域控制器的功能和作用(域控制器是什么)

Windows域是计算机网络的一种形式，其中所有用户帐户，计算机，打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。身份验证在域控制器上进行。

在域中使用计算机的每个人都会收到一个唯一的用户帐户，然后可以为该帐户分配对该域内资源的访问权限。

从WindowsServer2003开始，ActiveDirectory是负责维护该中央数据库的Windows组件。

Windows域的概念与工作组的概念形成对比，在该工作组中，每台计算机都维护自己的安全主体数据库。

域的作用

如果企业网络中计算机和用户数量较多时，要实现高效管理，就需要windows域。

域和组的区别

工作组是一群计算机的集合，它仅仅是一个逻辑的集合，各自计算机还是各自管理的，你要访问其中的计算机，还是要到被访问计算机上来实现用户验证的。

而域不同，域是一个有安全边界的计算机集合，在同一个域中的计算机彼此之间已经建立了信任关系，在域内访问其他机器，不再需要被访问机器的许可了。

因为在加入域的时候，管理员为每个计算机在域中（可和用户不在同一域中）建立了一个计算机帐户，这个帐户和用户帐户一样，也有密码保护的。

可是大家要问了，我没有输入过什么密码啊，是的，你确实没有输入，计算机帐户的密码不叫密码，在域中称为登录凭据，它是由2000的DC（域控制器）上的KDC服务来颁发和维护的。

为了保证系统的安全，KDC服务每30天会自动更新一次所有的凭据，并把上次使用的凭据记录下来。周而复始。也就是说服务器始终保存着2个凭据，其有效时间是60天，60天后，上次使用的凭据就会被系统丢弃。

如果你的GHOST备份里带有的凭据是60天的，那么该计算机将不能被KDC服务验证，从而系统将禁止在这个计算机上的任何访问请求（包括登录），解决的方法呢，简单的方法使将计算机脱离域并重新加入，KDC服务会重新设置这一凭据。

或者使用2000资源包里的NETDOM命令强制重新设置安全凭据。

因此在有域的环境下，请尽量不要在计算机加入域后使用GHOST备份系统分区，如果作了，请在恢复时确认备份是在60天内作的，如果超出，就最好联系你的系统管理员，你可以需要管理员重新设置计算机安全凭据，否则你将不能登录域环境。

域和工作组适用的环境不同，域一般是用在比较大的网络里，工作组则较小，在一个域中需要一台类似服务器的计算机，叫域控服务器，其他电脑如果想互相访问首先都是经过它的，但是工作组则不同，在一个工作组里的所有计算机都是对等的，也就是没有服务器和客户机之分的。

但是和域一样，如果一台计算机想访问其他计算机的话首先也要找到这个组中的一台类似组控服务器，组控服务器不是固定的，以选举的方式实现，它存储着这个组的相关信息，找到这台计算机后得到组的信息然后访问。

与工作组关系

实际上我们可以把域和工作组联系起来理解，在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。

而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。

如果说工作组是“免费的旅店”那么域（Domain）就是“星级的宾馆”；工作组可以随便出出进进，而域则需要严格控制。

“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。

一提到组合，势必需要严格的控制。

所以实行严格的管理对网络安全是非常必要的。

在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。

尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。

在由Windows9x构成的对等网中，数据的传输是非常不安全的。

为什么是这样的呢？因为在加入域的时候，管理员为每个计算机在域中（可和用户不在同一域中）建立了一个计算机帐户，这个帐户和用户帐户一样，也有密码保护的。

可是大家要问了，我没有输入过什么密码啊，是的，你确实没有输入，计算机帐户的密码不叫密码，在域中称为登录票据，它是由2000的DC（域控制器）上的KDC服务来颁发和维护的。

为了保证系统的安全，KDC服务每30天会自动更新一次所有的票据，并把上次使用的票据记录下来。周而复始。也就是说服务器始终保存着2个票据，其有效时间是60天，60天后，上次使用的票据就会被系统丢弃。

如果你的GHOST备份里带有的票据是60天的，那么该计算机将不能被KDC服务验证，从而系统将禁止在这个计算机上的任何访问请求（包括登录），解决的方法呢，简单的方法是将计算机脱离域并重新加入，KDC服务会重新设置这一票据。

或者使用2000资源包里的NETDOM命令强制重新设置安全票据。

因此在有域的环境下，请尽量不要在计算机加入域后使用GHOST备份系统分区，如果作了，请在恢复时确认备份是在60天内作的，如果超出，就最好联系你的系统管理员，你可以需要管理员重新设置计算机安全票据，否则你将不能登录域环境。

域控制器是什么

第一部分：介绍活动目录基本概念

1、什么是活动目录

活动目录是一种目录服务，目录服务包括三方面的功能：组织网络中的资源，提供对资源的管理，对资源的控制，活动目录的服务通过将对网络中的各种资源的信息，保存到一个数据库中，来为网络中的用户和管理员提供对这些资源的访问、管理和控制，这个数据库叫活动目录数据库。

通过活动目录服务，管理员可以实现整个网络的集中管理。

2、什么是域和域控制器

域是活动目录的一种实现形式，也是活动目录最核心的管理单位和复制单位，一个域由域控制器和成员计算机组成。

域控制器就是安装了活动目录服务的一台计算机。

在域控制器上，每一个成员计算机都有一个计算机账号，每一个域用户有一个域用户账号。

域管理员可以在域控制器上实现对域用户账号和计算机账号以及其他资源的管理。

域还是一种复制单位，我们在域中可以安装多台域控制器，域管理员可以在任何一台域控制器上创建和修改活动目录对象。

域控制器之间可以自动的同步，或者是复制这样一种更新。

3、什么是组织单位

是活动目录中的一种对象，但它是一种容器类型的对象，也就是说OU可以包含其他对象。

使用OU,我们可以在域中组织对象，以方便对域的管理。

比如对域一个公司不同部门的用户的账户的管理。

使用OU,还可以实现委派管理控制以及在不同的OU上实现不同的组策略，委派管理控制是我们可以对每一个OU来指派一名或多名管理员。

让OU管理员各自管理自己部门的对象。

每一个OU可以实现不同的组策略设置，我们可以设置用户的工作环境，用户的软件安装，等。

。

4、什么是树，森林和信任关系

活动目录可以通过分层结构来实施。

树指的是根域和子域以及子域的子域所组成的这样一种逻辑结构。

而森林，是由多棵树组成的。

在一个树的内部，父域和子域之间是相互信任的，我们把这种信任关系称为父子信任，在一个森林内部，树和树之间也是相互信任的，这种信任关系称为树根信任。

森林中的信任关系是双向可传递的，双向指的是信任是相互的，而可传递指的是域和域之间可以通过这种信任关系来建立起一种间接的信任。

有了这些信任关系后，当一个域中的用户登录之后，他可以在整个森林范围内来访问其他域中的资源。

5、什么是站点

站点是活动目录的一种物理结构，站点的目的是为了优化域控制器之间的复制，当一个域跨越不同的城市的时候，城市和城市之间的连接速度慢于局域网的连接速度。

为了控制不同城市直接的域控制器的复制流量，可以通过站点来实现，每一个站点之间都有一个站点连接，通过配置站点连接，我们可以控制不同站点之间的域控制器在什么时间来执行复制。

可以配置在非工作期间进行复制，来完成域控制器之间的同步。

可以减少域控制器在工作时间占用广域网带宽。

6、什么是活动目录架构

是对活动目录中对象的一种定义。

定义的方式是以结构化的方式定义的数据组成，它通过描述元数据来定义这些结构，通常包括属性名称、类型、长度、关系等。

看起来，有点象关系数据库里的字段定义。

同时还包括一些扩展的属性。

7、GPMC

GPMC即组策略管理控制台，与windows2000/2003Server上传统的组策略编辑器截然不同，由一个全新的MMC管理单元及一整套脚本化的接口组成，提供了集中的组策略管理方案，可以大大减少不正确的组策略可能导致的网络问题并简化组策略相关的安全问题，解决组策略部署中的难点，减轻了IT管理员们在实施组策略时所承担的沉重包袱。

第二部分：介绍活动目录的安装过程

首先，当然是在成员服务器上安装上WindowsServer2003，安装成功后进入系统，。

我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:。

机器名:Server

IP:192.168.1.254

子网掩码:255.255.255.0

DNS:192.168.1.254这台机器配置成DNS服务器)。

点击开始运行，输入Dcpromo，然后回车就可以看到ActiveDirectory安装向导在这里直接点击下一步；

这里是一个兼容性的要求，Windows95及NT4SP3以前的版本无法登陆运行到WindowsServer2003的域控制器，我建议大家尽量采用Windows2000及以上的操作系统来做为客户端。

然后点击下一步；

在这里由于这是第一台域控制器，所以选择第一项:新域的域控制器，然后点下一步；

既然是第一台域控，那么当然也是选择在新林中的域；