更多信息

Microsoft Windows 2000 或 Windows Server 2003 域结构及其相关联的对象与它们的 Windows NT 4 前身有显著的不同，反映了 Active Directory 服务在 Windows 2000 或 Windows Server 2003 中的核心角色，以及使其成为可伸缩、面向企业的目录服务的设计要求

Windows 2000 和 Windows Server 2003 域

Windows NT 4 域的伸缩性不好

域层级

在 Windows 2000 和 Windows Server 2003 网络中，用层级组织域

单向信任

单向信任不可传递，因此它们仅可以定义所涉及的域之间的信任关系，并且这些域不是双向的

域

Windows 2000 和 Windows Server 2003 域模型的基本单位未变，仍旧是域

林

有些组织可能有多个根域，如 iseminger.com 和 microsoft.com 等；但该组织本身是一个单个实体，如本例中虚构的 David Iseminger 和 Company
网络

树

树有时也称为域树，是 Windows 2000 和 Windows Server 2003 域的集合，构成了连续名称空间

第 1 部分涉及以下主题：

• 域层级
  • Windows 2000 和 Windows Server 2003 域
    • 域
    • 树
    • 林
• 信任关系
  • 可传递信任
  • 单向信任
  • 交叉链接信任

第 2 部分涉及以下主题：

• 管理边界
  • 域
  • 组织单位
• Active Directory 交互
  • 模拟域层级
  • 编录域（目录分区）
  • 分区目录
  • 获取有关其他域中的对象的信息
    • 分发目录
    • 复制目录
  • 编录企业（全局编录）
• 结束语

此信息摘自 Active Directory Services for Microsoft Windows 2000 Technical Reference （《Microsoft Windows 2000 的 Active Directory 服务技术参考》）一书的第 3 章：Active Directory Services and Windows 2000 Domains（Active Directory 服务和 Windows 2000 域）

信任关系

Windows NT 4 域和 Windows 2000 或 Windows Server 2003 域之间最重要的区别可能就是：同一个组织的域之间信任关系的应用和配置


三个域之间的可传递信任

由于不再需要管理单向非传递信任网，因此可传递信任可以极大地减少有关维护域之间的信任关系的管理开销
www.orchn.com


micromingers.iseminger.com 的域树

注意 ：阅读到此处，您可能会注意到处都有 iseminger.com 的字眼


Windows 2000 或 Windows Server 2003 部署中创建的第一个域称为根域，顾名思义，它是域树中创建的所有其他域的根


与此相反，在 Windows NT 域之间，管理员必须创建（并随后管理）信任关系，并且他们必须记住信任关系的流向（以及对任一域中的用户权限的影响）


假定您的组织有一个生产部和一个销售部


其次，如果必须在不属于同一 Windows 2000 或 Windows Server 2003 林的域之间建立信任关系，可以使用单向信任


在 Windows 2000 和 Windows Server 2003 中，有三种类型的信任关系，分别满足域结构中的某一需要


域背后的概念是逻辑分区


林模型使得未构成连续名称空间的组织能够在其合并的域结构中维护组织范围的连续性
服务器

正如您所看到的，Windows 2000 和 Windows Server 2003 要求域不是层级中的根域，就是子域


注意 ：这种单向信任情形不适用于迁移过程（如将现有的 Windows NT 4 域模型升级到 Windows 2000 或 Windows Server 2003 域/树/林模型）
www.orchn.com

给定的 Windows 2000 和 Windows Server 2003 域层级中后续创建的域将成为根域的子域


这种公司内的逻辑部门组织非常适用于有一个 DNS 域的公司，但是对于有多个“公司”的大型企业来说，可能需要解决多个公司问题


通过创建域树，组织能够在自己的组织内部创建一个域的逻辑结构，并使域符合并反映 DNS 名称空间
服务器

首先，单向信任常用于必须与低级域（如 Windows NT 4 域）建立新的信任关系的情况
Active Directory 模拟 Windows 2000 和 Windows Server 2003 域模型；反之亦然（如果您要反过来看的话）
Windows 2000 和 Windows Server 2003 中没有像 Windows NT 4 中那样建立单向信任网，而是实现了可以在整个（新）域树结构中上下流动的可传递信任
Windows 2000 和 Windows Server 2003 中的单向信任与 Windows NT 4 中的单向信任完全相同，在有些情况下，Windows 2000 或 Windows Server 2003 中会使用单向信任
Windows 2000 和 Windows Server 2003 还要求在给定的父级域中，域名是唯一的；例如，根域 microsoft.com 不能有两个名为 msdn 的直接子域
Windows 2000 或 Windows Server 2003 及其域模型就不存在这一缺陷，主要是因为采用了新的信任方法，但也因为整个域概念得到了改进，以符合轻量目录访问协议 (LDAP) 和域名服务 (DNS) 等行业标准
通信 “请不要使用可能会引起争议的域”，出版商说，“请只使用作者所有的域，或者没有实际意义的域
”作者的网址为 www.iseminger.com，所以只好在本书中到处使用这个域名
下面介绍了其中几种最常见的情况
下面的两个等式（注意：以下等式仅供说明，不用记）举例说明了每一方法所产生的管理开销；等式表示每个域信任方法所需要的信任关系的数量，其中 n 表示域的数目：

Windows NT 4 域--( n * ( n -1))
Windows 2000 或 Windows Server 2003 域--( n -1)

仅用于演示，我们以一个有几个域的网络为例，来对以下不同的域模型方法进行比较
不过，您可以创建两个单独的单向信任关系（一个方向一个）来创建双向信任关系，就像在纯 Windows NT 4 环境中一样
网络 不过，请注意，即使是可互换的单向信任也不能等效于可传递信任；单向信任中的信任关系仅在所涉及的两个域之间有效
不过，销售部希望使存储在其域中的服务器上的敏感销售和营销信息对该标准机构保密
但是，在整个域层级中，可以有两个名为 msdn 的域
通信 使用单个林有三个主要优点
例如，David Iseminger 和 Company 可以有一个名为 micromingers.iseminger.com 的 DNS 域，并且公司内部可能有多个逻辑部门，如销售、财会、生产等部门
例如，可以有 msdn.microsoft.com 和 msdn.devprods.microsoft.com；microsoft.com 名称空间只有一个名为 msdn 的子域，而 devprods.microsoft.com 名称空间也只有一个名为 msdn 的子域
例如，如果 David Iseminger 和 Company（即 iseminger.com）能够共同融资购买另一家称为 Microsoft 且拥有自己的目录结构的公司，这两个实体的域结构将可以合并到一个林中
例如，如果 msdn 是 microsoft.com 的子域，msdn 域将成为 msdn.microsoft.com
信任关系的自动创建基于以下事实：即 Windows 2000 和 Windows Server 2003 域（与 Windows NT 4 域不同）通过层级形式创建；也就是说，在给定的域树中，只有一个根域和若干子域
其中有些方面的改动很明显，如转为采用可传递信任关系模型；而有些方面则改动很小，如引入组织单位
其次，全局编录集合了整个林的对象信息，这使得整个企业搜索成为可能
区别非常明显：管理开销被削减为很小的一部分，而这样的信任的实现也更为直观，所有这些优点都是因为采用了新的信任模型以及域和域树的层级方法
可传递信任限于 Windows 2000 或 Windows Server 2003 域，并仅限于同一域树或林中的域；不能与低级（Windows NT 4 和更早版本）域建立可传递信任关系，不能在位于不同林中的两个 Windows 2000 或两个 Windows Server 2003 域之间建立可传递信任
向 Windows 2000 和 Windows Server 2003 域提供的信任关系如下：

• 可传递信任
• 单向信任
• 交叉链接信任

可传递信任

可传递信任在两个域之间建立一种信任关系，这种信任关系可以流动到其他域，例如，如果域 A 信任域 B，域 B 信任 C，则域 A 必然信任域 C，反之亦然，如图 3-3 所示
因此，本章将首先讲述 Windows 2000 和 Windows Server 2003 域模型，并探讨该模型为何与 Windows NT 域模型大相径庭
在 Windows 2000 和 Windows Server 2003 中，每当在域树中创建新域时，都会自动建立父级和子级域之间的可传递信任关系
在从 Windows NT 4 升级到 Windows 2000 或 Windows Server 2003 的整个过程中，您所建立的信任关系在迁移过程接近结束，即直到所有的域都为 Windows 2000 或 Windows Server 2003 并且建立了可传递信任环境时，才会得到实现
通信 在创建子域并将其与给定的根域相关联的同时，构建了域树
在将 Windows 2000 和 Windows Server 2003 域组合为一个更大的连续名称空间实体（称为树）时，这一概念也适用
在本章后面讨论 Active Directory 与 Windows 2000 或 Windows Server 2003 域和林交互的方式时，这种区分将更为重要
域是一种管理边界，在 Windows 2000 和 Windows Server 2003 中，域代表与 DNS 域对应的名称空间（将在第 4 章中讨论）
大多数组织规模大到需要多个 Windows 2000 或 Windows Server 2003 域时，都具有区分职能或工作重点的逻辑结构
实际上，对组织被进行分区是为了提供更符合逻辑的结构，使得在组织的不同部门之间分配工作成为可能
对于 Windows 2000 和 Windows Server 2003 域，默认情况下会创建和实现信任
就技术定义来说，树是一个连续的 DNS 命名层级；从概念图看，域树的外观类似于倒置树（根域位于顶部），分支（子域）在下方展开
您可以在属于不同的 Windows 2000 或 Windows Server 2003 林的域之间使用单向信任关系，以隔离与之建立并维护信任关系的域的信任关系，而不是创建影响整个林的信任关系
您可能想问：如何建立林内的域树，使得整个企业（由林表示）能够作为一个单位运作
我有一些更新颖的名称，但是没办法，还是不要招惹律师为好
换个角度看，当逻辑业务单位（部门）合并在一个更大实体（可能是一个企业）的保护伞下时，这些在逻辑上不同的部门就构建了一个更大的实体
www.orchn.com 无论如何，Windows 2000 或 Windows Server 2003 域和 Active Directory 都互相依赖，甚至由对方的特性定义
无论改动是否明显，要理解 Windows 2000 或 Windows Server 2003 域与 Active Directory 服务之间的交互及依赖关系，对它们进行说明都是极其重要的
有关 Active Directory 服务如何与 DNS 交互的更多信息，请参阅第 6 章“Active Directory Services and DNS”（Active Directory 服务和 DNS）
服务器 有关迁移过程的更详细说明，请见第 11 章“Migrating to Active Directory Services”（迁移到 Active Directory 服务）
林是构成给定的企业的一个或多个连续的域树层级
www.orchn.com 根域是类似于 microsoft.com 或 iseminger.com 这样的域；它们是其 DNS 层级的根，也是 Windows 2000 和 Windows Server 2003 域结构的根
此外，由于信任域是生产部门域，因此生产部门域中的用户将无法使用标准机构域中的任

[1] [2] 下一页

生产部想要与某个标准机构共享一些它的一部分处理信息（存储在位于其 Windows 2000 或 Windows Server 2003 域中的服务器上）
由于低级域不能加入 Windows 2000 和 Windows Server 2003 可传递信任环境（如树或林），因此必须建立单向信任，才能在 Windows 2000 或 Windows Server 2003 域与低级 Windows NT 域之间产生信任关系
第三，Active Directory 架构适用于整个林
管理员仅只需安装域控制器，就可以使用信任了
虽然不同部门中的工作可能互相独立且互不相同，但是这些部门总体上构成了一个更大但逻辑周密的实体
虽然有很多粉饰这一事实的辩解，但简单的事实摆在面前：Windows NT 4 域模型采用单向非传递信任，在大型企业中实现需要大量管理开销
要为标准机构提供必要的访问，可在生产部门域与标准机构的域之间建立单向信任，由于单向信任是不可传递的，因此仅在所涉及的两个域之间建立了信任关系
服务器 要理解 Windows 2000 或 Windows Server 2003 域和 Active Directory 服务之间这种密不可分的关系，就需要说明 Windows 2000 或 Windows Server 2003 域模型，以及它与 Active Directory 服务交互的方式
让我来用一个示例来阐明
该书已得到更新，以包含有关 Microsoft Windows Server 2003 的信息
这一模型简化了 Windows 网络的管理，我将通过一个数字示例来进行阐述
这一问题可以通过使用 Windows 2000 和 Windows Server 2003 林得到解决
这不是因为作者的意图，而是出于出版商所坚持的法律方面的考虑
这个问题问得好，下面将通过讲述信任关系来尽量回答这个问题
这些新概念，加上现有的域概念，可帮助组织更高效地管理 Windows 2000 和 Windows Server 2003 网络结构
网络 这就使得 Windows 2000 和 Windows Server 2003 能够自动了解给定域树中包含哪些域，以及根域之间何时建立了信任关系；还能够自动了解林中包含哪些域树
这种情况下，域树的外观为如图 3-1 中所示
这种情况下，这些多个域树可以构成一个非连续的名称空间，称为林
进一步了解 Active Directory Services for Microsoft Windows 2000 Technical Reference（《Microsoft Windows 2000 的 Active Directory 服务技术参考》）
通过创建林，所有的成员域都可以共享信息（通过使用全局编录）
服务器 通过域采用这种新的层级方式，就诞生了林和树的概念
通过将组织划分为多个单位（在美国企业中，有时成为部门），可以更容易地对组织进行管理
www.orchn.com 逻辑上讲，这也意味着其域树中仅有一个域的组织也可以被看作一个林
首先，信任关系的管理更易管理（使一个域树中的用户能够访问另一个树中的资源）
（假定网络中有 5 个域，即以下公式中 n = 5
（域树将在下一节讲述
（或许，他们的销售业绩好到了那个标准机构想要通过声称其“垄断”来打击他们！）使用单向信任就可以确保销售信息的安全
（有关架构的技术信息，请参阅第 10 章
www.orchn.com （第 8 章将详细讲述 Kerberos 协议
）

Windows NT 4 域：(5 * (5-1)) = 20 个信任关系
Windows 2000 或 Windows Server 2003 域：(5 - 1) = 4 个信任关系

图 3-2. Iseminger.com 和 Microsoft 的域树的合并

必须管理的信任关系数量之间有显著的差异，但这甚至不是新的域方法最主要的优点
www.orchn.com ）

虽然一个林可以包含多个域树，但是它代表一个企业
www.orchn.com ）图 3-2 阐述了 iseminger.com 和 Microsoft 域结构的合并，它们的根域之间有一条连线，表明它们之间存在 Kerberos 信任并建立了林
）由于 Windows 2000 和 Windows Server 2003 域的结构与 DNS 域层级有紧密联系，因此 Windows 2000 和 Windows Server 2003 域与我们所熟悉的 DNS 域层级的结构类似