第 1 部分涉及以下主題：

域?qū)蛹? Windows 2000 和 Windows Server 2003 域 域樹林 信任關(guān)系 可傳遞信任 單向信任 交叉鏈接信任 第 2 部分涉及以下主題：管理邊界 域 組織單位 Active Directory 交互 模擬域?qū)蛹? 編錄域（目錄分區(qū)） 分區(qū)目錄 獲取有關(guān)其他域中的對象的信息 分發(fā)目錄復(fù)制目錄 編錄企業(yè)（全局編錄） 結(jié)束語 此信息摘自 Active Directory Services for Microsoft Windows 2000 Technical Reference （《Microsoft Windows 2000 的 Active Directory 服務(wù)技術(shù)參考》）一書的第 3 章：Active Directory Services and Windows 2000 Domains（Active Directory 服務(wù)和 Windows 2000 域）。進(jìn)一步了解 Active Directory Services for Microsoft Windows 2000 Technical Reference（《Microsoft Windows 2000 的 Active Directory 服務(wù)技術(shù)參考》） 。該書已得到更新，以包含有關(guān) Microsoft Windows Server 2003 的信息。 更多信息 Microsoft Windows 2000 或 Windows Server 2003 域結(jié)構(gòu)及其相關(guān)聯(lián)的對象與它們的 Windows NT 4 前身有顯著的不同，反映了 Active Directory 服務(wù)在 Windows 2000 或 Windows Server 2003 中的核心角色，以及使其成為可伸縮、面向企業(yè)的目錄服務(wù)的設(shè)計要求。其中有些方面的改動很明顯，如轉(zhuǎn)為采用可傳遞信任關(guān)系模型；而有些方面則改動很小，如引入組織單位。無論改動是否明顯，要理解 Windows 2000 或 Windows Server 2003 域與 Active Directory 服務(wù)之間的交互及依賴關(guān)系，對它們進(jìn)行說明都是極其重要的。Active Directory 模擬 Windows 2000 和 Windows Server 2003 域模型；反之亦然（如果您要反過來看的話）。無論如何，Windows 2000 或 Windows Server 2003 域和 Active Directory 都互相依賴，甚至由對方的特性定義。要理解 Windows 2000 或 Windows Server 2003 域和 Active Directory 服務(wù)之間這種密不可分的關(guān)系，就需要說明 Windows 2000 或 Windows Server 2003 域模型，以及它與 Active Directory 服務(wù)交互的方式。因此，本章將首先講述 Windows 2000 和 Windows Server 2003 域模型，并探討該模型為何與 Windows NT 域模型大相徑庭。 Windows 2000 和 Windows Server 2003 域 Windows NT 4 域的伸縮性不好。雖然有很多粉飾這一事實的辯解，但簡單的事實擺在面前：Windows NT 4 域模型采用單向非傳遞信任，在大型企業(yè)中實現(xiàn)需要大量管理開銷。Windows 2000 或 Windows Server 2003 及其域模型就不存在這一缺陷，主要是因為采用了新的信任方法，但也因為整個域概念得到了改進(jìn)，以符合輕量目錄訪問協(xié)議 (LDAP) 和域名服務(wù) (DNS) 等行業(yè)標(biāo)準(zhǔn)。 域?qū)蛹? 在 Windows 2000 和 Windows Server 2003 網(wǎng)絡(luò)中，用層級組織域。通過域采用這種新的層級方式，就誕生了林和樹的概念。這些新概念，加上現(xiàn)有的域概念，可幫助組織更高效地管理 Windows 2000 和 Windows Server 2003 網(wǎng)絡(luò)結(jié)構(gòu)。 域 Windows 2000 和 Windows Server 2003 域模型的基本單位未變，仍舊是域。域是一種管理邊界，在 Windows 2000 和 Windows Server 2003 中，域代表與 DNS 域?qū)?yīng)的名稱空間（將在第 4 章中討論）。有關(guān) Active Directory 服務(wù)如何與 DNS 交互的更多信息，請參閱第 6 章“Active Directory Services and DNS”（Active Directory 服務(wù)和 DNS）。 Windows 2000 或 Windows Server 2003 部署中創(chuàng)建的第一個域稱為根域，顧名思義，它是域樹中創(chuàng)建的所有其他域的根。（域樹將在下一節(jié)講述。）由于 Windows 2000 和 Windows Server 2003 域的結(jié)構(gòu)與 DNS 域?qū)蛹売芯o密聯(lián)系，因此 Windows 2000 和 Windows Server 2003 域與我們所熟悉的 DNS 域?qū)蛹壍慕Y(jié)構(gòu)類似。根域是類似于 microsoft.com 或 iseminger.com 這樣的域；它們是其 DNS 層級的根，也是 Windows 2000 和 Windows Server 2003 域結(jié)構(gòu)的根。 給定的 Windows 2000 和 Windows Server 2003 域?qū)蛹壷泻罄m(xù)創(chuàng)建的域?qū)⒊蔀楦虻淖佑颉＠纾绻?msdn 是 microsoft.com 的子域，msdn 域?qū)⒊蔀?msdn.microsoft.com。 正如您所看到的，Windows 2000 和 Windows Server 2003 要求域不是層級中的根域，就是子域。Windows 2000 和 Windows Server 2003 還要求在給定的父級域中，域名是唯一的；例如，根域 microsoft.com 不能有兩個名為 msdn 的直接子域。但是，在整個域?qū)蛹壷校梢杂袃蓚€名為 msdn 的域。例如，可以有 msdn.microsoft.com 和 msdn.devprods.microsoft.com；microsoft.com 名稱空間只有一個名為 msdn 的子域，而 devprods.microsoft.com 名稱空間也只有一個名為 msdn 的子域。 域背后的概念是邏輯分區(qū)。大多數(shù)組織規(guī)模大到需要多個 Windows 2000 或 Windows Server 2003 域時，都具有區(qū)分職能或工作重點的邏輯結(jié)構(gòu)。通過將組織劃分為多個單位（在美國企業(yè)中，有時成為部門），可以更容易地對組織進(jìn)行管理。實際上，對組織被進(jìn)行分區(qū)是為了提供更符合邏輯的結(jié)構(gòu)，使得在組織的不同部門之間分配工作成為可能。換個角度看，當(dāng)邏輯業(yè)務(wù)單位（部門）合并在一個更大實體（可能是一個企業(yè)）的保護(hù)傘下時，這些在邏輯上不同的部門就構(gòu)建了一個更大的實體。雖然不同部門中的工作可能互相獨立且互不相同，但是這些部門總體上構(gòu)成了一個更大但邏輯周密的實體。在將 Windows 2000 和 Windows Server 2003 域組合為一個更大的連續(xù)名稱空間實體（稱為樹）時，這一概念也適用。樹 樹有時也稱為域樹，是 Windows 2000 和 Windows Server 2003 域的集合，構(gòu)成了連續(xù)名稱空間。在創(chuàng)建子域并將其與給定的根域相關(guān)聯(lián)的同時，構(gòu)建了域樹。就技術(shù)定義來說，樹是一個連續(xù)的 DNS 命名層級；從概念圖看，域樹的外觀類似于倒置樹（根域位于頂部），分支（子域）在下方展開。 通過創(chuàng)建域樹，組織能夠在自己的組織內(nèi)部創(chuàng)建一個域的邏輯結(jié)構(gòu)，并使域符合并反映 DNS 名稱空間。例如，David Iseminger 和 Company 可以有一個名為 micromingers.iseminger.com 的 DNS 域，并且公司內(nèi)部可能有多個邏輯部門，如銷售、財會、生產(chǎn)等部門。這種情況下，域樹的外觀為如圖 3-1 中所示。 圖 3-1. micromingers.iseminger.com 的域樹 注意 ：閱讀到此處，您可能會注意到處都有 iseminger.com 的字眼。這不是因為作者的意圖，而是出于出版商所堅持的法律方面的考慮。“請不要使用可能會引起爭議的域”，出版商說，“請只使用作者所有的域，或者沒有實際意義的域。”作者的網(wǎng)址為 www.iseminger.com，所以只好在本書中到處使用這個域名。我有一些更新穎的名稱，但是沒辦法，還是不要招惹律師為好。 這種公司內(nèi)的邏輯部門組織非常適用于有一個 DNS 域的公司，但是對于有多個“公司”的大型企業(yè)來說，可能需要解決多個公司問題。這一問題可以通過使用 Windows 2000 和 Windows Server 2003 林得到解決。林 有些組織可能有多個根域，如 iseminger.com 和 microsoft.com 等；但該組織本身是一個單個實體，如本例中虛構(gòu)的 David Iseminger 和 Company。這種情況下，這些多個域樹可以構(gòu)成一個非連續(xù)的名稱空間，稱為林。林是構(gòu)成給定的企業(yè)的一個或多個連續(xù)的域樹層級。邏輯上講，這也意味著其域樹中僅有一個域的組織也可以被看作一個林。在本章后面討論 Active Directory 與 Windows 2000 或 Windows Server 2003 域和林交互的方式時，這種區(qū)分將更為重要。 林模型使得未構(gòu)成連續(xù)名稱空間的組織能夠在其合并的域結(jié)構(gòu)中維護(hù)組織范圍的連續(xù)性。例如，如果 David Iseminger 和 Company（即 iseminger.com）能夠共同融資購買另一家稱為 Microsoft 且擁有自己的目錄結(jié)構(gòu)的公司，這兩個實體的域結(jié)構(gòu)將可以合并到一個林中。使用單個林有三個主要優(yōu)點。首先，信任關(guān)系的管理更易管理（使一個域樹中的用戶能夠訪問另一個樹中的資源）。其次，全局編錄集合了整個林的對象信息，這使得整個企業(yè)搜索成為可能。第三，Active Directory 架構(gòu)適用于整個林。（有關(guān)架構(gòu)的技術(shù)信息，請參閱第 10 章。）圖 3-2 闡述了 iseminger.com 和 Microsoft 域結(jié)構(gòu)的合并，它們的根域之間有一條連線，表明它們之間存在 Kerberos 信任并建立了林。（第 8 章將詳細(xì)講述 Kerberos 協(xié)議。） 雖然一個林可以包含多個域樹，但是它代表一個企業(yè)。通過創(chuàng)建林，所有的成員域都可以共享信息（通過使用全局編錄）。您可能想問：如何建立林內(nèi)的域樹，使得整個企業(yè)（由林表示）能夠作為一個單位運作。這個問題問得好，下面將通過講述信任關(guān)系來盡量回答這個問題。 信任關(guān)系 Windows NT 4 域和 Windows 2000 或 Windows Server 2003 域之間最重要的區(qū)別可能就是：同一個組織的域之間信任關(guān)系的應(yīng)用和配置。Windows 2000 和 Windows Server 2003 中沒有像 Windows NT 4 中那樣建立單向信任網(wǎng)，而是實現(xiàn)了可以在整個（新）域樹結(jié)構(gòu)中上下流動的可傳遞信任。這一模型簡化了 Windows 網(wǎng)絡(luò)的管理，我將通過一個數(shù)字示例來進(jìn)行闡述。下面的兩個等式（注意：以下等式僅供說明，不用記）舉例說明了每一方法所產(chǎn)生的管理開銷；等式表示每個域信任方法所需要的信任關(guān)系的數(shù)量，其中 n 表示域的數(shù)目：

Windows NT 4 域--( n * ( n -1)) Windows 2000 或 Windows Server 2003 域--( n -1)

僅用于演示，我們以一個有幾個域的網(wǎng)絡(luò)為例，來對以下不同的域模型方法進(jìn)行比較。（假定網(wǎng)絡(luò)中有 5 個域，即以下公式中 n = 5。）

Windows NT 4 域：(5 * (5-1)) = 20 個信任關(guān)系 Windows 2000 或 Windows Server 2003 域：(5 - 1) = 4 個信任關(guān)系

圖 3-2. Iseminger.com 和 Microsoft 的域樹的合并 必須管理的信任關(guān)系數(shù)量之間有顯著的差異，但這甚至不是新的域方法最主要的優(yōu)點。對于 Windows 2000 和 Windows Server 2003 域，默認(rèn)情況下會創(chuàng)建和實現(xiàn)信任。管理員僅只需安裝域控制器，就可以使用信任了。信任關(guān)系的自動創(chuàng)建基于以下事實：即 Windows 2000 和 Windows Server 2003 域（與 Windows NT 4 域不同）通過層級形式創(chuàng)建；也就是說，在給定的域樹中，只有一個根域和若干子域。這就使得 Windows 2000 和 Windows Server 2003 能夠自動了解給定域樹中包含哪些域，以及根域之間何時建立了信任關(guān)系；還能夠自動了解林中包含哪些域樹。 與此相反，在 Windows NT 域之間，管理員必須創(chuàng)建（并隨后管理）信任關(guān)系，并且他們必須記住信任關(guān)系的流向（以及對任一域中的用戶權(quán)限的影響）。區(qū)別非常明顯：管理開銷被削減為很小的一部分，而這樣的信任的實現(xiàn)也更為直觀，所有這些優(yōu)點都是因為采用了新的信任模型以及域和域樹的層級方法。 在 Windows 2000 和 Windows Server 2003 中，有三種類型的信任關(guān)系，分別滿足域結(jié)構(gòu)中的某一需要。向 Windows 2000 和 Windows Server 2003 域提供的信任關(guān)系如下： 可傳遞信任 單向信任 交叉鏈接信任 可傳遞信任 可傳遞信任在兩個域之間建立一種信任關(guān)系，這種信任關(guān)系可以流動到其他域，例如，如果域 A 信任域 B，域 B 信任 C，則域 A 必然信任域 C，反之亦然，如圖 3-3 所示。 圖 3-3. 三個域之間的可傳遞信任 由于不再需要管理單向非傳遞信任網(wǎng)，因此可傳遞信任可以極大地減少有關(guān)維護(hù)域之間的信任關(guān)系的管理開銷。在 Windows 2000 和 Windows Server 2003 中，每當(dāng)在域樹中創(chuàng)建新域時，都會自動建立父級和子級域之間的可傳遞信任關(guān)系。可傳遞信任限于 Windows 2000 或 Windows Server 2003 域，并僅限于同一域樹或林中的域；不能與低級（Windows NT 4 和更早版本）域建立可傳遞信任關(guān)系，不能在位于不同林中的兩個 Windows 2000 或兩個 Windows Server 2003 域之間建立可傳遞信任。單向信任 單向信任不可傳遞，因此它們僅可以定義所涉及的域之間的信任關(guān)系，并且這些域不是雙向的。不過，您可以創(chuàng)建兩個單獨的單向信任關(guān)系（一個方向一個）來創(chuàng)建雙向信任關(guān)系，就像在純 Windows NT 4 環(huán)境中一樣。不過，請注意，即使是可互換的單向信任也不能等效于可傳遞信任；單向信任中的信任關(guān)系僅在所涉及的兩個域之間有效。Windows 2000 和 Windows Server 2003 中的單向信任與 Windows NT 4 中的單向信任完全相同，在有些情況下，Windows 2000 或 Windows Server 2003 中會使用單向信任。下面介紹了其中幾種最常見的情況。 首先，單向信任常用于必須與低級域（如 Windows NT 4 域）建立新的信任關(guān)系的情況。由于低級域不能加入 Windows 2000 和 Windows Server 2003 可傳遞信任環(huán)境（如樹或林），因此必須建立單向信任，才能在 Windows 2000 或 Windows Server 2003 域與低級 Windows NT 域之間產(chǎn)生信任關(guān)系。 注意 ：這種單向信任情形不適用于遷移過程（如將現(xiàn)有的 Windows NT 4 域模型升級到 Windows 2000 或 Windows Server 2003 域/樹/林模型）。在從 Windows NT 4 升級到 Windows 2000 或 Windows Server 2003 的整個過程中，您所建立的信任關(guān)系在遷移過程接近結(jié)束，即直到所有的域都為 Windows 2000 或 Windows Server 2003 并且建立了可傳遞信任環(huán)境時，才會得到實現(xiàn)。有關(guān)遷移過程的更詳細(xì)說明，請見第 11 章“Migrating to Active Directory Services”（遷移到 Active Directory 服務(wù)）。 其次，如果必須在不屬于同一 Windows 2000 或 Windows Server 2003 林的域之間建立信任關(guān)系，可以使用單向信任。您可以在屬于不同的 Windows 2000 或 Windows Server 2003 林的域之間使用單向信任關(guān)系，以隔離與之建立并維護(hù)信任關(guān)系的域的信任關(guān)系，而不是創(chuàng)建影響整個林的信任關(guān)系。讓我來用一個示例來闡明。 假定您的組織有一個生產(chǎn)部和一個銷售部。生產(chǎn)部想要與某個標(biāo)準(zhǔn)機構(gòu)共享一些它的一部分處理信息（存儲在位于其 Windows 2000 或 Windows Server 2003 域中的服務(wù)器上）。不過，銷售部希望使存儲在其域中的服務(wù)器上的敏感銷售和營銷信息對該標(biāo)準(zhǔn)機構(gòu)保密。（或許，他們的銷售業(yè)績好到了那個標(biāo)準(zhǔn)機構(gòu)想要通過聲稱其“壟斷”來打擊他們！）使用單向信任就可以確保銷售信息的安全。要為標(biāo)準(zhǔn)機構(gòu)提供必要的訪問，可在生產(chǎn)部門域與標(biāo)準(zhǔn)機構(gòu)的域之間建立單向信任，由于單向信任是不可傳遞的，因此僅在所涉及的兩個域之間建立了信任關(guān)系。此外，由于信任域是生產(chǎn)部門域，因此生產(chǎn)部門域中的用戶將無法使用標(biāo)準(zhǔn)機構(gòu)域中的任何資源。 當(dāng)然，在上面提到的任一單向信任方案中，都可以使用兩個單獨的單向信任關(guān)系來創(chuàng)建雙向信任。交叉鏈接信任 交叉鏈接信任用于提高性能。使用交叉鏈接信任，可在樹或林層級內(nèi)建立一個虛擬信任驗證橋，從而能夠更快地進(jìn)行信任關(guān)系確認(rèn)（或拒絕）。上述說明使您有了大致了解。但要真正理解如何及為什么使用交叉鏈接信任，首先需要理解 Windows 2000 和 Windows Server 2003 中如何處理域間身份驗證。 當(dāng) Windows 2000 或 Windows Server 2003 域需要對不屬于自己域中的資源驗證用戶（或以其他方式驗證身份驗證請求）時，它會以類似的方式對 DNS 查詢進(jìn)行驗證。Windows 2000 和 Windows Server 2003 首先確定資源是否位于發(fā)出請求的域中。如果資源不在本地域中，域控制器（具體說來，是域控制器上的密鑰分發(fā)服務(wù) [KDC]）會將客戶端轉(zhuǎn)交給層級中（上層或下層，視具體情況）的下一個域中的域控制器的引用。下一個域控制器繼續(xù)執(zhí)行這種“本地資源”檢查，直到到達(dá)資源所在的域。（第 8 章對這一轉(zhuǎn)交過程進(jìn)行了詳細(xì)說明。） 雖然這種“遍歷域樹”效果不錯，但是虛擬遍歷域?qū)蛹壓馁M時間，耗費時間就會負(fù)面影響查詢響應(yīng)性能。為了便于您理解，請看以下緊急情況： 您在具有兩條登機道構(gòu)成 V 形的機場。登機道 A 位于 V 形的左側(cè)，登機道 B 位于右側(cè)。登機口按一定順序編號，登機道 A 和登機道 B 的 1 號登機口都接近 V 形的底部（即兩個登機道的交匯處），兩者的 15 號登機口都位于 V 形的頂端。所有的登機口都連接到 V 形內(nèi)。您匆忙地來趕飛機，到了登機道 A 的 15 號登機口（位于 V 形的頂端），但此時您想起班機實際上從登機道 B 起飛。您可以透過窗戶看到登機道 B 15 號登機口處的班機，但是為了到達(dá)該登機口，您必須一直沿登機道 A 走到（跑到）V 形的底部，然后沿登機道 B 小跑到它的 15 號登機口（此時，您已經(jīng)氣喘吁吁了），但到達(dá)時剛好看到飛機離您而去。您坐在候機廳里，等待兩小時后的下一趟班機，目光掃過 V 形登機道，移到登機道 A，也就是您原以為飛機起飛的位置，這時您突然想到一個好主意：在登機道的兩端修建一座天橋，這樣像您這樣的乘客就能夠快速地從登機道 A 的 15 號登機口到達(dá)登機道 B 的 15 號登機口。這主意不是很好嗎？只有登機道的 15 號登機口之間的客流量很大時，這一想法才可行。 類似地，交叉鏈接信任可以充當(dāng)域或樹層級中邏輯距離較遠(yuǎn)，并且兩者之間具有大量驗證通信量的域之間的身份驗證橋。多大的數(shù)量可以稱為是大量驗證通信量？以 Windows 2000 或 Windows Server 2003 域樹的兩個分支為例。第一個分支由域 A、B、C 和 D 組成。A 是 B 的父級，B 是 C 的父級，C 是 D 的父級。第二個分支由域 A、M、N 和 P 組成。A 是 M 的父級，M 是 N 的父級，N 是 P 的父級。聽上去有點復(fù)雜，可參見圖 3-4 中此結(jié)構(gòu)的圖示。 圖 3-4. 域?qū)蛹壥纠?現(xiàn)在假定域 D 中的用戶經(jīng)常（無論出于什么原因）使用域 P 中的資源。當(dāng)域 D 中的用戶想要使用域 P 中的資源時，Windows 2000 和 Windows Server 2003 將解析該請求，方法是遍歷一個引用路徑，爬回樹的根（本例中為域 A），然后沿域樹的適當(dāng)分支遍歷，直到到達(dá)域 P。如果同時進(jìn)行這些身份驗證，此方法會產(chǎn)生大量的通信量。更好的方法是在域 D 和 P 之間創(chuàng)建一個交叉鏈接信任，這樣，在兩個域之間進(jìn)行身份驗證時就無需從域樹遍歷到根（即樹分支開叉的底部域）。結(jié)果，就身份驗證而言，性能會更好。