Windows活动目录系列---分布式活动目录部署概述(上)

 AD DS组件的概述：

  什么是AD DS域？

  AD DS域是一个将用户，计算机和群组对象，逻辑的组合在一起用于集中管理和保障安全性的工具。所有这些对象都是保存在ADDS数据库中，并且在域中的每一个域控制器上都存有这些数据的副本。因此ADDS的数据库具有容错功能，域内的客户端可以在任何一台域控制器上存取域的信息。ADDS提供了一个可搜索的层次型目录，和一个应用配置以及企业中对象的安全性设置的框架。你可以使用ADDS和GPO去把配置和安全性设置应用到用户和计算机账号上。

  什么是AD DS域树？

  ADDS域树是一个连续的命名空间中一个或多个ADDS域的集合。举个例子，如果林中的第一个域是adatum.com，你可以在这个命名空间中创建另外一个域作为子域，比如atl.adatum.com。

  有时候在林中包含多个域会更加适合企业环境。当你在现有的林中添加一个域，你可以将这个域作为子域加入到现有的域中，这个操作会将新的域加入到域树中。你也可以在林中将创建的域作为一个新的域树。例如Adatum公司已经有一个adatum.com的ADDS林，后续收购了一家公司Fabrikam，那么现在就需要在adatum.com林中创建一个名称为fabrikam.com的树。虽然这个新建域是一个新的域树并生成了一个新的命名空间，但是它还是集成在现有的林中。

  什么是AD DS林？

  ADDS林是由一个或多个ADDS树组成的集合。每一个ADDS树可能包含一个或多个ADDS域，ADDS林是ADDS安全性和管理的最外层边界。

  什么是信任关系？

  信任关系式不同域直接的验证管道。有些信任关系会在域的安装过程中自动生成，还有些信任关系会根据不同的原因手动的去创建。在信任关系框架中的域能够共享资源，并且提供用于支持域之间的验证的结构。

  什么是全局目录？

  全局目录作为一个中心目录，用于存放林中的每个对象的信息，它在每个ADDS林中都是唯一的。全局目录与独立的域分区不同，独立的域分区会保存一个域中所有对象的属性集，这些属性集是可写的，而全局目录保存的是一个只读的列表，列表中包含林中每个对象的部分属性。在多域环境中全局目录能够很容易的就定位到不同域中的对象，例如Exchange服务器使用全局目录去定位林中所有的邮件收件者。

ADDS结构中域和林的边界概述：

在ADDS部署中域和林有不同类型的边界，对于不同类型的边界的理解是管理一个复杂的AD环境的基础。

ADDS域边界：

域提供了以下边界：

1. 域分区的复制边界。在单一域中所有的ADDS对象都保存在每台域控制器的ADDS数据库的域分区中。复制过程会确保所有的初始更新会被复制到相同域中的所有其他域控制器上，在域分区中的数据不会复制到其他林中的域控制器上。

2. 管理边界。默认情况下，一个ADDS域包含多个群组，比如Domain Admins组，这个组的成员对整个域拥有完全管理权限，你也可以给域内的用户账号和群组赋予管理权限。除了林中根域的Enterprise Admins群组，其他的管理账号在本林中的其他域或者其他林中是没有任何管理权限的，他们无法管理非本域的资源。

3. 组策略应用边界。组策略能够被链接在以下级别：本地，站点，域，OU。除了站点层次的组策略，其他的组策略范围都是域层次的。域中的组策略不会从一个域继承到另外一个域，即使某个域是另一个域的子域，也同样没有组策略继承的功能。

4. 审计边界。审计通过GPO进行集中的管理，审计设置的最大范围是整个域。你可以在不同域中使用相同的审计设置，但是这些设置必须在每个域中被各自管理。

5. 密码和账号策略边界。默认情况下，密码和账号策略是定义在域层次并被应用到所有的域账号。但是我们可以配置颗粒化密码策略，将这些策略应用到域中的某些特殊用户。密码和账号策略是不能应用在单一域以上的层次的。

6. 域的DNS区域复制边界。当你在一个ADDS环境中配置DNS区域的时候，会有一个可选项去配置AD集成区域。如果选择AD集成区域，那么DNS记录会在ADDS数据库中存储和复制，而不是保存在每台DNS服务器的本地文本文件中。然后管理员可以选择是否将DNS信息"复制到域内所有的域控制器上(无论这些域控是否是DNS服务器)"，"复制到域中的所有安装了DNS角色的域控制器上"，"复制到林中的所有安装了DNS的域控制器上"。默认情况下，当你部署第一台域控制器并将此服务器作为DNS服务器的时候，会自动创建2个独立的复制分区"domainDnsZones"和"forestDnsZones"。"domainDnsZones"分区包含指定的域的DNS记录，并且只会在域中的其他安装了DNS的域控制器之间复制。

ADDS林边界

ADDS的林提供了以下边界：

1. 安全性边界。林是一个安全性边界是因为在默认情况下林以外的账号不会在林内拥有任何管理权限。

2. 架构分区的复制边界。架构分区包含ADDS数据库的规则和语法。它会复制到林中的所有域控制器上。

3. 配置分区的复制边界。配置分区包含了ADDS域的布局明细，它包括：域，域控制器，复制伙伴，站点和子网信息，DHCP授权或动态访问控制配置。配置分区还包含与AD数据库集成的应用程序的信息，比如Exchange应用程序。配置分区同样也会复制到林中的所有域控制器上。

4. 全局目录的复制边界。全局目录是一个只读清单，它包含整个林中的每个对象。为了保证它在一个可以管理的大小范围，全局目录仅包含对象的部分属性。全局目录会复制到林中所有的作为全局目录的域控制器。

5. 林DNS区域的复制边界。"forestDnsZones"分区会被复制到林中所有装有DNS角色的域控制器上，这个区域包含的记录对林范围的DNS名称解析有着重要的作用。

为什么要部署多个域？

很多企业使用一个单独的域就已满足需求了，但是有一些企业却需要部署多个域来满足他们的需求，这些需求可能包括：

1. 域复制的需求。在某些情况下，公司有几个大的分支机构，他们通过慢速的或者不可靠的广域网进行通信，以至于没有足够的带宽去支持域分区的复制，于是你可能需要在每个分支机构安装一个分离的ADDS域来解决这个问题。

2. DNS命名空间的需求。一些公司要求在林中有多个DNS命名空间。这种情况通常发生在一个公司收购另外一个公司的时候，并且被收购的公司的域名必须被保留。虽然可以通过在单域中让用户使用多个用户主体名来解决这个问题，但是很多企业还是选择部署多个域来解决这个问题。

3. 分布式管理的需求。组织可能因为一些安全性或者政治的需求必须使用分布式的管理模式，通过部署一个分离的域能够实现组织的自主管理，通过这种部署方式，域管理员能够完全控制他们的域资源。

注意：部署分离的域能够提供自主管理的功能，但是这并不意味着独立管理。确保独立管理的唯一方式是部署分离的林。

4.  林管理群组的安全性需求。一些组织可能选择部署一个专用的或者空的根域，这个域不会存放除了默认的林根域内建的账号以外的任何账号。ADDS林的根域会有2个默认群组Schema Admins和Enterprise Admins，这2个群组不会出现在林中的其他域内，因为这2个群组在林中拥有非常大的权限，你可能想通过将这2个群组存放在根域中来限制它们的使用。

5.  资源域的需求。一些组织部署资源域用来部署专门的应用程序。使用这种部署方式，所有的用户账号放置在一个域中，而应用程序服务器和应用程序管理账号被部署在一个分离域中。这样保证了应用程序管理员在资源域中有完全的域管理权限，不需要在常规的用户账号存放的域中开放任何权限。

为什么要部署多林？

企业中可能有时会需要在设计ADDS的时候包含多个林。以下有几个原因说明为什么一个林无法满足需求：

1. 独立的安全性需求。如果企业要求在它的两个不同部分进行独立的管理，那么企业必须部署多林结构。

2. 不兼容的架构。一些企业可能需要多个林，因为他们要求使用不兼容的架构或者不兼容架构变更处理，架构在林中的所有域之间共享。

3. 跨国的需求。一些国家对国内企业的所属和管理有严格的规章制度。建立一个分离的ADDS林可以根据法规的需求提供独立的管理。

4. 外部安全性需求。一些组织有多台服务器部署在边界网络中，这些服务器可能需要ADDS来验证用户账号或者使用ADDS强制某些策略应用在边界网络的服务器上。为了确保外部的ADDS尽可能的安全，组织通常会在边界网络部署一个ADDS林。

5. 商业并购或者分离需求。企业中最常见的使用多林的原因就是商业并购。当一个企业并购了另外一个企业时，企业就需要评估是否需要将两者合并在一个ADDS林中。合并林能够简化管理和协作，但是如果企业中有两个不同的小组仍旧需要进行独立的管理，而且他们之间几乎不需要进行协作，那么在这种情况下就没有必要将两个林合并在一起。尤其是如果企业计划出售公司的某一个事业部，那么保持两个独立的林会更加合适。