加入/创建工作组：右击桌面的“计算机”图标，在弹出的快捷菜单中选择“属性选项”，然后依次单击“更改设置”和更改按钮，在“计算机名”输入框中输入计算机的名称，在“工作组”输入框中输入想要加入的工作组名称。如图：

域（Domain）是一个有安全边界的计算机集合（安全边界的意思是，在两个域中，一个域中的用户无法访问另一个域中的资源）。可以简单的把域理解成升级版的工作组，与工作组相比，域的安全管理机制更加严格。

域控制器（Domain Controller，DC）：是域中的一台类似管理服务器的计算机，我们可以形象地将他理解为一个单位的门禁系统。域控制器负责所有连入的计算机和用户的验证工作。域控制器是整个域的通信枢纽，所有的权限身份验证都在域控制器上进行，域内所有用来验证身份的账号和密码散列值都保存在域控制器中。域控制器中存在由这个这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当计算机连接到域时，域控制器首先要鉴别这台计算机是否属于这个域，以及用户使用的登录账号是否存在，密码是否正确。如果以上信息有一项不正确，域控制器就会拒绝这个用户通过这台计算机登录。如果用户不能登录，就不能访问服务器资源中的资源。

单域：在一个地理位置固定的小公司里，建立一个域可以满足需求。在一个域内，一般要至少有两台服务器，一台作为DC，另一台作为备份DC。活动目录的数据库（包括用户的账号信息）是存储在DC中DC，一旦DC瘫痪了，域内的其他用户就不能登录该域了。

父域和子域：出于管理以及其他需求，需要在网络中划分多个域。第一个域称为父域，各分部的域称为该域的子域。

域树：是多个域通过建立信任关系组成的集合。一个域只能管理本域，不能访问或者管理其他域。如果两个域之间需要相互访问，则需要建立信任关系。

域森林：是指多个域树通过建立信任关系组成的集合。

域名服务器（domain name server，DNS）：是指用于实现域名和与之对应的IP地址转换的服务器

活动目录：是指域环境中提供目录服务的组件。

目录用于存储有关网络对象的信息。

目录服务是指帮助用户快速、准确的从目录中找到其所需要的信息的服务。活动目录实现了目录服务，为企业提供了网络环境的集中式管理机制。

不考虑管理对象的具体地理位置的组织框架称为逻辑结构。

活动目录的逻辑结构包括组织（OU）、域、域树、域森林。域树内的所有域共享一个活动目录，这个活动内的数据分散存储在各个域中，且每个域只存储该域内的数据。

活动目录 的功能：

账号集中管理：所有账号均存储在服务器中，以便执行命令和重置密码等。

软件集中管理：统一推送软件、安装网络打印机等。利用软件发布策略分发软件，可以让用户自由选择需要安装的软件。

环境集中管理：统一客户端桌面，IE，TCP/IP协议等的设置。

增强安全性：统一部署杀毒软件和病毒扫描任务、集中管理用户的计算机权限、统一制定用户密码策略等。可以监控网络，对资料进行统一管理。

更可靠：更短的宕机时间。

安全域：划分安全域的目的是将一组安全等级相同的计算机划入同一个网段。这个网段内的计算机有着相同的网络边界，并在网络边界上部署防火墙来实现对其他安全域的网络访问控制策略（NACL），从而对允许哪些IP地址访问此域、允许此域访问哪些IP地址和网段进行设置。

在一个用路由器链接的内网中，可以将网络划分为三个区域：安全级别最高的内网；安全级别中等的DMZ；安全级别最低的外网。这三个区域负责完成不同的任务，因此需要设置不同的访问策略。

DMZ称为隔离区，是为了解决安装防火墙后外部网络不能访问内部网络务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。DMZ位于企业内部网络和外部网络之间。DMZ是对外提供服务的区域，因此可以从外部访问。

在配置一个拥有DMZ的网络时，需要定义如下策略，以实现屏障功能：

内网可以访问外网

内网可以访问DMZ

外网不能访问内网

外网可以访问DMZ

DMZ不能访问内网

DMZ不能访问外网

内网又分为办公区和核心区。

域中计算机分类：域控制器，成员服务器，客户机，独立服务器。

域内权限

组是用户账号的集合。通过向一组用户分配权限，就可以不必向每个用户分别分配权限。