一直以來有讀者問我,域網路中的「域」到底是什麼意思,它與工作組網路相比到底有哪些優勢?以及工作網路與域網路各處適用於哪種情況下。其實這個問題非常典型,許多網友並不清楚。在網上也沒有乙個真正象樣的解釋,大家可以搜尋「工作組與域的區別」這樣的關鍵,雖然也有幾篇文章,但根本沒有解釋清楚這兩種網路管理模式各自的特點、區別以及各自所適用的環境。
說句實話,這個問題真要認真回答的話,內容會很多,但在
qq群中我不可能這麼回答,只是簡單、綜合地對讀者說:「域」是一種基於物件和安全策略的分布式資料庫系統。然後再適當解釋一下域網路與工作組網路之間的區別。因為筆者目前正在寫《金牌網管師》系列中初級認證中的第二本教材——《金牌網管師——中小型企業網路組建、配置與管理》這本書,在其中就要寫到這方面的問題,於是筆者在此先把這部分的內容與大家分享一下,大家也可以討論、完善一下(其中可能有的觀點還是與大多數人的看法不一樣)。今天寫到的僅是「工作組網路」部分,「域網路」部分將在明天,或者後天給出。
2.1.1 工作組網路的概念和特點
工作組(
workgroup
)網路是對等
(peer-to-peer
,p2p
)網路技術在區域網(
p2p網路更主要應用於廣域網中)中的應用,是根據使用者自定義的分組特點(如不同部門、不同愛好、不同作業系統型別等)把網路中的許多使用者計算機分門別類地納入到不同工作組中的。劃分工作組的主要目的主要是為了便於瀏覽、查詢,另外還方便於管理員對使用者計算機的管理。試想一下,如果網路中有上百臺,甚至更多的使用者計算機,在進行資源共享時,如果不分組的話,要通過
「網路上的芳鄰
」來查詢某台使用者計算機上的共享資源,就可能非常困難了。如果根據某個特點劃分不了同的工作組,就縮小了查詢範圍,查詢起來就容易多了。
可以組建工作組網路的作業系統可以是所有主流作業系統型別,如
dos系統、
windows
系統、linux
系統和unix
系統。而且,可以在乙個工作組網路中還可以混合以上所有型別的作業系統。
1. 工作組網路的主要特點
要正確理解工作組網路,就需要對以下幾個重要方面特點有所了解: n
工作組主機間是平等的
工作組網路既然是
「 對等網
」 ,從其名稱中的
「 對等
」 兩個字就可以看出來,對等網中的各主機都是對等的,地位平等,沒有管理和被管理之分。在網路應用中,各主機既可以當作伺服器,為其他主機提供訪問服務,也可以當作客戶機,訪問其他主機。之所以是對等關係,那是因為在工作組網路中沒有集中的賬戶管理和安全策略管理,網路中的主機都是各自為政,互不干涉的。而不是像域網路那樣,有專門的
dc(域控制器)來集中管理域網路中的使用者、計算機等物件賬戶和安全策略。 n
管理和安全邊界為各成員計算機
正因工作組網路中各主機是平等,互不干涉的,管理和安全邊界就是工作組中各成員計算機,工作組本身不是管理和安全邊界,不能直接針對工作組來進行管理和安全策略配置。在工作組網路中,主機之間的訪問就需要訪問方(在此估且稱之為
「 客戶機
」 )使用在被訪問方(在此估且稱之為
「 伺服器
」 )上配置了的使用者賬戶和密碼,通過身份驗證後才能訪問。因為在工作組網路中,只有本地賬戶才可以訪問自己的主機,不能輸入本機以外的任何使用者賬戶來訪問本機(當然,可能有兩台或兩台以上主機中有相同使用者名稱和密碼的使用者賬戶)。
在工作組網路中也有一種匿名訪問方式,那就是無需輸入任何賬戶和密碼就可以訪問對方。其實這裡也是輸入了使用者名稱和密碼,只是因為在預設情況下,各主機用於匿名訪問的賬戶都是
guest
(來賓)賬戶,且密碼為空,所以在不輸入使用者名稱和密碼的時候就是直接採用這種來賓賬戶進行登入訪問的。但如果改變了這個
guest
來賓賬戶的密碼,即使啟用了匿名登入,對方要訪問自己時也需要輸入本機上修改後的
guest
賬戶資訊。
【說明】出於安全考慮,像
360安全衛士等網路安全工具軟體都是建議你禁用
guest
賬戶的,所以在這種情況下是必須正確輸入被訪問計算機上的使用者賬戶名和密碼才能訪問。但是在登出前,你再次訪問同一工作組計算機上的共享資源時是不會再提示你輸入使用者賬戶名和密碼的。 n
採用 netbios
名稱解析
在工作組網路中,名稱解析所用的協議是
netbios
(network basic input output system
,網路基本輸入
/輸出系統
)協議。通過它可以將計算機名稱解析成對應的
ip位址。這個協議不能跨網提供名稱解析功能,計算機名稱限定只能在
15個數字或者字元(本來是
16位的,只是在微軟的
netbios
協議中,第
16位是用於標識網路服務)以內,不能識別長格式的
dns網域名稱。在
netbios
名稱中,
不能包括以下字元:/\、
、"、:、;
、、|<
、>、+
、=,?*
,不能包含
「.」。
如果是中文的,則最多只能是
7個純漢字,因為乙個漢字要占用兩個字元位。 n
在乙個工作組網路中可以有多個工作組
不要以為在乙個工作組網路中只能有乙個工作組,否則的話就沒有任何意義了。在乙個對稱網中可以有多個工作組。工作組的劃分可以是任意的,一般是按部門,或者按工作性質等來劃分的。但是要注意的是,工作組不代表安全邊界。也就是說,不同工作組之間並沒有許可權意義上的區別,只是一種便於訪問或管理的方式。它與我們現實生活中的
「 組
」 有些區別,因為現實生活中的
「 組
」 往往會有乙個
「 組長
」 ,負責整個組的管理。但在工作組中並沒有一台主機具有管理整個組的許可權,只是大家
「 平等共處
」 而已。 n
不同工作組是可以相互訪問的
前面介紹到,在乙個工作組網路中可以有多個工作組。大家或許會問,不同工作組的主機之間是否可以相互訪問呢?這是肯定的,而且就像沒有劃分多個組,在乙個工作組中不同主機間的訪問一樣簡單,也只是需要正確輸入對方的使用者賬戶資訊即可。當然如果通訊雙方都啟用了預設配置的匿名訪問,則也可以不用輸入身份驗證賬戶資訊。原因就是,工作組不是網路安全邊界的乙個單位,不能為不同組設定不同的安全級別,也不能像域網路中為不同域設定不同的賬戶系統和安全策略。
【經驗之談】不同工作組只是用來標識不同組,不具有安全和安全邊界特點,也就是在同乙個工作組網路中,所有工作組間的使用者計算機都查可以相互訪問的,只要你有對方計算機上的正確使用者賬戶資訊即可。不存在只允許屬於同乙個工作組中的使用者計算機相互訪問的問題,這一點要額外引起注意。因為在工作組網路中的,管理和安全邊界都是各成員計算機本身,是最小的管理和安全邊界。當你在當前計算機上登入所使用的使用者賬戶名和密碼與要訪問的那台計算機上的某個賬戶名和密碼完全一樣時,訪問時是不需要輸入使用者名稱和密碼的,因為系統自動認為你已是合法使用者。其實這也是乙個安全隱患,說不一定那天乙個非法使用者碰
巧使用了與網路中某台計算機中一樣的賬戶名和密碼,而又
碰巧在網路中訪問了那台計算機,則可能能出現非授權訪問,帶來安全威脅了。
2. 工作組的主要優缺點
工作組網路相對我們下面將要介紹的域網路來說,具有以下幾方面的明顯優缺點: n
安全管理簡單
這可以說是工作組網路的最大優點。因為在工作組網路中把網路安全邊界下放到最終的使用者端,外部計算機的訪問必須使用本地計算機上合法的使用者賬戶資訊,這樣一來,工作組網路的安全管理也就是各使用者計算機自己的安全管理。而各使用者計算機上的使用者賬戶資訊一般來說都非常簡單,只有少數幾個使用者賬戶,只需要對本機(不涉及到其他機上的任何賬戶)上的少數賬戶進行適當的安全配置即可,所以在安全管理方面,要較域網路的安全管理容易些。另外,在工作組中,各成員計算機只使用自己計算機上的本地組策略,不會應用其他任何組策略,安全策略管理更簡單。 n
網路效能比較高
因為在工作組網路中,除了基本的網路連線和資源共享外,基本上是沒有任何額外(如各種全域性範圍的安全策略和身份認證等)的網路資源消耗,使用者登入都是在本機上進行,所以,工作組網路的網路連線效能要遠比域網路的網路連線效能向。這也是許多網友反映加入域網路後,登入和網路應用比較慢的根源所在。 n
網路管理不方便
這可以說是工作組網路的最大缺點。因為工作組網路中,網路管理和安全邊界下放到最終的使用者端,無論是使用者賬戶,使用者賬戶許可權、安全策略等都是分散的,而且各使用者計算機上的這些配置都可能不同,管理員很難,甚至無法通過一台機來集中管理工作組網路中的使用者賬戶系統和安全策略系統。給整個網路管理帶來混亂,特別是在較大網路中。
另外,對於管理員管理整個網路也一樣,要實現對整個網路中的計算機進行管理,就必須在各計算機上配置有相同賬戶的管理員賬戶(注意,密碼都必須一樣),否則每次第一次訪問一台計算機時,都提示要求輸入使用者賬戶名和密碼。如果財貿系統中有一百臺,則需要在一百臺計算機建立和配置這個相同的使用者賬戶資訊,如果有一千臺,則要進行一次同樣的工作。其工作量是可想而知的。儘管可以直接通過複製使用者配置檔案來實現,但至少也要複製一千次啊。
所以,一般來說,工作組網路主要適用於中小型網路(通常認是百台以內),但這並不是從效能上考慮的,而是從管理上考慮的。 n
網路公共應用配置比較繁瑣
因為工作組網路中的網路訪問身份驗證是依據各成員計算機的賬戶系統,所以在一些公共網路應用伺服器中的安全配置就顯得比較複雜了,要麼是網路中各計算機都啟用預設的
guest
賬戶(並且全都採用預設的空密碼),要麼在授權訪問的每台計算機配置相同的組或者使用者賬戶,否則就無法進行全面授權。如果啟用
guest
賬戶,會給企業網路帶來巨大的安全隱患。
( 域網路的介紹請看下篇)
茶鄉浪子
工作組與域網路的特點與區別(上)
一直以來有讀者問我,域網路中的 域 到底是什麼意思,它與工作組網路相比到底有哪些優勢?以及工作網路與域網路各處適用於哪種情況下。其實這個問題非常典型,許多並不清楚。在網上也沒有乙個真正象樣的解釋,大家可以搜尋 工作組與域的區別 這樣的關鍵,雖然也有幾篇文章,但根本沒有解釋清楚這兩種網路管理模式各自的...
工作組與域的區別
關於工作組與域的區別。網路上有很多類似的帖子,但是感覺解釋的都不是很明白。而更多的文章是介紹如何組建域網。本著教化育人和普渡眾生的目的 說的有點大,呵呵 現在我冒充回高手給新手朋友做個區分。水平有限,不對之處請高手指正。一 首先工作組和域是發生在應用層上的一種網路管理模型 注意我這裡說的不是 osi...
工作組與域的區別
關於工作組與域的區別。網路上有很多類似的帖子,但是感覺解釋的都不是很明白。而更多的文章是介紹如何組建域網。本著教化育人和普渡眾生的目的 說的有點大,呵呵 現在我冒充回高手給新手朋友做個區分。水平有限,不對之處請高手指正。一 首先工作組和域是發生在應用層上的一種網路管理模型 注意我這裡說的不是 osi...