Domeny są jednostkami replikacji. Wszystkie kontrolery domeny w określonej domenie mogą odbierać zmiany i replikować je na wszystkich innych kontrolerach domeny w domenie. Każda domena w Usługach domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services) ma własną nazwę w systemie DNS (Domain Name System). Każda domena wymaga jednego lub kilku kontrolerów domeny. Jeśli sieć wymaga więcej niż jednej domeny, łatwo można utworzyć wiele domen.

Jedną lub kilka domen korzystających ze wspólnego schematu i wykazu globalnego nazywamy lasem. Pierwsza domena w lesie nosi nazwę domeny katalogu głównego lasu. Jeśli wiele domen w lesie ma sąsiednie nazwy DNS domeny, ich struktura jest nazywana drzewem domen.

Pojedyncza domena może obejmować wiele lokalizacji fizycznych lub lokacji i może zawierać miliony obiektów. Struktury lokacji i domeny są rozdzielne i elastyczne. Pojedyncza domena może obejmować wiele lokacji geograficznych, zaś pojedyncza lokacja może zawierać użytkowników i komputery z wielu domen.

Domena ma wiele zalet:

  • Umożliwia organizowanie obiektów.

    Nie ma konieczności tworzenia osobnych drzew domen jedynie w celu odzwierciedlenia organizacji działów firmy. W tym celu można utworzyć w domenie jednostki organizacyjne. Używanie jednostek organizacyjnych ułatwia zarządzanie kontami i zasobami w domenie. Następnie można przypisać ustawienia zasady grupy i umieścić użytkowników, grupy i komputery w jednostkach organizacyjnych. Korzystanie z pojedynczej domeny znacznie upraszcza administrację. Aby uzyskać więcej informacji, zobacz temat Zarządzanie jednostkami organizacyjnymi.

  • Możliwe jest publikowanie zasobów i informacji o obiektach domeny.

    W domenie są przechowywane jedynie informacje o obiektach umieszczonych w danej domenie. Dlatego też utworzenie wielu domen dzieli katalog na partycje lub segmenty, które można niezależnie dostosować do potrzeb różnych grup użytkowników. Używając wielu domen, usługi AD DS można skalować zgodnie z wymaganiami dotyczącymi administracji i publikowania katalogów.

  • Możliwość delegowania uprawnień eliminuje zapotrzebowanie na wielu administratorów z szerokimi uprawnieniami administracyjnymi.

    Delegowanie uprawnień w połączeniu ze stosowaniem obiektów zasad grupy i określaniem członkostwa grup umożliwia przypisanie praw administratora i uprawnień do zarządzania obiektami w całej domenie albo w jednej lub kilku jednostkach organizacyjnych wewnątrz domeny.

  • Zasady i ustawienia zabezpieczeń (takie jak prawa użytkownika i zasady haseł) nie przechodzą z jednej domeny do drugiej.

    Każda domena ma własne zasady zabezpieczeń i relacje zaufania z innymi domenami. Jednak ostateczną granicę zabezpieczeń wyznacza las.

  • W każdej domenie są przechowywane tylko informacje o obiektach umieszczonych w danej domenie.

    Taki podział katalogu pozwala na skalowanie usług AD DS w szerokim zakresie, umożliwiając umieszczenie w nich bardzo dużej liczby obiektów.

Dodatkowe informacje


Spis treści