域控制器在域中有什么作用呢？下文進行了詳細(xì)的描述。

首先"域"就是一個網(wǎng)絡(luò),在"域"中的計算機的標(biāo)識就是主機名+域名,舉個例子 new.163.com和mail.163.com是同屬于163.com域的。域”的真正含義指的是服務(wù)器控制網(wǎng)絡(luò)上的計算機能否加入的計算機組合。一提到組合，勢必需要嚴(yán)格的控制。所以實行嚴(yán)格的管理對網(wǎng)絡(luò)安全是非常必要的。在對等網(wǎng)模式下，任何一臺電腦只要接入網(wǎng)絡(luò)，其他機器就都可以訪問共享資源，如共享上網(wǎng)等。

明白了上面的概念后再說域控制器，在“域”模式下，至少有一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作，相當(dāng)于一個單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller，簡寫為DC）”。如果你的機器沒加入域,你在你的機器上設(shè)置個用戶名和密碼,你每次登陸的時候密碼和用戶名的驗證是在你的本機上進行的.如果你拿著你的用戶名在別人的機器上登陸是不行的.但是當(dāng)你的的計算機加入了一個域以后,你的用戶名和密碼就不只在你自己的機器上可以登陸了,在其他計算機上也可以登陸系統(tǒng),這是為什么呢?這是因為在“域”模式下，至少有一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入“域”的電腦和用戶的驗證工作,在這太服務(wù)器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫，這臺服務(wù)器就是域控制器了。

當(dāng)域中的電腦聯(lián)入網(wǎng)絡(luò)時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護的資源，他只能以對等網(wǎng)用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護了網(wǎng)絡(luò)上的資源。

域和組的區(qū)別

工作組是一群計算機的集合，它僅僅是一個邏輯的集合，各自計算機還是各自管理的，你要訪問其中的計算機，還是要到被訪問計算機上來實現(xiàn)用戶驗證的。

而域不同，域是一個有安全邊界的計算機集合，在同一個域中的計算機彼此之間已經(jīng)建立了信任關(guān)系，在域內(nèi)訪問其他機器，不再需要被訪問機器的許可了。

為什么是這樣的呢？因為在加入域的時候，管理員為每個計算機在域中（可和用戶不在同一域中）建立了一個計算機帳戶，這個帳戶和用戶帳戶一樣，也有密碼保護的?？墒谴蠹乙獑柫?，我沒有輸入過什么密碼啊，是的，你確實沒有輸入，計算機帳戶的密碼不叫密碼，在域中稱為登錄票據(jù)，它是由2000的DC（域控制器）上的KDC服務(wù)來頒發(fā)和維護的。為了保證系統(tǒng)的安全，KDC服務(wù)每30天會自動更新一次所有的票據(jù)，并把上次使用的票據(jù)記錄下來。周而復(fù)始。

也就是說服務(wù)器始終保存著2個票據(jù)，其有效時間是60天，60天后，上次使用的票據(jù)就會被系統(tǒng)丟棄。如果你的GHOST備份里帶有的票據(jù)是60天的，那么該計算機將不能被KDC服務(wù)驗證，從而系統(tǒng)將禁止在這個計算機上的任何訪問請求（包括登錄），解決的方法呢，簡單的方法使將計算機脫離域并重新加入，KDC服務(wù)會重新設(shè)置這一票據(jù)?；蛘呤褂?000資源包里的NETDOM命令強制重新設(shè)置安全票據(jù)。因此在有域的環(huán)境下，請盡量不要在計算機加入域后使用GHOST備份系統(tǒng)分區(qū)，如果作了，請在恢復(fù)時確認(rèn)備份是在60天內(nèi)作的，如果超出，就最好聯(lián)系你的系統(tǒng)管理員，你可以需要管理員重新設(shè)置計算機安全票據(jù)，否則你將不能登錄域環(huán)境。

域控制器在域中的作用相信大家也已經(jīng)了解了，有什么不懂的51cto網(wǎng)站的操作系統(tǒng)頻道給了大家很多文章供參考。

【編輯推薦】

1. 域控制器的靈活運用
2. 域控制器降級基礎(chǔ)知識
3. 域控制器的遷移及其實例
4. 域控制器千萬別忽視DNS設(shè)置
5. 主域控制器兩種故障恢復(fù)的處理方式