工作組

工作組是最常用最簡單最普遍的資源管理模式。簡單是因為默認情況下計算機都是采用工作組方式進行資源管理的。默認情況下我們個人所使用的電腦大部分都處在名為workgroup的工作組中，工作組資源管理模式適合于網絡中計算機不多，對管理要求不嚴格的情況。它的建立步驟簡單，使用起來也很好上手。大部分中小公司都采取工作組的方式對資源進行權限分配和目錄共享。

優點：在一個網絡內，可能有上百臺電腦，如果這些電腦不進行分組，都列在“網上鄰居”中，電腦無規則的排列為我們訪問資源帶來不方便。為了解決這一問題，Windows98操作系統之后就引用了“工作組”這個概念，將不同的電腦按功能分別列入不同的組中，如軟件部的電腦都列入“軟件部”工作組中，網絡部的電腦都列入“網絡部”工作組中。你要訪問某個部門的資源，就在“網上鄰居”里找到那個部門的工作組名，雙擊就可以看到那個部門的電腦了。計算機通過工作組進行分類，使得我們訪問資源更加具有層次化。工作組情況下資源可以相當隨機和靈活的分布，更方便資源共享，管理員只需要實施相當低級的維護。

缺點：缺乏集中管理與控制的機制，沒有集中的統一帳戶管理，沒有對資源實施更加高效率的集中管理，沒有實施工作站的有效配置和安全性嚴密控制。只適合小規模用戶的使用。

基于以上缺點，當計算機數量比較多，大型企業中網絡規模大，需要統一的管理和集中的身份驗證，并且能夠給用戶提供方便的搜索和使用網絡資源的方式，工作組的組織形式就不合適了，于是域就出現了

?

域

域(Domain)是Windows網絡中獨立運行的單位，用來描述一種架構，和“工作組”相對應，由工作組升級而來的高級架構。域之間相互訪問則需要建立信任關系(即Trust Relation)。信任關系是連接在域與域之間的橋梁。當一個域與其他域建立了信任關系后，2個域之間不但可以按需要相互進行管理，還可以跨網分配文件和打印機等設備資源，使不同的域之間實現網絡資源的共享與管理。

域通常由在同一本地網絡上的計算機組成。但是，連接到某個域的計算機可以通過VPN或Internet連接繼續與域控制器通信。這使得企業和學校能夠遠程管理他們提供給員工和學生的筆記本電腦。

當計算機連接到一個域時，它不會使用自己的本地用戶帳戶，用戶帳戶和密碼都是在域控制器上統一管理。當您登錄到該域中的計算機時，計算機將使用域控制器驗證您的用戶帳戶名稱和密碼。這意味著您可以在任何連接到該域的計算機上使用相同的用戶名和密碼登錄。

網絡管理員可以更改“域控制器”上的組策略設置。域上的每臺計算機將從“域控制器”獲得這些設置，它們將覆蓋用戶在其pc上指定的任何本地設置。所有的設置都是從一個地方控制的。這也“鎖定”了計算機。您可能不允許更改連接到域的計算機上的許多系統設置。

域：域是一種管理邊界，用于一組計算機共享共用的安全數據庫，域實際上就是一組服務器和工作站的集合。

域在文件系統中，有時也稱做“字段”，是指數據中不可再分的基本單元。一個域包含一個值。如學生的名字等?？梢酝ㄟ^數據類型（如二進制、字符、字符串等）和長度（占用的字節數）兩個屬性對其進行描述。

與工作組的“松散會員制”有所不同，“域”是一個相對嚴格的組織?！坝颉敝傅氖欠掌骺刂凭W絡上的計算機能否加入的計算機組合。?
實行嚴格的管理對網絡安全是非常必要的。在對等網模式下，任何一臺電腦只要接入網絡，就可以訪問共享資源，如共享ISDN上網等。盡管對等網絡上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構成的對等網中，數據是非常不安全的。

　　在“域”模式下，至少有一臺服務器負責每一臺聯入網絡的電腦和用戶的驗證工作，相當于一個單位的門衛一樣，稱為“域控制器（Domain Controller，簡寫為DC）”?！坝蚩刂破鳌敝邪擞蛇@個域的賬戶、密碼、屬于這個域的計算機等信息構成的數據庫。當電腦聯入網絡時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息不正確，域控制器就拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務器上有權限保護的資源，只能以對等網用戶的方式訪問Windows共享出來的資源，這樣就一定程度上保護了網絡上的資源。

域與工作組的關系

其實上我們可以把域和工作組聯系起來理解,在工作組上你一切的設置在本機上進行包括各種策略，用戶登錄也是登錄在本機的，密碼是放在本機的數據庫來驗證的。而如果你的計算機加入域的話，各種策略是域控制器統一設定，用戶名和密碼也是放到域控制器去驗證，也就是說你的賬號密碼可以在同一域的任何一臺計算機登錄。

如果說工作組是“免費的旅店”那么域（Domain）就是“星級的賓館”；工作組可以隨便出出進進，而域則需要嚴格控制?！坝颉钡恼嬲x指的是服務器控制網絡上的計算機能否加入的計算機組合。一提到組合，勢必需要嚴格的控制。所以實行嚴格的管理對網絡安全是非常必要的。在對等網模式下，任何一臺電腦只要接入網絡，其他機器就都可以訪問共享資源，如共享上網等。盡管對等網絡上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構成的對等網中，數據的傳輸是非常不安全的。

工作組是一群計算機的集合，它僅僅是一個邏輯的集合，各自計算機還是各自管理的，你要訪問其中的計算機，還是要到被訪問計算機上來實現用戶驗證的。而域不同，域是一個有安全邊界的計算機集合，在同一個域中的計算機彼此之間已經建立了信任關系，在域內訪問其他機器，不再需要被訪問機器的許可了。為什么是這樣的呢？因為在加入域的時候，管理員為每個計算機在域中（可和用戶不在同一域中）建立了一個計算機帳戶，這個帳戶和用戶帳戶一樣，也有密碼保護的。可是大家要問了，我沒有輸入過什么密碼啊，是的，你確實沒有輸入，計算機帳戶的密碼不叫密碼，在域中稱為登錄票據，它是由2000的DC（域控制器）上的KDC服務來頒發和維護的。為了保證系統的安全，KDC服務每30天會自動更新一次所有的票據，并把上次使用的票據記錄下來。周而復始。也就是說服務器始終保存著2個票據，其有效時間是60天，60天后，上次使用的票據就會被系統丟棄。如果你的GHOST備份里帶有的票據是60天的，那么該計算機將不能被KDC服務驗證，從而系統將禁止在這個計算機上的任何訪問請求（包括登錄），解決的方法呢，簡單的方法使將計算機脫離域并重新加入，KDC服務會重新設置這一票據。或者使用2000資源包里的NETDOM命令強制重新設置安全票據。因此在有域的環境下，請盡量不要在計算機加入域后使用GHOST備份系統分區，如果作了，請在恢復時確認備份是在60天內作的，如果超出，就最好聯系你的系統管理員，你可以需要管理員重新設置計算機安全票據，否則你將不能登錄域環境。

可以把域和工作組聯系起來理解，在工作組上你一切的設置在本機上進行包括各種策略，用戶登錄也是登錄在本機的，密碼是放在本機的數據庫來驗證的。而如果你的計算機加入域的話，各種策略是域控制器統一設定，用戶名和密碼也是放到域控制器去驗證，也就是說你的賬號密碼可以在同一域的任何一臺計算機登錄。登陸到域中的時候，身份驗證是采用Kerberos協議在域控制器上進行的，登陸到此計算機則是通過SAM來進行NTLM驗證的。

用戶組

Windows系統為了給不同的用戶賦予不同的權限，所以就內置了許多本地用戶組，這些用戶組本身都已經被賦予一些權限（permissions),它們具有管理本地計算機或訪問本地資源的權限。只要用戶賬戶加入到這些本地組內，這回用戶賬戶也將具備該組所擁有的權限

默認情況下，系統為用戶分了7個組，并給每個組賦予不同的操作權限，管理員組(Administrators)、高權限用戶組(Power Users)、普通用戶組(Users)、備份操作組(Backup Operators)、文件復制組(Replicator)、來賓用戶組(Guests)，身份驗證用戶組(Ahthenticated users)其中備份操作組和文件復制組為維護系統而設置，平時不會被使用。

除了上面提到的7個默認權限分組，系統還存在一些特殊權限成員，這些成員是為了特殊用途而設置，分別是:SYSTEM(系統)、Trustedinstaller（信任程序模塊）、Everyone(所有人)、CREATOR OWNER(創建者)?等，這些特殊成員不被任何內置用戶組吸納，屬于完全獨立出來的賬戶。

真正擁有“完全訪問權”的只有一個成員:SYSTEM。這個成員是系統產生的，真正擁有整臺計算機管理權限的賬戶，一般的操作是無法獲取與它等價的權限的。

“所有人”權限與普通用戶組權限差不多，它的存在是為了讓用戶能訪問被標記為“公有”的文件，這也是一些程序正常運行需要的訪問權限——任何人都能正常訪問被賦予“Everyone”權限的文件，包括來賓組成員。

被標記為“創建者”權限的文件只有建立文件的那個用戶才能訪問，做到了一定程度的隱私保護。但是，所有的文件訪問權限均可以被管理員組用戶和SYSTEM成員忽略，除非用戶使用了NTFS加密。

無論是普通權限還是特殊權限，它們都可以“疊加”使用，“疊加”就是指多個權限共同使用，例如一個賬戶原本屬于Users組，而后我們把他加入Administrators組在加入Trustedinstaller等權限提升，那么現在這個賬戶便同時擁有兩個或多個權限身份，而不是用管理員權限去覆蓋原來身份。權限疊加并不是沒有意義的，在一些需要特定身份訪問的場合，用戶只有為自己設置了指定的身份才能訪問，這個時候“疊加”的使用就能減輕一部分勞動量了?！　?/p> Administrators 屬于該administators本地組內的用戶，都具備系統管理員的權限，它們擁有對這臺計算機最大的控制權限，可以執行整臺計算機的管理任務。內置的系統管理員賬號Administrator就是本地組的成員，而且無法將它從該組刪除。如果這臺計算機已加入域，則域的Domain Admins會自動地加入到該計算機的Administrators組內。也就是說，域上的系統管理員在這臺計算機上也具備著系統管理員的權限。Backup OPerators在該組內的成員，不論它們是否有權訪問這臺計算機中的文件夾或文件，都可以通過“開始”－“所有程序”－“附件”－“系統工具”－“備份”的途徑，備份與還原這些文件夾與文件。Guests該組是提供沒有用戶帳戶，但是需要訪問本地計算機內資源的用戶使用，該組的成員無法永久地改變其桌面的工作環境。該組最常見的默認成員為用戶帳號Guest。Network Configuration Operators該組內的用戶可以在客戶端執行一般的網絡設置任務，例如更改IP地址，但是不可以安裝/刪除驅動程序與服務，也不可以執行與網絡服務器設置有關的任務，例如DNS服務器、DHCP服務器的設置。Power Users該組內的用戶具備比Users組更多的權利，但是比Administrators組擁有的權利更少一些，例如，可以：創建、刪除、更改本地用戶帳戶創建、刪除、管理本地計算機內的共享文件夾與共享打印機自定義系統設置，例如更改計算機時間、關閉計算機等但是不可以更改Administrators與Backup Operators、無法奪取文件的所有權、無法備份與還原文件、無法安裝刪除與刪除設備驅動程序、無法管理安全與審核日志。Remote Desktop Users該組的成員可以通過遠程計算機登錄，例如，利用終端服務器從遠程計算機登錄。Users該組員只擁有一些基本的權利，例如運行應用程序，但是他們不能修改操作系統的設置、不能更改其它用戶的數據、不能關閉服務器級的計算機。所有添加的本地用戶帳戶者自動屬于該組。如果這臺計算機已經加入域，則域的Domain Users會自動地被加入到該計算機的Users組中。2、內置特殊組：Everone任何一個用戶都屬于這個組。注意，如果Guest帳號被啟用時，則給Everone這個組指派權限時必須小心，因為當一個沒有帳戶的用戶連接計算機時，他被允許自動利用Guest帳戶連接，但是因為Guest也是屬于Everone組，所以他將具備Everyone所擁有的權限。Authenticated Users任何一個利用有效的用戶帳戶連接的用戶都屬于這個組。建議在設置權限時，盡量針對Authenticated Users組進行設置，而不要針對Everone進行設置。Interactive任何在本地登錄的用戶都屬于這個組。Network任何通過網絡連接此計算機的用戶都屬于這個組。Creator Owner文件夾、文件或打印文件等資源的創建者，就是該資源的Creator Owner（創建所有者）。不過，如果創建者是屬于Administrators組內的成員，則其Creator Owner為Administrators組。Anonymous Logon任何未利用有效的Windows Server 2003帳戶連接的用戶，都屬于這個組。注意，在windows 2003內，Everone 組內并不包含“Anonymous Logon”組3、備注：用戶名 LOCAL SERVICE 、 NETWORK SERVICE 、SYSTEM是系統用戶，是系統自帶的而不是病毒或入侵，都是正常的用戶。注冊表中的 BUILTIN 是 built in 的意思，表示內建帳戶，屬正常。

輸入net localgroup即可查看本地用戶組

域控制器

Windows域為網絡管理員提供了一種方法來管理大量的pc機，并從一個地方控制它們。一個或多個服務器(稱為域控制器)控制域及其上的計算機。

在“域”模式下，至少有一臺服務器負責每一臺聯入網絡的電腦和用戶的驗證工作，相當于一個單位的門衛一樣，稱為“域控制器（Domain Controller，簡寫為DC）”。 域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數據庫。當電腦聯入網絡時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務器上有權限保護的資源，他只能以對等網用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護了網絡上的資源。

域控是活動目錄的存儲地方，也就是說活動目錄存儲在域控制器內。安裝了活動目錄的計算機就稱為域控制器，其實在你第一次安裝活動目錄的時候，你安裝活動目錄的那臺計算機就成為了域控制器。一個域可以有一臺或多臺域控制器。最經典的做法是做一個主輔域控。

AD（Active Directory）

活動目錄是微軟Windows Server中，負責架構中大型網路環境的集中式目錄管理服務（Directory Services）。目錄服務在微軟平臺上從Windows Server 2000開始引入，所以我們可以理解為活動目錄是目錄服務在微軟平臺的一種實現方式。當然目錄服務在非微軟平臺上都有相應的實現。

Windows Server 2003的域環境與工作組環境最大的不同是，域內所有的計算機共享一個集中式的目錄數據庫（又稱為活動目錄數據庫），它包含著整個域內的對象（用戶賬戶、計算機賬戶、打印機、共享文件等）和安全信息等等，而活動目錄負責目錄數據庫的添加，修改，更新和刪除。所以我們要在Windows Server 2003上實現域環境，其實就是要安裝活動目錄?；顒幽夸洖槲覀儗崿F了目錄服務，提供對企業網絡環境的集中式管理。比如在域環境中，只需要在活動目錄中創建一次Bob賬戶，那么就可以在任意200臺電腦中的一臺上登錄Bob，如果要為Bob賬戶更改密碼，只需要在活動目錄中更改一次就可以了，也就是說域用戶信息保存在活動目錄中。

域、域樹、林和組織單元

活動目錄的邏輯結構包裹：域（Domain）、域樹(Domain Tree)、林（Forest）和組織單元（Organization Unit）。如下圖

域是一種邏輯分組，準確的說是一種環境，域是安全的最小邊界。域環境能對網絡中的資源集中統一的管理，要想實現域環境，你必須要計算機中安裝活動目錄。 域樹是由一組具有連續命名空間的域組成的。如下圖

其中最上層的域名為contoso.com，這個域是這棵域樹的根域(root domain)，此根域下面

有2個子域，分別是gsd.contoso.com和ged.contoso.com。從圖中我們可以看出他們的命名空間具有連續性。例如，域gsd.contoso.com的后綴名包含著上一層父域的域名contoso.com。其實子域gsd.contoso.com和ged.contoso.com還都可以有自己的子域，圖中我沒有給出而已。

域樹內的所有域共享一個Active Directory(活動目錄)，這個活動目錄內的數據分散地存儲在各個域內，且每一個域只存儲該域內的數據，如該域內的用戶賬戶，計算機賬戶等，Windows Server 2003將存儲在各個域內的對象總稱為Active Directory。

林（Forest）是有一棵或多棵域樹組成的，每棵域樹獨享連續的命名空間，不同域樹之間沒有命名空間的連續性。林中第一棵域樹的根域也整個林的根域，同時也是林的名稱。

組織單元（OU）是一種容器，它里面可以包含對象（用戶賬戶，計算機賬戶等），也可以包含其他的組織單元（OU）。

?

參考：https://www.cnblogs.com/leixiao-/p/10578809.html

總結

以上是生活随笔為你收集整理的windows中域、工作组、用户组、域控的概念的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。