Active Directory 域服务（AD DS）

Active Directory域服务 （Active Directory Domain Services ， AD DS）是提供目录服务的组件。它负责目录数据库的存储、添加、删除、修改与查询等工作。

AD DS 适用范围非常广泛，它可以以用于一台计算机、一个小型局域网（LAN)或者多个广域网（WAN）结合的环境中。它包含此范围内的所有对象。

名称空间

名称空间：一个界定好的区域，在此区域内，可以利用某个名称来找到与此名称有关的信息。Windows操作系统中的NTFS文件系统就是一个名称空间。

Active Directory域服务 （AD DS）也是一个名称空间。

在TCP/IP网络环境内利用Domain Name System(DNS) 来解析主机名与IP地址的映射关系，例如利用DNS来得知主机的IP地址。AD DS的域名空间采用的是DNS架构，因此其域名采用DNS格式命名（如：sayms.local）。

对象（Object）与属性（Attribute）

AD DS 内的资源是以对象的形式存在，而对象是通过属性来描述其特征的，也就是对象本身的一些属性集合。

容器（Container）与组织单位（Organization Units,OU)

容器与对象相似，它有自己的名称，也是一些属性的集合，但容器内可以包含其他对象，也可以包含其他容器。而组织单位是一个比较特殊的容器，除了可以包含其他对象与组织单位之外，还有组策略。

AD DS 以层级式架构将对象、容器、组织单位等组合在一起，并将其存储在AD DS 数据库内。

域树（Domain Tree）

我们可以搭建包含多个域的网络，以域树的形式存在。

在域树内的所有域共享一个AD DS，其中的数据分散存储在各个域中，每一个域内只存储隶属于该域的数据。

信任（Trust）

两个域之间必须有信任关系，才可以访问对方域内的资源。任何一个新的AD DS域加入到域树后，这个域会自动信任其上层的父域，同时父域也会自动信任新子域。这些信任关系具有双向传递性。此信任工作通过Kweberos security protocol 来完成的，因此也被称为Kerberos trust。

林（Forest）

林是由一个或多个域树组成，每个域树都有自己唯一的名称空间。其中域树内的每一个域名都以sayms.local结尾，而另一个以say365.local结尾。

第一个域树的根域，就是整个林的根域，其域名就是林的林名称。

在建立林时，每一个域树的根域与林根域之间双向的、可传递的信任关系都会被自动建立起来。因此，每一个域树中的每一个域内的用户，只要拥有权限，就可以访问其他任何一个域树内的资源，也可以到其他任何一个域树内的成员计算机登录。

架构（Schema）

AD DS对象类型与属性数据是定义在架构内的。隶属于Schema Admins组的用户可以修改架构内的数据，应用程序也可以自行在架构内添加其所需的对象类型或属性。在一个林内的所有域树共享相同的架构。

域控制器（Domain Controller）

Active Directory域服务 （AD DS）的目录数据存储在域控制器内。一个域内可以有多台域控制器，每台域控制器的地位（几乎）平等，它们各自存储着一份相同的AD DS 数据库。 当在任何一台域控制器内添加一个用户账户后，该账户默认是被建立在此域控制器的AD DS 数据库中，之后会自动被复制到其他域控制器的AD DS 数据库，以便于让所有与控制器内的AD DS 数据库都能够同步（synchronize）。