为什么要组建局域网呢？就是要实现资源的共享，既然资源要共享，资源就不会太少。

如何管理这些在不同机器上的资源呢？域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。

那么究竟什么是域，什么是工作组呢？它们的区别又是什么呢？域------公司域控制器------公司制度(更形象的是公司大门的门禁系统）计算机------每个人工作组 -------没有门禁系统的公司“自由”的工作组工作组（Work Group）就是将不同的电脑按功能分别列入不同的组中，以方便管理。

比如在一个网络内，可能有成百上千台工作电脑，如果这些电脑不进行分组，都列在“网上邻居”内，可想而知会有多么乱（恐怕网络邻居也会显示“下一页”吧）。

为了解决这一问题，Windows 9x/NT/2000才引用了“工作组”这个概念，比如一所高校，会分为诸如数学系、中文系之类的，然后数学系的电脑全都列入数学系的工作组中，中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源，就在“网上邻居”里找到那个系的工作组名，双击就可以看到那个系别的电脑了。

那么怎么样才能加入到工作组中呢？其实方法很简单，只需要右击Windows桌面上的“网上邻居”，在弹出的菜单出选择“属性”，点击“标识”，在“计算机名”一栏中添入你想好的名字，在“工作组”一栏中添入你想加入的工作组名称。

如果你输入的工作组名称是一个不存在的工作组，那么就相当于新建一个工作组，当然也只有你自己的电脑在里面。

不过要注意，计算机名和工作组的长度都不能超过15个英文字符，可以输入汉字，但是也不能超过7个汉字。

“计算机说明”是附加信息，不填也可以，但是最好填上一些这台电脑主人的信息，如“数学系主机”等。

单击“确定”按钮后，Windows 98提示需要重新启动，按要求重新启动之后，再进入“网上邻居”，就可以看到你所在工作组的成员了。

相对而言，所处在同一个工作组内部成员相互交换信息的频率最高，所以你一进入“网上邻居”，首先看到的是你所在工作组的成员。

如果要访问其他工作组的成员，需要双击“整个网络”，然后你才会看到网络上其他的工作组，双击其他工作组的名称，这样你才可以看到里面的成员，与之实现资源交换。

除此之外，你也可以退出某个工作组，方法也很简单，只要将工作组名称改变一下即可。

不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。

也就是说，你可以随便加入同一网络上的任何工作组，也可以随时离开一个工作组。

“工作组”就像一个自由加入和退出的俱乐部一样。

它本身的作用仅仅是提供一个“房间”，以方便网上计算机共享资源的浏览。

域的管理和设置打个比方，如果说工作组是“免费的旅店”那么域（Domain）就是“星级的宾馆”；工作组可以随便出出进进，而域则需要严格控制。

“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。

一提到组合，势必需要严格的控制。

所以实行严格的管理对网络安全是非常必要的。

在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。

尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。

在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。

不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

要把一台电脑加入域，仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的，必须要由网络管理员进行相应的设置，把这台电脑加入到域中。

这样才能实现文件的共享。

1．服务器端设置以系统管理员身份在已经设置好Active Directory（活动目录）的Windows 2000 Server上登录，选择“开始”菜单中“程序”选项中的“管理工具”，然后再选择“Active Directory用户和计算机”，之后在程序界面中右击“Computers”，在弹出的菜单中单击“新建”，然后选择“计算机”，之后填入想要加入域的计算机名即可。

要加入域的计算机名最好为英文，中文计算机名可能会引起一些问题。

2．客户端设置首先要确认计算机名称是否正确，然后在桌面“网上邻居”上右击鼠标，点击“属性”出现网络属性设置窗口，确认“主网络登录”为“Microsoft网络用户”。

选中窗口上方的“Microsoft网络用户”（如果没有此项，说明没有安装，点击“添加”安装“Microsoft网络用户”选项）。

点击“属性”按钮，出现“Microsoft网络用户属性”对话框，选中“登录到Windows NT域”复选框，在“Windows NT域”中输入要登录的域名即可。

这时，如果是Windows 98操作系统的话，系统会提示需要重新启动计算机，重新启动计算机之后，会出现一个登录对话框。

在输入正确的域用户账号、密码以及登录域之后，就可以使用Windows 2000 Server域中的资源了。

请注意，这里的域用户账号和密码，必须是网络管理员为用户建的那个账号和密码，而不是由本机用户自己创建的账号和密码。

如果没有将计算机加入到域中，或者登录的域名、用户名、密码有一项不正确，都会出现错误信息对多用户管理缺乏层次某市某供电局，有员工200人左右和12个业务或支撑部门。

为了满足公司未来发展和日常运营管理的安全需求，公司决定重新部署企业网络。

公司计划部署一个由200台计算机组成的局域网，用于完成企业数据通信和资源共享。

公司已有一个局域网，运行200台计算机，服务器操作系统是Windows Server 2003，客户端的操作系统是Windows XP，工作在工作组模式下，员工一人一机办公。

公司从ISP 申请100M专线，采用代理方式上网。

由于计算机比较多，管理上缺乏层次，公司希望能够利用Windows域环境管理所有网络资源，提高办公效率，加强内部网络安全，规范计算机使用。

按单域规划办公网络要组建Windows办公网络，首先要规划IP地址，然后再根据域环境决定是采用单域还是多域结构，最后考虑账户、文件和打印服务等内容。

规划IP地址本项目中IP地址采用192 . 168 . 0 . 0/24网段。

计算机默认网关为192 . 168 . 0 . 1～192 . 168 . 0 . 10之间的IP，客户机占用192 . 168 . 0 . 11以上的IP。

规划域根据网络规模、集中管理与结构简单原则，公司决定采用单域结构，域名为angerfire . cn。

与多域结构相比，它能实现网络资源集中管理并保障管理上的简单性和低成本。

在域内按照部门名称划分组织单位(OU)，分别是运行科、保护科、变配电科、巡检科、人力资源科、招标办公室、对标办公室、财务办公室、工程部、抢险办公室、工会和局长办公室(见表1)，用于存储和管理各部门的用户资源。

整个域结构与公司管理结构相匹配，可以实现网络资源的层次管理。

域控制器作为整个域的核心服务器，完成对公司所有员工的账户管理和安全策略的实施。

规划用户账户和组在各部门的OU中分别为该部门员工创建唯一的域用户账户，并要求域用户账户在首次登录时更改密码。

密码最小长度为8位，并且符合复杂性要求。

为每个部门创建全局组，并将同部门的员工账户分别加入各部门的全局组。

规划文件服务器通过一台专用文件服务器存储公共文件以及员工的工作文档。

文件服务器的C盘容量为10GB(安装操作系统和软件)，D盘容量大于100GB，并采用NTFS文件系统。

在D盘的一个名为software的文件夹中存放公共文件，如常用软件、规章制度等。

另一个名为share的文件夹存放部门和员工的工作文档。

在D:\share下为每个部门建立文件夹，部门文件夹下创建每个员工的文件夹，并为每个用户配置共享权限和NTFS权限，保障文件只被授权的用户访问(见表2)。

权限的配置应遵循AGDLP规则，避免直接为用户授权，除非该文件夹只有一个员工访问。

在文件服务器上，普通员工最大使用空间为100MB，部门经理的最大使用空间为1000MB，总经理的最大使用空间不受限制。

在文件上传类型方面，只允许上传文件后缀为.doc、.xls、.ppt、.wps、.txt、.rar 的文件。

对重要的文件夹要制定备份策略，可以采用常规备份加差异备份的策略，按任务计划自动执行。

规划打印系统根据公司需求，需要采购4台打印设备(HP Laserjet 1020)。

4台设备分别安装在打印服务器printsrv1、printsrv2、printsrv3、printsrv4 上，printsrv1供局长办公室和财务办公室使用，printsrv2和printsrv3供招标办公室、工程部和工会使用，printsrv4供对标办公室、抢险办公室和人力资源科使用。

局长、科长和普通员工的优先级分别规划为90、50和1。

同时还要规划逻辑打印机权限。

规划上网方式公司租用一条100M专线上网。

采用代理服务器软件使局域网接入Internet。

防火墙/代理服务器软件使用微软应用级防火墙ISA2006。

代理服务器的专用连接IP为192 . 168 . 0 . 1，公共连接与100MB专线连通，IP地址从ISP那里动态获得，启用的代理协议是HTTP，使用域策略完成客户端的统一配置，实现共享上网，启用防火墙策略对用户上网行为进行监控并阻绝一切不适用的网络通信。

启示：遵从法则更重要目前信息化项目层出不穷，内部网络的安全规划是重中之重。

我们通常习惯性地认为安全就要靠防火墙和杀毒软件。

殊不知，这些都是解决表面问题的手段。

一个真正意义上的安全网络，首先需要安全强壮的网络拓扑结构，其次是基于强壮骨架之上的服务。

而应用层的解决方法其实就在我们所熟知的Windows域中。

在基于域环境的计算机管理手段中，策略是强行管理企业内部网络的钢铁法则。

域环境之所以强大，之所以安全，也正是由于域的管理模式是基于法则的。

社会安定需要健全的法律来支持。

而Windows域环境正是以法则的方式对域中的计算机和账户等资源进行集中管理的。