Windows 2003 Active Diretory全攻略（三）--建立域（1）

一、在規劃03網路環境的時候，有“工作群組”和“域”兩種選擇。下面先瞭解下這兩個的特點：

1、各自為政的網路結構--工作群組：一般工作群組適用於小型網路。工作群組泛指一組以網路相連的電腦，彼此共用對方的資源，有人稱是對等式網路。大家可以看到，這樣的網路結構下，每部電腦無法代理其它電腦，只能夠管理本身的資源。其缺點如下：1、帳戶管理較麻煩：比如網路上有5台伺服器和30台使用者，總共就要建立150個帳號資料，才能夠讓所有使用者能夠訪問每台伺服器的資源，另外，若有任何一台改變，就得修改5次才行。2、要分別設定電腦的安全性：就比如想限制使用者的登入時段，則需親自在每台伺服器面前設定。

2、中央集權的網路結構--域：可以這樣理解：“域”是在網路中挑選一台電腦當作“安全控管”伺服器--網域控制站，網域控制站的帳戶和安全資料，全部包含在AD資料庫裡。

二、域中的電腦角色

1、網域控制站。實際上安裝了03系統，而且啟用AD服務時，即就成為DC，一般是第一台。DC主要工作有：1、提供AD服務。2、儲存與複製AD資料庫。3、管理域中的活動，包括“使用者登入”、“身分識別驗證”、與“目錄查詢”等等

2、成員伺服器。在安裝03系統時，而且沒有安裝AD和加入域時的電腦。都是成員伺服器，比如是檔案伺服器，應用伺服器啊。在這裡說一下，成員伺服器的本地帳戶。成員伺服器上仍有原生帳戶資料庫，使用者也可以利用這些本地帳戶登入伺服器。但對於域安全管理來說，會造成管理上的漏洞，所以盡量不要使用成員伺服器的本地帳戶，僅允許用域的帳戶來登入。

3、工作站。很多人也對這個不瞭解，不知道是怎樣理解。這裡就是安裝了任何系統而且加入了域的電腦就是工作站。使用者就可以利用這些工作站，訪問域中的資源、執行應用程式等等。同樣呢工作站也是保留本地帳戶的資料庫，如果使用者利用本地帳戶登入工作站，它是能夠訪問原生資源，但是無法訪問域上的資源。

三、建立第一個域

如果網路一開始就不存在任何域，建立的域便是“根域”--整個網路的第一個域。安裝AD步驟如下：（實戰來了，呵呵）

開啟設定精靈