Windows Server 2008服务器有两种工作模式：工作组模式和域模式。域和工作组都是由一些计算机组成的。例如，可以把企业的每个部门组织成一个域或者一个工作组，这种组织关系和物理上计算机之间的连接没有关系，仅仅是逻辑意义上的。企业的网络中可以创建多个域和多个工作组，域和工作组之间的区别可以归结为以下3点。

1）创建方式不同：工作组可以由任何一个计算机的管理员来创建，用户在系统的“计算机名称更改”对话框中输入新的组名，重新启动计算机后就创建了一个新组，每一台计算机都有权创建一个组；而域只能在域控制器上由管理员来创建，然后才允许其他的计算机加入这个域。

2）安全机制不同：在域中有可以登录该域的账户，这些由域管理员来建立与管理；在工作组中不存在工作组的账户，只有本机上的账户和密码。

3）登录方式不同：在工作组方式下，计算机启动后自动就在工作组中；登录域时要提交域用户账户名和密码，直到用户登录域成功之后，才被赋予相应的权限。

Windows Server 2008针对这两种工作模式提供了3种不同类型的用户账户，分别是本地用户账户、域用户账户和内置用户账户。

1.本地账户

本地账户对应对等网的工作组模式，建立在非域控制器的Windows Server 2008独立服务器、成员服务器以及Windows XP客户端的计算机上。本地账户只能在本地计算机上登录，无法访问域中其他计算机资源。

本地计算机上都有一个管理账户数据的数据库，称为安全账户管理器（Security Accounts Managers，SAM）。SAM数据库文件路径为系统盘下\Windows\system32\config\SAM。在SAM中，每个账户被赋予唯一的安全识别号（Security Identifier，SID），用户要访问本地计算机，都需要经过该机SAM中的SID验证。在系统内部，是使用SID来代表该用户，同时权限也都是通过SID来记录，而不是账户名。例如，某个文件的权限列表内会记录哪一些SID具有哪种权限，而不是哪一些账户名有哪种权限。若账户删除，然后再添加一个相同名称的账户，此时系统会分配给这个新账户一个新的SID，它与原账户的SID不同，因此这个新账户不会拥有原账户的权限。本地的验证过程，都由创建本地账户的本地计算机完成，没有集中的网络管理。(www.daowen.com)

2.域账户

域账户对应于域模式网络，域账户和密码存储在域控制器上Active Directory数据库中，域数据库的路径为域控制器中的系统盘下\Windows\NTDS\NTDS.DIT。因此，域账户和密码被域控制器集中管理。用户可以利用域账户和密码登录域，访问域内资源。域账户建立在Windows Server 2008域控制器上，域账户一旦建立，会自动地被复制到同域中的其他域控制器上。复制完成后，域中的所有域控制器都能在用户登录时提供身份验证功能。

3.内置账户

Windows Server 2008中还有一种账户叫内置账户，它与服务器的工作模式无关。当Windows Server 2008安装完毕，系统会在服务器上自动创建一些内置账户，分别如下。

●Administrator（系统管理员）拥有最高的权限，管理着Windows Server 2008系统和域，用户可以用它来管理计算机，例如创建、更改、删除用户与组账户，设置安全原则、添加打印机、设置用户权限等。系统管理员的默认名字是Administrator，可以更改系统管理员的名字，但不能删除该账户。该账户无法被禁止，永远不会到期，且不受登录时间和只能使用指定计算机登录的限制。

●Guest（来宾）是为临时访问计算机的用户提供的，该账户自动生成，且不能被删除，但可以更改名字。Guest只有很少的权限，默认情况下，该账户被禁止使用。例如，当希望局域网中的用户都可以登录到自己的计算机，但又不愿意为每一个用户建立一个账户时，就可以启用Guest。