Active Diretory 全攻略（二）－－AD与域

核心提示：在03中域一直是最重要的核心地位，但很多人却没弄清楚何谓域，Active Diretory 全攻略（二）－－AD与域，下个简单的定义便是：共享同一个AD数据库的电脑所构成的集合是一个域， 1、域与AD的关系：从域角度来看，域林：是多个域树的集合，通过信任关系通信，AD是由至少一个域所构成的集合，若以AD为主角

在03中域一直是最重要的核心地位，但很多人却没弄清楚何谓域。下个简单的定义便是：共享同一个AD数据库的电脑所构成的集合是一个域。

1、域与AD的关系：从域角度来看，AD是由至少一个域所构成的集合，若以AD为主角，从AD的角度来看，域则是AD的分区单位。

AD是域的集合：AD可由单一或多重域组成。

域为AD的分区单位：域各自存储本身所拥有的AD对象，因此域亦是AD中一组对象的集合，或这样说为AD的逻辑分区的单位。

域的功能：1、形成独立的管理单元：即是有独立的帐户、网管人员、安全设置、组策略等等，域之间可以通过信任关系结合起来。2、组策略与委派控制的应用单位：即委派控制与组策略也可应用于域或站点上。前面也提到组织单元（OU），它是将域划分为更小的单元进行管理。便可知其两的关系了吧。3、可跨越地域限制：其实域呢是一个逻辑概念，不同地区都可以加入同一个域中。

域名称：较常见的是DNS和LDAP两种格式。DNS这个大家非常熟悉了，在这里就不讲了，注意的是这里域只是命名方式与DNS相同，并非域的定义都和DNS相同。LDAP DN格式：由于域是构成AD层次的一部分，因此对象的DN必然会包含对象所在的域名称。AD利用DC（DOMAIN COMPONENT）来表示DNS名称中的层次。如上例可写成：CN=FRANKIE KE，OU=SECT1，OU=PRODUCT，DC=MING，DC=COM，DC=US。大家可以看到，实际上DNS域名称转换成对象DN最右边的三个元素。

多重域的结构：再重复说一下，域内可由组织单位来形成层次式结构，使域具有更好的可扩展性。多重域即是域树状目录或林两种结构。域树是由多个域组成，域之间是通过住处信任关系，以层次式加以组织的。特别注意：域树中的域虽然有层次关系，但这是仅限于命名方式，并不代表上层域对下层域具有管辖的权限。域树中各人域都是独立的管理个体，所以上层域的网管人员与下层域的网管人员基本上是处于平等地位，后面介绍过程中会体现。虽然在现实生活中可能有从属关系，AD中是没有的。域林：是多个域树的集合，通过信任关系通信。建立这样的关系是方便查找。