Домены являются единицами репликации. Все контроллеры домена в определенном домене могут получать изменения и реплицировать их на все остальные контроллеры в данном домене. Каждый домен в доменных службах Active Directory (AD DS) задается доменным именем системы доменных имен (DNS). Для каждого домена необходим один или несколько контроллеров домена. Если в сети требуется более одного домена, можно легко создать несколько доменов.

Лес - это один или несколько доменов с общими схемой и глобальным каталогом. Первый из доменов леса называется корневым доменом леса. Если несколько доменов леса используют смежные имена доменов в DNS, такая структура называется доменным деревом.

Один домен может охватывать несколько физических расположений или сайтов и содержать миллионы объектов. Структура сайта и структура домена независимы и гибки. Один домен может охватывать несколько сайтов, расположенных в разных географических точках мира. Один сайт может содержать пользователей и компьютеры, которые принадлежат нескольким доменам.

Домен предоставляет несколько преимуществ.

  • Можно организовывать объекты.

    Не нужно создавать отдельные домены только для того, чтобы отразить организационную структуру организации (ее подразделения и отделы). Для этой цели можно использовать организационные подразделения (OU) внутри домена. Использование подразделений помогает управлять учетными записями и ресурсами в домене. Затем можно задать параметры групповой политики и поместить в подразделения пользователей, группы и компьютеры. Использование одного домена значительно упрощает администрирование. Дополнительные сведения см. в разделе Управление подразделениями.

  • Можно опубликовывать ресурсы и данные об объектах домена.

    Домен хранит данные только для тех объектов, которые в нем находятся. Следовательно, создание нескольких доменов позволяет разбить на разделы или сегментировать каталог, чтобы лучше обслуживать различные части базы пользователей. Использование нескольких доменов позволяет масштабировать доменные службы Active Directory, чтобы включить очень большое количество объектов, в соответствии с предъявляемыми требованиями к администрированию и публикации каталогов.

  • Делегирование полномочий исключает потребность в большом количестве администраторов с широкими полномочиями.

    Сочетая делегирование полномочий, объекты групповой политики и членство в группах, можно назначить права администратора и предоставить разрешение на управление объектами во всем домене или в одном или нескольких подразделениях внутри домена.

  • Политики и параметры безопасности (например, политики прав пользователя и паролей) не переходят от одного домена к другому.

    Каждый домен использует собственные политики безопасности и отношения доверия с другими доменами. Последним же уровнем защиты является лес.

Дополнительные источники информации


Содержание