什么是域?如何创建域?

域 既是Windows网络系统的逻辑组织单元，也是Internet的逻辑组织单元，在Windows 系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域。每个域都有自己的安全策略，以及它与其他域的安全信任关系。 

以上是一个标准的解释： 
其实上我门可以把域和工作组联系起来理解，在工作组上你一切的设置在本机上进行包括 各种策略，用户登陆也是登陆在本机的，密码是放在本机的数据库来验证的。而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的帐号密码可以在同一域的任何一台计算机登陆 
这样做方便管理

要组建Windows办公网络，首先要规划IP地址，然后再根据域环境决定是采用单域还是多域结构，最后考虑账户、文件和打印服务等内容。

规划ＩＰ地址 本项目中IP地址采用192 . 168 . 0 . 0/24网段。 计算机默认网关为 192 . 168 . 0 . 1～192 . 168 . 0 . 10之间的IP，客户机占用192 . 168 . 0 . 11以上的IP。

规划域 根据网络规模、集中管理与结构简单原则，公司决定采用单域结构，域名为angerfire . cn。与多域结构相比，它能实现网络资源集中管理并保障管理上的简单性和低成本。在域内按照部门名称划分组织单位（OU），分别是运行科、保护科、变配电科、巡检科、人力资源科、招标办公室、对标办公室、财务办公室、工程部、抢险办公室、工会和局长办公室，用于存储和管理各部门的用户资源。整个域结构与公司管理结构相匹配，可以实现网络资源的层次管理。域控制器作为整个域的核心服务器，完成对公司所有员工的账户管理和安全策略的实施。

规划用户账户和组 在各部门的OU中分别为该部门员工创建唯一的域用户账户，并要求域用户账户在首次登录时更改密码。密码最小长度为8位，并且符合复杂性要求。为每个部门创建全局组，并将同部门的员工账户分别加入各部门的全局组。

规划文件服务器 通过一台专用文件服务器存储公共文件以及员工的工作文档。文件服务器的C盘容量为10GB（安装操作系统和软件），D盘容量大于100GB，并采用NTFS文件系统。在D盘的一个名为software的文件夹中存放公共文件，如常用软件、规章制度等。另一个名为share的文件夹存放部门和员工的工作文档。

在D:/share下为每个部门建立文件夹，部门文件夹下创建每个员工的文件夹，并为每个用户配置共享权限和NTFS权限，保障文件只被授权的用户访问。权限的配置应遵循AGDLP规则，避免直接为用户授权，除非该文件夹只有一个员工访问。

在文件服务器上，普通员工最大使用空间为100MB，部门经理的最大使用空间为1000MB，总经理的最大使用空间不受限制。在文件上传类型方面，只允许上传文件后缀为.doc、.xls、.ppt、.wps、.txt、.rar 的文件。对重要的文件夹要制定备份策略，可以采用常规备份加差异备份的策略，按任务计划自动执行。

规划打印系统 根据公司需求，需要采购4台打印设备（HP Laserjet 1020）。4台设备分别安装在打印服务器printsrv1、printsrv2、printsrv3、printsrv4 上，printsrv1供局长办公室和财务办公室使用，printsrv2和printsrv3供招标办公室、工程部和工会使用，printsrv4供对标办公室、抢险办公室和人力资源科使用。局长、科长和普通员工的优先级分别规划为90、50和1。同时还要规划逻辑打印机权限。

规划上网方式 公司租用一条100M专线上网。采用代理服务器软件使局域网接入Internet。防火墙/代理服务器软件使用微软应用级防火墙ISA2006。代理服务器的专用连接IP为192 . 168 . 0 . 1，公共连接与100MB专线连通，IP地址从ISP那里动态获得，启用的代理协议是HTTP，使用域策略完成客户端的统一配置，实现共享上网，启用防火墙策略对用户上网行为进行监控并阻绝一切不适用的网络通信。