Windows 2003 Active Diretory全攻略（二）--AD與域

在03中域一直是最重要的核心地位，但很多人卻沒弄清楚何謂域。下個簡單的定義便是：共用同一個AD資料庫的電腦所構成的集合是一個域。

1、域與AD的關係：從域角度來看，AD是由至少一個域所構成的集合，若以AD為主角，從AD的角度來看，域則是AD的分區單位。

AD是域的集合：AD可由單一或多重域組成。

域為AD的分區單位：域各自儲存本身所擁有的AD對象，因此域亦是AD中一組對象的集合，或這樣說為AD的邏輯分區的單位。

域的功能：1、形成獨立的嵌入式管理單元：即是有獨立的帳戶、網管人員、安全設定、組策略等等，域之間可以通過信任關係結合起來。2、組策略與委派控制的應用單位：即委派控制與組策略也可應用於域或網站上。前面也提到組織單元（OU），它是將域劃分為更小的單元進行管理。便可知其兩的關係了吧。3、可跨越地區限制：其實域呢是一個邏輯概念，不同地區都可以加入同一個域中。

網域名稱稱：較常見的是DNS和LDAP兩種格式。DNS這個大家非常熟悉了，在這裡就不講了，注意的是這裡域只是命名方式與DNS相同，並非域的定義都和DNS相同。LDAP DN格式：由於域是構成AD層次的一部分，因此對象的DN必然會包含對象所在的網域名稱稱。AD利用DC（DOMAIN COMPONENT）來表示DNS名稱中的層次。如上例可寫成：CN=FRANKIE KE，OU=SECT1，OU=PRODUCT，DC=MING，DC=COM，DC=US。大家可以看到，實際上DNS網域名稱稱轉換成對象DN最右邊的三個元素。

多重域的結構：再重複說一下，域內可由組織單位來形成層次式結構，使域具有更好的可擴充性。多重域即是域樹狀目錄或林兩種結構。域樹是由多個域組成，域之間是通過住處信任關係，以層次式加以組織的。特別注意：域樹中的域雖然有層次關係，但這是僅限於命名方式，並不代表上層域對下層域具有管轄的許可權。域樹中各人域都是獨立的管理個體，所以上層域的網管人員與下層域的網管人員基本上是處於平等地位，後面介紹過程中會體現。雖然在現實生活中可能有從屬關係，AD中是沒有的。域林：是多個域樹的集合，通過信任關係通訊。建立這樣的關係是方便尋找。

下面作個域的簡單規劃，會對域加深瞭解，達到靈活運用。

1、單一域：微軟的建議，企業應儘可能使用單一域結構，以簡化管理的工作。

假如51CTO公司採用單一域結構。公司內各部門形成組織單位，以便管理。