一直以来有读者问我,域网络中的“域”到底是什么意思,它与工作组网络相比到底有哪些优势?以及工作网络与域网络各处适用于哪种情况下。其实这个问题非常典型,许多网友并不清楚。在网上也没有一个真正象样的解释,大家可以搜索“工作组与域的区别”这样的关键,虽然也有几篇文章,但根本没有解释清楚这两种网络管理模式各自的特点、区别以及各自所适用的环境。
说句实话,这个问题真要认真回答的话,内容会很多,但在
QQ
群中我不可能这么回答,只是简单、综合地对读者说:“域”是一种基于对象和安全策略的分布式数据库系统。然后再适当解释一下域网络与工作组网络之间的区别。因为笔者目前正在写《金牌网管师》系列中初级认证中的第二本教材——《金牌网管师——中小型企业网络组建、配置与管理》这本书,在其中就要写到这方面的问题,于是笔者在此先把这部分的内容与大家分享一下,大家也可以讨论、完善一下(其中可能有的观点还是与大多数人的看法不一样)。今天写到的仅是“工作组网络”部分,“域网络”部分将在明天,或者后天给出。
2.1.1 工作组网络的概念和特点
工作组(
WorkGroup
)网络是对等
(
peer-to-peer
,
P2P
)
网络技术在局域网(
P2P
网络更主要应用于广域网中)中的应用,是根据用户自定义的分组特点(如不同部门、不同爱好、不同操作系统类型等)把网络中的许多用户计算机分门别类地纳入到不同工作组中的。划分工作组的主要目的主要是为了便于浏览、查找,另外还方便于管理员对用户计算机的管理。试想一下,如果网络中有上百台,甚至更多的用户计算机,在进行资源共享时,如果不分组的话,要通过
“
网上邻居
”
来查找某台用户计算机上的共享资源,就可能非常困难了。如果根据某个特点划分不了同的工作组,就缩小了查找范围,查找起来就容易多了。
可以组建工作组网络的操作系统可以是所有主流操作系统类型,如
DOS
系统、
Windows
系统、
Linux
系统和
Unix
系统。而且,可以在一个工作组网络中还可以混合以上所有类型的操作系统。
1. 工作组网络的主要特点
要正确理解工作组网络,就需要对以下几个重要方面特点有所了解:
n
工作组主机间是平等的
工作组网络既然是
“
对等网
”
,从其名称中的
“
对等
”
两个字就可以看出来,对等网中的各主机都是对等的,地位平等,没有管理和被管理之分。在网络应用中,各主机既可以当作服务器,为其他主机提供访问服务,也可以当作客户机,访问其他主机。之所以是对等关系,那是因为在工作组网络中没有集中的账户管理和安全策略管理,网络中的主机都是各自为政,互不干涉的。而不是像域网络那样,有专门的
DC
(域控制器)来集中管理域网络中的用户、计算机等对象账户和安全策略。
n
管理和安全边界为各成员计算机
正因工作组网络中各主机是平等,互不干涉的,管理和安全边界就是工作组中各成员计算机,工作组本身不是管理和安全边界,不能直接针对工作组来进行管理和安全策略配置。在工作组网络中,主机之间的访问就需要访问方(在此估且称之为
“
客户机
”
)使用在被访问方(在此估且称之为
“
服务器
”
)上配置了的用户账户和密码,通过身份验证后才能访问。因为在工作组网络中,只有本地账户才可以访问自己的主机,不能输入本机以外的任何用户账户来访问本机(当然,可能有两台或两台以上主机中有相同用户名和密码的用户账户)。
在工作组网络中也有一种匿名访问方式,那就是无需输入任何账户和密码就可以访问对方。其实这里也是输入了用户名和密码,只是因为在默认情况下,各主机用于匿名访问的账户都是
Guest
(来宾)账户,且密码为空,所以在不输入用户名和密码的时候就是直接采用这种来宾账户进行登录访问的。但如果改变了这个
Guest
来宾账户的密码,即使启用了匿名登录,对方要访问自己时也需要输入本机上修改后的
Guest
账户信息。
【说明】出于安全考虑,像
360
安全卫士等网络安全工具软件都是建议你禁用
Guest
账户的,所以在这种情况下是必须正确输入被访问计算机上的用户账户名和密码才能访问。但是在注销前,你再次访问同一工作组计算机上的共享资源时是不会再提示你输入用户账户名和密码的。
n
采用
NetBIOS
名称解析
在工作组网络中,名称解析所用的协议是
NetBIOS
(
Network Basic Input Output System
,网络基本输入
/
输出系统
)协议。通过它可以将计算机名称解析成对应的
IP
地址。这个协议不能跨网提供名称解析功能,计算机名称限定只能在
15
个数字或者字符(本来是
16
位的,只是在微软的
NetBIOS
协议中,第
16
位是用于标识网络服务)以内,不能识别长格式的
DNS
域名。在
NetBIOS
名称中,
不能包括以下字符:
/\
、
[]
、
"
、
:
、
;
、、
|<
、
>
、
+
、
=,?*
,不能包含
“.”
。
如果是中文的,则最多只能是
7
个纯汉字,因为一个汉字要占用两个字符位。
n
在一个工作组网络中可以有多个工作组
不要以为在一个工作组网络中只能有一个工作组,否则的话就没有任何意义了。在一个对称网中可以有多个工作组。工作组的划分可以是任意的,一般是按部门,或者按工作性质等来划分的。但是要注意的是,工作组不代表安全边界。也就是说,不同工作组之间并没有权限意义上的区别,只是一种便于访问或管理的方式。它与我们现实生活中的
“
组
”
有些区别,因为现实生活中的
“
组
”
往往会有一个
“
组长
”
,负责整个组的管理。但在工作组中并没有一台主机具有管理整个组的权限,只是大家
“
平等共处
”
而已。
n
不同工作组是可以相互访问的
前面介绍到,在一个工作组网络中可以有多个工作组。大家或许会问,不同工作组的主机之间是否可以相互访问呢?这是肯定的,而且就像没有划分多个组,在一个工作组中不同主机间的访问一样简单,也只是需要正确输入对方的用户账户信息即可。当然如果通信双方都启用了默认配置的匿名访问,则也可以不用输入身份验证账户信息。原因就是,工作组不是网络安全边界的一个单位,不能为不同组设置不同的安全级别,也不能像域网络中为不同域设置不同的账户系统和安全策略。
【经验之谈】不同工作组只是用来标识不同组,不具有安全和安全边界特点,也就是在同一个工作组网络中,所有工作组间的用户计算机都查可以相互访问的,只要你有对方计算机上的正确用户账户信息即可。不存在只允许属于同一个工作组中的用户计算机相互访问的问题,这一点要额外引起注意。因为在工作组网络中的,管理和安全边界都是各成员计算机本身,是最小的管理和安全边界。当你在当前计算机上登录所使用的用户账户名和密码与要访问的那台计算机上的某个账户名和密码完全一样时,访问时是不需要输入用户名和密码的,因为系统自动认为你已是合法用户。其实这也是一个安全隐患,说不一定那天一个非法用户碰
巧使用了与网络中某台计算机中一样的账户名和密码,而又
碰
巧在网络中访问了那台计算机,则可能能出现非授权访问,带来安全威胁了。
2. 工作组的主要优缺点
工作组网络相对我们下面将要介绍的域网络来说,具有以下几方面的明显优缺点:
n
安全管理简单
这可以说是工作组网络的最大优点。因为在工作组网络中把网络安全边界下放到最终的用户端,外部计算机的访问必须使用本地计算机上合法的用户账户信息,这样一来,工作组网络的安全管理也就是各用户计算机自己的安全管理。而各用户计算机上的用户账户信息一般来说都非常简单,只有少数几个用户账户,只需要对本机(不涉及到其他机上的任何账户)上的少数账户进行适当的安全配置即可,所以在安全管理方面,要较域网络的安全管理容易些。另外,在工作组中,各成员计算机只使用自己计算机上的本地组策略,不会应用其他任何组策略,安全策略管理更简单。
n
网络性能比较高
因为在工作组网络中,除了基本的网络连接和资源共享外,基本上是没有任何额外(如各种全局范围的安全策略和身份认证等)的网络资源消耗,用户登录都是在本机上进行,所以,工作组网络的网络连接性能要远比域网络的网络连接性能向。这也是许多网友反映加入域网络后,登录和网络应用比较慢的根源所在。
n
网络管理不方便
这可以说是工作组网络的最大缺点。因为工作组网络中,网络管理和安全边界下放到最终的用户端,无论是用户账户,用户账户权限、安全策略等都是分散的,而且各用户计算机上的这些配置都可能不同,管理员很难,甚至无法通过一台机来集中管理工作组网络中的用户账户系统和安全策略系统。给整个网络管理带来混乱,特别是在较大网络中。
另外,对于管理员管理整个网络也一样,要实现对整个网络中的计算机进行管理,就必须在各计算机上配置有相同账户的管理员账户(注意,密码都必须一样),否则每次第一次访问一台计算机时,都提示要求输入用户账户名和密码。如果财贸系统中有一百台,则需要在一百台计算机创建和配置这个相同的用户账户信息,如果有一千台,则要进行一次同样的工作。其工作量是可想而知的。尽管可以直接通过复制用户配置文件来实现,但至少也要复制一千次啊。
所以,一般来说,工作组网络主要适用于中小型网络(通常认是百台以内),但这并不是从性能上考虑的,而是从管理上考虑的。
n
网络公共应用配置比较繁琐
因为工作组网络中的网络访问身份验证是依据各成员计算机的账户系统,所以在一些公共网络应用服务器中的安全配置就显得比较复杂了,要么是网络中各计算机都启用默认的
Guest
账户(并且全都采用默认的空密码),要么在授权访问的每台计算机配置相同的组或者用户账户,否则就无法进行全面授权。如果启用
Guest
账户,会给企业网络带来巨大的安全隐患。
(
域网络的介绍请看下篇)
本文转自王达博客51CTO博客,原文链接http://blog.51cto.com/winda/171186如需转载请自行联系原作者
茶乡浪子