После того как сеть налажена на аппаратном уровне и на уровне адресов, остается главное: организовать в ней работу пользователей. Для этого нужно ясно представить, какие ресурсы будут использоваться, где их лучше разместить, как ими управлять и обеспечить доступ к ним всех заинтересованных лиц.

Мы уже упоминали о двух принципиальных архитектурах сети: доменной и одноранговой. Что это такое, и в каких случаях оправдано применение той и другой? Одноранговая сеть — самая простая реализация. В такой сети все узлы (компьютеры) равноправны и равноценны. Любой из них по мере необходимости может выступать и сервером, и клиентом. Учетные записи пользователей относятся к конкретным компьютерам (локальные учетные записи), а настройки безопасности каждого компьютера хранятся и применяются непосредственно на нем. Для относительного объединения компьютеров в структуру служат рабочие группы, однако значение их ограничено.

Такая децентрализация и независимость компьютеров является одновременно и достоинством одноранговой сети, и ее недостатком. Достоинством — потому, что сеть из нескольких компьютеров построить очень просто, любой компьютер совершенно одинаково работает как в составе сети, так и автономно. Недостатки проявляются, когда компьютеров много. Каждый из них необходимо настраивать по отдельности, и для системного администратора это становится проблемой.

Понятие домена Windows тесно связано с понятием Active Directory. При такой организации сеть рассматривается как целостная структура, в которой есть компьютеры, пользователи и ресурсы. На них распространяется общая политика безопасности. При этом пользователи выступают пользователями домена: вход производится не в локальную систему, а сразу в сеть.

Управление безопасностью и назначение прав осуществляется централизованно. Один из компьютеров является центральным сервером — контроллером домена. На нем хранятся учетные записи пользователей и все политики безопасности. При запуске компьютера и вводе имени пользователя и пароля учетная запись сначала проверяется на сервере. Уже от сервера локальный компьютер получает разрешение «пустить пользователя в систему», и оттуда же получаются настройки, права доступа к ресурсам, списки ресурсов и т. д.

В сети из десятков и сотен компьютеров преимущества такой философии налицо. Все администрирование осуществляется с одного рабочего места. Если умело пользоваться групповыми политиками, практически нет разницы: десяток или сотню рабочих мест настраивать!

Если пойти дальше, то в домене легко организуются перемещаемые профили — личные папки пользователей, в том числе и их рабочие столы, технически хранятся на сервере. Пользователь может сесть за любой компьютер сети, войти на него под своим именем и работать в своей, уже настроенной, среде. В малой сети доменная структура неудобна лишь тем, что требует постоянно запущенного компьютера с серверной ОС. Как правило, пользователь за ним не работает, и в сервере (с учетом лицензий на ПО) «заморожена» почти тысяча долларов.