Логическая структура Active Directory

Служба каталогов Active Directory организована в виде иерархической структуры, построенной из различных компонентов, которые представляют элементы корпоративной сети. В этой структуре есть, например, пользовательские объекты, компьютерные объекты, и различные контейнеры. Способ организации этих элементов представляет собой логическую структуру Active Directory в корпоративной сети. Логическая структура Active Directory включает в себя леса, деревья, домены и Организационные подразделения (ОП). Каждый из элементов логической структуры описан ниже.

Домен — логическая группа пользователей и компьютеров, которая поддерживает централизованное администрирование и управление безопасностью. Домен является единицей безопасности – это означает, что администратор для одного домена, по умолчанию, не может управлять другим доменом. Домен также является основной единицей для репликации — все контроллеры одного домена должны участвовать в репликации друг с другом. Домены в одном лесу имеют автоматически настроенные доверительные отношения, что позволяет пользователям из одного домена получать доступ к ресурсам в другом. Необходимо также знать, что можно создавать доверительные отношения с внешними доменами, не входящими в лес.

Дерево является набором доменов, которые связаны отношениями "дочерний"/"родительский", а также используют связанные (смежные, или прилегающие) пространства имен. При этом дочерний домен получает имя от родительского. Например, можно создать дочерний домен, называемый it, в домене company.com, тогда его полное имя будет it.company.com (рис. 6.33). Между доменами автоматически устанавливаются двухсторонние транзитивные доверительные отношения (домен it.company.com доверяет своему "родительскому" домену, который в свою очередь "доверяет" домену sales.company.com – таким образом, домен it.company.com доверяет домену sales.company.com, и наоборот). Это означает, что доверительные отношения могут быть использованы всеми другими доменами данного леса для доступа к ресурсам данного домена. Заметим, что домен it.company.com продолжает оставаться самостоятельным доменом, в том смысле, что он остается единицей для управления системой безопасности и процессом репликации. Поэтому, например, администраторы из домена sales.company.com не могут администрировать домен it.company.com до тех пор, пока им явно не будет дано такое право.