域控制器相关概念

域控制器相关概念
在活动目录安装之后，主要有三个活动目录的微软管理界面（MMC），一个是活动目录用户和计算机管理，主要用于实施对域的管理；一个是活动目录的域和域信任关系的管理，主要用于管理多域的关系；还有一个是活动目录的站点管理，可以把域控制器置于不同的站点。

一般局域网的范围内，为一个站点，站点内的域控制器之间的复制是自动进行的；站点间的域控制器之间的复制，需要管理员设定，以优化复制流量，提高可伸缩性。

域控制器：是使用Active Directory 安装向导配置的运行Windows 2000 Server 的计算机。

域控制器存储着目录数据并管理用户域的交互，其中包括用户登录过程、身份验证和目录搜索。

WIN2K服务器安装成活动目录后，早期版本的SAM数据库里的信息会被转移到这些窗口里，然后，就是开始在AD数据库里建立对像的时候了。

在活动目录用户和计算机管理里，有四个缺省的容器对像：
内置容器：这个容器里放着代表你的域里本地安全组的对象，在四个缺省容器里，这是唯一一个不能把缺省容器对象移出去的容器。

计算机容器：里面存放着域里所有的计算机成员的计算机帐号。

域控制器容器：里面存放着域里域控制器的计算机帐号。

用户容器：存放着所有的用户帐号和域里全部安全组。

组织单元（OU）：是一个容器对象，可将用户，组，计算机和其它单位放入其中，组织单元不可以包括来自其它域的对象。

像NT时的工作组。

域：WIN2K网络系统的安全性边界，一个计算机网最基本的单元就是‘域’，这不是WIN2K 所独有的，在AD里可以贯穿一个或多个域。

一个域可以分存在多个物理位置上，每个域都有自己的安全策略及与其它域的信任关系，多个域通过信任关系联接起来后，可以其享活动目录。

域树：域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间，树的的域通过信任关系连接在一起，域树中的域层次越深，级别越低，一个“.”代表一个层次，如比这个域级别低，因为它有两个层次关系。

域林：域林是由一个或多个没有形成连续的名字空间的域树组成，域林中的所有域树共享同一表结构，配置和全局目录，域林中的根域是域林中创建的第一个域，域林中的所有域树的根域与域林的根建立起可传递的信任关系。

域间的信任关系：对于WIN2K计算机，通过基于KERBEROS安全协议的双向，可传递信任关系启用域之间的帐户验证。

所有域信任关系都只能有两个域，信任域和受信任域。

域间的信任关系有：
单向：单向信任关系是域A信任域B的单一信任关系。

所有的单向信任关系都是不可传递的。

身份验证请求只能从信任域传到受信任域。

双向可传递：WIN2K域中所有的树林的域之间的信任都是双向可传递的。

此信任关系中的两个域相互信任，且信任关系不受信任关系中两个域的约束。

每次当建立新的子域时，在父域和新子域之间自动建立双向可传递信任关系。

这样可传递信任关系在域树中按其方向向上
流动，并在域树中所有域之间建立起可传递信任，若此域树与其它域树也存在双向可传递信任，则新子域与其它域树中的域亦存在双向可传递信任，所以此新域的用户可访问其它域树或域中的资源（当授予适当权限时）。

注：本地安全组的成员只能被分配访问本域里资源的权限，但可包含树林中其它域的成员。

只有全局组的成员才能被分配访问树林中其它域资源的权限，但只能包含全局组所在的域的成员。

不可传递信任：受信任关系中两个域的约束，并不流向树林中的其它域，默认为单向信任关系。

外部信任：外部信任关系创建了与树林外部域的信任关系，所有的外部验证都是单向非转移的信任。