域控制器在域中的作用
域控制器在域中有什么作用呢?下文進(jìn)行了詳細(xì)的描述。
首先"域"就是一個網(wǎng)絡(luò),在"域"中的計算機(jī)的標(biāo)識就是主機(jī)名+域名,舉個例子 new.163.com和mail.163.com是同屬于163.com域的。域”的真正含義指的是服務(wù)器控制網(wǎng)絡(luò)上的計算機(jī)能否加入的計算機(jī)組合。一提到組合,勢必需要嚴(yán)格的控制。所以實行嚴(yán)格的管理對網(wǎng)絡(luò)安全是非常必要的。在對等網(wǎng)模式下,任何一臺電腦只要接入網(wǎng)絡(luò),其他機(jī)器就都可以訪問共享資源,如共享上網(wǎng)等。
明白了上面的概念后再說域控制器,在“域”模式下,至少有一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作,相當(dāng)于一個單位的門衛(wèi)一樣,稱為“域控制器(Domain Controller,簡寫為DC)”。如果你的機(jī)器沒加入域,你在你的機(jī)器上設(shè)置個用戶名和密碼,你每次登陸的時候密碼和用戶名的驗證是在你的本機(jī)上進(jìn)行的.如果你拿著你的用戶名在別人的機(jī)器上登陸是不行的.但是當(dāng)你的的計算機(jī)加入了一個域以后,你的用戶名和密碼就不只在你自己的機(jī)器上可以登陸了,在其他計算機(jī)上也可以登陸系統(tǒng),這是為什么呢?這是因為在“域”模式下,至少有一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入“域”的電腦和用戶的驗證工作,在這太服務(wù)器中包含了由這個域的賬戶、密碼、屬于這個域的計算機(jī)等信息構(gòu)成的數(shù)據(jù)庫,這臺服務(wù)器就是域控制器了。
當(dāng)域中的電腦聯(lián)入網(wǎng)絡(luò)時,域控制器首先要鑒別這臺電腦是否是屬于這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確,那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄,用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源,他只能以對等網(wǎng)用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。
域和組的區(qū)別
工作組是一群計算機(jī)的集合,它僅僅是一個邏輯的集合,各自計算機(jī)還是各自管理的,你要訪問其中的計算機(jī),還是要到被訪問計算機(jī)上來實現(xiàn)用戶驗證的。
而域不同,域是一個有安全邊界的計算機(jī)集合,在同一個域中的計算機(jī)彼此之間已經(jīng)建立了信任關(guān)系,在域內(nèi)訪問其他機(jī)器,不再需要被訪問機(jī)器的許可了。
為什么是這樣的呢?因為在加入域的時候,管理員為每個計算機(jī)在域中(可和用戶不在同一域中)建立了一個計算機(jī)帳戶,這個帳戶和用戶帳戶一樣,也有密碼保護(hù)的。可是大家要問了,我沒有輸入過什么密碼啊,是的,你確實沒有輸入,計算機(jī)帳戶的密碼不叫密碼,在域中稱為登錄票據(jù),它是由2000的DC(域控制器)上的KDC服務(wù)來頒發(fā)和維護(hù)的。為了保證系統(tǒng)的安全,KDC服務(wù)每30天會自動更新一次所有的票據(jù),并把上次使用的票據(jù)記錄下來。周而復(fù)始。
也就是說服務(wù)器始終保存著2個票據(jù),其有效時間是60天,60天后,上次使用的票據(jù)就會被系統(tǒng)丟棄。如果你的GHOST備份里帶有的票據(jù)是60天的,那么該計算機(jī)將不能被KDC服務(wù)驗證,從而系統(tǒng)將禁止在這個計算機(jī)上的任何訪問請求(包括登錄),解決的方法呢,簡單的方法使將計算機(jī)脫離域并重新加入,KDC服務(wù)會重新設(shè)置這一票據(jù)。或者使用2000資源包里的NETDOM命令強(qiáng)制重新設(shè)置安全票據(jù)。因此在有域的環(huán)境下,請盡量不要在計算機(jī)加入域后使用GHOST備份系統(tǒng)分區(qū),如果作了,請在恢復(fù)時確認(rèn)備份是在60天內(nèi)作的,如果超出,就最好聯(lián)系你的系統(tǒng)管理員,你可以需要管理員重新設(shè)置計算機(jī)安全票據(jù),否則你將不能登錄域環(huán)境。
域控制器在域中的作用相信大家也已經(jīng)了解了,有什么不懂的51cto網(wǎng)站的操作系統(tǒng)頻道給了大家很多文章供參考。
【編輯推薦】
