域英文叫DOMAIN (a set of websites on the Internet which end with the same group of letters,for exemple'.com','org'-------《牛津高阶英汉双解词典》）。

域（Domain）是Windows网路中独立运行的单位，域之间相互访问则需要建立信任关係（即Trust Relation）。信任关係是连线在域与域之间的桥樑。当一个域与其他域建立了信任关係后，2个域之间不但可以按需要相互进行管理，还可以跨网分配档案和印表机等设备资源，使不同的域之间实现网路资源的共享与管理。

域既是 Windows 网路作业系统的逻辑组织单元，也是Internet的逻辑组织单元，在 Windows 网路作业系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理许可权，他才能够访问或者管理其他的域；每个域都有自己的安全策略，以及它与其他域的安全信任关係。

域是一种管理边界，用于一组计算机共享共用的安全资料库，域实际上就是一组伺服器和工作站的集合。

域在档案系统中，有时也称做“栏位”，是指数据中不可再分的基本单元。一个域包含一个值。如学生的名字等。可以通过数据类型（如二进制、字元、字元串等）和长度（占用的位元组数）两个属性对其进行描述。

域，在WORD文档中是一种可以发生变化的数据。他在页面视图中，与一般的文本看不出有什幺区别，但是，当游标移入域中，就会发现，整体域的底纹颜色变成灰色（约灰色-30%）。

域

域就是PowerDesigner中的数据类型模板 。

实际上我们可以把域和工作组联繫起来理解，在工作组上你一切的设定在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的资料库来验证的。而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。

如果说工作组是“免费的旅店”那幺域（Domain）就是“星级的宾馆”；工作组可以随便出出进进，而域则需要严格控制。“域”的真正含义指的是伺服器控制网路上的计算机能否加入的计算机组合。一提到组合，势必需要严格的控制。所以实行严格的管理对网路安全是非常必要的。在对等网模式下，任何一台电脑只要接入网路，其他机器就都可以访问共享资源，如共享上网等。儘管对等网路上的已分享档案可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

工作组是一群计算机的集合，它仅仅是一个逻辑的集合，各自计算机还是各自管理的，你要访问其中的计算机，还是要到被访问计算机上来实现用户验证的。而域不同，域是一个有安全边界的计算机集合，在同一个域中的计算机彼此之间已经建立了信任关係，在域内访问其他机器，不再需要被访问机器的许可了。

为什幺是这样的呢？因为在加入域的时候，管理员为每个计算机在域中（可和用户不在同一域中）建立了一个计算机帐户，这个帐户和用户帐户一样，也有密码保护的。可是大家要问了，我没有输入过什幺密码啊，是的，你确实没有输入，计算机帐户的密码不叫密码，在域中称为登录票据，它是由2000的DC（域控制器）上的KDC服务来颁发和维护的。

为了保证系统的安全，KDC服务每30天会自动更新一次所有的票据，并把上次使用的票据记录下来。周而复始。也就是说伺服器始终保存着2个票据，其有效时间是60天，60天后，上次使用的票据就会被系统丢弃。如果你的GHOST备份里带有的票据是60天的，那幺该计算机将不能被KDC服务验证，从而系统将禁止在这个计算机上的任何访问请求（包括登录），解决的方法呢，简单的方法是将计算机脱离域并重新加入，KDC服务会重新设定这一票据。或者使用2000资源包里的NETDOM命令强制重新设定安全票据。因此在有域的环境下，请儘量不要在计算机加入域后使用GHOST备份系统分区，如果作了，请在恢复时确认备份是在60天内作的，如果超出，就最好联繫你的系统管理员，你可以需要管理员重新设定计算机安全票据，否则你将不能登录域环境。

如果企业网路中计算机和用户数量较多时，要实现高效管理，就需要windows域。

不过在“域”模式下，至少有一台伺服器负责每一台联入网路的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的资料库。当电脑联入网路时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那幺域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问伺服器上有许可权保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网路上的资源。

要把一台电脑加入域，仅仅使它和伺服器在网上邻居中能够相互“看”到是远远不够的，必须要由网路管理员进行相应的设定，把这台电脑加入到域中。这样才能实现档案的共享。集中统一，便于管理。

要建立域进行管理，首先需安装域控制器（dc），dc上存储着域中的信息资源，如名称、位置和特性描述等信息。通过在一台伺服器上安装活动目录（AD），就会将这台计算机安装成dc。

1、安装者必须具有本地管理员的许可权。

2、作业系统版本必须满足条件（Windows server2003除web以外的所有都满足）。

3、本地磁碟必须有一个NTFS档案系统。

4、有TCP/IP设定。

5、有相应的DNS伺服器支持。

6、有足够的可用空间。

1.打开ad开始--运行输入dcpromo。

2.是否创建新域。dc有两种新域的域控和现有域的额外域控制器。一般选择新域的域控。

3.新域的DNS全名。

4.新域的NetBIOS名。下一步。

5.资料库和日誌资料夹。为了最佳化性能，可以将资料库和日誌放在不同的硬碟上。该资料夹不一定在NTFS分区。如果本计算机是域的第一台域控，则sam资料库就会升级到C:\windows\ntds\ntds.dit，本地用户账户变成域用户账户。

6.共享的系统卷。共享系统卷SYSVOL资料夹存放的位置必须是NTFS档案系统。

7.DNS注册诊断。AD需要DNS服务支持。选第二项，下一步。

8.域兼容性。如果网路中不存在Windows server 2003 以前版本的域控制器，就选第二项。如果存在选第一项。

9.还原模式密码。目录服务还原模式的管理员密码，是在目录服务还原模式下登录系统时使用。由于目录服务还原模式下，所有的域账户用户都不能使用，只有使用这个还原模式管理员账户登录。

10.安装完成后需重启计算机。

前面讲解了怎样创建windows域，接下来完善一下，讲解怎样将计算机加入域。 在安装完AD后，需要将其它的伺服器和客户计算机加入到域中。一般情况下，在从客户计算机加入域时，会在域中自动创建计算机账号。不过，用户必须在本地客户计算机上拥有管理许可权才能将其加入到域中。在加入域之前，首先检查客户机的网路配置：

1.确保网路上物理连通 。 2.设定IP位址。 3.检查客户机到伺服器是否连通。 4.配置客户机的首选DNS伺服器（通常为第一台DC的IP） 在客户端计算机系统属性中的“计算机名”选项卡里，单击更改按钮可以打开计算机加入域的对话框，选中域后，输入正确的域名，然后再根据提示输入具有加入域许可权的用户名和密码即可。 这样就OK了！ 将客户机加入域，就可以在客户机上，使用域账户加入到域，也可以使用客户机的本地用户账户登录到域。 前面一直提到DNS，下面讲解DNS在域中的作用。 DNS在域中有两个作用：域名的命名採用DNS的标準、定位DC。

1、域名的命名採用DNS标準。遵循DNS分散式、等级结构的标準。这体现了办公网路与Internet集成的理念。

2、客户机如何定位DC。当域用户账户登入时或者查找活动目录时，首先要定位DC，这需要DNS伺服器支持，主要步骤： 1）客户机传送DNS查询请求给DNS伺服器。 2）DNS伺服器查询匹配的SRV资源记录。 3）DNS伺服器返回相关DC的ip地址列表给客户机。 4）客户机联繫到DC 5）DC回响客户机的请求 DNS在活动目录中为什幺能起到定位DC的作用哪？ 主要靠域的DNS区域中的SPV资源记录。开始--程式--管理工具--DNS，打开DNS管理器，就是SRV资源记录。

Domain：网路术语

Internet地址的主要子部分，位于最后一个圆点之后。在美国标準的域如下所示：

域　意义

.com　Commercial（商业组织）

.cn China (中国域名)

.edu　Educational（教育机构）

.gov　Government（政府部门）

.mil　Military（军事部门）

.org　Non-Profit organization（非盈利组织）

.net　Network（主要网路支持中心）

在美国之外，最高层域通常是国家域，例如.cn 代表中国(china）等等。

Matlab 中的语言“域”