Основное отличие доменной структуры от рабочей группы это централизованная база пользователей. Т.е. если Вы создали пользователя и наделили его определенными полномочиями то он получит их войдя в любой из разрешенных Вами компьютер в разрешенное Вами время. На представленном ниже рисунке Вы можете увидеть как структура Вашей организации реализуется в домене. Компьютеры и пользователи объединяются по общности поставленных перед ними задач и, как следствие, по общности установленного программного обеспечения, прав пользователей и настроек политик безопасности. Вы можете управлять каждой группой как абсолютно независимо от родительской группы так и использовать наследование настроек от любой из групп. Например если Вы решили в целях безопасности установить блокировку экрана через 10 минут бездействия на компьютерах отдела SBYT, SNAB и BUCH, но не хотите чтобы эта настройка действовала на все остальные отделы Вам потребуется создать единожды политику с указанной настройкой и привязать ее к желаемым группам. Если же Вы хотите чтобы, например, общий диск с регламентирующими документами был доступен на чтение абсолютно всем пользователям, то Вам также необходимо создать одну политику с подключением этого диска и привязать ее ко всему домену. Внедрив домен Вы также будете иметь возможность выполнять практические любые интересующие Вас запросы. Например, сколько у Вас компьютеров под управлением Windows XP или сколько у Вас принтеров марки Hewlett-Packard.

Внедрив домен Вы получите наиболее удобный и интуитивно понятный интерфейс для администрирования сетевых настроек Вашей сети. В консоли DNSMGMT Вы всегда можете увидеть реальное соответствие имен компьютеров с их IP-адресами. Вы, при необходимости, можете сопоставить одному IP-адресу несколько имен. Основное достоинство DNS-сервера в том что каждый компьютер при попытке получить доступ к какому-либо ресурсу по имени обращается к серверу с запросом и получает от него ответ. Т.е. при любых перенастройках и изменениях в Вашей сети необходимо отследить корректные изменения всего в одном месте. Внедрив DHCP сервер Вы сведете установку нового компьютера (в части сетевых настроек) к простому подключению Ethernet кабеля к компьютеру. Все остальные настройки компьютер получит от DHCP сервера.

На представленном ниже рисунке Вы можете видеть как выглядят принтеры для пользователя и администратора. Администратор может контролировать состояние расходных материалов в принтере и управлять очередями печати централизованно, отслеживать количество страниц напечатанных конкретным пользователем на определенный принтер видя при этом имя файла которое пользователь посылал на печать. Пользователь, в свою очередь, имеет возможность посмотрев на ресурсы домена легко выбрать и установить себе желаемый принтер в соответствии со своим уровнем доступа.
Т.е. если Вы хотите чтобы на цветной лазерный принтер печатала определенная группа пользователей, то пользователь не принадлежащий к этой группе при попытке установить этот принтер получит сообщение что у него нет прав для установки этого принтера. Пользователь может устанавливать сетевой принтер не имея прав администратора в своем компьютере. При соответствующих настройках домена (и уровне знаний пользователя) пользователь может найти нужный ему принтер указав в запросе требуемые параметры принтера (двухсторонняя печать, А3 формат, скорость печати и т.п.) и его местоположение.
Управление файловыми ресурсами строится по следующей схеме: На любой созданный файловый ресурс создается как минимум две группы доступа с правами на чтение и с полными правами. В настройках доступа к этому ресурсу фигурируют всего лишь две указанных группы. При необходимости какому-либо пользователю дать права на доступ к этому ресурсу администратор включает его в соответствующую группу. Далее в зависимости от общности этого ресурса к группе пользователей администратор либо подключает этот ресурс всей группе в которой находится пользователей или непосредственно этому пользователю.

На приведенном ниже рисунке Вы можете увидеть как администратор может узнать на скольких компьютерах Вашей сети установлена операционная система Windows 2000. Формирование простых запросов можно осуществлять предоставляемым операционной системой сервера интерфейсом. Более сложные запросы можно составлять вручную с использованием языка LDAP - запросов.

Ниже приведен результат запроса по принтерам марки Hewlett-Packard.

Распределенные файловые системы. Если Ваша организация имеет распределенную структуру и может сложиться ситуация когда пользователь находится на приличном расстоянии от файлового ресурса то могут наблюдаться задержки в доступе к ресурсу. Для оптимизации скорости доступа и отказоустойчивости можно использовать распределенную файловую системы. Суть ее заключается в том что все пользователи ресурса обращаются к некому виртуальному имени ресурса, а физически этот ресурс может быть распределен по нескольким серверам и операционная система сервера сама поймет к какому физическому ресурсу пользователю проще обратиться.

Мощнейшим инструментом доменной структуры являются политики безопасности. С помощью политик безопасности Вы можете осуществлять полный контроль над интерфейсом пользователя, его правами на доступ к программам установленным на его компьютере. Например у Вас сложилась ситуация при которой два пользователя вынуждены поочередно работать на одном компьютере под своими учетными записями, причем одному пользователю можно запускать Microsoft Word, пользоваться почтой и любыми программами кроме Банк-Клиент, а другому пользователю категорически запрещено использовать любые программы кроме Банк-Клинт. Разумеется Вы можете выполнить эти сложные настройки непосредственно на персональном компьютере. При грамотном системном администраторе у него уйдет на это до 8 часов рабочего времени и он добьется результата! А если через неделю Вам понадобится сделать подобное на соседней машине? Использую политики безопасности администратор потратит то же время на отладку такой конфигурации в первый раз, но любые последующие похожие настройки будут выполняться намного быстрее так как администратору придется всего лишь привязать существующую политику к группе где находится следующий компьютер или перенести следующий компьютер в группу к предыдущему! В итоге действия всех политик доменной структуры Вы можете достичь следующего результата: Пользователь регистрируясь в рабочей станции получает доступ к одной программе с которой он обязан работать и к кнопке выключить компьютер. Все. Больше пользователь не может сделать ничего! Если Вы хотите окончательно обезопасить компьютер от несанкционированного доступа Вам остается установить пароль на включение компьютера, на вход в setup, и опломбировать компьютер. Такой набор настроек наиболее приемлем на рабочих местах с которых происходит формирование и подтверждение платежных документов!