AD域活动目录单域、子域、域树、域林基础知识

在部署子域和域树之前，管理员必须理解和明确有关域的相关概念以及应用范畴，这样才能更好地理解Active Directory。

单域

单域是指网络中只有一个域。在独立域中如果只有一台域控制器，不存在信任关系。用户登录到域中，即可访问域中所有可用的网络资源。单域环境主要适用规模较小的网络。

单域中建议部署两台域控制器，一台是域控制器，一台是额外域控制器。如果没有额外域控制器，域控制器崩溃后，域内的其他用户将不能登录该域。如图所示。

子域

子域是根据网络规划独立管理用户、计算机等网络资源集合。子域中的管理员可以管理子域中所有的资源，并且在一次登录子域后可以根据父子信任关系访问父域中的资源。

子域环境主要适用网络较大并且地理位置不同的网络。例如父域为Book.com，子域则表示为Beijing.book.com，所有以“.book.com”结尾的域均是book.com的子域，如图所示。

在同一个森林中，父子域之间的信任关系，称之为父子信任。在默认情况下，当现有域中添加新子域后，默认创建父子信任关系。父子信任为双向且可传递的信任关系，如图所示。

Book.com是父域，Beijing.book.com是Book.com域的子域。在使用Active Directory安装向导提升域控制器时，默认父域和子域之间建立双向可传递的信任关系。即：Beijing.book.com子域信任book.com父域，Book.com父域信任Beijing.book.com子域。

域树

域树是同一个森林中多个子域组成的独立域，域树中父子关系形成层次结构，域树中的第一个域称为根域，多个子域将组成一颗域树，如图2-4 所示。Bookcom是父域，Beijing.book.com和Shenzhen.book.com是Book.com域的子域。

域树主要适用网络规模大且地理位置十分分散的网络。如果不同地理位置的网络部署在同一个域内，域中计算机之间信息交互（包括同步，复制等）所花费的时间会比较长，而且占用较大的带宽。

子域可以通过子域管理员管理网络中的资源，可以达到“区域”自治的管理目的，降低父域的管理难度。域树基于父子信任关系创建，因此域树之间是双向且可传递的信任关系。用户在域树中的任何域中登录后，即可访问森林中的共享资源，而不需要在访问其他域中的资源时，键入用户名和密码，如图所示。

域林

多个域树可以组成一个域林。每棵域树可以是一个独立的域，也可以是其中几棵树组成的域，就好比是树的分支，树叶等，如图所示。

域林主要适用于网络之间共存的环境。当企业出现兼并行为后，因为母公司使用一棵域树，兼并的公司也有自己的域树，则使用域林。通过建立域树与域树之间的信任关系管理使用整个域林中的资源，又保持被兼并公司自身原有的体系架构。

在同一森林下多棵域树之间存在域间信任关系，在部署第2 棵域树时，自动创建双向的可传递的域树之间信任关系。信任关系为双向且可传递，如图2-7所示。Daily.com是森林的第2棵域树，使用Active Directory安装向导创建后，默认创建2棵域树间的双向可传递的树根信任关系，即该林下的子域信任第2棵域树下的子域。

来源：《Windows Server 2008 R2活动目录内幕》王淑江 刘晓辉等编著