對(duì)很多剛開始鉆研微軟技術(shù)的朋友來(lái)說(shuō)盖呼，域是一個(gè)讓他們感到很頭疼的對(duì)象诗芜。域的重要性毋庸置疑级乍，微軟的重量級(jí)服務(wù)產(chǎn)品基本上都需要域的支持徘公，很多公司招聘工程師的要求中也都明確要求應(yīng)聘者熟悉或精通Active Directory末患。但域?qū)Τ鯇W(xué)者來(lái)說(shuō)顯得復(fù)雜了一些爷抓，眾多的技術(shù)術(shù)語(yǔ)，例如Active Directory阻塑，站點(diǎn)蓝撇，組策略，復(fù)制拓?fù)涑旅В僮髦鳈C(jī)角色渤昌，全局編錄….很多初學(xué)者容易陷入這些技術(shù)細(xì)節(jié)而缺少了對(duì)全局的把握。從今天開始走搁，我們將推出Active Directory系列博文独柑，希望對(duì)廣大學(xué)習(xí)AD的朋友有所幫助。

今天我們談?wù)摰牡谝粋€(gè)問(wèn)題就是為什么需要域這個(gè)管理模型私植？眾所周知忌栅，微軟管理計(jì)算機(jī)可以使用域和工作組兩個(gè)模型，默認(rèn)情況下計(jì)算機(jī)安裝完操作系統(tǒng)后是隸屬于工作組的曲稼。我們從很多書里可以看到對(duì)工作組特點(diǎn)的描述索绪，例如工作組屬于分散管理湖员，適合小型網(wǎng)絡(luò)等等。我們這時(shí)要考慮一個(gè)問(wèn)題瑞驱，為什么工作組就不適合中大型網(wǎng)絡(luò)呢娘摔，難道每臺(tái)計(jì)算機(jī)分散管理不好嗎殊者？下面我們通過(guò)一個(gè)例子來(lái)討論這個(gè)問(wèn)題樟插。

假設(shè)現(xiàn)在工作組內(nèi)有兩臺(tái)計(jì)算機(jī)，一臺(tái)是服務(wù)器Florence套啤，一臺(tái)是客戶機(jī)Perth彤侍。服務(wù)器的職能大家都知道肠缨，無(wú)非是提供資源和分配資源。服務(wù)器提供的資源有多種形式盏阶，可以是共享文件夾怜瞒，可以是共享打印機(jī)，可以是電子郵箱般哼，也可以是數(shù)據(jù)庫(kù)等等∥馔簦現(xiàn)在服務(wù)器Florence提供一個(gè)簡(jiǎn)單的共享文件夾作為服務(wù)資源，我們的任務(wù)是要把這個(gè)共享文件夾的訪問(wèn)權(quán)限授予公司內(nèi)的員工張建國(guó)蒸眠，注意漾橙，這個(gè)文件夾只有張建國(guó)一個(gè)人可以訪問(wèn)！那我們就要考慮一下如何才能實(shí)現(xiàn)這個(gè)任務(wù)楞卡，一般情況下管理員的思路都是在服務(wù)器上為張建國(guó)這個(gè)用戶創(chuàng)建一個(gè)用戶賬號(hào)霜运，如果訪問(wèn)者能回答出張建國(guó)賬號(hào)的用戶名和密碼，我們就認(rèn)可這個(gè)訪問(wèn)者就是張建國(guó)蒋腮√约瘢基于這個(gè)樸素的管理思路，我們來(lái)在服務(wù)器上進(jìn)行具體的實(shí)施操作池摧。

首先焦除，如下圖所示，我們?cè)诜?wù)器上為張建國(guó)創(chuàng)建了用戶賬號(hào)作彤。

"

然后在共享文件夾中進(jìn)行權(quán)限分配膘魄，如下圖所示，我們只把共享文件夾的讀權(quán)限授予了用戶張建國(guó)竭讳。

650. this.width=650;" onclick="" alt="" src="http://img1.51cto.com/attachment/200811/200811161226849635984.jpg" border="0" onabort="" onblur="" onchange="" ondblclick="" onerror="" onfocus="" onkeydown="" onkeypress="" onkeyup="" onmousedown="" onmousemove="" onmouseout="" onmouseover="" onmouseup="" onreset="" onresize="" onselect="" onsubmit="" onunload="" style="-webkit-user-select: text !important; padding: 0px; margin: 0px; vertical-align: top; border: none;">

好创葡，接下來(lái)張建國(guó)就在客戶機(jī)Perth上準(zhǔn)備訪問(wèn)服務(wù)器上的共享文件夾了，張建國(guó)準(zhǔn)備訪問(wèn)資源\Florence\人事檔案绢慢，服務(wù)器對(duì)訪問(wèn)者提出了身份驗(yàn)證請(qǐng)求灿渴，如下圖所示，張建國(guó)輸入了自己的用戶名和口令。

650. this.width=650;" onclick="" alt="" src="http://img1.51cto.com/attachment/200811/200811161226849659078.jpg" border="0" onabort="" onblur="" onchange="" ondblclick="" onerror="" onfocus="" onkeydown="" onkeypress="" onkeyup="" onmousedown="" onmousemove="" onmouseout="" onmouseover="" onmouseup="" onreset="" onresize="" onselect="" onsubmit="" onunload="" style="-webkit-user-select: text !important; padding: 0px; margin: 0px; vertical-align: top; border: none;">

如下圖所示骚露，張建國(guó)成功地通過(guò)了身份驗(yàn)證蹬挤，訪問(wèn)到了目標(biāo)資源。

650. this.width=650;" onclick="" alt="" src="http://img1.51cto.com/attachment/200811/200811161226849666328.jpg" border="0" onabort="" onblur="" onchange="" ondblclick="" onerror="" onfocus="" onkeydown="" onkeypress="" onkeyup="" onmousedown="" onmousemove="" onmouseout="" onmouseover="" onmouseup="" onreset="" onresize="" onselect="" onsubmit="" onunload="" style="-webkit-user-select: text !important; padding: 0px; margin: 0px; vertical-align: top; border: none;">

看完了這個(gè)實(shí)例之后荸百，很多朋友可能會(huì)想，在工作組模式下這個(gè)問(wèn)題解決得很好啊滨攻，我們不是成功地實(shí)現(xiàn)了預(yù)期目標(biāo)嘛够话！沒(méi)錯(cuò)，在這個(gè)小型網(wǎng)絡(luò)中光绕，確實(shí)工作組模型沒(méi)有暴露出什么問(wèn)題女嘲。但是我們要把問(wèn)題擴(kuò)展一下！現(xiàn)在假設(shè)公司不是一臺(tái)服務(wù)器诞帐，而是500臺(tái)服務(wù)器欣尼，這大致是一個(gè)中型公司的規(guī)模，那么我們的麻煩就來(lái)了停蕉。如果這500臺(tái)服務(wù)器上都有資源要分配給張建國(guó)愕鼓，那會(huì)有什么樣的后果呢？由于工作組的特點(diǎn)是分散管理慧起，那么意味著每臺(tái)服務(wù)器都要給張建國(guó)創(chuàng)建一個(gè)用戶賬號(hào)菇晃！張建國(guó)這個(gè)用戶就必須痛不欲生地記住自己在每個(gè)服務(wù)器上的用戶名和密碼。而服務(wù)器管理員也好不到哪兒去蚓挤，每個(gè)用戶賬號(hào)都重新創(chuàng)建500次磺送！如果公司內(nèi)有1000人呢？我們難以想象這么管理網(wǎng)絡(luò)資源的后果灿意，這一切的根源都是由于工作組的分散管理估灿！現(xiàn)在大家明白為什么工作組不適合在大型的網(wǎng)絡(luò)環(huán)境下工作了吧，工作組這種散漫的管理方式和大型網(wǎng)絡(luò)所要求的高效率是背道而馳的缤剧。

既然工作組不適合大型網(wǎng)絡(luò)的管理要求馅袁，那我們就要重新審視一下其他的管理模型了。域模型就是針對(duì)大型網(wǎng)絡(luò)的管理需求而設(shè)計(jì)的荒辕，域就是共享用戶賬號(hào)司顿，計(jì)算機(jī)賬號(hào)和安全策略的計(jì)算機(jī)集合。從域的基本定義中我們可以看到兄纺，域模型的設(shè)計(jì)中考慮到了用戶賬號(hào)等資源的共享問(wèn)題大溜，這樣域中只要有一臺(tái)計(jì)算機(jī)為公司員工創(chuàng)建了用戶賬號(hào)，其他計(jì)算機(jī)就可以共享賬號(hào)了估脆。這樣就很好地解決剛才我們提到的賬號(hào)重復(fù)創(chuàng)建的問(wèn)題钦奋。域中的這臺(tái)集中存儲(chǔ)用戶賬號(hào)的計(jì)算機(jī)就是域控制器，用戶賬號(hào)，計(jì)算機(jī)賬號(hào)和安全策略被存儲(chǔ)在域控制器上一個(gè)名為Active Directory的數(shù)據(jù)庫(kù)中付材。

上述這個(gè)簡(jiǎn)單的例子說(shuō)明的只是域強(qiáng)大功能的冰山一角朦拖，其實(shí)域的功能遠(yuǎn)遠(yuǎn)不止這些。從下篇博文我們將開始介紹域的部署以及管理厌衔，希望大家在使用過(guò)程中逐步增加感性認(rèn)識(shí)璧帝，對(duì)域有更加深入及全面的了解，能夠掌握好Active Directory這個(gè)微軟工程師必備的重要知識(shí)點(diǎn)富寿。