第四章 创建Windows域 1

一、 域

1. 概念：将网络中多台计算机逻辑上组织到一起，进行集中管理，是种区别与工作组的逻辑环境

2. 域是组织与存储资源的核心管理单元

3 ．在 windows 系列中域使用活动目录（ Active Directory ， AD ）技术活动目录提供了存储网络上对象信息并使网络用户使用该数据的方法

4. 活动目录的特点： 1 ）集中管理 集中组织和管理网络中的资源信息

2 ）便捷的网络资源访问 用户一次登录就可访问整个网络资源

3 ）扩展行强 允许从一个网络对象少的网络扩大到大型网络

5. 活动目录的逻辑结构

活动目录中的逻辑单元包括：域、组织单元（ Organizational Unit ，简称 OU ）、域树、域森林

1）  组织单元（ OU ）是用户、组、计算机和其他对象（也可以包含其他的组织单元）在活动目中的逻辑管理单位， OU 可以包含各种对象，比如用户账户、用户组、计算机、打印机，甚至可以包括其他的 OU 。

2）  域是网络中对计算机和用户的一种逻辑分组。在活动目录中，域是一个或多个组织单元管理单位，是一个网络安全边界。域管理员只能管理域的内部，除非其他的域赋予他管理权限，他才能够访问或者管理其他的域。每个域都有自己的安全策略，以及它与其他域的安全信任关系。

3）  当多个域通过信任关系连接起来之后，所有的域共享公共的表结构（ schema ） 、配置和全局目录（ global catalog ），从而形成域树 。域树由多个域组成，这些域共享同一个表结构和配置，形成一个连续的名字空间。树中的域通过双向信任关系连接起来。活动目录包含一个或多个域树。域树中的域层次越深级别越低，一个“．”代表一个层次，如bj.benet .com 就比 benet.com 这个域级别低，因为它有两个层次关系。 层次低的称为子域，层次高的称为父域

4）  域森林是指一个或多个没有形成连续名字空间的域树。域林中的所有域树共享同一个表结构、配置和全局目录。域林中的所有域树通过 Kerberos 信任关系建立起来，所以每个域树都知道 Kerberos 信任关系，不同域树可以交叉引用其他域树中的对象。