1.域和活动目录简介

域和活动目录的概念

■域（Domain）

域是企业网络中人为定义的一组计算机和用户的集合，目的是为了对集合中的各种资源对象进行统一和集中的管理

■活动目录（Active Directory）

活动目录是一种数据库，通过定义域内的各种对象的属性并在逻辑上形成层次化结构，便于更有效的展示和管理

■域控制器（Domain Controller）

存放活动目录数据库的服务器，运行 ADDS（Active Directory Domain Services）服务

域和活动目录的价值

■ 强制终端计算机及用户的安全策略及桌面/应用环境，并可实现批量和自动部署，减轻IT人员日常的管理难度和工作强度

■ 域中的各类服务和资源（文件和打印共享等）的访问控制可以灵活的与企业的层次化组织架构相结合，满足复杂的权限分配等管理需求

■ 统一的身份验证手段，可与多种Windows应用服务（如Exchange、Sharepoint等）及第三方软件集成，实现单点登陆，改善用户在多业务中切换中的操作体验

域中的角色

■ 域控制器（Domain Controller，简称DC）

■ 域内的成员服务器

■ 域内的终端计算器

域控制器中的AD数据库文件

■ AD数据库文件默认保存在C:\Windows\NTDS目录中

ntds.dit              主数据文件

edb0000x.log    事务日志

ebd.chk              检查点文件

edbress000x.jrs  预留文件

■ AD数据库维护工程中必要时可进行服务启停、文件夹重定向、脱机整理、备份及恢复等操作

域控制器之间的AD数据库同步

■ AD数据库会定时或在发生改变时自动在DC之间相互同步复制，同步复制的频率和时间窗口可以配置和定义

特殊的域控制器：RODC

■只读域控制器（Read Only Domain Controller）

RODC保存域控制器中AD数据库的只读副本

不允许在RODC本地对数据库做出更改操作

RODC适合部署在没有本地管理需求的远程分支机构

GC（Global Category Server）

■全局编录服务器（GC）

GC是一种特殊的域控制器，一个域至少部署一台

GC用于多域环境中和其他域进行数据同步（但并不是同步全部数据，通常需要同步的数据仅占AD数据库总量的5%-10%），以便优化Exchange Server等应用的全局或跨域搜索的效率

2.域和活动目录规划

什么时候需要多域

■一个域可以包含100万个对象，绝大多数企业在技术上只需要一个域

■出现以下需求情况时可能需要考虑多域部署：

IT管理政策上需要有分离或独立的IT管控边界

公司重组或合并等原因影响到域的变化

域的改造和迁徒需要同时新旧域的并存

多域的分布式架构

■一个域林中可以包含多个域，一个域中可以包含多个子域

■父域和子域的命名空间（FQDN域名后缀）需保持相同和连续

多域中的术语

■域林（Domain Forest）

域林由一个或多个没有形成连续命名空间的域树组成

■域树（Domain Tree）

域树由多个域使用连续命名空间的域组成

■树根域（Tree Root Domain）

域树中的第一个域为树根域，可作为父域在其下创建多个或多级子域

■林根域（Forest Root Domain）

林根域是域林中创建的第一个域，域林中只有一个林根域

林根域在整个域林中有重要地位，影响到其他域的运作

域间的信任关系

■信任关系可实现跨域的身份验证和资源访问

如果域之间没有信任关系，每个域中的用户只能访问本域中的资源

根据场景的不同，部分信任关系是默认存在的，部分是需要另行手工配置的

站点（Site）

■站点（Site）是指同一个域内包含特定IP子网并与特定域控制器关联的网络

■部署多个站点的目的是优化站点间DC的复制同步，同时使客户端能够和就近的DC优先通信，优化登陆验证的操作

域的规划建议

■域的规划没有统一的标准，但建议尽可能简化

■企业规模、网络带宽、IT管控界面、法律或政治要求、公司并购计划等是常见的考虑因素

活动目录的规划

■OU层次化结构规划

■用户和计算机命名规范

■组的规划

■AD管理权限的规划