Question

6.1.7.3. 域

域指将网络中多台计算机逻辑上组织到一起，进行集中管理的逻辑环境。域是组织与存储资源的核心管理单元，在域中，至少有一台域控制器，域控制器中保存着整个域的用户帐号和安全数据库。

6.1.7.3.1. 域结构

6.1.7.3.1.1. 域树

域树（Trees）由多个域组成，这些域共享同一表结构和配置，形成一个连续的命名空间（namespace）。

6.1.7.3.1.2. 林

林（Forests）是一个复杂的AD实例，由一个或数个域组成，每个域树都有自己唯一的名称空间。

6.1.7.3.2. 域控制器

ADDS的目录存储在域控制器(Domain Controller)内，一个域内可以有多台域控制器，每一个域控制器的地位几乎是平等的，有几乎相同的数据库。

在一台域控制器添加一个用户账户后，这个账户会被自动复制到其他域控制器的数据库中。

AD数据库有多主机复制模式（Multi-master Replication Model）和单主机复制模式（Sing-master Replication Model）。

多主机模式可以直接更新任何一台域控制器内的AD对象，并将更新之后的对象复制到其他域控制器，大部分数据都是用多主机模式进行复制。

单主机复制模式是指由一台被称作操作主机（Operations Master）的域控制器负责接收更改数据的请求，并将数据复制到其他的域控制器。

6.1.7.3.3. 信任

两个域之间需要创建信任关系，才可以访问对应域内的资源。

6.1.7.3.3.1. 域信任类型

Active Directory的信任方式可以分为以下几种：

• Tree-Root Trust

  • 双向具有转移性

• Parent-Child Trust

  • 具有转移性，双向行人

• Forest Trust

  • 如果两个林创建了信任关系，则林中所有的域都相互信任
  • 两个林之间的信任关系无法自动扩展到其他林上

• Realm Trust

  • ADDS域可以和非Windows系统的Kerberos域之间创建信任

• External Trust

  • 位于两个林内的域之间可以通过外部信任来创建信任关系

• Shortcut Trust

  • 可以缩短验证用户身份的时间

6.1.7.3.4. OU

组织单位（Organization Unit，OU）是一个容器对象，将域中的对象组织成逻辑组，帮助管理员管理。OU包含用户、计算机、工作组、打印机、安全策略以及其他组织单位等。