了解 Active Directory 逻辑模型

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

设计 Active Directory 域服务 (AD DS) 的逻辑结构涉及定义目录中容器之间的关系。 这些关系可能基于管理要求（例如委派权限），也可能由运营要求定义（例如需要管控复制操作）。

在设计 Active Directory 逻辑结构之前，了解 Active Directory 逻辑模型非常重要。 AD DS 是一个分布式数据库，该数据库可以存储和管理有关网络资源的信息，以及启用了目录的应用程序中特定于应用程序的数据。 AD 允许管理员将网络元素（如用户、计算机和设备）组织到分层包含结构中。 顶级容器是林。 林中包含域，域中包含组织单位 (OU)。 这称为逻辑模型，因为它独立于部署的物理方面，例如每个域和网络拓扑中所需的域控制器数量。

Active Directory 林

林是一个或多个 Active Directory 域的集合，这些域共享通用的逻辑结构、目录架构（类和属性定义）、目录配置（站点和复制信息）和全局编录（全林搜索功能）。 同一林中的域会自动链接到双向可传递信任关系。

Active Directory 域

域是 Active Directory 林中的一个分区。 对数据进行分区使组织能够将数据刚好复制到需要数据的位置。 通过这种方式，目录可以在可用带宽有限的网络上进行全局缩放。 此外，域还支持很多与管理相关的其他核心功能，包括：

• 网络范围的用户标识。 域允许用户标识创建一次，并在加入域所在的林的任何计算机上引用。 组成域的域控制器用于安全地存储用户帐户和用户凭据（如密码或证书）。

• 身份验证。 域控制器为用户提供身份验证服务，并提供其他授权数据（如用户组成员身份），这些数据可用于控制对网络资源的访问。

• 信任关系。 域可以通过信任关系将身份验证服务扩展到其目录林之外的域中的用户。

• 复制。 域定义目录的一个分区，该分区包含足以提供域服务的数据，然后在域控制器之间复制该分区。 这样一来，所有域控制器在域中都是对等方，可作为一个单元来管理这些域控制器。

Active Directory 组织单位

OU 可用于在域中形成容器的层次结构。 OU 用于将对象进行分组以便于管理（如应用组策略或授权委派）。 （对 OU 和其中对象）控制圈取决于 OU 和 OU 中对象的访问控制列表 (ACL)。 为了便于管理大量对象，AD 支持授权概念。 通过委派，所有者可以将对象的全部或有限管理控制权转移给其他用户或组。 委派十分重要，因为它有助于将大量对象的管理分发到多个被信任执行管理任务的人。