标签：

停更十余天后，从今天开始继续为大家带来Windows Server 2016 Active Directory系列更新，本章为大家介绍有关Active Directory复制相关观点内容，有关Active Directory观点性内容不管是老版本2000还是2016根本观点还是一致的，本章观点介绍中以Windows 2000 Active Directory为例介绍，有关Windows 2016 Active Directory新增成果请参考(), 但愿可以帮到大家。

观点：

目录处事是一种漫衍式数据库，用于存储与网络资源有关的信息，以便于查找和打点。Microsoft Active Directory 是用于 Windows 2000的最新目录处事实现。涉及目录处事的根基问题围绕着可以将哪些信息存储在数据库中，存储的方法是什么，如何盘问特定的信息，以及如何对功效进行措置惩罚惩罚。Active Directory 包罗目录处事自己，以及允许访谒撑持 X.500 定名法则的数据库的隶属处事。

可以使用某个用户名来盘问目录，以获取相关信息，如用户的电话号码或者电子邮件地点。目录处事也长短常灵活的，可以进行归纳盘问（"打印机在什么位置？"或"处事器的名称是什么？"），以检察可用打印机或处事器的归纳列表。

目录处事还具有给用户供给到整个企业网络的单个入口点的长处。用户可以查找和使用整个网络资源，而无需了解资源简直切名称或位置。也可以使用统一的网络组织及其资源逻辑视图来打点整个网络。

为确保设计出最有效、最可靠的 Active Directory，必需了解网络的逻辑布局和物理布局。研究和了解组织的业务布局和操纵也长短常重要的。Active Directory 将域的逻辑布局从实际物理布局中独立出来。

逻辑布局：

网络的逻辑布局是由无形的项目构成的，如东西、域、目录树和目录林。

Active Directory 的根基布局块是东西，这是一个代表网络资源的已定名特定属性集。东西属性是目录中东西的特征。东西也可以按类进行分组，类是东西的逻辑分组。用户、组和计算机是差别东西类的例子。

在最低一层，某些东西代表网络上的单个实体，如用户或计算机。这些实体称为叶东西，它们不能包罗其它东西。但是，为了简化目录的打点和组织，可以将叶东西放在其它东西（称为容器东西）内部。容器东西也可以给与嵌套（或条理）形式包罗其它容器。

容器东西最常用的类型是组织单元 (OU)。可以使用 OU 将东西进行分类，并将域酿成某种类型的逻辑打点分组。尤其要注意的是，域中 OU 的布局和条理与任何其它域的布局无关。

所有网络东西只能在一个域中存在（无论是叶东西还是容器东西）。为反应组织网络的特点，可以使用域将相关东西分成一组。每个创建的域仅存储所包罗东西的信息，而不存储其它东西的信息。目前，在域中可维护的东西数量的上限为一百万。

每个域暗示一个安适界限。对每个域中东西的访谒是由访谒控制项 (ACE) 控制的，后者包罗在访谒控制列表 (ACL) 中。这些安适设置并不跨越域界限。在 Active Directory 中，域也可以称为"分区"。因为域是 Active Directory 数据库的物理分区，所以您既可以凭据业务成果（人力资源、发卖或财务），也可以凭据位置（地舆或相对）成立其布局。

当将相关域分成一组以便共享全局资源时，您就创建了"目录树"。尽管目录树可以只包罗一个域，但是您可以将条理布局中不异名称空间的多个域合并在一起。可以使用基于 Kerberos 的安适成果，通过双向信任关系将目录树中的域透明地连接在一起。这些信任关系可以是永久性的（不能被删除），也可以是暂时的。换句话说，如果域 A 信任域 B，而域 B 信任域 C，则域 A 信任域 C。

目录树中的所有域共享所有东西类型的正式界说（称为"架构"）。别的，任何给定目录树中的所有域还共享全局辑录 (GC)。GC 是目录树中东西的*储存库。

每个目录树也可以由邻接的名称空间暗示。例如，如果公司的根域为"azureyun.com"，则可以给发卖和技术撑持部门创建单独的域，它们的域名分袂为"sales.azureyun.com"和"support.azureyun.com"。这些域称为子域。与 Windows NT 4.0 差别，每个域自动生成信任关系。

在最高一级，可以将单独的目录树分成一组形成"目录林"。可使用目录林，将组织中的差别部门，甚至差别组织组合到一起。这些部门不必共享不异的定名架构并且独立运作，但相互之间可以进行通信。目录林中的所有目录树共享不异的架构、全局辑录和配置容器。再者，基于 Kerberos 的安适成果在目录树之间供给了信任关系。