工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的(一般是第一个建立工作组的计算机来担任)而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。
如果上面的文字你看的还不是很明白我通过一个例子来描述一下。CS游戏大家都玩过吧。如果你打开单机CS游戏就相当于工作组中的一台机器登录上去了,你修改了CS游戏配置比如重新设置CS快速买枪,那么这些资料就保存在你的机器中。现在你通过局域网和几个人玩CS,这就如同组建了一个工作组网,其中需要有一个人建立一个房间,这个房间就类似一个工作组,那么建立房间的人的那台机器就如同浏览主控服务器。如果你给房间加密,那么不知道密码的人就无法进入你的房间,这就如同设置了访问权限一样。好了,现在CS出了一个CS ONLINE版。你需要下载游戏并且注册游戏,注册成功后你就有了一个帐号和密码。这就如同你加入了一个域。因为你用脚都能想到你的帐号和密码都保存到游戏服务器上。那台游戏服务器实际上就类似于域控制器。一般游戏服务器都有电信服务器和网通服务器,那么就相当与一个林中建立了两个域,你用你的帐号可以登录任何一个服务器,这就说明两者建立了信任关系(关于域信任之类的技术,请参阅其它高手写的技术文档)好了,游戏服务器中就好多商品,只要你有钱你就能买这些商品如枪。这些钱就相当于给你的权限。你的钱越多,你能买更高级的枪,也说明你权限很高,可以访问更多的资源。
我想通过上面的叙述你应该有个印象了。整个过程大同小异,希望大家不要钻牛角尖。顺着我这思路去理解域就可以了。
二、现在说第二个问题。请不要惯性的思维跟这上面的思路来走。工作者模式什么不需要架设什么东西,大家都是平等,而且windows系统默认安装就是工作组模式。那么相对于域,就是主/从模式了。既然域是主从模式,那么有一台计算机就需要做主了,那么它就是这里的老大,他的学名叫DC(域控制器)那么什么样的机器才能担任此任务呢?答:安装了活动目录(Active Directory)服务组件的机器就是域控制器。在windows server版的服务器中都有该服务组件。一定是SERVER版操作系统。XP什么的可不行。Windows SERVER版操作系统分别是windows 2000.windows 2003和windows 2008(注win2000 pro、 win2003web和windows2008 web也不行)安装活动目录有个前提,那就是用户需要查找哪台机器是域控机,这就需要DNS服务器。不安装DNS服务器活动目录装也了也没用(实际上如果不定位DNS,根本装不上)关于具体安装请参阅各高手的相关博文。推荐岳雷老师的http://yuelei.blog.51cto.com/202879/113185
当然域控可以是多台,在win2000中,只能有一个主域控,那就是说域相于一个组织,里面只能有一个老大(只有域控身份的机器才有资格争老大),其他的域控是二当家。老大掌握着手下小弟的名单(活动目录数据库),老大有权新加入或废除小弟,其他的二当家不能擅自加入或废除小弟,但是二当家有里也有份名单,做备份,只有老大被费了的时候(故障了)其它二当家(域控)会选举一个当新老大,继续执行老大的权利(具体内容大家也不用学了,因为这种模式到2003不用了,2003就没有老大之分了)都是老大。当一个老大收了小弟(就是比如一个域控收到有新机器加入域时)更新了小弟名单,其他老大都会在一段时间收到这个信息,也更新名单;删除也如此。继续说老大小弟的事。假如有两个帮会发生火并,一个叫洪兴,一个叫三合会(相当于两个域)后来洪兴把三合会并购了。成立了一个新的组织(这个组织就成了林)由于三合会名下有很多产业,所以三合会这个名字不能撤销,但是三合会的人和地盘都要归洪兴老大管。这就是林下的域
三、工作组模式是分散管理的。而域是集中管理的,这有什么好处呢?比如洪兴组织需要到外面去砍人,砍刀放在库房(提供共享服务的一台服务器)砍刀是不能乱拿的,库房有个保管员(那台服务器的本地数据库)每次去砍人需要拿砍刀(获取服务器共享文件)保管员需要核实是否有资格拿砍刀,他手中有份名单,每次来个人他只要看到这个人在名单中(本地机保存一个用户的帐号和密码)核实确实有就发,不然就不发(证明有用户名和密码)如果库房很多,那么每个库房的保管员都需要一份这样的名单,所以很麻烦。如果是域网,这份名单由老大掌握,老大只要一份就够了,有什么事直接问老大可以领取砍刀不?这样就很方便了。
四、以上说了两者的区别。还要说一个问题。Active Directory是很多微软服务的基础,如果你要做微软更多的服务,比如要架设EXCHANGE邮件服务,WSUS(windows更新服务)、WDS(windows部署服务)这些需要以域为安装前提的。就如同安装Active Directory之前必须要安装DNS一样。这就是域比工作组优秀的一个好处。
五、工作组之间是平等。没有谁大谁小。所以大家权限没有什么区别。但是域相当于一个组织。有严格的组织管理关系。而且域中权利最大的就是域管理员(相当于帮主)下面可以划分更细的组织单元(如同洪兴下面有分舵,当然有分舵就可以有舵主了)这样层层划分,可以有严密的组织关系,就能划分出有效的管理权限了。