AD域常识

参见至维基百科：Activenbsp;Directory （AD ）的结构是一种由对象构成的分级框架结构。其中的对象分为三大类——资源（如印表机）、服务（如电子邮件）、和人物（即帐户或用户，以及组）。

参见至维基百科：Activenbsp;Directory （AD ）的结构是一种由对象构成的分级框架结构。其中的对象分为三大类——资源（如印表机）、服务（如电子邮件）、和人物（即帐户或用户，以及组）。

提供这些对象的信息，组织这些对象，控制访问，并且设置安全等级。每个对象代表一个单个实体——无论是一个用户、一台电脑、一台印表机、或者一个共享数据源——及该实体的各种属性。对象也可以是其它对象的容器。每个对象都由其名字唯一地标识，并拥有一个属性集（即该对象可包含的特徵和信息），它由该对象的类型定义并依赖於该类型。这些属性，即对象自身的基本结构，由一个对象模型（schema ）来定义，该对象模型也确定了可存储於中的该对象的种类。

对象模型本身由两类对象构成：模型的类对象和模型的属性对象。一个单个的模型类对象定义了一个可被创建的对象类型（例如使一个用户对象被创建）；一个模型的属性对象则定义了模型所定义的对象所具有的一种属性。每个属性对象都可用於多个不同的模型类对象中。这些对象一般被称作模型对象，或者元数据，它们的存在是为了在需要时对模型进行扩展或修改。然而，由於每个模型对象都是集成於对象的定义内部的，停用或改变这些对象会导致严重的后果，因为这会从根基上改变自身的结构。一个模型对象在被改变后会自动通过来传播，且一旦被创建，就只能被停用——而不是删除。除非是有一定的计划，一般情况下不会对对象模型进行修改。

[编辑]林、树和域可以从不同的层次上来「看」这个包含了各个对象

的框架。在机构的最顶端是林，它是AD 中所有对象及其属性、以及规则（即属性的构造方式）的全集。林中含有一或多个相互联系并可传递信任关系的树。一个树又含有一或多个域和域树，它们也以一种可传递的信任等级相互联系。每个域由其在中的域名结构（即命名空间）来标识。一个域具有单一的域名。域中包含的对象可以被编组到成为「组织单位」（Organizationalnbsp;Unit ，OU ）的容器中。给域提供了一个便於管理的层次，也提供了一个对中的公司的逻辑组织结构和实际地理结构的较直观一些的表示。还可以再包含子（其实从这个角度说域就是一些容器），进而可以包含多层级嵌套的OU 。

微软推荐在AD 中尽量少建立域，而通过OU 来建立结构关系及完善策略和管理的实施。OU 是应用组策略（也称为组策略对象，GPO ，本身也是AD 对象）时常用的层次，尽管组策略也可应用在域或站点（见下）中。OU 是可进行管理许可权委派的最低的层次。进一步细化，AD 支持站点的创建，站点是由一或多个IP 子网定义的一个更倾向於物理的（而非逻辑的）分组。站点可以分属於通过低速连接（如WAN 、VPN[1]）和高速连接（如LAN ）相连的不同地点间。各个站点可包括一或多个域，各个域也可包括一或多个站点。这对於控制因复制产生的网路流量来说是个重要的概念。如何将公司的信息基础结构划实际地划分为一个有著一或多个域和顶级OU 的层次结构是一项非常关键的决定，通常可根据业务、地理位置、在信息管理结构中的角色等因素来建立不同的管理结构模型，很多情况下也会将这些模型组合起来应用。译注：这里，原文作者中将虚拟专用网路（VPN ）和

广域网（WAN ）作为同层次的概念来说明低速连接，其实是不妥当的。作者似乎将VPN 当作了基於公众电话网路的远程拨号连接（remotenbsp;accessnbsp;vianbsp;dial-upnbsp;connectionnbsp;ov ernbsp;PSTN ），虽然VPN 本身也是一种远程访问服务（remotenbsp;accessnbsp;service,RAS ）所提供的访问方式，并且在实际中为了应用和管理的方便、以及安全方面的原因，确实有相当多的用户在通过PSTN 远程访问公司的内部网路时，需要在拨号连接后进一步再建立一个VPN 连接，但其实上VPN 是和网路的物理连接方式无关的概念。喜欢的话在区域网连接也可用来能建立VPN 连接，只不过这样做通常并没有实际意义，除非需要使用为VPN 用户特别提供的管理性的功能，例如将某些VPN 用户单独划分到一个安全组内以控制对某些资源的访问。