Windows server 2008 域控制器

怡红公子0526 2022-06-19 发布于北京

展开全文

Windows的网络架构

Windows的网络架构大致分为：

工作组架构
域架构

工作组架构：工作组是由一组通过网络连接在一起的计算机组成，组内的计算机可以共享本机的文件，打印机等资源，使组内成员可以进行访问。工作组网络也被称为对等（peer-to-peer）网络，因为网络上每一台计算机的地位都是平等的，它们的资源与管理是分散在各个计算机上的。每一台Windows计算机都有一个本地安全账户管理器，称为security accounts manager database（SAM）数据库，这个文件一般位于C:\Windows\System32\config\SAM，该文件存放了登录系统的用户凭证。当用户忘记登录密码或者管理员密码时，可以通过PE来对该文件进行修改，来达到重置密码的目的。

域架构：域也是由一组通过网络连接在一起的计算机组成，它与工作组架构不同的是，域内所有计算机共享一个几种的目录数据库（Directory Database），里面存储着整个域内所有用户的账户等相关数据。在Windows server 2008 R2域内提供目录服务（Directory Service）的组件为Active Directory域服务，它负责目录数据库的添加，删除，修改与查询等工作。在域架构的网络内，这个目录数据库是存储在域控制器（Domain Controller）中，而只有服务器级别的计算机才可以充当域控制器的角色。

域中计算机的种类：

域控制器（Domain Controller）：在Windows server 2008 R2的家族中，除了Windows web server 2008 R2与Windows server 2008 R2 for itanium-Based Systems之外，其它都可以扮演域控制器的角色。一个域内可以有多台域控制器，而在大多数情况下，每台域控制器的地位都是平等的，他们各自存储着一份几乎完全相同的AD DS数据库，当你在任何一台域控制器内添加了一个用户账户后，这个账户是被创建在这台域控制器的AD DS数据库内，之后这份数据会自动被复制到其它域控制器的AD DS数据库内。这个复制操作可以确保所有与控制内的AD DS数据库都能够同步，也就是拥有相同的数据。当用户在域内某台计算机登录时，会由其中一台域控制器根据其AD DS数据库内的账户数据，审核用户所输入的账户与密码是否正确，如果正确，用户可以登录成功，否则拒绝登录。多台域控制器哈可以提供拍错功能，因为即使一台域控制器出现故障，仍然能够由其它域控制器来继续服务。此外他也可以提高用户登录效率，因为多台域控制器可以分担审核用户登录身份的负担。

成员服务器（Member Server）：当服务器级别的计算机加入域后，这台服务器就被称为成员服务器，如果没有加入域则被称为独立服务器，成员服务器的用户可以在这些计算机上利用Active Directory内的用户账户登录，否则只能够利用本地用户账户登录，成员服务器内没有Active Directory数据，他们也不负责审核域用户的账户密码。

其它Windows主机：Windows XP，Windows 7 等。

Active Directory
Active Directory域内的Directory是用来存储用户账户，计算机账户，打印机与共享文件夹等对象，我们把这些对象的存储位置称为目录数据库（Directory Database）。Active Directory域内负责提供目录服务的组件就是Active Directory域服务（Active Directory Domain Services，AD DS）,它负责目录数据库的存储，添加，删除，修改与查询等工作。

实验环境：

系统：Windows server 2008 R2 Enterprise Windows 7