域是網(wǎng)絡(luò)對(duì)象（包括組織單元、用戶帳戶、組和計(jì)算機(jī)，他們都共享與安全性有關(guān)的公用目錄數(shù)據(jù)庫(kù)）的集合。域形成 Active Diectory 內(nèi)邏輯體系結(jié)構(gòu)的核心單元，因此在安全性中扮演重要角色。如果將對(duì)象分組到一個(gè)或多個(gè)域中，您的網(wǎng)絡(luò)就可反映您公司的組織方式。

較大型的組織可以含有多個(gè)域，這種情況下的域?qū)哟谓Y(jié)構(gòu)就稱為域目錄樹。第一個(gè)創(chuàng)建的域是根域，它是在其下創(chuàng)建的域的父域，其下的域稱為子域。若要支持非常大型的組織，可將域目錄樹鏈接在一起，形成一種稱為目錄林的排列。（在使用多個(gè)域控制器的情況下，Active Directory 會(huì)按固定時(shí)間間隔復(fù)制到域中的每個(gè)域控制器上，以使數(shù)據(jù)庫(kù)永遠(yuǎn)同
步。）

域可標(biāo)識(shí)一個(gè)安全機(jī)構(gòu)，并使用一致的內(nèi)部策略及與其它域間的明確安全性關(guān)系形成一個(gè)安全邊界。特定域的管理員只在本域中有設(shè)置策略的權(quán)限。這對(duì)大型企業(yè)的幫助很大，因?yàn)椴煌�的管理員可以創(chuàng)建并管理組織中不同的域。此管理含義在下面的“管理委派”部分有進(jìn)一步的探討。

站點(diǎn)是在學(xué)習(xí)有關(guān) Active Directory 的知識(shí)時(shí)會(huì)碰到的另一個(gè)術(shù)語(yǔ)。域通常會(huì)反映一個(gè)組織的商業(yè)結(jié)構(gòu)，而站點(diǎn)則通常被用來(lái)定義與地理分布有關(guān)的 Active Directory 服務(wù)器組。這些計(jì)算機(jī)通常都以高速鏈接來(lái)連接，但它們彼此之間可以有也可以沒有邏輯關(guān)系。例如，若您有一個(gè)大型建筑物供一些相對(duì)無(wú)關(guān)的組織活動(dòng)使用，如視頻產(chǎn)品設(shè)備、備辦食物、文件存儲(chǔ)等，則這棟建筑物中的 Active Directory 服務(wù)器可以被當(dāng)作一個(gè)站點(diǎn)（即使在該服務(wù)器上所完成的處理是不相關(guān)
的）。

所謂組織單元(OU)，是指一個(gè)容器，可用它將對(duì)象組織成域中的邏輯管理組。OU 可包含對(duì)象，如：用戶帳戶、組、計(jì)算機(jī)、打印機(jī)、應(yīng)用程序、文件共享和其他的 OU。

對(duì)象包含關(guān)于個(gè)別項(xiàng)目（如特定用戶、計(jì)算機(jī)或硬件）等的信息（稱為屬性）。例如，用戶對(duì)象的屬性可能包含姓和名、電話號(hào)碼和管理器名稱。計(jì)算機(jī)的對(duì)象可能包含計(jì)算機(jī)的位置及訪問控制列表 (ACL)，列表中會(huì)指定對(duì)該計(jì)算機(jī)擁有訪問
權(quán)限的組和個(gè)人。

通過(guò)將信息分組到域和 OU 中，可以管理對(duì)象集合（如用戶組和計(jì)算機(jī)組）的安全性，而不是逐個(gè)管理每個(gè)用戶和對(duì)象。此概念將在下面的“使用組策略來(lái)管理安全性”部分作進(jìn)一步描述。首先，還有另一個(gè)對(duì)了解安全性如何使用 Active
Directory 極為重要的概念：信任。

域間的信任關(guān)系

為了讓用戶登錄網(wǎng)絡(luò)一次就可以使用網(wǎng)絡(luò)上所有資源（通常稱為單一登錄能力），Windows 2000 支持域間的信任關(guān)系。所謂信任關(guān)系，是指一種邏輯關(guān)系，這種邏輯關(guān)系在域之間建立，用來(lái)支持直接傳遞身份驗(yàn)證，讓用戶和計(jì)算機(jī)可以在目錄林的任何域中接受身份驗(yàn)證。這讓用戶或計(jì)算機(jī)僅需登錄網(wǎng)絡(luò)一次就可以對(duì)任何他們有適當(dāng)權(quán)限的資源進(jìn)行訪問。這種穿越許多域的能力說(shuō)明了傳遞信任這個(gè)術(shù)語(yǔ)，它是指跨越一連串信任關(guān)系的身份驗(yàn)證。

基于 Windows NT 的網(wǎng)絡(luò)使用單向、非傳遞的信任關(guān)系。相反，當(dāng)基于 Windows 2000 的域被組織成目錄樹時(shí)（如上面的 圖 1 所示），域間會(huì)創(chuàng)建隱含信任關(guān)系。這使在中型和大型組織中建立域間的信任關(guān)系更為容易。屬于域目錄樹的域定義與目錄樹中的父域的雙向信任關(guān)系，而所有域都隱含地信任目錄樹中的其他域。（如果有不應(yīng)該有雙向信任的特定域，您應(yīng)該定義明確的單向信任關(guān)系。）對(duì)于具有多個(gè)域的組織，使用 Windows 2000 比使用 Windows NT 4.0，明確的單向信任關(guān)系總數(shù)顯著減少，這種改變將大大簡(jiǎn)化域的管理。傳遞信任在默認(rèn)情況下建立于目錄樹中，這樣做之所以有意義是因?yàn)?br>通常是由單個(gè)管理員來(lái)管理一個(gè)目錄樹。但因?yàn)槟夸浟植惶�可能被單個(gè)管理員控制，因此目錄林的目錄樹間的傳遞信任關(guān)系必須特別創(chuàng)建。

有關(guān)信任關(guān)系工作方式的說(shuō)明，請(qǐng)?jiān)俅螀⒖忌厦娴膱D 1。Windows 2000 自動(dòng)于根域 (Microsoft.com) 及其兩個(gè)子域（FarEast.Microsoft.com 和 Europe.Microsoft.com）間建立雙向信任關(guān)系。此外，因?yàn)?Microsoft.com 信任這兩個(gè)子域，因此信任關(guān)系也在 FarEast 和 Europe 域間傳遞性地建立。這些關(guān)系在基于 Windows 2000 的域間自動(dòng)建立。在有基于 Windows 2000 和基于 Windows NT 域的網(wǎng)絡(luò)中，管理員可以創(chuàng)建用在基于 Windows NT 的網(wǎng)絡(luò)中明確的單向信任關(guān)系。