为何咱们须要域？Active Directory系列之一

为何须要域？

对不少刚开始钻研微软技术的朋友来讲，域是一个让他们感到很头疼的对象。域的重要性毋庸置疑，微软的重量级服务产品基本上都须要域的支持，不少公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但域对初学者来讲显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操做主机角色，全局编录….不少初学者容易陷入这些技术细节而缺乏了对全局的把握。从今天开始，咱们将推出Active Directory系列博文，但愿对广大学习AD的朋友有所帮助。

今天咱们谈论的第一个问题就是为何须要域这个管理模型？众所周知，微软管理计算机可使用域和工做组两个模型，默认状况下计算机安装完操做系统后是隶属于工做组的。咱们从不少书里能够看到对工做组特色的描述，例如工做组属于分散管理，适合小型网络等等。咱们这时要考虑一个问题，为何工做组就不适合中大型网络呢，难道每台计算机分散管理很差吗？下面咱们经过一个例子来讨论这个问题。

假设如今工做组内有两台计算机，一台是服务器Florence，一台是客户机Perth。服务器的职能你们都知道，无非是提供资源和分配资源。服务器提供的资源有多种形式，能够是共享文件夹，能够是共享打印机，能够是电子邮箱，也能够是数据库等等。如今服务器Florence提供一个简单的共享文件夹做为服务资源，咱们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一我的能够访问！那咱们就要考虑一下如何才能实现这个任务，通常状况下管理员的思路都是在服务器上为张建国这个用户建立一个用户帐号，若是访问者能回答出张建国帐号的用户名和密码，咱们就承认这个访问者就是张建国。基于这个朴素的管理思路，咱们来在服务器上进行具体的实施操做。

首先，以下图所示，咱们在服务器上为张建国建立了用户帐号。

 

而后在共享文件夹中进行权限分配，以下图所示，咱们只把共享文件夹的读权限授予了用户张建国。

 

好，接下来张建国就在客户机Perth上准备访问服务器上的共享文件夹了，张建国准备访问资源\\Florence\人事档案，服务器对访问者提出了身份验证请求，以下图所示，张建国输入了本身的用户名和口令。

 

以下图所示，张建国成功地经过了身份验证，访问到了目标资源。

 

看完了这个实例以后，不少朋友可能会想，在工做组模式下这个问题解决得很好啊，咱们不是成功地实现了预期目标嘛！没错，在这个小型网络中，确实工做组模型没有暴露出什么问题。可是咱们要把问题扩展一下！如今假设公司不是一台服务器，而是500台服务器，这大体是一个中型公司的规模，那么咱们的麻烦就来了。若是这500台服务器上都有资源要分配给张建国，那会有什么样的后果呢？因为工做组的特色是分散管理，那么意味着每台服务器都要给张建国建立一个用户帐号！张建国这个用户就必须痛不欲生地记住本身在每一个服务器上的用户名和密码。而服务器管理员也好不到哪儿去，每一个用户帐号都从新建立500次！若是公司内有1000人呢？咱们不可思议这么管理网络资源的后果，这一切的根源都是因为工做组的分散管理！如今你们明白为何工做组不适合在大型的网络环境下工做了吧，工做组这种散漫的管理方式和大型网络所要求的高效率是背道而驰的。

既然工做组不适合大型网络的管理要求，那咱们就要从新审视一下其余的管理模型了。域模型就是针对大型网络的管理需求而设计的，域就是共享用户帐号，计算机帐号和安全策略的计算机集合。从域的基本定义中咱们能够看到，域模型的设计中考虑到了用户帐号等资源的共享问题，这样域中只要有一台计算机为公司员工建立了用户帐号，其余计算机就能够共享帐号了。这样就很好地解决刚才咱们提到的帐号重复建立的问题。域中的这台集中存储用户帐号的计算机就是域控制器，用户帐号，计算机帐号和安全策略被存储在域控制器上一个名为Active Directory的数据库中。

上述这个简单的例子说明的只是域强大功能的冰山一角，其实域的功能远远不止这些。从下篇博文咱们将开始介绍域的部署以及管理，但愿你们在使用过程当中逐步增长感性认识，对域有更加深刻及全面的了解，可以掌握好Active Directory这个微软工程师必备的重要知识点。