windows server中 森林、域树、域(AD)的区别与联系
域(Domain)
域 既是Windows網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元,也是Internet的邏輯組織單元,在Windows 2000系統(tǒng)中,域是安全邊界。域管理員只能管理域的內(nèi)部,除非其他的域顯式地賦予他管理權(quán)限,他才能夠訪問或者管理其他的域。每個(gè)域都有自己的安全策略,以及它與其他域的安全信任關(guān)系。
OU(Organizational Unit)
OU 是一個(gè)容器對象,我們可以把域中的對象組織成邏輯組,所以O(shè)U純粹是一個(gè)邏輯概念,它可以幫助我們簡化管理工作。OU可以包含各種對象,比如用戶賬戶、用戶組、計(jì)算機(jī)、打印機(jī),甚至可以包括其他的OU。所以我們可以利用OU把域中的對象形成一個(gè)完全邏輯上的層次結(jié)構(gòu),對于一個(gè)企業(yè)來講,我們可以按部門把所有的用戶和設(shè)備組成一個(gè)OU層次結(jié)構(gòu),也可以按地理位置形成層次結(jié)構(gòu),還可以按功能和權(quán)限分成多個(gè)OU層次結(jié)構(gòu)。由于OU層次結(jié)構(gòu)局限于域的內(nèi)部,所以一個(gè)域中的OU層次結(jié)構(gòu)與另一個(gè)域中的OU層次結(jié)構(gòu)完全獨(dú)立。
樹
當(dāng)多個(gè)域通過信任關(guān)系連接起來之后,所有的域共享公共的表結(jié)構(gòu)(schema) 、配置和全局目錄(global catalog),從而形成 域樹 。域樹由多個(gè)域組成,這些域共享同一個(gè)表結(jié)構(gòu)和配置,形成一個(gè)連續(xù)的名字空間。樹中的域通過信任關(guān)系連接起來。活動(dòng)目錄包含一個(gè)或多個(gè)域樹。
森林?
域森林 是指一個(gè)或多個(gè)沒有形成連續(xù)名字空間的域樹。域林中的所有域樹共享同一個(gè)表結(jié)構(gòu)、配置和全局目錄。域林中的所有域樹通過Kerberos信任關(guān)系建立起來,所以每個(gè)域樹都知道Kerberos信任關(guān)系,不同域樹可以交叉引用其他域樹中的對象。
? ? 接下來我們看一下AD與站點(diǎn)之間的關(guān)系
? ? 談到Active Directory中的站點(diǎn),很多Active Directory的初學(xué)者都會(huì)深感頭疼,為什么呢?搞不清楚這個(gè)站點(diǎn)究竟是起什么作用。有很多同學(xué)都問過這樣的問題,站點(diǎn)和域有什么區(qū)別?到底是域大還是站點(diǎn)大?有了域?yàn)槭裁催€要有站點(diǎn)?本文將嘗試為大家介紹站點(diǎn)的概念及設(shè)計(jì)初衷,讓大家能夠更好地理解站點(diǎn),運(yùn)用站點(diǎn)。
域是共享用戶賬號(hào),計(jì)算機(jī)賬號(hào)及安全策略的一組計(jì)算機(jī),這個(gè)定義是基于邏輯因素考慮的,只要用戶和計(jì)算機(jī)在同一個(gè)Active Directory內(nèi),我們就認(rèn)為他們都在域的安全邊界之內(nèi)。我們從域的定義中可以看到,域沒有考慮網(wǎng)絡(luò)速度等物理因素,無論計(jì)算機(jī)和域控制器之間是一個(gè)快速的物理連接還是一個(gè)慢速的物理連接,域都會(huì)一視同仁,完全把連接速度視若無物。但在實(shí)際的生產(chǎn)環(huán)境中我們就會(huì)發(fā)現(xiàn)如果不考慮網(wǎng)速這樣的物理因素,我們會(huì)在管理域時(shí)遇到很多麻煩。我們通過一個(gè)例子加以說明,如下圖所示,某域的域控制器分布在北京,上海兩處,北京有A,B,C三臺(tái)域控制器,上海有D,E,F三臺(tái)域控制器。北京和上海的本地局域網(wǎng)都是千兆以太網(wǎng),北京和上海之間是一條128K的專線。
? ? 現(xiàn)在我們要考慮這么一個(gè)問題,如果域控制器A更改了Active Directory,那么怎樣才能用最有效率的方法把這個(gè)AD的變化復(fù)制到其他五個(gè)域控制器上呢?顯然域控制器A應(yīng)該先把更改復(fù)制到同一高速局域網(wǎng)內(nèi)的B和C,然后再利用慢速的廣域網(wǎng)鏈接復(fù)制到上海的一個(gè)域控制器上,例如復(fù)制到D,最后再由D復(fù)制到E和F。域控制器如果使用我們規(guī)劃的這種復(fù)制拓?fù)?#xff0c;那當(dāng)然好,在這種復(fù)制拓?fù)渲袛?shù)據(jù)只經(jīng)過兩地間的慢速鏈路傳遞了一次。但問題是域如果不考慮速度因素,未必能作出這種拓?fù)?#xff0c;萬一KCC決定使用的復(fù)制拓?fù)涫窍葟腁到D,再從D到B,然后B到E,再E到C,最后從C到F,那我們就要崩潰了。這樣的話六個(gè)域控制器之間的AD復(fù)制要沿著兩地間的慢速鏈路走五次,無論如何都讓我們無法接受!從這個(gè)例子中我們已經(jīng)看到了速度因素的重要性,再順著這個(gè)例子引申一下,用戶每天登錄到域進(jìn)行身份驗(yàn)證,顯然北京的用戶應(yīng)該登錄到北京的域控制器,上海的用戶應(yīng)該登錄到上海的域控制器,這樣效率才會(huì)比較高,如果北京的用戶每天都到上海的域控制器進(jìn)行身份驗(yàn)證,顯然不是一件好事。
? ? 從上面的例子中我們發(fā)現(xiàn),在日常的運(yùn)維工作中是不能把速度因素透明處理的,我們必須考慮到計(jì)算機(jī)之間的連接速度!正是基于這種考慮,微軟才引入了站點(diǎn)對計(jì)算機(jī)進(jìn)行管理。站點(diǎn)的概念其實(shí)很簡單,站點(diǎn)就是高速相連的一組計(jì)算機(jī)!從這個(gè)概念來看,站點(diǎn)強(qiáng)調(diào)了速度這個(gè)物理因素,域則是強(qiáng)調(diào)要共享Active Directory這個(gè)邏輯因素,把站點(diǎn)和域結(jié)合起來對計(jì)算機(jī)從物理和邏輯兩個(gè)角度進(jìn)行管理,是微軟的一個(gè)很好的構(gòu)思。值得一提的是,微軟這種管理思路并非罕見,例如Exchange中也有管理組和路由組的概念,管理組和路由組其實(shí)類似于域和站點(diǎn)的關(guān)系,也是一個(gè)從邏輯角度進(jìn)行管理,另一個(gè)從物理角度進(jìn)行管理。
? ? 有了站點(diǎn)幫助管理,我們處理前面提到的那個(gè)例子就容易多了,從站點(diǎn)的定義來看,由于北京和上海之間存在一條慢速鏈路,因此我們應(yīng)該把北京的計(jì)算機(jī)放到一個(gè)站點(diǎn)內(nèi),把上海的計(jì)算機(jī)放到另一個(gè)站點(diǎn)內(nèi)。這樣的話,北京和上海的用戶在登錄時(shí)會(huì)優(yōu)先選擇本站點(diǎn)內(nèi)的域控制器登錄,KCC在規(guī)劃復(fù)制拓?fù)鋾r(shí)也會(huì)自動(dòng)地優(yōu)先考慮在本站點(diǎn)內(nèi)的域控制器之間進(jìn)行AD復(fù)制。更好的是,如果AD需要垮站點(diǎn)復(fù)制,AD內(nèi)容還可以經(jīng)過壓縮后再進(jìn)行復(fù)制,顯然站點(diǎn)在設(shè)計(jì)時(shí)已經(jīng)充分考慮到了對帶寬的充分利用。
轉(zhuǎn)載于:https://blog.51cto.com/abool/1563782
總結(jié)
以上是生活随笔為你收集整理的windows server中 森林、域树、域(AD)的区别与联系的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: C#模拟http 发送post或get请
- 下一篇: PHP 进制问题