Windows Server 笔记之活动目录，域的联系和区别

活动目录：如果将企业看成是字典，那么企业里的资源就是字典的内容，活动目录就相当于字典的索引。即活动目录存储的是网络中所有资源的快捷方式，用户通过寻找快捷方式而定位资源。（即活动目录存储比如说是打印机的快捷方式，二不是打印机本身）

活动目录和传统共享的区别：在传统的共享操作中（工作组），要访问一台机子的资源，就必须登陆该机子（输入用户名，密码），谁能记住那么多机子的用户名和密码呢？而且谁又知道自己所需要的资源到底在那台机子上呢？而在域中，一旦登陆该域，就获得了相应的访问权限，就能访问该域内所有计算机的资源，甚至包括打印机等外接设备。

存储活动目录数据库的是DC。在域环境中，第一台域服务器就是DC。

建立什么样的域？

（1） 单域环境：在一般的具有固定地理位置的小公司里，建立一个域就可以满足所需。一般在一个域内要建立至少两个域服务器，一个作为DC，一个是备份DC。如果没有第二个备份DC，那么一旦DC瘫痪了，则域内的其他用户就不能登陆该域了，因为活动目录的数据库（包括用户的帐号信息）是存储在DC中的。而有一台BDC，则至少该域还能正常使用，期间把瘫痪的DC恢复了就行了。

（2） 父域，子域环境：如果一个大公司，它的不同分公司在不同的地理位置，则创建一个域树，包含父域及子域这样的结构比较合适。如果把不同地理位置的分公司造在同一个域内，那么他们之间信息交互（包括同步，复制等）所花费的时间会比较长，而且占用的带宽也比较大。（因为在同一个域内，信息交互的条目是很多的，而且不压缩；而在域和域之间，信息交互的条目相对较少，而且压缩。）这样还有一个好处，就是子公司可以通过自己的域来管理自己的资源。父域和子域使用连续的命名空间，也在一定程度上方便了管理。还有一种情况，就是出于安全策略的考虑。比如一个公司的财务部门希望能使用特定的安全策略（包括帐号密码策略等），那么可以将财务部门做成一个子域来单独管理，因为安全策略只能应用于域级别。

（3） 森林：适用于“企业兼并”模型。自己的公司使用一个域树，当兼并了另外一个公司后，而被兼并公司本来也有自己的域树时（或者需要建立具有自己特色的域树时），则使用森林。通过建立树与树之间的信任关系而管理和使用整个森林中的资源，从而又保持了被兼并公司自身原有的特性。

5． 在一个域中怎样设置OU？一般根据企业的实际管理模型来设置OU。比如：总经理是一个OU，几个副总是一个OU，生产部门一个OU，销售部门一个OU等。

6． 组和OU的异同：都是来组织用户帐号的方式（在AD中都要用到）。OU主要体现的是自上而下的管理模型，一个用户只能属于一个OU；而组主要应用于权限管理，可以创建不同的组，将用户帐号加入组中，通过给组分配权限从而给一类帐号分配权限，一个用户帐号可以属于不同的几个组。（抽象点，OU类似于车间或办公室，一个人只能呆在一个地方上班；而组类似于头衔及其相应的权力，一个人可以同时有好几个头衔，每个头衔都有自己的相应的权力范围。）