域是复制的单位。在特定域中,所有域控制器都可以接受更改,并将这些更改复制到域中的所有其他域控制器。在 Active Directory 域服务 (AD DS) 中,每个域都是使用域名系统 (DNS) 域名来标识的。每个域都需要一个或多个域控制器。如果您的网络需要多个域,您可以轻松创建多个域。

共享公用架构和全局编录的一个或多个域被称为林。林中的第一个域称为林根域。如果林中的多个域具有连续的 DNS 域名,这种结构称为域树。

单个域可以跨多个物理位置或站点,并包含数百万个对象。站点结构和域结构是独立而灵活的。单个域可以跨分布在多个地理位置的站点。单个站点可以包含属于多个域的用户和计算机。

域提供了以下几种好处:

  • 您可以组织对象。

    不必仅为反映您公司的分支和部门的组织结构而创建多个独立的域。在一个域中,您可以使用组织单位 (OU) 来实现此目的。使用 OU 可以帮助您管理域中的帐户和资源。然后可以分配组策略设置,并将用户、组和计算机放入 OU 中。使用单个域可以极大地简化管理开销。有关详细信息,请参阅管理组织单位

  • 您可以发布有关域对象的资源和信息。

    域仅存储有关域中的对象的信息。因此,在创建多个域时,可以划分或分割目录,从而更好地服务于用户基础的不同部分。使用多个域时,可以对 AD DS 进行扩展,使其包括大量的对象以适应管理和目录发布的要求。

  • 委派权限消除了对大量具有广泛管理权限的管理员的需求。

    通过联合使用委派权限和组策略对象及组成员身份,您可以分配管理员权限以管理整个域中的对象或是域中的一个或多个 OU 中的对象。

  • 安全策略和设置(例如用户权限和密码策略)不会跨多个域。

    每个域都有自己的安全策略,以及与其他域的信任关系。但是,林是最终的安全边界。

其他参考