Active Directory 基礎 （2）

信任（Trust）

信任是在兩個域之間建立的關系，可以使一個域中的使用者在另一個域中進行身份驗證和資源通路。（資源通路需要有該資源的相應權限。）可以發生在同一個域樹之間、一個林之間和不同林之間。一個新的域被加入到域樹後，這個域會自動信任其上一層的父域，同時這個父域也會自動信任信任這個子域。這種關系是雙向的，并且是可以傳遞的。如圖1-5所示，xuelan.local與shanghai.xuelan.local互相信任，xuelan.local與beijing.xuelan.local互相信任，那麼shanghai.xuelan.local與beijing.xuelan.local也是互相信任的，我們稱這種關系為雙向可傳遞信任關系。

身份驗證請求必須首先經過域樹間的信任路徑。在複雜的林中，此過程可能會花費一些時間，則你可以使用快捷方式信任減少該時間。快捷方式信任可以有效縮短身份驗證請求經過兩個單獨域樹中的域之間的路徑。

Active Directory 林允許管理者在兩個林的根域之間建立單向或雙向傳遞信任。這種信任使得一個Active Directory 林中的所有域信任中另一個ActiveDirectory 林中的所有域，反之亦然。

有人會說，如果設定了域信任關系會不會影響安全？信任關系不會影響安全，隻是允許對方通路，至于通路權限，仍然需要管理者授權；這也是為什麼我們應該避免在資源上給每個人（everyone）允許權限，因為一旦建立信任，那麼受信任的域中的每個人都将能夠通路這些資源。

<a href="http://s3.51cto.com/wyfs02/M01/59/57/wKiom1TQZVShhwGAAAEO2f7NAlU244.jpg" target="_blank"></a>

圖 1-5

站點（Site）

Active Directory 中的站點代表網絡的實體結構或拓撲，和域不同，域代表的是組織的邏輯結構。站點有助于簡化 Active Directory 内的多種活動，其中包括：

複制：Active Directory 頻繁的複制對于帶寬的需求很高，您可以配置不同的站點來優化複制。

身份驗證：站點資訊有助于使身份驗證更快更有效。通過建立多個站點，可確定用戶端利用與它們最近的域控制器進行身份驗證，進而減少了身份驗證滞後時間。

啟用 Active Directory 的服務：啟用Active Directory 的服務可利用站點和子網資訊，使用戶端能夠更友善地找到最近的伺服器提供程式。

組織機關（Organizational Units，OU）

組織機關（OU）将是您在Active Directory中建立的最常見的一種容器，出于管理的目的，我們可以根據OU裡的對象需求分組。常見的管理方法有：權限委派群組政策。

全局編錄（Global Catalog，GC）

全局編錄伺服器是一個域控制器，它存儲林中主持域的目錄中所有對象的完全副本，以及所有其他域中所有對象的部分屬性副本。是 Active Directory 非常重要的一部分，因為它用來執行ActiveDirectory 林範圍的搜尋。可以通過Active Directory 架構添加或删除屬性到全局編錄中。

操作主機角色（Flexible Single Master Operator ，FSMO）

Active Directory 中所有域控制器之間的目錄資料存儲的多主機複制，是以域中的所有域控制器實質上都是對等的。但是，某些更改不适合使用多主機複制執行，是以對于每一個此類更改，都有一個稱為“操作主機”的域控制器接收此類更改的請求。

單主機複制：就是從一個地方向其他地方複制，主要應用在以前的NT4域内，在NT4域時代，于網絡上分PDC和BDC，所有複制都是從PDC到BDC上進行的，是以在網絡上對域修改必須要在PDC上進行。   

多主機複制：相對單主機而言，它是指所有的域控制器之間進行互相複制，從windows開始不再網路上區分PDC和PDC,所有的域控制器都是等價的，在任意一台上修改，都會被複制到其他的域控制器上。

操作主機又分為林範圍和域範圍操作主機，林範圍操作主機在林範圍内隻出現一次，域範圍操作主機在每個域範圍内要出現一次。

林範圍操作主機：

架構主機（Schema master ）

域命名主機（Domain naming master）

域範圍操作主機：

RID 主機（RID master ）

PDC 模拟器（PDC emulator ）

基礎架構主機（Infrastructure master）

架構主機：

架構主機的所有者是負責對林架構進行更新和修改的域控制器，在林中隻能有一個架構主機角色。預設的架構主機角色所有者是林中第一台域控制器。架構主機隻有你需要對架構進行更改時才會用到，這些一般都是事先計劃好的，是以，架構主機允許短時間的脫機；如果你的架構主機角色所有的者的域控制器出現故障，你可以等待修複後重新聯機。

域命名主機：

域命名主機的所有者是負責添加或更改的伺服器到林命名空間；如，在林中添加和删除域。同樣在林中隻能有一個域命名主機角色，預設的域命名主機角色所有者是林裡的第一台域控制器。同樣的域命名主機短時間脫機也沒什麼問題，你可以等待其重新聯機。

RID主機：

每個域中有一個RID主機角色是用來管理RID池。那麼RID有什麼用處呢？當在域中建立一個對象時，域控制器必須給該對象指派一個唯一的安全辨別符（SID），該對象的SID是由域SID和RID組成，但RID不是由域控制器自己産生的，它是由RID主機統一發放的。當域控制器的RID少于50%時，DC會向RID主機申請，擷取新的一組RID。（一組RID為500個。）

PDC模拟器：

PDC模拟器用來模拟 Windows NT 的主域控制器，不過由于Windows Server 2008 不支援Windows Server 2000以前版本的域控制器并存，是以這個功能已經沒什麼用了。那麼是不是PDC模拟器角色是一個沒有用的角色嗎？不是的，它還維護這域中所有賬戶密碼的驗證和更新，同時也是域中權威時間源。（林根域的PDC是整個森林中權威時間源。）

基礎結構主機：

基礎結構主機主要負責跨域對象的維護和更新，但要注意不能和GC放置在一起。（單域和所有的域控制器都是GC這兩種情況例外。）

域和林功能級别：

功能級别決定可用的 Active Directory 域服務 (AD DS) 的域或林功能。它們還決定哪些 Windows Server 作業系統可以在域或林中的域控制器上運作。但是，功能級别不會影響哪些加入到域中的工作站和成員伺服器的作業系統運作。

可以通過Active Directory Domainand Trusts Snap-in為 Windows Server 2003 和 Windows Server 2008 的功能級别，一旦功能級别"提升"到更高的地位，它不能復原。Windows Server 2008 R2 推出了能夠復原操作。

<a href="http://s3.51cto.com/wyfs02/M00/59/54/wKioL1TQZkzDJq73AAMN8hE7Syk642.jpg" target="_blank"></a>

本文轉自 as900 51CTO部落格，原文連結：http://blog.51cto.com/yupeizhi/1611111，如需轉載請自行聯系原作者