域(Domain)
域 既是Windows网络系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows 2000系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域。每个域都有自己的安全策略,以及它与其他域的安全信任关系。

OU(Organizational Unit)

OU 是一个容器对象,我们可以把域中的对象组织成逻辑组,所以OU纯粹是一个逻辑概念,它可以帮助我们简化管理工作。OU可以包含各种对象,比如用户账户、用户组、计算机、打印机,甚至可以包括其他的OU。所以我们可以利用OU把域中的对象形成一个完全逻辑上的层次结构,对于一个企业来讲,我们可以按部门把所有的用户和设备组成一个OU层次结构,也可以按地理位置形成层次结构,还可以按功能和权限分成多个OU层次结构。由于OU层次结构局限于域的内部,所以一个域中的OU层次结构与另一个域中的OU层次结构完全独立。


当多个域通过信任关系连接起来之后,所有的域共享公共的表结构(schema) 、配置和全局目录(global catalog),从而形成 域树 。域树由多个域组成,这些域共享同一个表结构和配置,形成一个连续的名字空间。树中的域通过信任关系连接起来。活动目录包含一个或多个域树。


森林 
域森林 是指一个或多个没有形成连续名字空间的域树。域林中的所有域树共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos信任关系建立起来,所以每个域树都知道Kerberos信任关系,不同域树可以交叉引用其他域树中的对象。


    接下来我们看一下AD与站点之间的关系

    谈到Active Directory中的站点,很多Active Directory的初学者都会深感头疼,为什么呢?搞不清楚这个站点究竟是起什么作用。有很多同学都问过这样的问题,站点和域有什么区别?到底是域大还是站点大?有了域为什么还要有站点?本文将尝试为大家介绍站点的概念及设计初衷,让大家能够更好地理解站点,运用站点。

域是共享用户账号,计算机账号及安全策略的一组计算机,这个定义是基于逻辑因素考虑的,只要用户和计算机在同一个Active Directory内,我们就认为他们都在域的安全边界之内。我们从域的定义中可以看到,域没有考虑网络速度等物理因素,无论计算机和域控制器之间是一个快速的物理连接还是一个慢速的物理连接,域都会一视同仁,完全把连接速度视若无物。但在实际的生产环境中我们就会发现如果不考虑网速这样的物理因素,我们会在管理域时遇到很多麻烦。我们通过一个例子加以说明,如下图所示,某域的域控制器分布在北京,上海两处,北京有A,B,C三台域控制器,上海有D,E,F三台域控制器。北京和上海的本地局域网都是千兆以太网,北京和上海之间是一条128K的专线。

    现在我们要考虑这么一个问题,如果域控制器A更改了Active Directory,那么怎样才能用最有效率的方法把这个AD的变化复制到其他五个域控制器上呢?显然域控制器A应该先把更改复制到同一高速局域网内的B和C,然后再利用慢速的广域网链接复制到上海的一个域控制器上,例如复制到D,最后再由D复制到E和F。域控制器如果使用我们规划的这种复制拓扑,那当然好,在这种复制拓扑中数据只经过两地间的慢速链路传递了一次。但问题是域如果不考虑速度因素,未必能作出这种拓扑,万一KCC决定使用的复制拓扑是先从A到D,再从D到B,然后B到E,再E到C,最后从C到F,那我们就要崩溃了。这样的话六个域控制器之间的AD复制要沿着两地间的慢速链路走五次,无论如何都让我们无法接受!从这个例子中我们已经看到了速度因素的重要性,再顺着这个例子引申一下,用户每天登录到域进行身份验证,显然北京的用户应该登录到北京的域控制器,上海的用户应该登录到上海的域控制器,这样效率才会比较高,如果北京的用户每天都到上海的域控制器进行身份验证,显然不是一件好事。

    从上面的例子中我们发现,在日常的运维工作中是不能把速度因素透明处理的,我们必须考虑到计算机之间的连接速度!正是基于这种考虑,微软才引入了站点对计算机进行管理。站点的概念其实很简单,站点就是高速相连的一组计算机!从这个概念来看,站点强调了速度这个物理因素,域则是强调要共享Active Directory这个逻辑因素,把站点和域结合起来对计算机从物理和逻辑两个角度进行管理,是微软的一个很好的构思。值得一提的是,微软这种管理思路并非罕见,例如Exchange中也有管理组和路由组的概念,管理组和路由组其实类似于域和站点的关系,也是一个从逻辑角度进行管理,另一个从物理角度进行管理。

    有了站点帮助管理,我们处理前面提到的那个例子就容易多了,从站点的定义来看,由于北京和上海之间存在一条慢速链路,因此我们应该把北京的计算机放到一个站点内,把上海的计算机放到另一个站点内。这样的话,北京和上海的用户在登录时会优先选择本站点内的域控制器登录,KCC在规划复制拓扑时也会自动地优先考虑在本站点内的域控制器之间进行AD复制。更好的是,如果AD需要垮站点复制,AD内容还可以经过压缩后再进行复制,显然站点在设计时已经充分考虑到了对带宽的充分利用。