**一般用单域。当一个公司有多个子公司,用户账户和资源比较多时,如果用单域,效率会变低,因此会用多域结构
************
域树;连续名称空间的多个域,域名后缀相同,第一个域为根,
*单个域也可构成一个单域的域树
*向域树中添加的任何新域—子域
*子域域名:子域本身的名字和父域域名结合而成的DNS名称
**************
林:多个或单个域树组成
**林中不同域树不共用连续的名称空间
*所有域共用相同的配置,架构和全局编录
*林中的第一个域为林的根域
*林根域中有两个预定义的组
enterprise admins(企业管理组):对整个林作修改(如:添加子域)
schema admins(架构管理组):作架构修改(如:部署exchange时需要扩展AD架构
!!要确保服务器能正确解析林内域的域名,要求使用的账户凭据应该是林内enterprise admins组的成员
!!!如果子域处于异地分公司,可能与总部之间的链路带宽比较小,建议在子域中至少有一台GC(全局编录)
***************
林中的信任
*信任:可以使一个域(林)中的用户由另一个域(林)中的域控制器来验证
*winNT 4.0,信任被限制在两个域之间,且信任关系单向不可传递
*win2000后,所有信任都是双向可传递信任
***********
林中跨域访问:(信任关系自动建立,双向可传递),但只是前提,还需要设置权限,才能成功跨域访问
**
*一般用户账户所在的域(账户域),资源所在的域(资源域)
1,两个域的dns能够解析对方的域名,
2,账户域将用户账户加入全局组,
3,在资源域创建本地域组,将账户域全局组加入进来
4,赋予本地域组相应的权限
AGDLP:A(账户)G(全局组)DL(本地域组)P(赋予权限)
===================
林间信任
**同一个林:自动创建可传递双向
不同的林:需要手动创建(外部信任和林信任)
**外部信任特点:
1,手动建立
2,信任关系不可传递
3,信任方向:双向和单向(单向:内传和外传)
*内传:指定域信任本地域(资源域)
外传:本地域信任指定域
********
林信任:林根域间建立林信任(可传递)。前提是保证林功能级别为win2003以上
访问资源时同样适用AGDLP规则