Active Directory域服务

1.什么是域服务
	域内的directory database(目录数据库)被用来存储用户账号，
	计算机账户，打印机与共享文件夹等对象，
	而提供目录服务的组件就是Active Directory域服务
	(Active 	Directory Domin Service,AD DS)它负责目录数据库的
    存储、新建、删除、修改查询等操作。

2.域活动范围
	AD DS 适用范围非常广泛，它可以用在一台计算机，
	一个小型局域网（LAN）或数据广域网（WAN）结合的环境中，它包含此范围中的所有对象，例如文件、打印机、应用程序、服务器、
	域控制器和用户账号

3.名称空间
	名称空间是一个界定好的区域，在此区域内可以可以利用某个名称找到与此
	名称有关的信息，例如NTFS文件系统也是一个名称空间，在这文件系统内，
	我们可以通过名称来找到此对象有关的所有信息。

4.对象（Object）与属性（Attribute）
	AD DS 内的资源以对象的形式存在，例如用户是对象，而对象是通过属性来
	描述其特征的，也就是对象本身是一些属性的集合。
	用户是对象，姓名、地址、手机号为属性

5.容器（Container）与组织单位（Organizeation Units OU）
	容器与对象类似但是容器可以包含对象，也可以包含其他容器，组织单位
	是比较特殊的容器，其功能除了可以包含其他对象与组织单位外，也可以为
	组织单位添加组策略。

6.域树
	你可以架设多个域的网络，而且是域树形式的存在，在域树内所有域
	共享一个AD DS，也就是在此域树之下只有一个AD DS，不过其数据是
	分散存储在各个域中的，每一个域中只存储隶属于该域的数据，
	例如该域内的用户（存储在域控制器内）。

7.信任（Trust）
	域之间必须拥有信任关系才能互相访问双方的资源，
	任何一个新的ADDS域被加载到域树后这个域会信任上一层父域，
	同时父域也会自动信任新子域，这些信任关系具备双向纯传递性，
	此信任工作是通过Kerberos security protocol来完成的因此也被成为Kerberos trust.

8.林（Forest）
林由一个或多个域树组成，每一个域树都有自己唯一的每名称空间，
在建立林时，每一个域树的根据与林根域之间双向的，
可传递新人关系都黑自动地被建立起来，，因此每一个域树种的每一个域内用户，
只要拥有权限，就可以访问其他任何一个域树内的资源，也可以到其他任何一个域树内的成员计算机登录。