5 域和工作組
·域和工作組的差別
在前麵安裝的過程中,係統就詢問過要將計算機加入一個"域"還是一個"工作組"。那麼"域"和"工作組"到底是什麼?又有什麼區別呢?
"域"和"工作組"都是由一些計算機組成,比如我們可以把公司的每個部門組織成一個"域"或者一個"工作組",網絡部、軟件部、銷售部、客戶服務部等等。這種組織關係和物理上電腦之間的連接沒有關係,是邏輯意義上的。一個網絡中可以創建多個"域"和多個"工作組"。
他們之間的區別可以歸結為以下幾點:
首先創建方式不同,"工作組"可以由任何一個計算機的主人來創建,他在"工作組"輸入新名稱,重新啟動一下就創建了一個新組,每一個電腦都可以創建一個組。而"域"隻能由服務器來創建,其他的計算機隻能加入這個域。如下圖。
其次是安全機製不同,在"域"中有可以登錄該域的帳號,這些由域管理員來建立。在"工作組"中不存在組帳號,隻有本機上的帳號和密碼。看看下圖。
再次登錄方式不同,在工作組方式下,計算機啟動後自動就在工作組中。登錄"域"是要提交"域用戶名"和"密碼",一旦登錄,便被賦予相應的權限。
·怎樣用最簡單的方法讓裝有Professional的計算機加入到"域"中
那麼怎樣讓Windows 2000 Professional 工作站加入到一個域中呢?
如果在安裝Windows 2000 Professional時將本機加入到一個工作組中的話,現在又怎樣加入到一個已有的域中呢?
首先需要以Administrators組成員的身份登錄到Professional,因為在默認情況下,隻有該組成員可以將本機加入到"域"中。
其次,加入"域"需要"域"管理員來協助,需要"域管理員"先給自己分配一個 "域帳號",且域管理員還要幫你輸入一個可以將計算機加入域權限的帳號。
這裏假定我們就是"域管理員", 並在"域"中建立了名稱是"Jack"的帳號,屬於"Users"組。下麵我們就看看如何把這台Professional工作站"ZW"加入到域"SOFT.COM"。
在"我的電腦"圖標上單擊右鍵,選擇"屬性"。單擊"網絡標識"選項卡。加入域有兩種辦法,一種是采用"標識向導",另一種是直接修改"屬性",也是最常用的辦法。如下圖。
我們先看看修改"屬性"的方法;單擊麵板上的"屬性"按鈕,出現"更改標識"的窗口,上麵顯示的是當前計算機的名稱,修改計算機名稱就可以在這裏進行。(如圖一)下麵顯示當前計算機屬於"Soft"組,單擊"隸屬於"下麵的"域",我們要加入的域名稱是"Soft.com",輸入時隻輸入"Soft"即可,然後單擊"確定"。
 圖一 |  圖二 |
| 提示輸入有權限將計算機加入到域的用戶名和用戶密碼,(如右圖)這個用戶帳號是在域中已經存在了的,且具有將計算機加入到"域"中的權限,一般都是 "管理員"組成員。輸入好後,單擊"確定",如果確認成功的話,會出現歡迎加入"域"的提示;如果不成功會出現"拒絕訪問"的提示,要再確認一下輸入的"域"帳號名、密碼是否正確,其權限是否可以將計算機加入到域中。 |  |
 | 成功加入"域"後,按照提示關閉窗口,重新啟動計算機,在登錄畫麵中就可以看到登錄"域"的選項了。 |
·使用標識向導加入"域"時的問題
那麼使用"標識向導"加入"域"又是怎樣的呢?我們先看看"網絡ID"左邊的這段說明文字:"加入'域'並創建本地用戶,輕請單擊網絡ID"。(如右圖)看來比直接修改"屬性"多了一項"創建本地用戶",下麵我們就來實際的操作一下,單擊"網絡ID"。出現"網絡標識向導"窗口,首先看到的是歡迎使用的窗口,單擊"下一步"。 |  |
這一步是確定自己的計算機是連接在公司局域網中,還是家庭使用的單機,這裏使用默認的選擇,單擊"下一步"。彈出一個對話框是選擇公司的網絡是否有"域",這裏還是使用默認的選項,單擊"下一步"。
這是向導提示,將要提交的一些信息。並提示,如果沒有這些信息,需要和係統管理員聯係。我們還是單擊"下一步"。
彈出了如下的對話框,現在要我們輸入在"域"中的帳號、密碼和"域",這個帳號是域管理員已經在"域"中給我們創建好了的。比如是:Jack,再輸入密碼,"域"名輸入"Soft"。然後單擊,"下一步"。(如左圖)
稍等片刻,係統便會在"域Soft"中找到用戶帳號"Jack",並提示是否使用該帳號,具體的含義是什麼呢?其實這個提示的意思是指,是否用域內的帳號"Jack"作為加入域的的身份驗證,可以做這樣的比喻:"域"好似大學,這裏提示要驗證的身份就是你的入學通知書,你隻有"提交"了通知書後,才能正式成為該校的學生。(如圖一)同樣將計算機加入到"域",也需要提交一個可以把計算機加入"域"的"域"用戶帳號作為憑據。
 圖一 |  圖二 |
這裏我們可以根據"域"用戶"Jack"的權限來選擇,如果不清楚的話可以選擇"否"。如果我們知道"域"用戶"Jack"具有將計算機加入到"域"中的權限的話,就可以選擇"是"。
這裏我們選擇"否"。(如圖二)接下來,輸入這台"計算機的名稱""ZW",和將要加入的"域""Soft",再單擊"下一步"(如圖三)。
|
|  圖四 |
此時要我們輸入具有加入"域"權限的"域"用戶名、密碼和"域"名稱,這和剛才通過修改"屬性"加入所看到的一樣。輸好後單擊"確定"(如圖四)。
身份驗證通過後,提示在本機添加用戶帳號,已經填好了"用戶名"和"用戶域",需要說明,所填的"帳號"的"用戶名"一定要在"用戶域"中存在。這裏的"用戶域"不單指我們將要加入的"域Soft.com",也指我們當前使用的Professional 工作站"ZW"。
 圖五 |
如果選擇"目前不添加用戶"就和前麵通過"屬性"加入"域"一樣了。
我們這裏就輸入管理員給我們在"域 Soft.com"中創建的帳號名"Jack",和"域""Soft",,添加用戶的含義是將自己的域帳號添加到本機用戶中,並指派權限,也就是定義自己的域帳號在本機上的權限,單擊"下一步"。 (如圖五)
接下來要設置用戶對本機的訪問級別,默認的是"標準用戶",已經具有了比較大的權限。我們還可以更改其級別。這裏我們就不做更改直接單擊"下一步"。
出現建立標識完成的提示,單擊"完成"結束(如圖六)。向導最後提示:重新啟動計算機後設置才能生效,單擊"確定",現在已經可以看到當前計算機的完整名稱是"ZW.Soft.com",所在的"域"是"Soft.com"。(如圖七)
 圖六 |  圖七 |
·"域"用戶在本機上有多大的權限?
 圖一 |
也許你會感到疑惑,創建了這樣一個新用戶有什麼意義呢?讓我們用這個帳號"Jack"登錄到"域"中看看,打開下麵的"登錄到"選單,選擇"SOFT"域。第一次用該帳號登錄域,花費的時間要長一點,以後就比較快了。(如圖一)
我們打開"控製麵板",雙擊"用戶和密碼", (如圖二)這時會出現一個"用戶和密碼"對話框,要求指定本機管理員的用戶名和密碼,驗證身份後就進入"用戶和密碼"窗口,你會發現在其中多出了一個用戶"Jack",原來我們並沒有創建這個用戶,這個帳號的圖標也與眾不同,本機用戶的圖標都是一個小電腦和一個頭像組成,這個用戶是一個地球和一個頭像組成,表明其來自"域Soft",(如圖三)這就是我們剛才在將計算機加入到"域"中的時候建立的本地帳戶。
 圖二 |  圖三 |
當前"Jack"屬於"Power User"組,具有修改計算機設置,包括創建新用戶等高級權限。
| 我們將用戶Jack設置到Users組,看看會有什麼變化。選擇用戶"Jack",單擊"屬性"按鈕,(如圖四) |  圖四 |
| 單擊"受限用戶",再單擊"確定"。(如圖五) |  圖五 |
| 此時會出現另外一種"用戶名和密碼"對話框,問"現在是否注銷",我們選擇"是",注銷後重新登錄。(如圖六) |  圖六 |
登錄完成後,再打開"控製麵板",雙擊"用戶和密碼",仍然不讓進入了,還要提交具有查看權限的用戶名和密碼。(如圖七)
 圖七 |
我們再雙擊一下任務欄托盤中的時間,時間也沒有權限修改了。原來我們在本機上的權限已經降低到Users組成員的身份了,不能對係統的各種設置進行修改。
現在我們可以知道"域用戶"在"域"中的權限和在"本機"上是不同的,我們還可以看看下麵的例子。
域係統管理員Administrator登錄到域中後,他在資源管理器的地址欄輸入:\\ZW\c$,也就是要訪問Professional工作站ZW中的C盤,你會發現很快他就看到工作站ZW C盤中的所有內容了,事實上域係統管理員對本機具有完全控製的權力。但在實際工作中係統管理員不應該有這樣的權力。
那麼作為Professional工作站的管理員,如何才能防止"域"管理員在本機上有過大的權限呢?
·限製"域管理員"在本機權限的技巧
下麵我們就來限製一下"域係統管理員"在本機上的權限。先用管理員Administrator的身份登錄到本機。
然後打開"控製麵板",再打開"用戶和密碼"。(如圖一)我們把域管理員的帳號添加到本地用戶中,單擊"添加"按鈕,出現添加新用戶的窗口,這和在前麵添加本機用戶時看到的畫麵已經不一樣了,我們可以直接輸入"域管理員"帳號"Administrator"和他所在的"域Soft.com",再點"下一步"。(如圖二)
 圖一 |  圖二 |
也可以單擊"瀏覽",輸入一個可以訪問域權限的帳號名和密碼,輸好後點"確定",(如圖三)此時在列表中就可以看到目前域Soft.com中的用戶了,從中選擇"Administrator",單擊"確定",單擊"下一步"。(如圖四)將訪問級別選擇為"受限用戶",單擊"完成"。在本機用戶列表中已經可以看到該帳號了。
 圖三 |  圖四 |
現在域管理員Administrator在"本域"中具有超級的權力,但如果他訪問本機的話,就隻有Users組成員的權限了,這也是Windows 2000 中所應用的"就近原則",離本機最近的安全設置是有效的。
可是如果我們想給多個域用戶設置在本機上的權限,采用這樣的辦法顯然不是最好的辦法,有沒有更方便的辦法呢?這就要用到"組"了。
我們可以創建一個叫做"OtherUsers"的本地組,默認情況下該組和"Users"組是平等的,然後將域用戶添加到這個組中,這樣的話該組中的成員在本機上隻具有Users組成員的權限。下麵我們看看具體的操作。
 圖五 |
打開"控製麵板"中的"用戶和密碼",打開"高級"選項卡,單擊"高級用戶管理"欄中的"高級"按鈕。(如圖五)出現"本地用戶和組"的管理窗口,單擊左欄中的"組",打開"操作"菜單,(如圖六)選擇"新建組";"組名"中輸入"OtherUsers","描述"中輸入"域用戶組",(如圖七)接下來是添加成員,單擊"添加"按鈕,此時出現"本機""ZW"上的用戶和組列表,打開查找範圍選單,選擇域"Soft.com" (如圖八)
 圖六 |  圖七 |
 圖八 |
現在我們開始選擇用戶,在需要的用戶名上雙擊鼠標即可添加,因為"域"中管理員"Administrator"、 "Domain Admins"組、"Enterprise Admins"組成員對本機才有過高的控製權限,通常我們選擇這些組即可。添加好後,單擊"確定"。再單擊"創建",然後單擊"關閉"。現在組和域用戶都添加好了,現在"域"中的超級警察就管不了我們的電腦了。
