Что такое домен Windows и каковы его преимущества?

Если вы используете компьютер на работе или в школе, он почти наверняка является частью домена Windows. Но что это на самом деле означает? Что делает домен, и каковы преимущества присоединения компьютера к нему?

Давайте посмотрим, что такое домен Windows, как они работают и почему компании используют их.

Что такое домен Windows?

Домен Windows — это, по сути, сеть управляемых компьютеров, используемых в бизнес-среде. По крайней мере, один сервер, называемый контроллер домена, отвечает за другие устройства. Это позволяет сетевым администраторам (обычно ИТ-персоналу) управлять компьютерами в домене с помощью пользователей, настроек и многого другого.

Поскольку домены предназначены не для домашних пользователей, только для Windows версии Professional или Enterprise

могу присоединиться к одному. Вам также потребуется копия Windows Server для контроллера домена, поскольку она включает в себя необходимое программное обеспечение, такое как Active Directory (подробнее об этом позже).

Как вы знаете, если ваш компьютер находится в домене?

Если у вас есть домашний компьютер, очень маловероятно, что вы находитесь в домене. Вы можете создать домен в своей домашней сети, но в этом нет особого смысла. Но если вы используете компьютер, предоставленный вашей работой или школой, он почти наверняка находится в домене.

Чтобы проверить, является ли ваш компьютер частью домена, откройте Панель управления и нажмите система запись. Заглянуть под Имя компьютера раздел. Если вы видите Workgroup вход с РАБОЧАЯ (по умолчанию) или другое имя в списке, ваш компьютер не находится в домене. Точно так же, если вы видите Домен здесь, то ваш компьютер находится в домене.

Эти шаги также позволяют вам найти ваше доменное имя на вашем компьютере.

Домены против рабочих групп

Прежде чем мы обсудим больше о доменах, мы должны кратко упомянуть, как они сравниваются с рабочими группами. Если компьютер не принадлежит домену, он входит в рабочую группу

, Они гораздо более слабые, чем домены, поскольку у них нет центральной власти. У каждого компьютера свои правила.

В современных версиях Windows рабочие группы на самом деле являются формальностью, особенно когда Microsoft отказывается от функции HomeGroup.

, Windows никогда не просит вас настроить один, и они используются только для обмена файлами между устройствами в вашей сети

, Microsoft хочет, чтобы вы использовали OneDrive для этого

в настоящее время, поэтому, если вы не хотите настраивать свою собственную рабочую группу, вам не нужно беспокоиться об этом.

Что такое учетная запись пользователя домена?

В отличие от персонального компьютера, подключенный к домену ПК не использует локальные учетные записи

, Вместо этого контроллер домена управляет логинами. Используя Microsoft Active Directory, программное обеспечение для управления пользователями, сетевые администраторы могут легко создавать новых пользователей и отключать старых. Они также могут добавлять пользователей в определенные группы, чтобы разрешить доступ к частным папкам сервера.

С помощью доменной учетной записи вы можете войти на любой компьютер в домене. Вы начнете с новой учетной записи на этом компьютере, но это позволит вам использовать любой компьютер в вашей компании при необходимости. Благодаря учетным записям домена бывшие сотрудники не могут войти в систему. Если они попытаются войти со своим старым паролем, они увидят сообщение, что им отказано в доступе.

Экран входа в Windows выглядит немного иначе, когда вы используете компьютер, подключенный к домену. Вместо локального имени пользователя вам необходимо убедиться, что вы входите в домен под своим именем пользователя. Таким образом, ваш логин будет выглядеть примерно так MyDomain \ StegnerB01.

Контроль домена и групповая политика в Windows

Самым большим преимуществом доменов является простота управления несколькими компьютерами одновременно. Без домена ИТ-персоналу пришлось бы индивидуально управлять каждым компьютером в компании. Это означает настройку параметров безопасности, установку программного обеспечения и управление учетными записями пользователей вручную. Хотя это может работать для крошечной компании, это не масштабируемый подход, и он быстро станет неуправляемым.

Наряду с управлением пользователями Active Directory присоединение компьютеров к домену позволяет использовать групповую политику. Мы обсудили, как групповая политика полезна на вашем ПК

, но он действительно предназначен для корпоративного использования.

Используя контроллер домена, администраторы могут настраивать все виды безопасности и использовать политики для всех компьютеров. Например, групповая политика упрощает применение всех следующих методов:

• Удаление элементов из меню «Пуск»
• Остановить пользователей

от изменения параметров подключения к интернету

Блокировка командной строки

Перенаправьте определенную папку, чтобы использовать ее на сервере

Запретить пользователю изменять звуки

Подключите принтер к новым компьютерам автоматически

Это лишь небольшая часть того, что позволяет групповая политика. Администраторы могут настроить эти изменения один раз и применить их ко всем компьютерам, даже к новым, которые они настроят позже.

Присоединиться или оставить домен в Windows

Как правило, добавление компьютера в домен или его отключение не является вашей работой. ИТ-персонал вашей компании позаботится о том, чтобы присоединиться до того, как вы получите компьютер, и заберет ваш компьютер, когда вы уйдете. Для завершения, однако, мы упомянем, как этот процесс работает здесь.

Возвращайтесь к Панель управления> Система снова. На Имя компьютера, домен и параметры рабочей группы страницу, нажмите Изменить настройки. Вы увидите Свойства системы окно. Нажмите на + Изменить кнопка рядом с Чтобы переименовать этот компьютер или изменить его домен коробка.

Здесь вы увидите окно, позволяющее изменить имя вашего компьютера (это не единственное место, где это можно сделать в Windows 10). Что еще более важно, вы увидите Член поле ниже. Проверить Домен Bubble и введите имя домена, чтобы присоединиться к нему. Windows подтвердит это, поэтому вам нужно иметь домен, чтобы присоединиться к нему.

После перезагрузки ПК ваш компьютер будет находиться в домене. Чтобы покинуть домен, повторите этот процесс, но выберите Workgroup вместо пузыря. Конечно, для этого вам понадобится пароль администратора домена.

Домен Мастера

Мы рассмотрели, что делают домены Windows и как они используются. По сути, домены позволяют администраторам контролировать большое количество бизнес-ПК из центрального местоположения. Локальный пользователь имеет меньший контроль над управляемым доменом ПК, чем персональный. Без доменов управление корпоративными компьютерами было бы кошмаром для ИТ-персонала.

С новыми сотрудниками и компьютерами, постоянно заменяющими отдельных сотрудников и старые машины, хорошо отлаженная система является ключом для бесперебойной работы бизнес-компьютеров. Чтобы обеспечить бесперебойную работу вашего ПК, ознакомьтесь с нашим руководством для начинающих по установке Windows 10.

Кредит изображения: kovaleff / Depositphotos

Соглашения об именах в Active Directory для компьютеров, доменов, сайтов и OUS

В этой статье описываются соглашения об именах для учетных записей компьютеров в Windows, доменных именах NetBIOS, доменных именах DNS, сайтах Active Directory и подразделениях, определенных в службе каталогов Active Directory.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 909264

Аннотация

В этой статье обсуждаются следующие темы:

• Допустимые символы для имен
• Минимальная и максимальная длина имени
• Зарезервированные имена
• Имена, которые не рекомендуется использовать
• Общие рекомендации, основанные на поддержке Active Directory в небольших, средних и крупных развертываниях

Все объекты, именуются в Active Directory, в AD/AM и LDS, могут соответствовать именам на основе алгоритма, описанного в следующей статье:

Нельзя добавить имя пользователя или объект,которое отличается только знаком с диакритической метой.

В этой статье данное соглашение об именованиях применяется к именам компьютеров, OU и сайтов.

Имена компьютеров

NetBIOS-имена компьютеров

NetBIOS-имена компьютеров могут содержать все буквы и цифры, за исключением расширенных символов, перечисленных в символах disallowed. Имена могут содержать точка, но имена не могут начинаться с точка.

Имена компьютеров NetBIOS не могут содержать следующие символы:

Имена могут содержать точка (.). Но имя не может начинаться с точка. В Microsoft Windows NT разрешено использовать не DNS-имена с периодами. Периоды не следует использовать в Microsoft Windows 2000 или более поздних версиях Windows. При обновлении компьютера, имя NetBIOS которого содержит точка, измените имя компьютера. Дополнительные сведения см. в специальных символах.

В Windows 2000 и более поздних версиях Windows компьютеры, которые являются членами домена Active Directory, не могут иметь имена, состоящие полностью из чисел. Это ограничение из-за ограничений DNS.

Дополнительные сведения о синтаксисе имен NetBIOS см. в синтаксисе имени NetBIOS.

Минимальная длина имени: 1 символ

Максимальная длина имени: 15 символов

16-й символ зарезервирован для определения функций, установленных на зарегистрированном сетевом устройстве.

Специальные символы: Точка (.)

Знак точка разделяет имя на идентификатор области NetBIOS и имя компьютера. Идентификатор области NetBIOS — это необязательная строка символов, идентифицирует логические сети NetBIOS, которые работают в одной физической сети TCP/IP. Чтобы NetBIOS работал между компьютерами, компьютеры должны иметь одинаковый идентификатор области NetBIOS и уникальные имена компьютеров.

Использование областей NetBIOS в именах является устаревшей конфигурацией. Его не следует использовать с лесами Active Directory. Дополнительные сведения об области NetBIOS см. на следующих веб-сайтах:

Имена хостов DNS

DNS-имена могут содержать только алфавитные символы (A-Z), числимые символы (0–9), знак минус (-) и период (.). Символы периода разрешены только в том случае, если они используются для разграничия компонентов имен стилей домена.

В системе доменных имен Windows 2000 (DNS) и DNS Windows Server 2003 поддерживаются символы Юникода. Другие реализации DNS не поддерживают символы Юникода. Избегайте символов Юникода, если запросы будут передаваться на серверы, которые используют реализации DNS, не корпорации Майкрософт.

Дополнительные сведения см. на следующих веб-сайтах:

Имена хостов DNS не могут содержать следующие символы:

восклицательный восклицательный пункт (!)

Подчеркивать имеет специальную роль. Это разрешено для первого символа в записях SRV по определению RFC. Но более новые DNS-серверы также могут разрешить его в любом месте имени. Дополнительные сведения см. в под названием «Соблюдение ограничений имен для ведущих и доменов».

Все символы сохраняют форматирование дела, за исключением символов American Standard Code for Information Interchange (ASCII).

Первый символ должен быть буквой или числом.

Последний символ не должен быть знаком «минус» или «точка».

Нельзя использовать двух символьные пользовательские строки SDDL, перечисленные в хорошо известном списке SIDs. В противном случае операции импорта, экспорта и контроля не удастся.

В Windows 2000 и более поздних версиях Windows компьютеры, которые являются членами домена Active Directory, не могут иметь имена, состоящие полностью из чисел. Это ограничение из-за ограничений DNS.

Регистрация имени хоста DNS заменяет символ дефиса (-) недопустимыми символами.

Минимальная длина имени: 2 символа

Максимальная длина имени: 63 символа

Максимальная длина имени хоста и полного доменного имени составляет 63 на метку и 255 на полное доменное имя.

Windows не разрешает имена компьютеров, превышающиеся 15 символов, и нельзя указать имя хоста DNS, которое отличается от имени хоста NETBIOS. Однако можно создать заглавные страницы для веб-сайта, на который будет налагаться эта рекомендация.

В Windows 2000 и Windows Server 2003 максимальное имя хоста и FQDN используют стандартные ограничения длины, упомянутые выше, а также поддержку UTF-8 (Юникод). Так как длина некоторых символов UTF-8 превышает один октет, вы не можете определить размер с помощью подсчета символов.

У контроллеров домена должно быть имя FQDN меньше 155байт.

Зарезервированные имена на RFC 952

Дополнительные сведения см. в rfc952.

Зарезервированные имена в Windows

При создании имен для DNS-компьютеров в новой инфраструктуре DNS Windows Server 2003 используйте следующие рекомендации:

• Выберите имена компьютеров, которые легко запомнить пользователям.
• Определите владельца компьютера в имени компьютера.
• Выберите имя, описывая назначение компьютера.
• Для символов ASCII не используйте символьный случай, чтобы указать владельца или назначение компьютера. Для символов ASCII DNS не чувствителен к буквам, приложения для Windows и Windows не сохраняют дело во всех местах.
• Совпадает с доменным именем Active Directory с основным DNS-суффиксом имени компьютера. Дополнительные сведения см. в разделе «Несоединяемые пространства имен» ниже.
• Используйте уникальное имя для каждого компьютера в организации. Избегайте одинаковых имен компьютеров в разных доменах DNS.
• Используйте символы ASCII. Это гарантирует работу с компьютерами с более ранними версиями Windows, чем Windows 2000.
• В именах DNS-компьютеров используйте только символы, перечисленные в RFC 1123. К этим символам относятся A-Z, a-z, 0-9 и дефис (-). В Windows Server 2003 DNS разрешает большинство символов UTF-8 в именах. Не используйте расширенные символы ASCII или UTF-8, если их не поддерживают все DNS-серверы в вашей среде.

Доменные имена

Вот подробные сведения об именах доменов NetBIOS и DNS.

Доменные имена NetBIOS

NetBIOS-доменные имена могут содержать все буквы и цифры, кроме расширенных символов, перечисленных в символах disallowed. Имена могут содержать точка, но имена не могут начинаться с точка.

Имена компьютеров NetBIOS не могут содержать следующие символы:

Имена могут содержать точка (.). Но имя не может начинаться с точка. В Microsoft Windows NT разрешено использовать не DNS-имена с периодами. Периоды не должны использоваться в доменах Active Directory. При обновлении домена, имя NetBIOS которого содержит период, измените имя, переносив домен в новую структуру домена. Не используйте периоды в новых доменных именах NetBIOS.

В Windows 2000 и более поздних версиях Windows компьютеры, которые являются членами домена Active Directory, не могут иметь имена, состоящие полностью из чисел. Это ограничение из-за ограничений DNS.

Минимальная длина имени: 1 символ

Максимальная длина имени: 15 символов.

16-й символ зарезервирован для определения функций, установленных на зарегистрированном сетевом устройстве.

Зарезервированные имена в Windows

Имена обновленного домена могут включать зарезервированное слово. Однако отношения доверия с другими доменами в этой ситуации не удастся.

Специальные символы: Period (.).

Знак точка разделяет имя на идентификатор области NetBIOS и имя компьютера. Идентификатор области NetBIOS — это необязательная строка символов, идентифицирует логические сети NetBIOS, которые работают в одной физической сети TCP/IP. Чтобы NetBIOS работал между компьютерами, компьютеры должны иметь одинаковый идентификатор области NetBIOS и уникальные имена компьютеров.

Использование областей NetBIOS в именах является устаревшей конфигурацией. Его не следует использовать с лесами Active Directory. Это не является проблемой, но могут быть приложения, которые фильтруют имя и предполагают DNS-имя при обнаружении данной заданной дн.

DNS-доменные имена

DNS-имена могут содержать только алфавитные символы (A-Z), числимые символы (0–9), знак минус (-) и период (.). Символы периода разрешены только в том случае, если они используются для разграничия компонентов имен стилей домена.

В системе доменных имен Windows 2000 (DNS) и DNS Windows Server 2003 поддерживаются символы Юникода. Другие реализации DNS не поддерживают символы Юникода. Избегайте символов Юникода, если запросы будут передаваться на серверы, которые используют реализации DNS, не корпорации Майкрософт.

Дополнительные сведения можно получить на следующих веб-сайтах:

DNS-имена доменов не могут содержать следующие символы:

восклицательный восклицательный пункт (!)

Подчеркивать имеет специальную роль. Это разрешено для первого символа в записях SRV по определению RFC. Но более новые DNS-серверы также могут разрешить его в любом месте имени. Дополнительные сведения см. в под названием «Соблюдение ограничений имен для ведущих и доменов».

При продвижении нового домена вы получаете предупреждение о том, что символ подчеркивания может вызвать проблемы с некоторыми DNS-серверами. Но он по-прежнему позволяет создать домен.

Все символы сохраняют форматирование дела, кроме символов ASCII.

Первый символ должен быть буквой или числом.

Последний символ не должен быть знаком «минус» или «точка».

Минимальная длина имени: 2 символа

Максимальная длина имени: 255 символов

Максимальная длина имени хоста и полного доменного имени составляет 63 на метку и 255 символов на полное доменное имя. Последний вариант основан на максимально возможной длине пути с именем домена Active Directory с необходимыми путями и должен соблюдать SYSVOL ограничение в 260 MAX_PATH символов.

Пример пути SYSVOL содержит:

Они могут содержать входные данные пользователя, такие как имя файла сценария входа, поэтому оно также может достигать значительной длины.

Имя FQDN домена AD отображается в пути дважды, поскольку длина доменного имени домена AD ограничена 64 символами.

В Windows 2000 и Windows Server 2003 максимальное имя хоста и FQDN используют стандартные ограничения длины, упомянутые выше, а также поддержку UTF-8 (Юникод). Так как длина некоторых символов UTF-8 превышает один октет, вы не можете определить размер с помощью подсчета символов.

Пространства имен домена с одной меткой

DNS-имена с одной меткой — это имена, которые не содержат суффикса, например .com .corp , или .net .org companyname . Например, host — это DNS-имя с одной меткой. Большинство интернет-регистраторов не разрешает регистрацию DNS-имен с одной меткой.

Как правило, рекомендуется регистрировать DNS-имена для внутренних и внешних пространств имен у регистратора Интернета. К ним относятся DNS-имена доменов Active Directory, если такие имена не являются поддоменами DNS-имен, зарегистрированных именем вашей организации. Например, corp.example.com это поддомен example.com . Регистрация DNS-имени у интернет-регистратора может помочь предотвратить конфликт имен. Конфликт имен может возникнуть, если другая организация попытается зарегистрировать то же DNS-имя или если ваша организация объединяется с другой организацией, использующей то же DNS-имя.

К проблемам, связанным с пространствами имен с одной меткой, относятся:

DNS-имена с одной меткой нельзя зарегистрировать с помощью интернет-регистратора.

Домены с DNS-именами с одной меткой требуют дополнительной настройки.

Служба DNS Server может не использоваться для поиска контроллеров домена в доменах с DNS-именами с одной меткой.

По умолчанию члены домена на основе Windows Server 2003, windows XP и windows 2000 не выполняют динамические обновления зон DNS с одной меткой.

Дополнительные сведения см. в сведениях о развертывании и работе доменов Active Directory, настроенных с помощью DNS-имен с одной меткой.

Не используйте доменные имена интернета верхнего уровня в интрасети, например .com , .net и .org . Если в интрасети используются доменные имена интернета верхнего уровня, на компьютерах в интрасети, которые также подключены к Интернету, могут возникнуть ошибки разрешения.

Несоединяемые пространства имен

Несоединяемая область имен возникает, когда основной DNS-суффикс компьютера не совпадает с DNS-доменом, участником которого он является. Например, несоединяемая область имен возникает, когда компьютер с DNS-именем находится в домене с dc1.contosocorp.com DNS-именем contoso.com .

Как возникают несоединяемые пространства имен:

Основной контроллер Windows NT 4.0 обновляется до контроллера домена Windows 2000 с помощью исходной версии выпуска Windows 2000. В элементе «Сеть» панели управления определено несколько DNS-суффиксов.

Домен переименовывают, когда лес находится на функциональном уровне леса Windows Server 2003. Основной DNS-суффикс не меняется, чтобы отразить новое DNS-имя домена.

Эффекты несоединяемого пространства имен:

Предположим, что контроллер домена с именем DC1 Windows NT домене 4.0, имя домена NetBIOS которого contoso. Этот контроллер домена обновлен до Windows 2000. При обновлении домен DNS переименовываются. contoso.com В первоначальной версии выпуска Windows 2000 процедура обновления очищает этот режим, который связывает основной DNS-суффикс контроллера домена с его DNS-именем домена. Таким образом, основным DNS-суффиксом контроллера домена является DNS-суффикс Windows NT 4.0, определенный в списке поиска суффиксов Windows NT 4.0. В этом примере DNS-имя — DC1.northamerica.contoso.com .

Контроллер домена динамически регистрирует свои записи расположения службы (SRV) в зоне DNS, соответствующей DNS-имени домена. Однако контроллер домена регистрирует свои записи хоста в зоне DNS, соответствующей основному DNS-суффиксу.

Дополнительные сведения о несоединяемом пространстве имен см. в следующих статьях:

Другие факторы

Леса, подключенные к Интернету

Пространство имен DNS, подключенное к Интернету, должно быть поддоменом домена верхнего или второго уровня пространства имен DNS Интернета.

Максимальное число доменов в лесу

В Windows 2000 максимальное число доменов в лесу составляет 800. В Windows Server 2003 и более поздних версиях максимальное число доменов на функциональном уровне леса 2 составляет 1200. Это ограничение является ограничением многоценных атрибутов, не связанных в Windows Server 2003.

DNS-имена всех узлов, для которых требуется разрешение имен, включают DNS-имя домена Интернета для организации. Поэтому выберите короткое DNS-имя домена в Интернете, которое легко запомнить. Поскольку DNS является иерархической, имена доменов DNS возрастают при добавлении поддоменов в организацию. Короткие доменные имена делают имена компьютеров легко запомнить.

Если в организации имеется интернет-присутствие, используйте имена, относительные к зарегистрированным доменным именам DNS в Интернете. Например, если вы зарегистрировали доменное имя DNS в Интернете, используйте DNS-имя домена, например для доменного contoso.com corp.contoso.com имени интрасети.

Не используйте имя существующей корпорации или продукта в качестве доменного имени. Позже вы можете выполнить конфликт имен.

Избегайте универсального имени, например domain.localhost. Такое же решение может возникнуть и в другой компании, совмеся с ней через несколько лет.

Не используйте аббревиатуру или аббревиатуру в качестве доменного имени. Пользователи могут с трудом распознать бизнес-единицу, представленную аббревиатурой.

Избегайте использования подчеркивать (_) в доменных именах. Приложения могут быть очень неуявными RFC и отклонить имя и не будут устанавливаться или работать в вашем домене. При этом могут возникнуть проблемы со старыми DNS-серверами.

Не используйте имя подразделения или подразделения в качестве доменного имени. Бизнес-единицы и другие подразделения изменятся, и эти доменные имена могут вводить в заблуждение или устареть.

Не используйте географические имена, которые сложно орфографию и запомнить.

Избегайте расширения иерархии доменных имен DNS более чем на пять уровней из корневого домена. Вы можете сократить административные расходы, ограничив область иерархии доменных имен.

Если DNS развертывается в частной сети и не планируется создавать внешнее пространство имен, зарегистрируйте DNS-имя домена, которое вы создаете для внутреннего домена. В противном случае вы можете обнаружить, что имя недоступно при попытке использовать его в Интернете или при подключении к сети, подключенной к Интернету.

Имена сайтов

При создании нового имени сайта рекомендуется использовать допустимое DNS-имя. В противном случае сайт будет доступен, только если используется DNS-сервер Майкрософт. Дополнительные сведения о допустимых DNS-именах см. в разделе «Имена хостов DNS».

DNS-имена могут содержать только алфавитные символы (A-Z), числимые символы (0–9), знак минус (-) и период (.). Символы периода разрешены только в том случае, если они используются для разграничия компонентов имен стилей домена.

В системе доменных имен Windows 2000 (DNS) и DNS Windows Server 2003 поддерживаются символы Юникода. Другие реализации DNS не поддерживают символы Юникода. Избегайте символов Юникода, если запросы будут передаваться на серверы, которые используют реализации DNS, не корпорации Майкрософт.

Дополнительные сведения можно получить на следующих веб-сайтах:

DNS-имена не могут содержать следующие символы: