- 工信部備案號 滇ICP備05000110號-1
- 滇公安備案 滇53010302000111
- 增值電信業(yè)務(wù)經(jīng)營許可證 B1.B2-20181647、滇B1.B2-20190004
- 云南互聯(lián)網(wǎng)協(xié)會理事單位
- 安全聯(lián)盟認(rèn)證網(wǎng)站身份V標(biāo)記
- 域名注冊服務(wù)機(jī)構(gòu)許可:滇D3-20230001
- 代理域名注冊服務(wù)機(jī)構(gòu):新網(wǎng)數(shù)碼
相關(guān)文章
云南公布第二批免費(fèi)向社會提供信息技術(shù)服務(wù)企業(yè)名單 中國互聯(lián)網(wǎng)企業(yè)赴美上市規(guī)模預(yù)計今年或減半 【滇企復(fù)工進(jìn)行時】藍(lán)隊云:未雨綢繆,危機(jī)之下必有機(jī)遇 搜狐、騰訊、迅雷等一批互聯(lián)網(wǎng)公司涉黃被罰5萬 他們失敗的辛酸血淚史:億唐網(wǎng)、博客中國、酷6網(wǎng)、飯否
Windows 服務(wù)器中“域”的概念
2016-01-25 11:46:39
12529
域(Domain)是Windows網(wǎng)絡(luò)中獨(dú)立運(yùn)行的單位,域之間相互訪問則需要建立信任關(guān)系(即Trust Relation)。信任關(guān)系是連接在域與域之間的橋梁。當(dāng)一個域與其他域建立了信任關(guān)系后,2個域之間不但可以按需要相互進(jìn)行管理,還可以跨網(wǎng)分配文件和打印機(jī)等設(shè)備資源,使不同的域之間實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享與管理。
域既是 Windows 網(wǎng)絡(luò)操作系統(tǒng)的邏輯組織單元,也是Internet的邏輯組織單元,在 Windows 網(wǎng)絡(luò)操作系統(tǒng)中,域是安全邊界。域管理員只能管理域的內(nèi)部,除非其他的域顯式地賦予他管理權(quán)限,他才能夠訪問或者管理其他的域;每個域都有自己的安全策略,以及它與其他域的安全信任關(guān)系。
以上是一個標(biāo)準(zhǔn)的解釋。
其實(shí)上我們可以把域和工作組聯(lián)系起來理解,在工作組上你一切的設(shè)置在本機(jī)上進(jìn)行包括各種策略,用戶登陸也是登陸在本機(jī)的,密碼是放在本機(jī)的數(shù)據(jù)庫來驗證的。而如果你的計算機(jī)加入域的話,各種策略是域控制器統(tǒng)一設(shè)定,用戶名和密碼也是放到域控制器去驗證,也就是說你的賬號密碼可以在同一域的任何一臺計算機(jī)登陸 .
如果說工作組是“免費(fèi)的旅店”那么域(Domain)就是“星級的賓館”;工作組可以隨便出出進(jìn)進(jìn),而域則需要嚴(yán)格控制。“域”的真正含義指的是服務(wù)器控制網(wǎng)絡(luò)上的計算機(jī)能否加入的計算機(jī)組合。一提到組合,勢必需要嚴(yán)格的控制。所以實(shí)行嚴(yán)格的管理對網(wǎng)絡(luò)安全是非常必要的。在對等網(wǎng)模式下,任何一臺電腦只要接入網(wǎng)絡(luò),其他機(jī)器就都可以訪問共享資源,如共享上網(wǎng)等。盡管對等網(wǎng)絡(luò)上的共享文件可以加訪問密碼,但是非常容易被破解。在由Windows 9x構(gòu)成的對等網(wǎng)中,數(shù)據(jù)的傳輸是非常不安全的。
不過在“域”模式下,至少有一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作,相當(dāng)于一個單位的門衛(wèi)一樣,稱為“域控制器(Domain Controller,簡寫為DC)”。
域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時,域控制器首先要鑒別這臺電腦是否是屬于這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確,那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄,用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源,他只能以對等網(wǎng)用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。
要把一臺電腦加入域,僅僅使它和服務(wù)器在網(wǎng)上鄰居中能夠相互“看”到是遠(yuǎn)遠(yuǎn)不夠的,必須要由網(wǎng)絡(luò)管理員進(jìn)行相應(yīng)的設(shè)置,把這臺電腦加入到域中。這樣才能實(shí)現(xiàn)文件的共享。
集中統(tǒng)一,便于管理。
域和組的區(qū)別
工作組是一群計算機(jī)的集合,它僅僅是一個邏輯的集合,各自計算機(jī)還是各自管理的,你要訪問其中的計算機(jī),還是要到被訪問計算機(jī)上來實(shí)現(xiàn)用戶驗證的。而域不同,域是一個有安全邊界的計算機(jī)集合,在同一個域中的計算機(jī)彼此之間已經(jīng)建立了信任關(guān)系,在域內(nèi)訪問其他機(jī)器,不再需要被訪問機(jī)器的許可了。為什么是這樣的呢?因為在加入域的時候,管理員為每個計算機(jī)在域中(可和用戶不在同一域中)建立了一個計算機(jī)帳戶,這個帳戶和用戶帳戶一樣,也有密碼保護(hù)的。可是大家要問了,我沒有輸入過什么密碼啊,是的,你確實(shí)沒有輸入,計算機(jī)帳戶的密碼不叫密碼,在域中稱為登錄票據(jù),它是由2000的DC(域控制器)上的KDC服務(wù)來頒發(fā)和維護(hù)的。為了保證系統(tǒng)的安全,KDC服務(wù)每30天會自動更新一次所有的票據(jù),并把上次使用的票據(jù)記錄下來。周而復(fù)始。也就是說服務(wù)器始終保存著2個票據(jù),其有效時間是60天,60天后,上次使用的票據(jù)就會被系統(tǒng)丟棄。如果你的GHOST備份里帶有的票據(jù)是60天的,那么該計算機(jī)將不能被KDC服務(wù)驗證,從而系統(tǒng)將禁止在這個計算機(jī)上的任何訪問請求(包括登錄),解決的方法呢,簡單的方法使將計算機(jī)脫離域并重新加入,KDC服務(wù)會重新設(shè)置這一票據(jù)。或者使用2000資源包里的NETDOM命令強(qiáng)制重新設(shè)置安全票據(jù)。因此在有域的環(huán)境下,請盡量不要在計算機(jī)加入域后使用GHOST備份系統(tǒng)分區(qū),如果作了,請在恢復(fù)時確認(rèn)備份是在60天內(nèi)作的,如果超出,就最好聯(lián)系你的系統(tǒng)管理員,你可以需要管理員重新設(shè)置計算機(jī)安全票據(jù),否則你將不能登錄域環(huán)境。
域既是 Windows 網(wǎng)絡(luò)操作系統(tǒng)的邏輯組織單元,也是Internet的邏輯組織單元,在 Windows 網(wǎng)絡(luò)操作系統(tǒng)中,域是安全邊界。域管理員只能管理域的內(nèi)部,除非其他的域顯式地賦予他管理權(quán)限,他才能夠訪問或者管理其他的域;每個域都有自己的安全策略,以及它與其他域的安全信任關(guān)系。
以上是一個標(biāo)準(zhǔn)的解釋。
其實(shí)上我們可以把域和工作組聯(lián)系起來理解,在工作組上你一切的設(shè)置在本機(jī)上進(jìn)行包括各種策略,用戶登陸也是登陸在本機(jī)的,密碼是放在本機(jī)的數(shù)據(jù)庫來驗證的。而如果你的計算機(jī)加入域的話,各種策略是域控制器統(tǒng)一設(shè)定,用戶名和密碼也是放到域控制器去驗證,也就是說你的賬號密碼可以在同一域的任何一臺計算機(jī)登陸 .
如果說工作組是“免費(fèi)的旅店”那么域(Domain)就是“星級的賓館”;工作組可以隨便出出進(jìn)進(jìn),而域則需要嚴(yán)格控制。“域”的真正含義指的是服務(wù)器控制網(wǎng)絡(luò)上的計算機(jī)能否加入的計算機(jī)組合。一提到組合,勢必需要嚴(yán)格的控制。所以實(shí)行嚴(yán)格的管理對網(wǎng)絡(luò)安全是非常必要的。在對等網(wǎng)模式下,任何一臺電腦只要接入網(wǎng)絡(luò),其他機(jī)器就都可以訪問共享資源,如共享上網(wǎng)等。盡管對等網(wǎng)絡(luò)上的共享文件可以加訪問密碼,但是非常容易被破解。在由Windows 9x構(gòu)成的對等網(wǎng)中,數(shù)據(jù)的傳輸是非常不安全的。
不過在“域”模式下,至少有一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作,相當(dāng)于一個單位的門衛(wèi)一樣,稱為“域控制器(Domain Controller,簡寫為DC)”。
域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時,域控制器首先要鑒別這臺電腦是否是屬于這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確,那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄,用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源,他只能以對等網(wǎng)用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。
要把一臺電腦加入域,僅僅使它和服務(wù)器在網(wǎng)上鄰居中能夠相互“看”到是遠(yuǎn)遠(yuǎn)不夠的,必須要由網(wǎng)絡(luò)管理員進(jìn)行相應(yīng)的設(shè)置,把這臺電腦加入到域中。這樣才能實(shí)現(xiàn)文件的共享。
集中統(tǒng)一,便于管理。
域和組的區(qū)別
工作組是一群計算機(jī)的集合,它僅僅是一個邏輯的集合,各自計算機(jī)還是各自管理的,你要訪問其中的計算機(jī),還是要到被訪問計算機(jī)上來實(shí)現(xiàn)用戶驗證的。而域不同,域是一個有安全邊界的計算機(jī)集合,在同一個域中的計算機(jī)彼此之間已經(jīng)建立了信任關(guān)系,在域內(nèi)訪問其他機(jī)器,不再需要被訪問機(jī)器的許可了。為什么是這樣的呢?因為在加入域的時候,管理員為每個計算機(jī)在域中(可和用戶不在同一域中)建立了一個計算機(jī)帳戶,這個帳戶和用戶帳戶一樣,也有密碼保護(hù)的。可是大家要問了,我沒有輸入過什么密碼啊,是的,你確實(shí)沒有輸入,計算機(jī)帳戶的密碼不叫密碼,在域中稱為登錄票據(jù),它是由2000的DC(域控制器)上的KDC服務(wù)來頒發(fā)和維護(hù)的。為了保證系統(tǒng)的安全,KDC服務(wù)每30天會自動更新一次所有的票據(jù),并把上次使用的票據(jù)記錄下來。周而復(fù)始。也就是說服務(wù)器始終保存著2個票據(jù),其有效時間是60天,60天后,上次使用的票據(jù)就會被系統(tǒng)丟棄。如果你的GHOST備份里帶有的票據(jù)是60天的,那么該計算機(jī)將不能被KDC服務(wù)驗證,從而系統(tǒng)將禁止在這個計算機(jī)上的任何訪問請求(包括登錄),解決的方法呢,簡單的方法使將計算機(jī)脫離域并重新加入,KDC服務(wù)會重新設(shè)置這一票據(jù)。或者使用2000資源包里的NETDOM命令強(qiáng)制重新設(shè)置安全票據(jù)。因此在有域的環(huán)境下,請盡量不要在計算機(jī)加入域后使用GHOST備份系統(tǒng)分區(qū),如果作了,請在恢復(fù)時確認(rèn)備份是在60天內(nèi)作的,如果超出,就最好聯(lián)系你的系統(tǒng)管理員,你可以需要管理員重新設(shè)置計算機(jī)安全票據(jù),否則你將不能登錄域環(huán)境。
