一直以来有读者问我,域网络中的“域”到底是什么意思,它与工作组网络相比到底有哪些优势?以及工作网络与域网络各处适用于哪种情况下。其实这个问题非常典型,许多网友并不清楚。在网上也没有一个真正象样的解释,大家可以搜索“工作组与域的区别”这样的关键,虽然也有几篇文章,但根本没有解释清楚这两种网络管理模式各自的特点、区别以及各自所适用的环境。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
说句实话,这个问题真要认真回答的话,内容会很多,但在
QQ
群中我不可能这么回答,只是简单、综合地对读者说:“域”是一种基于对象和安全策略的分布式数据库系统。然后再适当解释一下域网络与工作组网络之间的区别。因为笔者目前正在写《金牌网管师》系列中初级认证中的第二本教材——《金牌网管师——中小型企业网络组建、配置与管理》这本书,在其中就要写到这方面的问题,于是笔者在此先把这部分的内容与大家分享一下,大家也可以讨论、完善一下(其中可能有的观点还是与大多数人的看法不一样)。今天写到的仅是“工作组网络”部分,“域网络”部分将在明天,或者后天给出。
<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />2.1.1 工作组网络的概念和特点
工作组(
WorkGroup
)网络是对等
(
peer-to-peer
,
P2P
)
网络技术在局域网(
P2P
网络更主要应用于广域网中)中的应用,是根据用户自定义的分组特点(如不同部门、不同爱好、不同操作系统类型等)把网络中的许多用户计算机分门别类地纳入到不同工作组中的。划分工作组的主要目的主要是为了便于浏览、查找,另外还方便于管理员对用户计算机的管理。试想一下,如果网络中有上百台,甚至更多的用户计算机,在进行资源共享时,如果不分组的话,要通过
“
网上邻居
”
来查找某台用户计算机上的共享资源,就可能非常困难了。如果根据某个特点划分不了同的工作组,就缩小了查找范围,查找起来就容易多了。
可以组建工作组网络的操作系统可以是所有主流操作系统类型,如
DOS
系统、
Windows
系统、
Linux
系统和
Unix
系统。而且,可以在一个工作组网络中还可以混合以上所有类型的操作系统。
1. 工作组网络的主要特点
要正确理解工作组网络,就需要对以下几个重要方面特点有所了解:
n
工作组主机间是平等的
工作组网络既然是
“
对等网
”
,从其名称中的
“
对等
”
两个字就可以看出来,对等网中的各主机都是对等的,地位平等,没有管理和被管理之分。在网络应用中,各主机既可以当作服务器,为其他主机提供访问服务,也可以当作客户机,访问其他主机。之所以是对等关系,那是因为在工作组网络中没有集中的账户管理和安全策略管理,网络中的主机都是各自为政,互不干涉的。而不是像域网络那样,有专门的
DC
(域控制器)来集中管理域网络中的用户、计算机等对象账户和安全策略。
n
管理和安全边界为各成员计算机
正因工作组网络中各主机是平等,互不干涉的,管理和安全边界就是工作组中各成员计算机,工作组本身不是管理和安全边界,不能直接针对工作组来进行管理和安全策略配置。在工作组网络中,主机之间的访问就需要访问方(在此估且称之为
“
客户机
”
)使用在被访问方(在此估且称之为
“
服务器
”
)上配置了的用户账户和密码,通过身份验证后才能访问。因为在工作组网络中,只有本地账户才可以访问自己的主机,不能输入本机以外的任何用户账户来访问本机(当然,可能有两台或两台以上主机中有相同用户名和密码的用户账户)。
在工作组网络中也有一种匿名访问方式,那就是无需输入任何账户和密码就可以访问对方。其实这里也是输入了用户名和密码,只是因为在默认情况下,各主机用于匿名访问的账户都是
Guest
(来宾)账户,且密码为空,所以在不输入用户名和密码的时候就是直接采用这种来宾账户进行登录访问的。但如果改变了这个
Guest
来宾账户的密码,即使启用了匿名登录,对方要访问自己时也需要输入本机上修改后的
Guest
账户信息。
【说明】出于安全考虑,像
360
安全卫士等网络安全工具软件都是建议你禁用
Guest
账户的,所以在这种情况下是必须正确输入被访问计算机上的用户账户名和密码才能访问。但是在注销前,你再次访问同一工作组计算机上的共享资源时是不会再提示你输入用户账户名和密码的。
n
采用
NetBIOS
名称解析
在工作组网络中,名称解析所用的协议是
NetBIOS
(
Network Basic Input Output System
,网络基本输入
/
输出系统
)协议。通过它可以将计算机名称解析成对应的
IP
地址。这个协议不能跨网提供名称解析功能,计算机名称限定只能在
15
个数字或者字符(本来是
16
位的,只是在微软的
NetBIOS
协议中,第
16
位是用于标识网络服务)以内,不能识别长格式的
DNS
域名。在
NetBIOS
名称中,
不能包括以下字符:
/\
、
[]
、
"
、
:
、
;
、、
|<
、
>
、
+
、
=,?*
,不能包含
“.”
。
如果是中文的,则最多只能是
7
个纯汉字,因为一个汉字要占用两个字符位。
n
在一个工作组网络中可以有多个工作组
不要以为在一个工作组网络中只能有一个工作组,否则的话就没有任何意义了。在一个对称网中可以有多个工作组。工作组的划分可以是任意的,一般是按部门,或者按工作性质等来划分的。但是要注意的是,工作组不代表安全边界。也就是说,不同工作组之间并没有权限意义上的区别,只是一种便于访问或管理的方式。它与我们现实生活中的
“
组
”
有些区别,因为现实生活中的
“
组
”
往往会有一个
“
组长
”
,负责整个组的管理。但在工作组中并没有一台主机具有管理整个组的权限,只是大家
“
平等共处
”
而已。
n
不同工作组是可以相互访问的
前面介绍到,在一个工作组网络中可以有多个工作组。大家或许会问,不同工作组的主机之间是否可以相互访问呢?这是肯定的,而且就像没有划分多个组,在一个工作组中不同主机间的访问一样简单,也只是需要正确输入对方的用户账户信息即可。当然如果通信双方都启用了默认配置的匿名访问,则也可以不用输入身份验证账户信息。原因就是,工作组不是网络安全边界的一个单位,不能为不同组设置不同的安全级别,也不能像域网络中为不同域设置不同的账户系统和安全策略。
【经验之谈】不同工作组只是用来标识不同组,不具有安全和安全边界特点,也就是在同一个工作组网络中,所有工作组间的用户计算机都查可以相互访问的,只要你有对方计算机上的正确用户账户信息即可。不存在只允许属于同一个工作组中的用户计算机相互访问的问题,这一点要额外引起注意。因为在工作组网络中的,管理和安全边界都是各成员计算机本身,是最小的管理和安全边界。当你在当前计算机上登录所使用的用户账户名和密码与要访问的那台计算机上的某个账户名和密码完全一样时,访问时是不需要输入用户名和密码的,因为系统自动认为你已是合法用户。其实这也是一个安全隐患,说不一定那天一个非法用户碰
巧使用了与网络中某台计算机中一样的账户名和密码,而又
碰
巧在网络中访问了那台计算机,则可能能出现非授权访问,带来安全威胁了。
2. 工作组的主要优缺点
工作组网络相对我们下面将要介绍的域网络来说,具有以下几方面的明显优缺点:
n
安全管理简单
这可以说是工作组网络的最大优点。因为在工作组网络中把网络安全边界下放到最终的用户端,外部计算机的访问必须使用本地计算机上合法的用户账户信息,这样一来,工作组网络的安全管理也就是各用户计算机自己的安全管理。而各用户计算机上的用户账户信息一般来说都非常简单,只有少数几个用户账户,只需要对本机(不涉及到其他机上的任何账户)上的少数账户进行适当的安全配置即可,所以在安全管理方面,要较域网络的安全管理容易些。另外,在工作组中,各成员计算机只使用自己计算机上的本地组策略,不会应用其他任何组策略,安全策略管理更简单。
n
网络性能比较高
因为在工作组网络中,除了基本的网络连接和资源共享外,基本上是没有任何额外(如各种全局范围的安全策略和身份认证等)的网络资源消耗,用户登录都是在本机上进行,所以,工作组网络的网络连接性能要远比域网络的网络连接性能向。这也是许多网友反映加入域网络后,登录和网络应用比较慢的根源所在。
n
网络管理不方便
这可以说是工作组网络的最大缺点。因为工作组网络中,网络管理和安全边界下放到最终的用户端,无论是用户账户,用户账户权限、安全策略等都是分散的,而且各用户计算机上的这些配置都可能不同,管理员很难,甚至无法通过一台机来集中管理工作组网络中的用户账户系统和安全策略系统。给整个网络管理带来混乱,特别是在较大网络中。
另外,对于管理员管理整个网络也一样,要实现对整个网络中的计算机进行管理,就必须在各计算机上配置有相同账户的管理员账户(注意,密码都必须一样),否则每次第一次访问一台计算机时,都提示要求输入用户账户名和密码。如果财贸系统中有一百台,则需要在一百台计算机创建和配置这个相同的用户账户信息,如果有一千台,则要进行一次同样的工作。其工作量是可想而知的。尽管可以直接通过复制用户配置文件来实现,但至少也要复制一千次啊。
所以,一般来说,工作组网络主要适用于中小型网络(通常认是百台以内),但这并不是从性能上考虑的,而是从管理上考虑的。
n
网络公共应用配置比较繁琐
因为工作组网络中的网络访问身份验证是依据各成员计算机的账户系统,所以在一些公共网络应用服务器中的安全配置就显得比较复杂了,要么是网络中各计算机都启用默认的
Guest
账户(并且全都采用默认的空密码),要么在授权访问的每台计算机配置相同的组或者用户账户,否则就无法进行全面授权。如果启用
Guest
账户,会给企业网络带来巨大的安全隐患。
经过一整天的编写,终于赶在明天之前把后面部分写完了,因为明天有明天的任务。大家看一下,总结得是否正确,是否有需要补充的地方。
2.1.2 域网络
域网络其实是微软借鉴了互联网中的域名技术的,是目前企业局域网中应用最为广泛的一种网络管理模式。
域是什么?简单地说,域是一种基于对象和安全策略的分布式数据库系统。
之所以说是基于对象和安全策略,那就是因为域网络的最大特点就是可以实现用户、计算机等对象账户,以及网络安全策略的集中管理和部署。
所谓“数据库”是指域中的信息(如账户信息、配置信息等)不是以独立文件形式存在,而是以字段信息之类的数据形式存在。我们知道,在微软的域网络中最显著的特点就是引入了“活动目录”(Active Diretory,AD)技术。而AD本身就是一种目录数据库系统。之所以称之为“活动目录”,那是因这在域网络中的目录是始终呈激活可用,动态更新的状态,而不是像普通目录一样静态地使用。这样做的目的就是方便系统中各服务器自身进行的,或者用户操作的查询、更新、同步等,也提高了各服务器间数据复制的性能。
在活动目录数据库中包括了三个表格:
l
Schema表
这个表中包含了所有可在活动目录创建的对象信息,以及他们之间的相互关系;包括各种类型对象的可选及不可选的各种属性。这个表是活动目录数据库中最小的一个表,但是也是最基础的一个表。
l
Link 表
Link表包含所有属性的关联,包括活动目录中所有对象的属性的值。一个用户对象的所有属性的类型,包括每个属性的值及用户所属于的组等信息都属于这个表。
l
Data表
活动目录中用户、组、应用程序特殊数据和其他的数据全部保存在Data表中。这是活动目录中存储信息最多的一个表,大量的活动目录的资料实际上还是存储在这个表中。
所谓“分布式”就是这种活动目录配置信息数据库系统中的数据可以不是仅来源或者存储在一台计算机上,而且可关联网络中许多相关服务器(如DC、DNS、DHCP服务器等)。
支持域网络管理模式的操作系统是微软的Windows NT核心操作系统,如Windows 2000、Windows XP、Windows Server 2003、Windows VISTA和Windows Server 2008。但较新版本的Linux系统也可通过SAMBA服务器的配置加入到微软的域网络中。具体将在本书后面专门介绍。UNIX、DOS,以及早期的Windows 95以前版本的Windows操作系统都不支持域网络管理模式。
1. 域网络的主要特点
域网络的主要特点如下:
l
集中管理
前面说到了,域网络可以实现对象(包括用户和计算机)和安全策略的集中管理和部署,这是域网络的最显著特点。域网络是C/S(客户机/服务器)管理模式在局域网构建中的应用。在域网络中,有专门用来管理或者提供服务的各种服务器,如用于对象、安全策略管理的各级域控制器(DC)。通过DC中的活动目录(AD)和域组策略就可以对整个网络中的用户账户(包括用户权限、权利)、计算机账户和安全管理策略进行统一管理,统一部署。这样一来,域网络中各成员计算机的角色并不是平等的,有管理(各服务器)和被管理(各客户机)之分。这是前面工作组网络所无法实现的。
l
多级账户和安全策略
在域网络中,域账户和安全策略可以有多级,最小的安全策略边界是域中的“组织单位”(OU),最大的安全边界是林;而用户账户可以是子域中的,也可以是父域中的。不同安全级别的配置应用是按照先本地,后域的规则进行的。在域层次中,则是按照精确度由低到高的顺序进行应用的。而最后应用的级别最高。如组策略的应用顺序是:本地组策略→站点组策略→域组策略→子域组策略→组织单位组策略。
因为存在多级账户和安全策略,所以在域网络中存在一个信任关系。也就是一个域可以与同一林中的其他域建立单向或者双向信任关系,不同林之间也可以建立单向或者双向信任关系。这样一来,就可以实现单向或者双向访问的目的。
l
默认信任
在工作组网络中,由于各用户账户都只是对各自计算机本地有效,所以各成员计算机之间根本没有信任关系,要访问就必须先进行身份验证。而在域网络中,域用户账户在整个域网络有效,所以加入了域的计算机都遵守了相同的信任协议,彼此相互信任,只要有域网络中合法的用户账户即可。这也是后面将要介绍的“单点登录”的基础和前提。
l
集中存储
这也是域网络的一大优势和特点。在域网络中的用户文档或者数据可以集在保存在网络中的一台或者多台相应服务器上。用户文档还可以保存在服务器上为每个用户创建的用户主目录中,并且该目录只有用户自己可以访问,包括网络管理员也不能访问(当然网络管理员可以更改访问权限),极大地保障了各用户私有文档的安全性。同时也方便了网络数据的存储,提高警惕了网络数据存储的安全性。这一点在工作组网络中无法实现,因为即使你可以把数据存储在其他用户计算机中,你的文档同样可以被那台机上的用户所浏览、修改,甚至删除。
l
单点登录
在域网络中,采用的是单点登录(Single Sing On,SSO)。在域网络中的所谓“单点登录”就是用户只需要使用域账户登录一次,就可以实现对整个域网络共享资源的访问(当然这是要在授予了访问权限的前提下),而无需在访问不同计算机上共享资源时输入不同的账户信息。这就大大减化了网络资源的访问验证过程。在工作组网络中,因为安全边界就是各用户计算机本身,用户账户都是存储在各用户计算机上,所以无法实现网络中的单点登录。
当然,单点登录不仅应用于域网络用户的登录,它同样广泛应用于其他支持单点登录的应用系统,用户只需要登录一次就可以访问所有相互信任的应用系统。单点登录原理就是网络中的所有成员都信任同一套身份验证系统,可以是用户账户、也可以是用户邮箱名,还可以其他应用系统的帐号。
l
采用DNS解析协议
在域网络中,用户计算机名称和IP地址的解析是通过DNS(Domain Name Services,域名服务)协议来进行的,而不再使用NetBIOS协议。但是对于不支持DNS协议的早期操作系统(如DOS、Windows 95),仍能提供基于NetBIOS名称解析的。DNS名称是以“.“分隔的,具有层次结构的名称,最大长度为255个字符,比NetBIOS名称允许的长度长了许多。
l
支持漫游配置
在域网络中,每个域用户账户都可以在域网络中任意一台允许本地登录的计算机上登录域网络,只要该计算机与DC在同一个网络中即可。而且用户的桌面环境及其他账户配置不会因在不同计算机上登录而不同,因为域网络支持全局漫游用户配置文件。这样就极大方便了用户的网络访问。
2. 域网络的主要优缺点
与任何事务都没有绝对的优点,也没有绝对的缺点一样,域管理模式与工作组管理模式相比,也存在一定的优点与缺点。
l
管理更方便
因为域网络可以实现在一台服务器上对用户/计算机账户和安全策略的集中管理,对于管理员来说,就可以更方便地管理整个网络的用户账户(包括用户账户权限和权利)和安全策略。而不必分别到各用户计算机上分别配置。这对于网络规模较大的网络来说,优势更加明显。所以说,一般来说,域网络比较适用于较大型的网络,但也不是从性能上来考虑的。
l
安全性更高
因为域网络的全局用户账户和安全策略都是集中在一台或者少数几台DC上进行配置与管理的,所以相对工作组网络来说,这些配置的安全性就更高,更不容易被人***和破解。同样,由于域网络中的用户数据可以偏大中存放在一台或者少数几台服务器上,企业网络数据也就更安全。
l
网络访问更方便
在前面的主要特点中介绍到,域网络是采用单点登录方式,用户只需要用户域账户登录一次域网络,就可以无限地访问允许访问的所有网络资源,而无需反复输入不同账户信息进行身份验证。
l
有专门的高性能服务器
因为在域网络中的用户账户、计算机账户、域网络安全策略等都是在DC上进行统一部署和管理的,所以需要有专门的高性能服务器来担当。对于企业说,相当于增加了一笔不小的开支。
l
安全配置更复杂
因为在域网络中涉及到多级安全策略,各级策略的应用又有一定规则,所以总体来说,安全配置更为复杂,不容易掌握。这对管理员的技能水平要求更高。
l
网络性能较低
因为在域网络中的用户账户和安全策略都是在网络中的服务器上进行统一部署的,而且域网络中可能存在多级安全策略,所以用户在登录和进行网络访问时的性能不如工作组网络,存在一定的延时,特别是在大的域网络,或者安全策略配置复杂(安全级别太多,采用的安全通信协议太多,安全策略设置启用太多等)、安全策略配置不合理(如存在许多冲突设置项)的域网络中表现尤其突出。
2.1.3 “工作组”与“域”的选择
以上两小节介绍分别介绍了工作组网络的域网络中的主要特点和主要优缺点,从中可以看出,两者之间没有绝对的优势和劣势。具体选择哪一种网络管理模式,主要考虑以下几个方面:
l
安全策略的复杂性
如果自己单位网络的应用比较简单,只需部署基于用户计算机本身的单级安全策略需求,只需部署基于用户计算机本身的安全策略,则可考虑选择工作组网络管理模式,当然这还要结合以下其他需求。这样用户权限、安全策略配置与管理起来更简单。
如果你所在单位网络的应用系统访问权限配置比较复杂,有基于整个局域网的全局用户账户和安全策略管理需求,有基于多级组织(如公司总部、分公司、合作伙伴等)的安全策略配置需求,则要必须选择域管理模式了,因为在工作组网络中,无论你的网络中的工作组数量有多少,它们都是平等,互不影响的,是独立应用各自安全策略的。
l
有无全局、集中管理需求
我们知道,域网络可以在一台DC上实现全局的域用户/计算机账户(由活动目录完成)和安全策略(由域组策略完成)的统一管理和部署,而工作组中用户账户和安全策略都是基于各用户计算机,是分散的,不能实现集中的全局管理。如果你公司的网络没有基于整个局域网的用户账户和网络安全全局管理需求,则可以考虑选择工作组网络管理模式(同样还要考虑其他需求),否则必须选择域网络管理模式
l
有无基于活动目录的应用与管理需求
在Windows平台下的网络应用,有些是必须要依赖Windows服务器系统的活动目录服务的,如DFS(分布式文件系统)、Exchange Server邮件服务器、ISA(Internet Security and Acceleration,因特网安全和加速)防火墙、PKI(公钥基础结构)、SharePoint、WSUS(Windows系统更新服务)等。如果你公司的网络中没以上需求,则可以考虑选择工作组网络管理模式,否则收必须选择域网络管理模式。
l
首要考虑
因为域网络中可能涉及到多级、更加复杂的安全策略应用,以及服务器性能瓶颈,所以,域网络的用户登录和网络应用性能相比同等配置的工作组网络来说,要差些。所以,如果你公司的网络硬件(包括交换机设备和各用户计算机硬件配置)配置不是很好,则建议考虑选择工作组网络管理模式,当然同样还要结合其他需求来考虑。如果你公司的网络更注重的是整个网络的可管理性和安全性,则建议选择域网络管理模式。通常是认为网络规模比较小的话,建议你选择工作组网络管理模式,因为这样规模的网络采用工作组管理模式后可以实现性能和管理双重均衡考虑。否则,网络规模扩大后,势必会带来一些新的网络应用,以及相应的网络应用安全需求,如果仍采用工作组管理模式的话,就可以给整个网络的管理带来较大难度,达不到性能和管理双重均衡的效果
转载于:https://blog.51cto.com/laowu/189935
