基本介紹
每個域都是一個安全界限,這意味著安全策略和設定(例如系統管理權利、安全策略和訪問控制表)不能跨越不同的域。特定域的系統管理員有權設定僅屬於該域的策略。
由於每個域都是一個安全壁壘,因此不同的系統管理員可以在單位中創建和管理不同的域。
理解域的關鍵是:
安全策略可以貫穿整個域來實現。
為保證資料庫的同步,包括安全信息的 Active Directory 會定期複製到域中每個域控制器。
Active Directory 中的對象可以按組織單位的不同級別進行組織和管理。
可轉移的信任關係可以建立在域樹中的域之間。
有關域的詳細信息,請參閱了解域。
單個域和多個域
Windows NT 4.0 限制了目錄可以存儲的用戶帳戶的個數。因此,為了適應大計算環境的需要,創建和管理多個域而且每個都擁有自己的用戶帳戶目錄對於單位來說就非常必要了。域通常按以下兩種類型進行組織:主域(存儲用戶和組的帳戶)和資源域(存儲檔案、印表機、應用程式服務等等)。
這種多域的計算環境被稱為多主域模式。多主域模式意味著資源域需要與所有的主域具有多個信任關係。這些信任關係允許主域的用戶訪問資源域中的資源。
通過擴大存儲用戶、組和計算機帳戶的能力,Active Directory 可實現多個域的功能,因此取而代之。通過 Active Directory,系統管理員可以把跨越多個域的所有帳戶(過去必須存儲在主域中)和所有資源(過去必須存儲在資源域中)合併到單個域中。出於管理目的,系統管理員可以在域中將對象分組到不同組織單位 (OU) 中以維持對象的邏輯分組。然而,在某些情況下,您出於策略原因可能希望保留多個域。
可轉移的信任關係
當您將對象從多個域轉到單個域時,會降低必須建立和保持的域信任關係的數量。同樣,將域合併成單個域林時,這些域將自動建立可轉移的信任關係,減少了在域之間手動建立信任關係所需的數量。要訪問域林中所有其他域,每個域同域林中的另一個域只需要一個信任關係。
有關管理信任關係的詳細信息,請參閱信任。
伺服器角色
域中的伺服器擔當下面的其中一種角色:
域控制器運行 Active Directory 並且提供身份驗證和策略。
成員伺服器提供類似於檔案、列印和應用程式服務等服務。
有關域控制器和成員伺服器的詳細信息,請參閱伺服器角色。