在03中域一直是最重要的核心地位,但很多人卻沒弄清楚何謂域。下個簡單的定義便是:共用同一個AD資料庫的電腦所構成的集合是一個域。
1、域與AD的關係:從域角度來看,AD是由至少一個域所構成的集合,若以AD為主角,從AD的角度來看,域則是AD的分區單位。
AD是域的集合:AD可由單一或多重域組成。
域為AD的分區單位:域各自儲存本身所擁有的AD對象,因此域亦是AD中一組對象的集合,或這樣說為AD的邏輯分區的單位。
域的功能:1、形成獨立的嵌入式管理單元:即是有獨立的帳戶、網管人員、安全設定、組策略等等,域之間可以通過信任關係結合起來。2、組策略與委派控制的應用單位:即委派控制與組策略也可應用於域或網站上。前面也提到組織單元(OU),它是將域劃分為更小的單元進行管理。便可知其兩的關係了吧。3、可跨越地區限制:其實域呢是一個邏輯概念,不同地區都可以加入同一個域中。
網域名稱稱:較常見的是DNS和LDAP兩種格式。DNS這個大家非常熟悉了,在這裡就不講了,注意的是這裡域只是命名方式與DNS相同,並非域的定義都和DNS相同。LDAP DN格式:由於域是構成AD層次的一部分,因此對象的DN必然會包含對象所在的網域名稱稱。AD利用DC(DOMAIN COMPONENT)來表示DNS名稱中的層次。如上例可寫成:CN=FRANKIE KE,OU=SECT1,OU=PRODUCT,DC=MING,DC=COM,DC=US。大家可以看到,實際上DNS網域名稱稱轉換成對象DN最右邊的三個元素。
多重域的結構:再重複說一下,域內可由組織單位來形成層次式結構,使域具有更好的可擴充性。多重域即是域樹狀目錄或林兩種結構。域樹是由多個域組成,域之間是通過住處信任關係,以層次式加以組織的。特別注意:域樹中的域雖然有層次關係,但這是僅限於命名方式,並不代表上層域對下層域具有管轄的許可權。域樹中各人域都是獨立的管理個體,所以上層域的網管人員與下層域的網管人員基本上是處於平等地位,後面介紹過程中會體現。雖然在現實生活中可能有從屬關係,AD中是沒有的。域林:是多個域樹的集合,通過信任關係通訊。建立這樣的關係是方便尋找。
下面作個域的簡單規劃,會對域加深瞭解,達到靈活運用。
1、單一域:微軟的建議,企業應儘可能使用單一域結構,以簡化管理的工作。
假如51CTO公司採用單一域結構。公司內各部門形成組織單位,以便管理。