一，工作組概念在一個大的單位內(nèi)，可能有成百上千臺計算機(jī)互相連接組成局域網(wǎng)，它們都會列在“網(wǎng)絡(luò)”(網(wǎng)上鄰居)內(nèi)。如果這些計算機(jī)不分組，情況會有多么混亂是可想而知的——很難找一臺計算機(jī)。為了解決這一問題，就有了工作組(Work Group)這個概念。將不同的計算機(jī)按功能(或部門)分別列入不同的工作組中，如技術(shù)部的計算機(jī)都列入“技術(shù)部”工作組中，行政部的計算機(jī)都列入“行政部”工作組中。要想訪問某個部門的資源，只要在“網(wǎng)絡(luò)”里找到那個部門的工作組名并雙擊，就可以看到那個部門的所有計算機(jī)了。二，域域(Domain)是一個有安全邊界的計算機(jī)集合(安全邊界的意思是：在兩個域中，一個域中的用戶無法訪問另一個域中的資源)，可以簡單地把域理解成升級版的工作組。相比工作組而言， 域有更加嚴(yán)格的安全管理控制機(jī)制。要想訪問域內(nèi)的資源，用戶必須通過合法的身份登錄域，而用戶對該域內(nèi)的資源擁有什么樣的權(quán)限，還取決于他在該域內(nèi)的身份。域控制器(Domain Controller，DC)是一個域中的一臺類似管理服務(wù)器的計算機(jī)，我們可以形象地將它理解為一個單位的門衛(wèi)。域控制器負(fù)責(zé)每一臺聯(lián)入的計算機(jī)和用戶的驗證工作。域內(nèi)第 1 章 內(nèi)網(wǎng)滲透測試基礎(chǔ) 3計算機(jī)如果想互相訪問，首先都要經(jīng)過域控制器的審核。1．單域在一般的具有固定地理位置的小公司里，建立一個域就可以滿足所需。一般在一個域內(nèi)要建立至少兩個域服務(wù)器，一個作為 DC，另一個作為備份 DC。如果沒有備份 DC，那么一旦 DC 癱 瘓了，域內(nèi)的其他用戶就不能登錄該域了，因為活動目錄的數(shù)據(jù)庫(包括用戶的賬號信息)是存儲在 DC 中的。如果有一臺備份域控制器(BDC)，則至少該域還能正常使用(把癱瘓的 DC 恢復(fù)即可)。
2．父域和子域出于管理及其他需求，需要在網(wǎng)絡(luò)中劃分多個域。第一個域稱為父域，各分部的域稱為該域的子域。例如，一個大公司的不同分公司位于不同的地理位置，就需要父域及子域這樣的結(jié)構(gòu)。如果把不同地理位置的分公司放在同一個域內(nèi)，那么它們之間信息交互(包括同步、復(fù)制等)所花費的時間就會比較長，占用的帶寬也會比較大(因為在同一個域內(nèi)，信息交互的條目是很多的，而且不壓縮；而在域和域之間，信息交互的條目相對較少，而且可以壓縮)。這樣處理還有一個好處，就是子公司可以通過自己的域來管理自己的資源。還有一種情況，就是出于安全策略的考慮(每個域都有自己獨有的安全策略)。例如，一個公司的財務(wù)部門希望能使用特定的安全策略(包括賬號密碼策略等)，那么可以將財務(wù)部門作為一個子域來單獨管理。3．域樹域樹(Tree)指若干個域通過建立信任關(guān)系而組成的集合。一個域管理員只能管理本域的內(nèi)部，不能訪問或者管理其他域，兩個域之間相互訪問則需要建立信任關(guān)系(Trust Relation)。信任關(guān)系是連接不同域的橋梁。域樹內(nèi)的父域與子域之間不但可以按照需要相互進(jìn)行管理，還可以跨網(wǎng)分配文件和打印機(jī)等設(shè)備資源，從而在不同的域之間實現(xiàn)網(wǎng)絡(luò)資源的共享與管理、通信和數(shù)據(jù)傳輸。在一個域樹中，父域可以包含很多個子域。子域是相對父域來說的，是指域名中的每一個段。各子域之間用點號隔開，一個“.”代表一個層次。放在域名最后的子域稱為最高級子域或一級域，在它前面的子域稱為二級域。例如，域 asia.abc.com 就比域 abc.com 的級別低，因為域 asia.abc.com有兩個層次，而域 abc.com 只有一個層次。再如，域 cn.asia.abc.com 比域 asia.abc.com 的級別低。可以看出，子域只能使用父域作為域名的后綴，也就是說，在一個域樹中，域的名字是連續(xù)的，如圖

4．域森林域森林(Forest)是指若干個域樹通過建立信任關(guān)系組成的集合。例如，在一個公司兼并場景中，該公司使用域樹 abc.com，被兼并公司本來有自己的域樹 abc.net(或者在需要為被兼并公司建立具有自己特色的域樹時)，因為域樹 abc.net 無法掛在域樹 abc.com 下，則域樹 abc.com 與域樹 abc.net 之間需要通過建立信任關(guān)系來構(gòu)成域森林。這樣，通過在域樹之間建立的信任關(guān)系，就可以管理和使用整個域森林中的資源，并保留被兼并公司自身原有的特性，如圖

域森林拓?fù)鋱D

5．域名服務(wù)器

域名服務(wù)器(Domain Name Server，DNS)是指用于進(jìn)行域名(Domain Name)和與之相對應(yīng) 的 IP 地址(IP Address)轉(zhuǎn)換的服務(wù)器。從對域樹的介紹中可以看出，域樹中的域的名字和 DNS域的名字非常相似，而實際上，因為域中的計算機(jī)是使用 DNS 來定位域控制器、服務(wù)器及其他計算機(jī)、網(wǎng)絡(luò)服務(wù)等的，所以域的名字就是 DNS 域的名字。一般在進(jìn)行內(nèi)網(wǎng)滲透時就是通過尋找DNS 服務(wù)器來定位域控制器的(DNS 服務(wù)器和域控制器通常會處在同一臺機(jī)器上)。

6，活動目錄

活動目錄(Active Directory，AD)是指域環(huán)境中提供目錄服務(wù)的組件。??目錄是什么？目錄就是存儲有關(guān)網(wǎng)絡(luò)對象(如用戶、組、計算機(jī)、共享資源、打印機(jī)和聯(lián)系??人等)的信息。目錄服務(wù)是指幫助用戶快速、準(zhǔn)確地從目錄中找到其所需要的信息的服務(wù)。活動??目錄實現(xiàn)了目錄服務(wù)，為企業(yè)提供了網(wǎng)絡(luò)環(huán)境的集中式管理機(jī)制。??如果將企業(yè)的內(nèi)網(wǎng)看成一本字典，那么內(nèi)網(wǎng)里的資源就是字典的內(nèi)容，活動目錄就相當(dāng)于字??典的索引。也就是說，活動目錄存儲的是網(wǎng)絡(luò)中所有資源的快捷方式，用戶通過尋找快捷方式來??定位資源。??在活動目錄中，管理員可以完全忽略被管理對象的具體???.

7，域控制器和活動目錄的區(qū)別??域控制器和活動目錄的區(qū)別域控制器(DC)與活動目錄(AD)最大的區(qū)別是：如果網(wǎng)絡(luò)規(guī)模較大，就考慮把網(wǎng)絡(luò)中的眾多對象，如計算機(jī)、用戶、用戶組、打印機(jī)、共享文件等，分門別類、井然有序地放在一個大倉庫中，并將檢索信息整理好，以便查找、管理和使用這些對象(資源)。這個擁有層次結(jié)構(gòu)的數(shù)據(jù)庫，就是活動目錄數(shù)據(jù)庫，簡稱 AD 庫。那么，我們應(yīng)該把這個數(shù)據(jù)庫放在哪臺計算機(jī)上呢？用于存儲活動目錄數(shù)據(jù)庫的計算機(jī)稱為DC。所以，要實現(xiàn)域環(huán)境，其實就是要安裝 AD。當(dāng)內(nèi)網(wǎng)中的一臺計算機(jī)上安裝了 AD，它就變成了 DC。?

總結(jié)

以上是生活随笔為你收集整理的同一工作组无法访问_工作组，域的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。