域的逻辑结构

8.2　Active Directory域的逻辑结构

为确保设计出最有效、最可靠的 Active Directory，必须了解网络的逻辑结构和物理结构。研究和了解组织的业务结构也是非常重要的。Active Directory 将域的逻辑结构从实际物理结构中独立出来。

网络的逻辑结构是由无形的项目组成的，如对象（object）、域（domain）、目录树（domain tree）和目录林（frest）。

Active Directory的基本结构块是对象，这是一个代表网络资源的已命名特定属性集。对象属性是目录中对象的特征。对象也可以按类进行分组，类是对象的逻辑分组。用户、组和计算机是不同对象类的例子。

在最低一层，某些对象代表网络上的单个实体，如用户或计算机。这些实体称为叶对象，它们不能包含其他对象。但是，为了简化目录的管理和组织，可以将叶对象放在其他对象（称为容器对象）内部。容器对象也可以采用嵌套（或层次）形式包含其他容器。

容器对象最常用的类型是组织单元（OU）。可以使用OU将对象进行分类，并将域变成某种类型的逻辑管理分组。尤其要注意的是，域中OU的结构和层次与任何其他域的结构无关。

所有网络对象只能在一个域中存在（无论是叶对象还是容器对象）。为反映组织网络的特点，可以使用域将相关对象分成一组。每个创建的域仅存储所包含对象的信息，而不存储其他对象的信息。目前，在域中可维护的对象数量的上限为100万。

每个域表示一个安全边界。对每个域中对象的访问是由访问控制项（ACE）控制的，后者包含在访问控制列表（ACL）中。这些安全设置并不跨越域边界。在 Active Directory 中，域也可以称为“分区”。因为域是 Active Directory 数据库的物理分区，所以既可以按照业务功能（人事处、销售或财务），也可以按照位置（地理或相对）建立其结构。

当将相关域分成一组以便共享全局资源时，就创建了“目录树”。尽管目录树可以只包含一个域，但是可以将层次结构中相同名称空间的多个域合并在一起。可以使用基于Kerberos的安全功能，通过双向信任关系将目录树中的域透明地连接在一起。这些信任关系可以是永久性的（不能被删除），也可以是暂时的。换句话说，如果域A信任域B，而域B信任域C，则域A信任域C。

目录树中的所有域共享所有对象类型的正式定义（称为“架构”）。此外，任何给定目录树中的所有域还共享全局编录（GC）。GC是目录树中对象的中央储存库。

每个目录树也可以由邻接的名称空间表示。例如，如果公司的根域为“company.com”，则可以给销售和技术支持部门创建单独的域，它们的域名分别为“sales.company.com”和“support.company.com”。这些域称为子域。与Windows NT 4.0不同，每个域自动生成信任关系。

在最高一级，可以将单独的目录树分成一组形成“目录林”。可使用目录林，将组织中的不同部门，甚至不同组织组合到一起。这些部门不必共享相同的命名架构并且独立运作，但彼此之间可以进行通信。目录林中的所有目录树共享相同的架构、全局编录和配置容器。再者，基于Kerberos的安全功能在目录树之间提供了信任关系。

Windows 2000目录服务的另一个优点是，无须重新安装整个服务器的操作系统，即可卸载Active Directory。要想使一个成员服务器成为DC，你只需运行DCPROMO工具来添加Active Directory服务器即可。要想删除Active Directory服务器，同样只需运行DCPROMO工具即可。