Windows域和工作群組

域的定義
　　域英文叫DOMAIN
　　域(Domain)是Windows網路中獨立啟動並執行單位，域之間相互訪問則需要建立信任關係(即Trust Relation)。信任關係是串連在域與域之間的橋樑。當一個域與其他域建立了信任關係後，2個域之間不但可以按需要相互進行管理，還可以跨網分配檔案和印表機等裝置資源，使不同的域之間實現網路資源的共用與管理。
　　域既是 Windows 網路作業系統的邏輯組織單元，也是Internet的邏輯組織單元，在 Windows 網路作業系統中，域是安全邊界。網域系統管理員只能管理域的內部，除非其他的域顯式地賦予他系統管理權限，他才能夠訪問或者管理其他的域;每個域都有自己的安全性原則，以及它與其他域的安全信任關係。
　　域：域是一種管理邊界，用於一組電腦共用共用的安全資料庫，域實際上就是一組伺服器和工作站的集合。

　　域在檔案系統中，有時也稱做“欄位”，是指資料中不可再分的基本單元。一個域包含一個值。如學生的名字等。可以通過資料類型（如二進位、字元、字串等）和長度（佔用的位元組數）兩個屬性對其進行描述。

域與工作群組的關係
　　其實上我們可以把域和工作群組聯絡起來理解,在工作群組上你一切的設定在本機上進行包括各種策略，使用者登入也是登入在原生，密碼是放在原生資料庫來驗證的。而如果你的電腦加入域的話，各種策略是網域控制站統一設定，使用者名稱和密碼也是放到網域控制站去驗證，也就是說你的帳號密碼可以在同一域的任何一台電腦登入。
　　如果說工作群組是“免費的旅店”那麼域（Domain）就是“星級的賓館”；工作群組可以隨便出出進進，而域則需要嚴格控制。“域”的真正含義指的是伺服器控制網路上的電腦能否加入的電腦群組合。一提到組合，勢必需要嚴格的控制。所以實行嚴格的管理對網路安全是非常必要的。在對等網模式下，任何一台電腦只要接入網路，其他機器就都可以訪問共用資源，如共用上網等。儘管對等網路上的共用檔案可以加訪問密碼，但是非常容易被破解。在由Windows 9x構成的對等網中，資料的傳輸是非常不安全的。
　　工作群組是一群電腦的集合，它僅僅是一個邏輯的集合，各自電腦還是各自管理的，你要訪問其中的電腦，還是要到被訪問電腦上來實現使用者驗證的。而域不同，域是一個有安全邊界的電腦集合，在同一個域中的電腦彼此之間已經建立了信任關係，在域內訪問其他機器，不再需要被訪問機器的許可了。為什麼是這樣的呢？因為在加入域的時候，管理員為每個電腦在域中（可和使用者不在同一域中）建立了一個電腦帳戶，這個帳戶和使用者帳戶一樣，也有密碼保護的。可是大家要問了，我沒有輸入過什麼密碼啊，是的，你確實沒有輸入，電腦帳戶的密碼不叫密碼，在域中稱為登入票據，它是由2000的DC（網域控制站）上的KDC服務來頒發和維護的。為了保證系統的安全，KDC服務每30天會自動更新一次所有的票據，並把上次使用的票據記錄下來。周而復始。也就是說伺服器始終儲存著2個票據，其有效時間是60天，60天后，上次使用的票據就會被系統丟棄。如果你的GHOST備份裡帶有的票據是60天的，那麼該電腦將不能被KDC服務驗證，從而系統將禁止在這個電腦上的任何訪問請求（包括登入），解決的方法呢，簡單的方法使將電腦脫離域並重新加入，KDC服務會重新設定這一票據。或者使用2000資源套件裡的NETDOM命令強制重新設定安全票據。因此在有域的環境下，請盡量不要在電腦加入域後使用GHOST備份系統磁碟分割，如果作了，請在恢複時確認備份是在60天內作的，如果超出，就最好聯絡你的系統管理員，你可以需要管理員重新設定電腦安全票據，否則你將不能登入網域環境。