计算机网络原理  组与工作组
前一节我们学习了活动目录和域的概念,接下来我们继续学习组与工作组的概念。
1.组
组是用户和计算机账户、联系人以及其他可作为单个单元管理的组的集合。属于特定组的用户和计算机称为组成员。使用组可同时为许多账户指派一组公共的权限和权利,而不用单独为每个账户指派权限和权利,这样可简化管理。
组具有特定的作用域和类型。组的作用域决定了组在域或林中的应用范围。有三种组作用域:通用组、全局组和本地域组。
通用组  通用组的成员可包括域树或者林中任何域中的其他组和账户,而且可在该域树或林中的任何域中指派权限。
全局组  全局组的成员可包括只在其中定义该组的域中的其他组和账户,而且可在林中的任何域中指派权限。
本地域组  本地域组的成员可包括Windows Server 2003、Windows 2000或Windows NT域中的其他组和账户,而且只能在域内指派权限。
而组的类型决定了该组是用于从共享资源指派权限(对于安全组),还是只能用作通讯组列表(对于通讯组)。活动目录中有两种组类型:通讯组和安全组。可以使用通讯组创建通讯组列表,使用安全组给共享资源指派权限。
通讯组
只有在应用程序中,才能使用通讯组将发送给一组用户。通讯组不启用安全,这意味着它们不能列在随机访问控制列表中。如果需要组来控制对共享资源的访问,则要创建安全组。
安全组
安全组提供了一种有效的方式来指派对网络上资源的访问权。使用安全组,可以将用户权利指派到活动目录中的安全组和给安全组指派对资源的权限。
还有一些组,用户无法修改或查看其成员身份。这些组被称为特殊标识,用于根据环境在不同时间代表不同用户。例如,Everyone 组代表所有当前网络用户,包括来自其他域的来宾和用户。
组既可以基于目录,也可以在特定计算机本地。活动目录中的组是驻留在域和组织单位容器对象中的目录对象。在安装时提供了一系列默认的组,它还允许创建组。而活动目录中的组允许用户:
查看工作组计算机● 简化管理  即为组而不是个别用户指派对共享资源的权限。这样可将相同的资源访问权限指派给该组的所有成员。
委派管理  即使用组策略为某个组指派一次用户权限,然后向该组添加需要其拥有与该组相同权限的成员。
创建通讯组。
2.工作组
在Windows操作系统中,计算机要么隶属于工作组,要么隶属于域。所以前面介绍了域,下面我们就来了解一下工作组。
工作组是简单的计算机分组。工作组中的计算机可以直接相互通信,不需要服务器来管理网络资源,并且工作组不属于域而且不能访问活动目录。在默认安装过程中,这些计算机将作为工作组模式下的独立客户端进行安装。如果工作组计算机随后加入域,则该子组件将被激活。
工作组模式下的计算机需要与目标计算机建立直接连接,并且只支持直接消息传输。无法路由通过这些计算机发送的消息。
在局域网的终端计算机中,工作组是由较少的计算机组成的逻辑集合,一般普遍称谓是对等网。工作组就是将不同的电脑按功能或者类别分别列入不同的组中,以方便管理。如果要管理更多的计算机,可以使用域的模式进行集中管理,这样的管理更有效。工作组名一定不能和计算机名相同。工作组名的长度不得超过15个字节,并且不能包含以下任何符号:冒号、分号、双引号、尖括号、星号、加号、等号、反斜杠、井号、问号和逗号。
工作组的特点就是实现简单,不需要域控制器,每台计算机自己管理自己,适用于距离很近的有限数目的计算机。另外工作组名并没有太多的实际意义,只是在网上邻居的列表中实现一个分组而已;再就是对于“计算机浏览服务”,每一个工作组中,会自动推选出一个主浏览器,负责维护本工作组所有计算机的NetBIOS名称列表。用户可以使用默认的workgroup,也可以任意起个名字,同一工作组或不同工作组在访问时也没有什么分别。
3.工作组与域的比较
“域”是一组账户和网络资源,这些资源共享共同的目录数据库和安全策略集,并可能与其他域有安全关系。“工作组”是比较基本的分组,只用于帮助用户查组内诸如打印机和共享文件夹之类的对象。建议所有网络都使用域,只有几个用户的小型网络除外。
在工作组中,用户可能需要记住多个密码,因为每个网络资源都有自己的密码。(此外,不同的用户对每个资源可以使用不同的密码。)在域中,密码和权限比较容易跟踪,因为域具有用户账户、权限和其他网络详细信息的单个的集中数据库。该数据库中的信息将自动在域控制器之间进行复制。要确定哪些服务器是域控制器,哪些服务器只是域成员。既可在安装过程中也可在安装完成后确定这些角。