Active Directory系列之一

為什麼需要域？

對很多剛開始鑽研微軟技術的朋友來說，域是乙個讓他們感到很頭疼的物件。域的重要性毋庸置疑，微軟的重量級服務產品基本上都需要域的支援，很多公司招聘工程師的要求中也都明確要求應聘者熟悉或精通active directory。但域對初學者來說顯得複雜了一些，眾多的技術術語，例如active directory，站點，組策略，複製拓撲，操作主機角色，全域性編錄….很多初學者容易陷入這些技術細節而缺少了對全域性的把握。從今天開始，我們將推出active directory系列博文，希望對廣大學習ad的朋友有所幫助。

今天我們談論的第乙個問題就是為什麼需要域這個管理模型？眾所周知，微軟管理計算機可以使用域和工作組兩個模型，預設情況下計算機安裝完作業系統後是隸屬於工作組的。我們從很多書裡可以看到對工作組特點的描述，例如工作組屬於分散管理，適合小型網路等等。我們這時要考慮乙個問題，為什麼工作組就不適合中大型網路呢，難道每台計算機分散管理不好嗎？下面我們通過乙個例子來討論這個問題。

假設現在工作組內有兩台計算機，一台是伺服器florence，一台是客戶機perth。伺服器的職能大家都知道，無非是提供資源和分配資源。伺服器提供的資源有多種形式，可以是共享資料夾，可以是共享印表機，可以是電子郵箱，也可以是資料庫等等。現在伺服器florence提供乙個簡單的共享資料夾作為服務資源，我們的任務是要把這個共享資料夾的訪問許可權授予公司內的員工張建國，注意，這個資料夾只有張建國乙個人可以訪問！那我們就要考慮一下如何才能實現這個任務，一般情況下管理員的思路都是在伺服器上為張建國這個使用者建立乙個使用者賬號，如果訪問者能回答出張建國賬號的使用者名稱和密碼，我們就認可這個訪問者就是張建國。基於這個樸素的管理思路，我們來在伺服器上進行具體的實施操作。

首先，如下圖所示，我們在伺服器上為張建國建立了使用者賬號。

然後在共享資料夾中進行許可權分配，如下圖所示，我們只把共享資料夾的讀許可權授予了使用者張建國。

好，接下來張建國就在客戶機perth上準備訪問伺服器上的共享資料夾了，張建國準備訪問資源\\florence\人事檔案，伺服器對訪問者提出了身份驗證請求，如下圖所示，張建國輸入了自己的使用者名稱和口令。

如下圖所示，張建國成功地通過了身份驗證，訪問到了目標資源。

看完了這個例項之後，很多朋友可能會想，在工作組模式下這個問題解決得很好啊，我們不是成功地實現了預期目標嘛！沒錯，在這個小型網路中，確實工作組模型沒有暴露出什麼問題。但是我們要把問題擴充套件一下！現在假設公司不是一台伺服器，而是

500臺伺服器，這大致是乙個中型公司的規模，那麼我們的麻煩就來了。如果這

500臺伺服器上都有資源要分配給張建國，那會有什麼樣的後果呢？由於工作組的特點是分散管理，那麼意味著每台伺服器都要給張建國建立乙個使用者賬號！張建國這個使用者就必須痛不欲生地記住自己在每個伺服器上的使用者名稱和密碼。而伺服器管理員也好不到哪兒去，每個使用者賬號都重新建立

500次！如果公司內有

1000

人呢？我們難以想象這麼管理網路資源的後果，這一切的根源都是由於工作組的分散管理！現在大家明白為什麼工作組不適合在大型的網路環境下工作了吧，工作組這種散漫的管理方式和大型網路所要求的高效率是背道而馳的。

既然工作組不適合大型網路的管理要求，那我們就要重新審視一下其他的管理模型了。域模型就是針對大型網路的管理需求而設計的，域就是共享使用者賬號，計算機賬號和安全策略的計算機集合。從域的基本定義中我們可以看到，域模型的設計中考慮到了使用者賬號等資源的共享問題，這樣域中只要有一台計算機為公司員工建立了使用者賬號，其他計算機就可以共享賬號了。這樣就很好地解決剛才我們提到的賬號重複建立的問題。域中的這台集中儲存使用者賬號的計算機就是域控制器，使用者賬號，計算機賬號和安全策略被儲存在域控制器上乙個名為active directory的資料庫中。

上述這個簡單的例子說明的只是域強大功能的冰山一角，其實域的功能遠遠不止這些。從下篇博文我們將開始介紹域的部署以及管理，希望大家在使用過程中逐步增加感性認識，對域有更加深入及全面的了解，能夠掌握好active directory這個微軟工程師必備的重要知識點。

Active Directory系列之一

提公升 Active Directory架構

關於Active Directory資料收集

Active Directory修理和恢復

Active Directory系列之一

提公升 Active Directory架構

關於Active Directory資料收集

Active Directory修理和恢復

相關推薦