域與工作組的關系

實際上我們可以把域和工作組聯系起來理解，在工作組上你一切的設置在本機上進行包括各種策略，用戶登錄也是登錄在本機的，密碼是放在本機的數據庫來驗證的。而如果你的計算機加入域的話，各種策略是域控制器統一設定，用戶名和密碼也是放到域控制器去驗證，也就是說你的賬號密碼可以在同一域的任何一臺計算機登錄。

如果說工作組是“免費的旅店”那么域（Domain）就是“星級的賓館”；工作組可以隨便出出進進，而域則需要嚴格控制。“域”的真正含義指的是服務器控制網絡上的計算機能否加入的計算機組合。一提到組合，勢必需要嚴格的控制。所以實行嚴格的管理對網絡安全是非常必要的。在對等網模式下，任何一臺電腦只要接入網絡，其他機器就都可以訪問共享資源，如共享上網等。盡管對等網絡上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構成的對等網中，數據的傳輸是非常不安全的。

工作組是一群計算機的集合，它僅僅是一個邏輯的集合，各自計算機還是各自管理的，你要訪問其中的計算機，還是要到被訪問計算機上來實現用戶驗證的。而域不同，域是一個有安全邊界的計算機集合，在同一個域中的計算機彼此之間已經建立了信任關系，在域內訪問其他機器，不再需要被訪問機器的許可了。為什么是這樣的呢？因為在加入域的時候，管理員為每個計算機在域中（可和用戶不在同一域中）建立了一個計算機帳戶，這個帳戶和用戶帳戶一樣，也有密碼保護的。可是大家要問了，我沒有輸入過什么密碼啊，是的，你確實沒有輸入，計算機帳戶的密碼不叫密碼，在域中稱為登錄票據，它是由2000的DC（域控制器）上的KDC服務來頒發和維護的。為了保證系統的安全，KDC服務每30天會自動更新一次所有的票據，并把上次使用的票據記錄下來。周而復始。也就是說服務器始終保存著2個票據，其有效時間是60天，60天后，上次使用的票據就會被系統丟棄。如果你的GHOST備份里帶有的票據是60天的，那么該計算機將不能被KDC服務驗證，從而系統將禁止在這個計算機上的任何訪問請求（包括登錄），解決的方法呢，簡單的方法是將計算機脫離域并重新加入，KDC服務會重新設置這一票據。或者使用2000資源包里的NETDOM命令強制重新設置安全票據。因此在有域的環境下，請盡量不要在計算機加入域后使用GHOST備份系統分區，如果作了，請在恢復時確認備份是在60天內作的，如果超出，就最好聯系你的系統管理員，你可以需要管理員重新設置計算機安全票據，否則你將不能登錄域環境。

域控制器

不過在“域”模式下，至少有一臺服務器負責每一臺聯入網絡的電腦和用戶的驗證工作，相當于一個單位的門衛一樣，稱為“域控制器（Domain Controller，簡寫為DC）”。
域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數據庫。當電腦聯入網絡時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務器上有權限保護的資源，他只能以對等網用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護了網絡上的資源。
要把一臺電腦加入域，僅僅使它和服務器在網上鄰居中能夠相互“看”到是遠遠不夠的，必須要由網絡管理員進行相應的設置，把這臺電腦加入到域中。這樣才能實現文件的共享。集中統一，便于管理。

說明

實驗環境使用2臺機子（可以用虛擬機做實驗）：一臺DC，一臺作為加入域的客戶機。

以下是教程。

設置DNS

我的環境下DC的IP是192.168.7.1，而客戶機的IP為192.168.7.2，將DC的DNS地址指向自己（即192.168.7.1），客戶機的DNS指向DC的IP。

配置DC的域服務器

在DC中使用DCPROMO命令創建域：

因為目前還沒有AD（活動目錄），現在是在AD中創建第一個域，所以此項應選擇“新域的域控制器”：

選擇“新林中的第一個域”：

輸入域名（不能重名）：

設置NETBIOS名，為了像WIN98這樣的操作系統能夠訪問此域：

選擇AD數據庫和日志文件的存放位置：

存放SYSVOL的存放位置（注意：一定要放在NTFS的分區中）：

注意：AD是離不開DNS服務的，因為客戶機加入域和登錄域都需要把域名解析為IP地址，這一過程都需要DNS服務器的支持，所以域是離不開DNS的，但反過來是不對的！

因為此時DC沒有DNS服務器，所以選擇第二項讓系統在創建DC的同時把DNS服務隨之一起安裝上。當然你也可以安裝DC后自己手動再安裝和配置DNS服務器（當時是您給會正確配置DNS服務器），不過我還是建議和DC一起讓系統幫我們創建，因為省事并不會因為手動錯誤的配置DNS帶來的麻煩。

選擇兼容的模式：

設置AD的還原密碼（為了以后對AD數據庫做完備份，開機按F8進入AD還原模式需要的還原密碼，如果在此設置了密碼，一定切記）：

查看域服務器

安裝完重起系統后登錄界面為使用域中的管理員和密碼登錄到域：

進入系統后查看計算機的狀態：

查看管理工具內會增加DNS和有關AD的工具，以及安全策略：

查看NTDS的文件：

查看SYSVOL：

在DC中創建域帳戶

首先大家習慣還像在工作組時使用“本地用戶和組”工具來創建用戶帳戶，但發現在DC中沒有“本地用戶和組”，這是因為提升為DC后就沒有本地用戶和組了，原來的帳戶和組都提升為域帳戶和域中的組了。

所以我們使用DC中的“AD用戶和組”工具來創建域帳戶，但首先我們先在域中創建一個管理單元（OU），OU可以使用部分來劃分，所以我們先來創建一個名為"學術部"的OU，再在該OU中創建一個屬于學術部的用戶zhangsan，密碼：abc123，（為什么要設置這樣的密碼呢？能否設置空密碼呢？不好意思，因為默認的域安全策略的密碼策略是這樣設置的，長度7位以上，復雜度要開啟，復雜度是大/小寫字母，數字和特殊符號在密碼設置中至少存在其中3種。那能否修改該策略呢，當時是可以的，不過在此我們不做太多的解釋，以后有時間在做專門的專題講解^-^）。

將另一臺計算機加入到域

首先讓客戶機的IP如圖所示，IP和DC的IP地址同一個網段,DNS地址指向DC的IP地址即可：

首先使用客戶機看是否能夠PING通DC：

選擇計算機-屬性，修改計算機所屬于的域的名字輸入剛才創建的域名：

出現對話框，輸入在AD中創建的域帳號即可，但普通的域帳戶只能允許10個客戶端加入域，在此輸入域管理員和密碼：

正確后會彈出以下對話框，代表已經加入域成功：

需要重起生效：

客戶機重起后選擇登錄到域，再輸入域帳戶和密碼就能登錄到域了：

進入系統和查看計算機的當前狀態如下：

大功告成！

?

轉載于:https://www.cnblogs.com/jiangu66/p/3223791.html

總結

以上是生活随笔為你收集整理的Windows Serer 2003 配置手册 – 创建Active Dictionary域的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。