部署域的价值/域控制器/常用域概念

部署域的价值

    从工作组环境提升到域环境后，能够为企业带来的价值如下

    ·提升企业形象。将用户信息（姓名、地址、电话、办公室、邮件地址等）详细地录入到用户属性中，统一用户身份标识，统一企业形象。

    ·通过域环境单点登录，降低运维成本，不需要再各个应用服务器之间进行多次用户身份认证切换，降低开发、管理、操作、运维成本。

    ·创建和企业行政管理结构类同的管理架构，管理目标明确，和领导层沟通容易。例如，企业中部署文件服务后，人力资源部门共享资料不允许财务部门看到，可以通过NTFS、组策略等模式实现需要的管理需求。

    ·容易与Windows应用服务集成，例如Exchange Server、Forefront Threat Management Gateway、SharePoint、文件共享、打印机共享、Microsoft Sql Server系列数据库等，以及第三方软件开发厂商。

    ·降低用户操作的复杂度，通过一次登录后，完成在多个应用服务之间切换。

    ·域用户的权限可以通过委派明确授权，可以为领导层分配较高权限，授予领导层自有管理普通员工的权限，给领导层成就感。

    ·通过管理架构部署组策略，通过策略强制（限制）管理客户端。

域控制器

    包括3种类型：额外域控制器、域控制器以及只读域控制器

    1、域控制器

    如果网络中安装的是第一台域控制器，该服务器默认为林根服务器，也是根域服务器，FSMO（操作主机）角色默认安装到第一台域控制器。

    如果是额外域控制器，FSMO（操作主机）角色转移到额外域控制器后，额外域控制器将提升为域控制器。域控制器和额外域控制器之间是平行关系，它们之间的区别在于是否存在FSMO。

    域控制器中运行AD DS域服务，该服务和普通的服务应用相同，可以通过“服务”控制台管理AD DS域服务，完成“启动”、“停止”、“暂停”等操作。域控制器添加到“Domain Controllers”组织单位中。

    2、额外域控制器

    成员服务器使用“添加角色和功能”向导添加“AD DS域服务”角色后，将被提升为额外域控制器，成员服务器添加到域内“Domain Controllers”组织单位中。该服务器上运行“AD DS域服务”，提供管理任务，存储Active Directory数据库。

    3、只读域控制器服务与AD DS域服务相同，同样以服务的方式存在，但是Active Directory数据库只能读取不能写入，Active Directory数据库是AD DS域服务数据库的一部分，非完整Active Directory数据库副本。只读域控制器添加到域内“Domina Controllers”组织单位中。

    只读域控制器只能将可读写域控制器Active Directory数据库进行更改，如果只读域控制器需要更改Active Directory数据库中的数据，更改的数据首先在可读写域控制器到RODC的单项数据复制。可读写域控制器不会从只读域控制器主动“拉”数据。只读域控制器可以缓存授权的目标组和用户的密码。

常用域概念

域

    1、域的实质

    域是一套统一身份验证系统，是企业应用的基础，用身份验证系统，是企业应用的基础，用身份验证系统完成企业级别的业务系统应用，例如Exchange Server、Forefront Threat Management Gateway、SharePoint Server、File Server、SQL Server、打印机共享等。域内的用户身份验证可以形象地比喻为日常生活中使用的“***”。

    2、域应用

    域是一个有安全边界的集合，同一个域中的计算机彼此之间建立信任关系，计算机之间允许互相访问。

    域应用中，难的不是域环境部署而是依赖域环境的应用。例如组策略（Windows Server 2012中提供数千个相关策略），首先确认用户身份，然后组策略根据用户身份（计算机账户或者域用户账户）进行限制。虽然谈到域就谈到组策略，但是组策略属于上层应用，组策略通过用户身份验证和域绑定得比较紧密，大部分企业管理都是通过组策略完成。

    单域环境中只使用一个DNS名字空间，例如book.com。域中的所有计算机账户和用户账户都是用同一个域后缀（DNS名称后缀）。

    3、规划域

    域的规划本身存在多样性。每个企业都有不同的需求。

    ·考虑到集团下的各个公司一般都是独立运行管理，集团多公司使用单林多域。

    ·中型企业交叉业务比较多，一般情况是一个总部+多个分公司。建议使用父子域或者集中地管理一个域，然后划分站点。

    ·小型企业使用单域。

    域规划没有绝对的错与对，主要方便企业方便灵活地进行管理即可。所以公司管理架构不同，或者管理理念的不同都会造成考虑规划时的思路不同。

    微软建议使用单域多站点模式，可以适应大部分企业需求。注意，域的规划只是一个平台、一个基础，更重要的是前期规划要方便后期应用，能够支撑更多的服务，例如Exchange Server、SharePoint Server、SQLServer、SQLServer、CRM等。

    根据个人实践经验，如果没有特殊需求，域规划越简单越好，能用单域多站点解决的应用尽量不使用父子域，能用父子域解决的应用尽量不使用单林多域环境。

根域

    网络中创建第一个域就是根域，一个域林中只能有一个根域，根域在整个域林中处于重要地位，对其他域具备最高管理权限。通过“Get-ADForest”命令，验证根域所在的服务器，通常架构主机角色和域命名主机角色所在的域控制器。

域树

    域树由多个域组成，这些域共享同一存储结构和配置，形成一个连续的名字空间（相同的DNS后缀）。树中的域通过信任关系连接，林包含一个或多个域树。域树中的域层次越深级别越低，一个“.”代表一个层次，如域bj.book.com比book.com这个域级别低，因为它有两个层次关系，而book.com只有一个层次，而域hdq.bj.book.com又比bj.book.com级别低，道理一样，它们都属于同一个域树，bj.book.com就属于book.com的子域。父子域之间的关系是双向信任关系。

域林

    创建根域时默认建立一个域林，同时也是整个林的根域，同时其域名也是林的名称。例如book.com是网络中第一个域的根域，也是整个林的根域，林的名称就是book.com。通过Powershell命令“Get-ADForest”查看林的相关参数。

    域树必须建立在域林下，一个域林可以有多棵域树。已经存在的域不能加入一棵树中，也不能将一个已经存在的域树加入到一个域林中，如果一定要把一个域加入到一棵域树中，或者要把一个域树加入到一个域林中，唯一可行的方法就是从零开始建立新域。

    企业已经拥有不同的域、域树、域林，希望同现有的域、域树、域林一起管理，最好的方法是使用Active Directory创建双向信任关系。如果在域、域树、域林之间建立具有可传递的双向信任关系，就可以创建Active Directory结构。

如何区别域林和域树

    ·域林是由一个或多个没有形成连续名字空间（非相同的DNS后缀）的域树组成，域域树最明显的区别在于构成域林的域树之间没有形成连续的名字空间，而域树则是由一些具有连续名字空间的域所组成的。域林中的所有域树仍共享同一个存储结构、配置和全局目录，所有域树通过Kerberos信任关系建立，所以每个域树都知道Kerberos信任关系，不同域树可以交叉引用其他域树中的对象。域林都有根域，即域林中创建的第一个域，域林中所有域树的根域与域林的根域建立可传递的信任关系。

    ·域树由多个域组成，这些域共享同一存储结构和配置，形成一个连续的名字空间（相同的DNS后缀）。树中的域通过信任关系连接，林中包含一个或多个域树。域树中可以立即与域树或树林中每个其他的域建立信任关系。这些信任关系允许单一的登录过程，在域树或树林中的所有域上对用户进行身份验证，单着不一定意味着经过身份验证的用户在域树中的所有域上对用户进行身份验证，单着不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限，所以必须在每个域的基础上为用户指派相应的权利和权限。

转载于:https://blog.51cto.com/rainy0426/1744075