Мы уже неоднократно упоминали рабочие группы и домены. Давайте разберем, чем принципиально отличаются эти две модели сетевого взаимодействия в сетях Microsoft.
Рабочая группа – это логическая группировка компьютеров, объединенных общим именем для облегчения навигации в пределах сети. Принципиально важно, что каждый компьютер в рабочей группе равноправен (т. е. сеть получается одноранговой) и поддерживает собственную локальную базу данных учетных записей пользователей (Security Accounts Manager, SAM).
Отсюда вытекает основная проблема, которая не позволяет использовать рабочие группы в крупных корпоративных сетях. Действительно, если вспомнить, что вход в защищенную систему является обязательным, а непосредственный и сетевой входы принципиально различаются (непосредственный контролируется локальным компьютером, а сетевой – удаленным), то, например, пользователю, во-шедшему на компьютер Comp1 под локальной учетной записью User1, будет отказано в доступе к принтеру, установленному на компьютере Comp2, поскольку в его локальной базе нет пользователя с именем User1 (рис. 9.1). Таким образом, для обеспечения «прозрачного» взаимодействия в рабочей группе нужно создавать одинаковые учетные записи с одинаковыми паролями на всех компьютерах, где работают пользователи и расположены ресурсы.
В ОС Windows XP Professional для рабочих групп предусмотрен специальный режим: «Использовать простой общий доступ к файлам», позволяющий обойти указанную проблему (данный режим включен по умолчанию). В этом случае подключение к любому сетевому компьютеру осуществляется от имени его локальной гостевой учетной записи, которая включается с помощью Мастера настройки сети (по умолчанию она отключена) и для которой настраивается нужный уровень доступа.
Для ОС Windows XP Home Edition этот способ се-тевого взаимодействия является основным и отключить его нельзя (поэтому компьютеры с данной ОС невозможно сделать участниками домена).
Понятно, что управлять учетными записями и ресурсами в рабочей группе можно только при небольшом количестве компьютеров и пользователей. В крупных сетях следует применять домены.
Домен - это логическая группировка компьютеров, объединенных общей базой данных пользователей и компьютеров, политикой безопасности и управления.
Домены создаются на основе сетевых ОС Windows, а база данных, как мы уже говорили, поддерживается контроллерами домена. Важным в доменах является то, что все компьютеры здесь не сами осуществляют проверку пользователей при входе, а передоверяют эту процедуру контроллерам (рис. 9.2). Такая организация доступа позволяет легко осуществить однократную проверку пользователя при входе в сеть, а затем уже без проверки предоставлять ему доступ к ресурсам всех компьютеров домена.
Все компьютеры являются одноранговыми узлами сети; ни один компьютер не может контролировать другой.
На каждом компьютере находится несколько учетных записей пользователя. Чтобы войти в систему любого компьютера, принадлежащего к рабочей группе, необходимо иметь на этом компьютере учетную запись.
В составе рабочей группы обычно насчитывается не больше двадцати компьютеров.
Рабочая группа не защищена паролем.
Все компьютеры должны находиться в одной локальной сети или подсети.
В домашней группе:
Компьютеры в домашней сети должны принадлежать рабочей группе, но они также могут состоять в домашней группе. С помощью домашней группы предоставлять доступ к рисункам, музыке, видео, документам и принтерам другим пользователям намного проще.
Домашняя группа защищена паролем, но он вводится только один раз при добавлении компьютера в домашнюю группу.
В домене:
Один или несколько компьютеров являются серверами. Администраторы сети используют серверы для контроля безопасности и разрешений для всех компьютеров домена. Это позволяет легко изменять настройки, так как изменения автоматически производятся для всех компьютеров. Пользователи домена должны указывать пароль или другие учетные данные при каждом доступе к домену.
Если пользователь имеет учетную запись в домене, он может войти в систему на любом компьютере. Для этого не требуется иметь учетную запись на самом компьютере.
Права изменения параметров компьютера могут быть ограничены, так как администраторы сети хотят быть уверены в единообразии настроек компьютеров.
В домене могут быть тысячи компьютеров.
Компьютеры могут принадлежать к различным локальным сетям.
» домены и рабочие группы — что это такое
Операционная система Windows Server 2003 и классическая Windows NT используют дватермина, которые не связаны один с другим, но часто вызывают затруднения у
администраторов: «домены» и «рабочие группы». Вот как определяются эти термины.
- Домен является элементом системы безопасности. Члены домена проходят
аутентификацию с помощью специальных серверов, которые называются контроллерами домена. - Рабочая группа является элементом системы распределения ресурсов. Члены рабочей группы находят друг друга с помощью специальных серверов, которые называются браузерами.
Все, кто, как и я, пережили «холодную войну», поймут, где лежит источник этой путаницы. Помните Хрущева или Брежнева? Каждый из них имел неограниченную власть в СССР, так как каждый из них занимал два поста - Председателя Верховного Совета и Генерального секретаря Коммунистической партии. Точно так основной контроллер доцена (Primary Domain Controller - PDC) делает домены и рабочие группы подобными друг другу, потому что на PDC хранятся одновременно база данных системы безопасности и база данных браузера.
Использование рабочих групп
Если устанавливается сервер, который не должен взаимодействовать с другими серверами, его можно сделать изолированным сервером - членом рабочей группы. Клиенты в той же рабочей группе в той же подсети IP используют один и тот же браузер, чтобы найти сервер. Пользователи будут проходить аутентификацию с помощью локальной базы данных SAM на сервере при каждом подключении по сети.
Даже при наличии домена иногда имеет смысл устанавливать изолированные серверы. Например, такой сервер может быть установлен в пределах демилитаризованной зоны, компьютеры в которой не должны передавать информацию о регистрации обратно через брандмауэр.
Присоединение к домену
Если надежности базы данных аутентификации на сервере недостаточно, сервер необходимо ввести в состав домена. При этом сервер становится членом домена. Члены домена Active Directory выполняют аутентификацию пользователей с помощью протокола Kerberos. Это позволяет добиться высокого уровня безопасности и получить быстрый механизм аутентификации. Кроме этого, такой механизм аутентификации содержит информацию об авторизации, которая необходима для создания локального контекста безопасности пользователя.
Члены классического домена Windows NT осуществляют аутентификацию пользователей с помощью протокола NT LanMan Challenge-Response. При этом от сервера требуется наличие прямой линии связи с резервным контроллером домена.
В операционной системе Windows NT для добавления компьютера в домен требовалось предоставить аутентификационные данные администратора. В операционной системе Windows Server 2003 (и Windows 2000) любой аутентифицированный пользователь в состоянии добавить компьютер в домен. Возможность добавления компьютеров в домен определяется групповой политикой для организационной единицы контроллеров домена (Domain Controllers Organization Unit) в Active Directory. Изменив эту групповую политику, можно ограничить круг пользователей, которым разрешено добавлять компьютеры в домен.
На небольших предприятиях, где количество компьютеров — до 20 штук компьютеры обычно соединяют в сеть
для совместного доступа к файлам, папкам, принтерам и интернету
при помощи рабочих групп
. Домашние пользователи тоже сталкиваются с ситуацией, когда нужно обмениваться файлами со вторым-третьим компьютером (ноутбуком), совместно играть в игры, распечатывать на общем принтере. В данной статье изложена пошаговая инструкция того, как ввести новый компьютер под управлением Windows 7 и Windows Vista в состав такой рабочей группы либо создать такую группу «с нуля».
Откройте значок «Система» в Панели управления (Пуск — Панель управления — Система и безопасность — Система)
Нажмите кнопку «Изменить»
Имя компьютера должно быть уникальным в составе сети, коротким, написано английскими буквами . Название рабочей группы должно быть одинаковым на всех компьютерах данной рабочей группы, коротким и тоже английскими буквами .
Можно добавить какое-либо описание к имени компьютера (необязательно) и нажать кнопку «Закрыть»
Для того, чтобы изменения вступили в силу необходимо перезагрузить компьютер
Прописать IP- адреса
В случае, если параметры IP в Вашей сети не назначаются автоматически, их нужно прописать в ручную (уточните необходимость в данном пункте у администратора Вашей рабочей группы! ). Для этого необходимо сделать следующие шаги:
Откройте значок «Просмотр сетевых компьютеров и устройств» в Панели управления (Пуск — Панель управления — Сеть и Интернет — Просмотр сетевых компьютеров и устройств)
На сетевом адаптере, при помощи которого Вы подключены к сети нажимаем правой кнопкой мыши и выбираем «Свойства»
Выбираем пункт «Протокол Интернета версии 4 (TCP/IPv4)» и нажимаем кнопку «Свойства»
Прописываем IP-адрес (1). В нём первые три значения одинаковые у всех участников рабочей группы. Последняя цифра (2) — уникальная у каждого компьютера. Маска подсети, Основной шлюз (4) Предпочитаемый DNS-сервер (4) — одинаковые на всех компьютерах.
Общие значения для всей рабочей группы уточните у администратора, либо посмотрите на компьютере, который уже находится в составе данной группы. Основной шлюз и Предпочитаемый DNS-сервер необходимы для совместного доступа в Интернет. Если такого нет — тогда эти поля не заполняются.
В чем разница между доменом и рабочей группой?
2 ответов
реальный ответ на этот вопрос:
Домены, рабочие группы и домашние группы представляют разные методы организации компьютеров в сети. Основное различие между ними заключается в том, как управляются компьютеры и другие ресурсы в сетях.
компьютеры под управлением Windows в сети должны быть частью рабочей группы или домена. Компьютеры под управлением Windows в домашних сетях также могут входить в состав домашней группы, но это не обязательно.
компьютеры дома сети обычно являются частью рабочей группы и, возможно, домашней группы, а компьютеры в рабочих сетях обычно являются частью домена.
в рабочей группе:
все компьютеры являются одноранговыми узлами сети; ни один компьютер не может контролировать другой компьютер.
каждый компьютер имеет набор учетных записей пользователей. Для входа на любой компьютер в рабочей группе необходимо иметь учетную запись на этом компьютере.
есть обычно не более двадцати компьютеров.
рабочая группа не защищена паролем.
все компьютеры должны быть в одной локальной сети или подсети.
в домене:
один или несколько компьютеров являются серверами. Сетевые администраторы используют серверы для управления безопасностью и разрешениями для всех компьютеров на домен. Это упрощает внесение изменений, поскольку изменения автоматически на всех компьютерах. Пользователи домена должны предоставить пароль или другие учетные данные при каждом доступе к домену.
Если у вас есть учетная запись пользователя в домене, вы можете войти в любой компьютер в домене без учетной записи на этом компьютере.
вы, вероятно, можете сделать только ограниченные изменения в настройках компьютера поскольку сетевые администраторы часто хотят обеспечить согласованность среди компьютеры.
в домене могут быть тысячи компьютеров.
компьютеры могут находиться в разных локальных сетях.
Если ваш компьютер находится в большой сети на рабочем месте или в школе, он, вероятно, принадлежит к домен . Если ваш компьютер находится в домашней сети, он принадлежит группы и может также принадлежать к домашняя группа . При настройке сети Windows автоматически создает рабочую группу и присваивает ей имя WORKGROUP.