域是網(wǎng)絡(luò)對象(包括組織單元、用戶帳戶、組和計算機(jī),他們都共享與安全性有關(guān)的公用目錄數(shù)據(jù)庫)的集合。域形成 Active Diectory 內(nèi)邏輯體系結(jié)構(gòu)的核心單元,因此在安全性中扮演重要角色。如果將對象分組到一個或多個域中,您的網(wǎng)絡(luò)就可反映您公司的組織方式。
站點(diǎn)是在學(xué)習(xí)有關(guān) Active Directory 的知識時會碰到的另一個術(shù)語。域通常會反映一個組織的商業(yè)結(jié)構(gòu),而站點(diǎn)則通常被用來定義與地理分布有關(guān)的 Active Directory 服務(wù)器組。這些計算機(jī)通常都以高速鏈接來連接,但它們彼此之間可以有也可以沒有邏輯關(guān)系。例如,若您有一個大型建筑物供一些相對無關(guān)的組織活動使用,如視頻產(chǎn)品設(shè)備、備辦食物、文件存儲等,則這棟建筑物中的 Active Directory 服務(wù)器可以被當(dāng)作一個站點(diǎn)(即使在該服務(wù)器上所完成的處理是不相關(guān) 的)。
基于 Windows NT 的網(wǎng)絡(luò)使用單向、非傳遞的信任關(guān)系。相反,當(dāng)基于 Windows 2000 的域被組織成目錄樹時(如上面的 圖 1 所示),域間會創(chuàng)建隱含信任關(guān)系。這使在中型和大型組織中建立域間的信任關(guān)系更為容易。屬于域目錄樹的域定義與目錄樹中的父域的雙向信任關(guān)系,而所有域都隱含地信任目錄樹中的其他域。(如果有不應(yīng)該有雙向信任的特定域,您應(yīng)該定義明確的單向信任關(guān)系。)對于具有多個域的組織,使用 Windows 2000 比使用 Windows NT 4.0,明確的單向信任關(guān)系總數(shù)顯著減少,這種改變將大大簡化域的管理。傳遞信任在默認(rèn)情況下建立于目錄樹中,這樣做之所以有意義是因為 通常是由單個管理員來管理一個目錄樹。但因為目錄林不太可能被單個管理員控制,因此目錄林的目錄樹間的傳遞信任關(guān)系必須特別創(chuàng)建。
有關(guān)信任關(guān)系工作方式的說明,請再次參考上面的圖 1。Windows 2000 自動于根域 (Microsoft.com) 及其兩個子域(FarEast.Microsoft.com 和 Europe.Microsoft.com)間建立雙向信任關(guān)系。此外,因為 Microsoft.com 信任這兩個子域,因此信任關(guān)系也在 FarEast 和 Europe 域間傳遞性地建立。這些關(guān)系在基于 Windows 2000 的域間自動建立。在有基于 Windows 2000 和基于 Windows NT 域的網(wǎng)絡(luò)中,管理員可以創(chuàng)建用在基于 Windows NT 的網(wǎng)絡(luò)中明確的單向信任關(guān)系。
