了固定的IP 地址, 所以DHCP 也就没必要进行设置了。

我们再把各台工作站的DNS 服务器, 网关,WINS 服务器的IP 地址设置成主域控制器的IP 地址，在这里我们的主域控制器的IP 地址为192.168.0.33。并设置成让工作站启

动时登录badboy 域就万事OK 了!

管理篇

在这一篇中, 我们看怎样把我们的服务器的功能配置的更好以及怎样用一些软件来方便我们的日常管理, 组建一个网络的用途主要体现在管理工作站的功能上, 而建立网络也只不过是这个漫长的使用过程的一个开始吧。所以这一篇是我们全文的重点。

首先我们来配置WAN-SERVER 这台主域控制器的Web 站点和FTP 站点, 使得各台工作站能够在浏览器使用诸如wan-server 以及192.168.0.33或在DOS 提示符下使用ftp wan-server及ftp 192.168.0.33这样的地址来访问主域控制器上的资源。那么我们来打开开始--程序--管理工具--Internet 信息服务。

我们左边的窗口中右击“默认FTP 站点”在菜单中选择属性将会打开在FTP 站点选项卡中我们填入FTP 服务器的IP 地址192.168.0.33. 其他按默认设置。

在安全贴选项卡中选择匿名访问本FTP 站点时的用户名和密码, 在消息选项卡中输入登录本FTP 站点时显示的欢迎信息。

在主目录选项卡选择FTP 站点的主目录, 在这里可以选择FTP 站点的内容是来自本计算机上的目录还是另外一台计算机上的目录, 在这里我们选择“此计算机上的目录”,本地路径我们选择E 盘根目录(E盘上存的是服务器上的共享资源) 。然后选择给用户的权限以及登录FTP 后目录的列表风格。在目录安全性选项卡内可设置哪些工作站可以访问本FTP 站点。

如此简单而已! 我们马上到工作站上登录试试, 真的很棒哎! 下面我们要来配置WEB 站点。在左边的窗口中右击“默认Web 站点”打开其属性窗口。我们打开主目录选项卡, 依然是选择“此计算机上的目录”,在本地路径内输入你的Web 站点的目录, 我们输入了D:Inetpubmywebroot目录, 然后设置用户的权限即可。

另外一点需要说明的是, 你有可能需要更改文档选项卡中的文档类型来适合你个人的需要, 比如你做的Web 站点的主文档是index.html, 那么你需要在“启用默认文档”里增加index.html 类型才可以。至于其他选项按照默认设置就可以了。我们赶快打开浏览器在其中输入wan-server .badboy.local 或是192.168.0.33就可以看到页面了, 哈哈, 由于笔者实在没有时间来得及做个站点, 只好借用痞子蔡老先生的“第一次亲密接触”来演示了! 其实你完全可以做个网页, 然后把你的服务器上提供的资源全部做成超链接连接在页面上, 那样真的是很棒的噢! 在工作站上就可以享受近似一百兆的下载速度啦! 哈!

公司的事情少极了, 哎! 如果没事的时候能够在计算机上聊聊天该有多好!(就算是不为

了聊天, 平常办公室之间有事相互联络也不错的嘛!) 那么我们来安装NetMeeting 吧! 默认情况下NetMeeting 都已经随系统安装在附件--通讯里了,NetMeeting 的使用很简单, 如果是第一次使用我们需要对其进行一下设置,

输入你的姓名, 电子邮件地址等等信息, 设置时请注意在“目录设置”一项不要选择“NetMeeting启动时登录到目录服务器”。网络带宽我们选择“局域网”。

NetMeeting 的界面我想各们肯定都已经见识过了, 只要输入计算机名或计算机的IP 地址然后呼叫就可以了, 如果对方计算机接受了你的呼叫, 那么你们就可以聊天啦, 你还可以使用白板就像在黑板上那样涂些东东出来。

下面出场的是---冰河! 冰河在计算机界也是久负盛名了, 不过人们一直把它看作是黑客软件, 而没有正确认识到它在网络中给我们带来的某些方便之处, 笔者就在公司的网络内部使用了冰河2.2版作为网络管理软件(公司局域网中的计算机都不上网, 所以笔者才敢使用. 听说以后公司会用专线拉入Internet, 恐怕那时冰河就不得不下岗了) 。

冰河主要包括两个程序, 一个是G_Client.exe是控制端程序, 另一个是

G_Server.exe 是被控制端运行的程序, 又称后门程序, 我们要使用冰河的管理功能, 首先你需要在工作站上先运行一下G_Server.exe, 一次就可以啦! 除非你重装系统。点击查找可以按IP 地址搜索计算机(这些计算机必须先开机), 找到后进行添加, 添加的计算机显示在左边窗口的文件管理器内如左边窗口中是现在公司内正打开着的计算机。

展开计算机的IP 地址可以查看对方计算机的硬盘内容, 还可以进行复制, 粘贴, 删除以及文件的上传下载操作呢, 是它的右键菜单内容, 你也可以在远程直接运行某个文件!! 酷吧!

这样不管对方的计算机上的文件有没有共享, 都可以照常访问甚至权限更多呢。 我们再打开“命令控制台”选项卡, 哇! 功能更酷了吧？可以发送信息,(比NetMeeting 可是好用多了,NetMeeting 传送信息需要对方计算机也运行NetMeeting, 而这里就不必了, 不管什么时候只要对方计算机开着机, 就可以发送而不管对方计算机愿意不愿意接受), 在进程管理中可以查看甚至终止对方的计算机进程, 在系统控制中可进行远程关机, 远程重启动计算机, 在鼠标控制中可以锁定对方的鼠标让其动弹不得, 在其他控制中可以隐藏对方的桌面等等。在文件类命令里面可以删除复制甚至强行运行某个文件, 还可以对对方的计算机的注册表进行一切操作! 哦哦! 其功能之多笔者不再一一列举, 说不定各位大虾比我还熟悉呢!

不过它有一个功能我想大家一定感兴趣, 那就是屏幕控制! 我们先选择预控制的计算机的IP 地址, 然后点击屏幕控制图标, 选择图像格式和图像色深, 瞧, 对方的屏幕就出现在我们的屏幕上了你可以像操作自己的计算机一样进行任何操作, 只不过我们看到的反应速度要比操作本机慢一些。

我们利用这些功能就可以在必要的时候远程进行计算机管理和维护了! 而你也不必二楼三楼四楼的跑来跑去的了!(前天文印室的机器突然说不显示了, 而我在服务器上明明能看到那台计算机还在运行Winamp 等等程序, 于是... 什么原因你可想而知了...) 。

****另外的一点小经验：****

记得有相当一部分书介绍用修改注册表的办法来达到比如“1.登录时不显示上次登录的用户名2. 未登录之前就可关闭计算机3. 登录之前出现信息框”的目的, 其实你完全不用这么麻烦, 而且注册表并不是随便就可以改的, 万一你改黑了屏... 笔者可以告诉你一个很简

单的方法---你只要打开管理工具里面的“本地安全策略”,把相关选项启用就可以做到了。 最后的说明：本文所提到的冰河软件的使用仅供参考, 切勿用于非法目的, 如有任何涉及法律及个人安全问题后果自负!