Домены - это подразделения репликации. Все контроллеры домена в определенном домене могут получать изменения и реплицировать их на все остальные контроллеры в данном домене. Каждый домен в доменных службах Active Directory (AD DS) определяется по доменному имени системы доменных имен (DNS). Каждому домену требуется один или несколько контроллеров домена. Если сети требуется более одного домена, можно легко создать несколько доменов.
Лес - это один или несколько доменов с общими схемой и глобальным каталогом. Первый из доменов леса называется доменом корня леса. Если несколько доменов леса имеют смежные имена доменов в DNS, такая структура называется доменным деревом.
Один домен может охватывать несколько физических местоположений или сайтов и содержать миллионы объектов. Структура сайта и структура домена независимы и гибки. Один домен может охватывать несколько географических сайтов, а один сайт может включать пользователей и компьютеры, которые принадлежат к нескольким доменам.
Домен предоставляет несколько преимуществ.
-
Можно организовывать объекты.
Не нужно создавать отдельные домены только для того, чтобы отразить организационную структуру организации (ее подразделения и отделы). Для этой цели можно использовать организационные подразделения (OU) внутри домена. Использование подразделений помогает управлять учетными записями и ресурсами в домене. Затем можно задать параметры групповой политики и поместить в подразделения пользователей, группы и компьютеры. Использование одного домена значительно упрощает администрирование. Дополнительные сведения см. в разделе Управление подразделениями.
-
Можно публиковать ресурсы и информацию об объектах домена.
Домен хранит информацию только для тех объектов, которые в нем находятся. Поэтому, если создать несколько доменов, и тем самым разбить на разделы или сегментировать каталог, он будет лучше служить в качестве базы разрозненных пользователей. При использовании нескольких доменов можно настроить доменные службы Active Directory в соответствии с имеющимися задачами администрирования и публикации каталогов.
-
Делегирование полномочий исключает потребность в большом количестве администраторов с широкими полномочиями.
Сочетая делегирование полномочий, объекты групповой политики и членство в группах, можно назначить права администратора и предоставить разрешение на управление объектами во всем домене или в одном или нескольких подразделениях внутри домена.
-
Политики и параметры безопасности (например, политики прав пользователя и паролей) не переходят от одного домена к другому.
Каждый домен имеет собственные политики безопасности и отношения доверия с другими доменами. Однако последним уровнем защиты является лес.
-
Каждый домен хранит информацию только для тех объектов, которые в нем находятся.
Разбивая каталог этим способом, доменные службы Active Directory могут охватить очень много объектов.