2024年1月9日发(作者:)
工作组与域管理模式的对比
一、 计算机管理模型
企业网络中,计算机管理模式有两种:
工作组(WorkGroup):默认方式,每台机器自主管理,各自为政,每台机器的地位对等。
域(Domain):或者称AD活动目录(Active Directory)。
管理思想:“集中管理”。
域是安全边界的界定,划分一个相互信任的区域,域控制器(以下简称DC)统一集中管理账号、权限、设置等。
二、 域的概念
域(AD活动目录)是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。
实际上我们可以把域和工作组联系起来理解,在工作组上一切的设置在本机上进行,包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。
在工作组模式下,计算机处于一个孤立状态,使用计算机的用户登录帐号和计算机的管理均须在每台计算机上创建或进行。见下图。
当计算机超过20台以上时,计算机的管理变得越来越困难,并且要为用户创建越来越多的访问网络资源的帐号,用户要记住多个访问不同资源的帐号。
而在域的模式下,用户只需记住一个域帐号,即可登录访问域中的资源。并且管理员通过组策略,可以轻松配置用户的桌面工作环境和加强计算机安全设置。域模式下所有的域帐号保存在域控制器的活动目录数据库中。见下图。
Active Directory 协助中大型组织为用户提供可靠的工作环境,它提供最高层级的可靠性和效能,让使用者得以尽可能有效率地将其工作做好,并提供安全和可管理的环境让 IT 员工可以更容易地工作。
使用AD是因为有许多应用程序和服务之前使用不同的用户名/密码,并由每个应用程序来单独管理。
例如,在Windows中,网络、邮箱、远程访问、业务系统、ERP、CRM都有自己的用户名和密码。使用 Active Directory之后,组织的系统管理员可以将用户加入 Active Directory域,使用同一目录进行单点登录。一旦用户登录
Windows,其域的用户名和密码就是钥匙,将可自动解除锁定所有已启用的应用程序或服务,包括利用 Windows 整合式验证的第三方应用程序。
通过建立用户帐户、邮箱和应用程序之间的链接,Active Directory 简化了新增、修改和删除用户帐户的工作。当员工结婚且改变其姓名时,在 Active
Directory 中做一次变更即可变更所有应用程序和服务的用户信息。当用户在
Active Directory 中变更其密码时,他们不必记住其他应用程序的不同密码。当建立像「销售组」的使用者群组时,用户可以发送电子邮件给该组即可传送到所有的用户。系统管理员可以根据组名允许对资源的安全存取。这只是一个简单的示例说明,AD统一管理带来的好处还有其他方方面面。
改善员工工作效率,增加产能
IT管理人员不必到每个客户端上操作、用户不必中断工作。
降低 IT 系统管理的负担
IT管理人员不再需要花费一周的时间到每台计算机前面安装软件或更新,使用组策略批量更新。
改善容错以便将停机减到最低
加强安全性使人较安心
密码策略、软件配置、安全设置统一管理,安全性高。工作组设置相对随意,且管理复杂。
单点登录使用与 Active Directory 集成的应用程序的功能
三、 工作组与域简要对比
项目 工作组
只能本地存在用户
本地验证
域
本地账号、域账号均可
域用户在域控制器(以下简称DC)统一验证
可实现AD集成业务的单点登录
DC上统一更改,不必到客户端操作
集中修改
以组的方式批量管理
可临时授予权限
统一密码策略,安全性高
分配到对应组即可,用户只要存在于该组,即可使用自身密码访问
登录
密码只能在本地由本地管理员更改 或账户本身修改
只负责本机权限
权限 丢失,找回步骤繁琐
泄漏风险
每个人都要使用同一账号连接
或者在每台机器创建每个文件共享
账号
文件权限
桌面环境
组策略
软件同一权限 细分(只读、修改、删除)
统一配置
提升企业形象
可使用组策略,统一配置管理客户端设置
无 且用户在出问题或需要做配置变更时,管理员可在域上配置,用户不需要中断工作
单独安装、管理
统一配置
减少故障率
单独配置
配置
组和角色的关系:组是计算机里面的对象,角色是管理上的概念,角色包含相关的权限,组是角色权限实现的方式。
发布评论