组建局域网就是要实现资源的共享。随着网络规模的扩大及应用的需要，共享的资源就会逐渐增多。如何来管理这些在不同机器上的资源呢？工作组和域就是在这样的环境中产生的两种不同的网络资源管理模式。

1.工作组（Work Group）

工作组就是将不同的计算机按功能分别列入不同的组中，以方便管理。在一个网络内，可能有成百上千台工作计算机，如果这些计算机不进行分组，都列在“网上邻居”内，可想而知，会有多么乱。为了解决这一问题，Windows引用了“工作组”这个概念，例如，一个公司会分为诸如行政部、市场部、技术部等几个部门，然后行政部的计算机全都列入行政部的工作组中，市场部的计算机全部都列入市场部的工作组中。如果要访问别的部门的资源，就在“网上邻居”里找到那个部门的工作组名，双击就可以看到其他部门的计算机了。

在安装Windows操作系统的时候，工作组名一般使用默认的“workgroup”，也可以任意起个名字，在同一工作组或不同工作组在访问时也没有什么分别。相对而言，处在同一个工作组的内部成员相互交换信息的频率最高，所以一进入“网上邻居”，首先看到的是所在工作组的成员。如果要访问其他工作组的成员，需要双击“整个网络”，才会看到网络上其他的工作组，然后双击其他工作组的名称，这样才可以看到里面的成员，与之实现资源交换。

退出某个工作组的方法也很简单，只要将工作组的名称改变一下即可。不过，这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已，工作组名并没有太多的实际意义，只是在“网上邻居”的列表中实现一个分组而已。也就是说，可以随时加入同一网络上的任何工作组，也可以随时离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网上计算机共享资源的浏览。

在Windows Server 2008系统中要启用网络发现功能，否则将无法找到网络中的任何“邻居”主机，也不会被其他的“邻居”主机发现。用鼠标右键单击Windows Server 2008桌面中的“网络”图标，在弹出的快捷菜单中选择“属性”命令（也可以依次单击Windows Server 2008桌面中的“开始”→“设置”→“控制面板”命令，双击“网络和共享中心”图标），打开“网络和共享中心”管理窗口，如图4-1所示。单击“网络发现”设置项右侧的箭头按钮，展开“网络发现”功能设置区域，选中“启用网络发现”单选按钮，单击“应用”按钮，这样就可以寻找网络的“邻居”主机了。

图4-1 启用网络发现

如果上述设置不能从网络中寻找到“邻居”主机，那就有必要检查一下Windows Server 2008系统是否安装了“启用文件和打印机共享”功能组件。在“网络和共享中心”管理窗口中，单击左边的“管理网络连接”，在列表中选择本地连接，进入如图4-2所示的“本地连接属性”对话框。在该对话框的网络功能组件列表中，确保“Windows网络的文件和打印机共享”功能选项处于选中状态。

此外，还需要检查TCP/IP属性参数是否设置正确，以保证Windows Server 2008系统主机的IP地址，与要寻找的“邻居”主机的IP地址处于同一个网段。

如果仍然无法在“网络和共享中心”管理窗口中查看到网络中的工作组信息，可以检查系统相关的“Computer Browser”服务信息，其操作步骤如下：选择“开始”→“运行”命令，在弹出的系统运行文本框中，输入命令“services.msc”，单击“确定”按钮后，进入系统服务列表窗口，找到系统服务“Computer Browser”，双击该服务器选项，打开如图4-3所示的“Computer Browser的属性”对话框。设置该服务的启动类型为“自动”，单击“应用”按钮，然后单击“启动”按钮，将服务状态设置为“已启动”。还应及时检查“Computer Browser”服务所依赖的另外两个系统服务“Workstation”和“Server”是否运行正常，这两个系统服务提供了最基本的网络访问支持。

图4-2 启用文件和打印机共享

图4-3 启用Computer Browser服务

2.域（Domain）

域是一个有安全边界的计算机集合，也可以被理解为服务器控制网络上的计算机能否加入的计算机组合。在对等网（工作组）模式下，任何一台计算机只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows构成的对等网中，数据的传输是非常不安全的。

在主从式网络中，资源集中存放在一台或者几台服务器上，如果仅仅只有一台服务器，问题就很简单，在服务器上为每一位员工建立一个账户即可，用户只需登录该服务器就可以使用服务器中的资源。然而，如果资源分布在多台服务器上呢？如图4-4所示，要在每台服务器上分别为每一个员工建立一个账户（共M×N个），用户需要在每台服务器（共M台）上登录，感觉又回到了对等网的模式。(www.daowen.com)

在使用了域之后，如图4-5所示，服务器和用户的计算机都在同一域中，用户在域中只要拥有一个账户，用账户登录后即取得一个身份，有了该身份便可以在域中漫游，访问域中任一台服务器上的资源。在每一台存放资源的服务器上并不需要为每一用户创建账户，而只需要把资源的访问权限分配给用户在域中的账户即可。

图4-4 资源分布在多台服务器上

图4-5 域的模式

不过在“域”模式下，至少有一台服务器负责每一台接入网络的计算机和用户的验证工作，相当于一个单位的门卫，它被称为“域控制器（Domain Controller，DC）”，包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当计算机接入网络时，域控制器首先要鉴别这台计算机是否属于这个域，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台计算机登录。不能登录，用户就不能访问服务器上有权限保护的资源，只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

然而随着网络的不断发展，有的企业的网络大得惊人，当网络有十万个用户甚至更多时，域控制器存放的用户数据量很大，更为关键的是如果用户频繁登录，域控制器可能因此不堪重负。在实际的应用中，可以在网络中划分多个域，每个域的规模控制在一定的范围内，同时也是出于管理上的要求，将大的网络划分成小的网络，每个小的网络管理员管理自己所属的账户，如图4-6所示。

划分成小的网络（域）后，域A中的用户登录后可以访问域A中的服务器上的资源，域B中的用户可以访问域B中的服务器上的资源，但域A中的用户访问不了域B中服务器上的资源，域B中的用户也访问不了域A中服务器上的资源。

域是一个安全的边界，实际上就是这层意思：当两个域独立的时候，一个域中的用户无法访问另一个域中的资源，如同国家与国家之间的关系一样。当然在实际的应用中，一个域常常有访问另一个域中的资源的需要。为了解决用户跨域访问资源的问题，可以在域之间引入信任，有了信任关系，域A中的用户想要访问域B中的资源，让域B信任域A就行了。

信任关系分为单向和双向，如图4-7所示。图4-7a所示是单向的信任关系，箭头指向被信任的域，即域A信任域B，域A称为信任域，域B称为被信任域，因此域B中的用户可以访问域A中的资源。图4-7b所示是双向的信任关系，域A信任域B的同时域B也信任域A，因此域A的用户可以访问域B的资源，反之亦然。

图4-6 多域的模式

图4-7 信任关系

信任关系有可传递和不可传递之分，如果A信任B，B又信任C，那么A是否信任C呢？如果信任关系是可传递的，A就信任C；如果信任关系是不可传递的，A就不信任C。Windows Server 2008中有的信任关系是可传递的，有的是不可传递的，有的是单向的，有的是双向的，在使用时要注意。

注意：工作组与域二者有着不同的特点，主要体现在：①工作组无须运行Windows Server的计算机来容纳集中的安全性信息；②相对于域而言，工作组设计和实现简单，无须广泛的计划和管理；③对于计算机数量较少或在一个较小空间内的有限数量计算机的网络来说，工作组更方便；④工作组较适合由技术用户组成的无须进行集中管理的小组；⑤因为所有的用户信息都被集中存储，所以域提供了集中的管理；⑥只要用户有对资源访问的适当权限，就能从任一台计算机登录到域，并能访问域网络中另一台计算机资源；⑦每个域仅存储该域中各对象的有关信息，通过这样区分目录，活动目录可将规模扩展到拥有大量的对象。