Grundlegendes zum logischen Active Directory-ModellUnderstanding the Active Directory Logical Model

Gilt für: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Das Entwerfen der logischen Struktur für Active Directory Domain Services (AD DS) umfasst das Definieren der Beziehungen zwischen den Containern in Ihrem Verzeichnis.Designing your logical structure for Active Directory Domain Services (AD DS) involves defining the relationships between the containers in your directory. Diese Beziehungen basieren möglicherweise auf administrativen Anforderungen, z. b. die Delegierung der Zertifizierungsstelle, oder Sie werden möglicherweise durch betriebliche Anforderungen definiert, z. b. die Notwendigkeit, die Replikation zu steuern.These relationships might be based on administrative requirements, such as delegation of authority, or they might be defined by operational requirements, such as the need to control replication.

Bevor Sie Ihre Active Directory logische Struktur entwerfen, ist es wichtig, das logische Modell Active Directory zu verstehen.Before you design your Active Directory logical structure, it is important to understand the Active Directory logical model. AD DS ist eine verteilte Datenbank, in der Informationen zu Netzwerkressourcen und anwendungsspezifische Daten aus Verzeichnis fähigen Anwendungen gespeichert und verwaltet werden.AD DS is a distributed database that stores and manages information about network resources as well as application-specific data from directory-enabled applications. AD DS ermöglicht es Administratoren, Elemente eines Netzwerks (z. b. Benutzer, Computer und Geräte) in einer hierarchischen Containment-Struktur zu organisieren.AD DS allows administrators to organize elements of a network (such as users, computers, and devices) into a hierarchical containment structure. Der Container der obersten Ebene ist die Gesamtstruktur.The top-level container is the forest. In Gesamtstrukturen sind Domänen, und innerhalb von Domänen sind Organisationseinheiten (OUs).Within forests are domains, and within domains are organizational units (OUs). Dies wird als logisches Modell bezeichnet, da es unabhängig von den physischen Aspekten der Bereitstellung ist, z. b. von der Anzahl der Domänen Controller, die in jeder Domäne und der Netzwerktopologie erforderlich sind.This is called the logical model because it is independent of the physical aspects of the deployment, such as the number of domain controllers required within each domain and network topology.

Active Directory-GesamtstrukturActive Directory forest

Eine Gesamtstruktur ist eine Sammlung von einer oder mehreren Active Directory Domänen, die über eine gemeinsame logische Struktur, ein Verzeichnisschema (Klassen-und Attribut Definitionen), Verzeichnis Konfiguration (Standort-und Replikations Informationen) und globalen Katalog (Gesamtstruktur weite Suchfunktionen) verfügen.A forest is a collection of one or more Active Directory domains that share a common logical structure, directory schema (class and attribute definitions), directory configuration (site and replication information), and global catalog (forest-wide search capabilities). Domänen in derselben Gesamtstruktur werden automatisch mit bidirektionalen transitiven Vertrauens Stellungen verknüpft.Domains in the same forest are automatically linked with two-way, transitive trust relationships.

Azure Active Directory-DomäneActive Directory domain

Eine Domäne ist eine Partition in einer Active Directory-Gesamtstruktur.A domain is a partition in an Active Directory forest. Durch die Partitionierung von Daten können Organisationen Daten nur an die Stelle replizieren, an der Sie benötigtPartitioning data enables organizations to replicate data only to where it is needed. Auf diese Weise kann das Verzeichnis global in einem Netzwerk skaliert werden, das eine begrenzte verfügbare Bandbreite aufweist.In this way, the directory can scale globally over a network that has limited available bandwidth. Außerdem unterstützt die Domäne eine Reihe weiterer Kernfunktionen im Zusammenhang mit der Verwaltung, einschließlich:In addition, the domain supports a number of other core functions related to administration, including:

  • Netzwerkweite Benutzeridentität.Network-wide user identity. Mit Domänen können Benutzer Identitäten einmalig erstellt und auf jedem Computer verwiesen werden, der der Gesamtstruktur hinzugefügt wurde, in der sich die Domäne befindet.Domains allow user identities to be created once and referenced on any computer joined to the forest in which the domain is located. Domänen Controller, die eine Domäne bilden, werden verwendet, um Benutzerkonten und Benutzer Anmelde Informationen (z. b. Kenn Wörter oder Zertifikate) sicher zu speichern.Domain controllers that make up a domain are used to store user accounts and user credentials (such as passwords or certificates) securely.

  • AuthentifizierungAuthentication. Domänen Controller stellen Authentifizierungsdienste für Benutzer bereit und geben zusätzliche Autorisierungs Daten wie z. b. Benutzergruppen Mitgliedschaften an, mit denen der Zugriff auf Ressourcen im Netzwerk gesteuert werden kann.Domain controllers provide authentication services for users and supply additional authorization data such as user group memberships, which can be used to control access to resources on the network.

  • Vertrauens Stellungen.Trust relationships. Domänen können Authentifizierungsdienste mithilfe von Vertrauens Stellungen für Benutzer in Domänen außerhalb ihrer eigenen Gesamtstruktur erweitern.Domains can extend authentication services to users in domains outside their own forest by means of trusts.

  • Replikation.Replication. Die Domäne definiert eine Partition des Verzeichnisses, das genügend Daten enthält, um Domänen Dienste bereitzustellen, und repliziert Sie dann zwischen den Domänen Controllern.The domain defines a partition of the directory that contains sufficient data to provide domain services and then replicates it between the domain controllers. Auf diese Weise handelt es sich bei allen Domänen Controllern um Peers in einer Domäne, die als Einheit verwaltet werden.In this way, all domain controllers are peers in a domain and are managed as a unit.

Organisationseinheiten Active DirectoryActive Directory organizational units

Organisationseinheiten können verwendet werden, um eine Hierarchie von Containern innerhalb einer Domäne zu bilden.OUs can be used to form a hierarchy of containers within a domain. Organisationseinheiten werden verwendet, um Objekte zu Verwaltungszwecken zu gruppieren, z. b. die Anwendung Gruppenrichtlinie oder die Delegierung der Zertifizierungsstelle.OUs are used to group objects for administrative purposes such as the application of Group Policy or delegation of authority. Die Steuerung (über eine Organisationseinheit und die darin enthaltenen Objekte) wird durch die Zugriffs Steuerungs Listen (Access Control Lists, ACLs) in der Organisationseinheit und für die Objekte in der Organisationseinheit festgelegt.Control (over an OU and the objects within it) is determined by the access control lists (ACLs) on the OU and on the objects in the OU. Um die Verwaltung einer großen Anzahl von Objekten zu vereinfachen, unterstützt AD DS das Konzept der Delegierung von Autorität.To facilitate the management of large numbers of objects, AD DS supports the concept of delegation of authority. Mithilfe der Delegierung können Besitzer die vollständige oder eingeschränkte administrative Kontrolle über Objekte auf andere Benutzer oder Gruppen übertragen.By means of delegation, owners can transfer full or limited administrative control over objects to other users or groups. Die Delegierung ist wichtig, da Sie die Verwaltung einer großen Anzahl von Objekten auf mehrere Personen verteilt, die für die Durchführung von Verwaltungsaufgaben vertrauenswürdig sind.Delegation is important because it helps to distribute the management of large numbers of objects across a number of people who are trusted to perform management tasks.