微軟技術：1）工作組：平等 2）域

主要優點：集中管理/統一管理

域成員：1）域控制器：Domain Controller 2）成員機

創建域：
關鍵步驟：1）創建“活動目錄/AD”，擁有AD的PC，稱為DC
2）DC安裝完畢后，一個域也就誕生了
3）然后可以陸續將其他PC加入域

活動目錄AD(Active Directory)：域的優點體現在活動目錄的優點上
1）優點：實現集中管理
2）AD實際就是一個數據庫，AD中包含域資源（域用戶、域組、域共享、域計算機）
3）AD域需要與DNS服務器進行配合！！DNS服務器起到在域中做定位的作用！
4）一個AD域必須有一個唯一的域名。
如: wencoll公司就可以起域名：wencoll.com

安裝活動目錄：
1）必須有固定的靜態IP地址 （域控制器也是一個服務器）
2）系統版本必須為服務器版本
3）建議安裝AD前修改計算機名，并重啟生效
4）安裝AD必須是管理員身份
5）提前規劃好域的名字 ，如xzr.com

安裝：1）開始–運行–輸入“dcpromo” 開始安裝活動目錄
2）勾選安裝DNS
3）勾選“新林中新建域”
4）設置域名
5）設置“林功能級別”，“域功能級別”，建議保持為2003
6）設置目錄還原密碼
7）開始安裝，并重啟

活動目錄安裝完畢后：
1）域控制器的本地用戶全部升級為域用戶。
如：本地administrator升級為域管理員
本地guest升級為域來賓用戶
2）驗證是否成功安裝：
計算機右鍵屬性
計算機右鍵管理，檢查是否還有本地用戶
檢查管理工具中是否有Active Directory 用戶和計算機工具，并檢查是否可以打開
檢查DNS服務器是否安裝完畢，并檢查是否存在該域的配置文件及解析記錄

將PC加入域、新建域用戶
1）保證與DC/DNS可以通信！
2）DNS指向DC！
3）計算機右鍵–屬性–計算機名–更改–輸入域名–輸入管理員賬戶及密碼–成功-重啟
4）加入域成功后，驗證：1.DNS上自動出現解析記錄
2.在AD中，computer自動出現成員機的計算機名
5）在AD上創建一個域用戶，并成功在成員機上登錄域！

在域中做文件共享服務器：
1）賦權限：給域用戶或域組賦權限

OU(Organization Union)：組織單位 作用：用于歸類域資源（域用戶、域計算機、域組）

組策略：Group Policy = GPO 需掌握組策略的阻止繼承及強制！
只有組織單元OU才可以附加組策略GPO
作用：可以修改計算機的各種屬性，如開始菜單、桌面背景、網絡參數等。
組策略在域中，是基于OU來下發的
組策略在域中下發后，用戶的應用順序是：LSDOU
在應用過程中，如果出現沖突，后應用的生效！

整個域環境首先要有個名字，就叫域名。域環境也有后綴，比如域名叫 haha.com。
有了域控制器，就有了域環境。創建域環境重點就是創建域控制器，要想成為域控制器，重要的就是要有AD活動目錄，因此域也叫AD域。
域控制器和域成員都要有自己的計算機名，如域控制器計算機名叫dc1，則計算機在這個域中完整的名字就叫做 dc1.haha.com
域環境中每個人都有名字，也有后綴，訪問PC可以直接通過訪問域名，則需要DNS服務器。一般DC和DNS是合二為一的。
DC上有張表叫AD活動目錄表，用來存儲一些數據，如賬號 密碼，這些賬號用戶叫做域用戶。
當域用戶成功在某PC上登錄時，會向DC發出請求，請求被控制。
域用戶可以在域中任意一臺PC上登錄。同理，域管理員在域中任意一臺PC有完全控制的權限。
配置文件 家目錄

DNS在服務器中起到定位的作用
nslook up abc.haha.com 即可解析到對方的IP地址
\abc\c$ \abc.haha.com\share 也可以省略 \abc\share

由于加入了域環境，PC上登錄了域用戶，提交訪問請求時會自動將域用戶提交給服務器，因此域用戶訪問不用輸入賬號密碼，因為自己只有一個身份，即當前系統的域賬號身份，會自動提交到服務器。

也可以創建一個域組，把域用戶加到該組，再給該域組賦予權限，相當于給該組的域用戶加權限。組的作用還是為了降低權限賦予的工作量

組策略GPO也是一張文件一張表，這個表可以基于部門可以基于計算機也可以基于組織單元OU（取決于組織單元的范圍大小）。 當域用戶身份驗證完畢后登陸上去，向DC發送請求，請求指示請求被控制。域用戶被下發一張GPO組策略表，域用戶便按照組策略GPO的策略進行執行。只有OU才可以附加GPO組策略