目录:存放网络对象的数据库
目录服务:查找目录数据库进行网络对象的查询和定位
 
活动目录(Active Directory )
以LDAP为基础,遵循X.500标准,基于win2000/2003网络所提供的目录服务
功能:集中的帐号控制    网络对象的查找定位
逻辑结构:
域 Domain
从NT4继承,用于实现统一的身份验证
域的边界性:
安全边界:用户的权利限于本域中,除非受到它域的委派授权(Enterprise Admins除外,此组仅存在于根域--即森林中的第一个域,对整个活动目录具有管理权利)
复制边界:域中的活动目录数据仅在本域的DC中进行复制(GC除外,GC收集整个活动目录的数据)
GC 全局编录:
1.是一个数据库,容纳了活动目录中所有对象的常用属性的只读副本(不包含安全信息,不能用于身份验证)
2. 是一台特殊的DC,用来存放GC的数据库,用于AD对象的查询和定位,为其它服务做基础,为一些应用程序提供支持.(如Exchange只能通过GC进行收件人的查找)
树 Tree
由使用连续名称空间的多个域组成,彼此之间自动信任(双向),可以实现资源互访
森林 Forest
由多个树所构成最大的逻辑结构,等同于活动目录
组织单元 OU
最小的逻辑结构,便于管理,委派授权,组织对象,使用组策略. 
物理结构:
DC 存放活动目录数据库,对外提供活动目录服务的计算机,建议每域至少两台DC.
Site 站点 高速连接子网对象的集合.
FSMO 操作主机 执行敏感核心操作的域控制器.以令牌的方式驻存在DC之上
 
关于树\森林及相关信任的学习
 
在WIN2K 的活动目录里,没有林间信任,只能在域与域之间建立双向不可传递的信任
从Win2000起,林内部就一直存在双向可传递的信任关系
从Win2003起,可以给两个森林建立双向可林内传递的信任关系,在森林内部的树与树之间,必然存在信任关系
 
信任传递的过程,是身份验证传递的过程,而不是资源访问传递的过程,身份验证默认会经过根域的PDC,而资源访问只与路由有关
 
域树中多个域使用连续的DNS域名空间,多个域树构成森林,森林中的域树不形成连续的域名空间
 
当一台WIN2003提升为DC时,会先把林架构建立出来,林里面第一个域将作为森林的根域,而森林也会以这个域的架构为基准,并以这个域的域名来命名.
 
Active Directory Forest
A forest is a collection of one or more Active Directory domains that share a common logical structure, global catalog,directory schema and directory confication ,as well as automatic two-way transitive trust relationships. Each forest is a single instance of the directory and defines a security boundary.
 
AD 林中共享一套逻辑架构,GC SCHEMA目录配置. 而两个单独的森林建立可传递信任关系后,除GC内容外,其它信息并不共享.
 
在FSMO结构中, Schema Master  . Domain Naming Master这两种角色,在一个林中只出现一次,而其它三种角色,在每个域中存在一次
 
建议使用单域模型
创建多域的目的: 实现分散化的管理, 权利的分散,灵活管理