了解 Active Directory 邏輯模型

適用於: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

設計 Active Directory Domain Services (AD DS) 的邏輯結構涉及到定義目錄中容器之間的關係。 這些關係可能基於系統管理需求 (例如授權的委派)，也可能由作業需求 (例如控制複寫的需求) 定義。

在設計 Active Directory 邏輯結構之前，瞭解 Active Directory 邏輯模型非常重要。 AD DS 是一個分散式資料庫，用來儲存和管理網路資源的相關資訊，以及啟用目錄之應用程式的應用程式特定資料。 AD DS 允許系統管理員將網路元素 (例如使用者、電腦及裝置) 組織成一個階層式的內含項目結構。 最頂層的容器是樹系。 樹系內是網域，而網域內是組織單位 (OU)。 這稱為邏輯模型，因為它與部署的實體層面 (例如每個網域內所需的網域控制站數目，以及網路拓撲) 無關。

Active Directory 樹系

樹系是一個或多個 Active Directory 網域的集合，這些網域共用一個公共邏輯結構、目錄結構描述 (類別和屬性定義)、目錄配置 (站點和複寫資訊)，以及通用類別目錄 (全樹系搜尋功能)。 同一個樹系中的網域之間會自動建立雙向的傳遞信任關係。

Active Directory 網域

網域是 Active Directory 樹系中的一個分割區。 分割資料可讓組織只將資料複寫到所需的位置。 如此一來，即使網路的可用頻寬是有限的，目錄還是可以進行全域擴充。 此外，網域還支援許多與系統管理相關的其他核心功能，包括：

• 全網路的使用者身分識別。 網域允許使用者身分識別一次建立，並在加入網域所在樹系的任何電腦上參考。 組成網域的網域控制站可用來安全地儲存使用者帳戶和使用者認證 (例如密碼或憑證)。

• 驗證。 網域控制站可為使用者提供身分驗證服務，並提供其他授權資料 (例如使用者群組成員資格) (其可用於控制對網路資源的存取)。

• 信任關係。 網域可以透過信任的方式將身分驗證服務延伸到自己樹系之外的網域中的使用者。

• 複寫。 網域可定義目錄的一個分割區，該分割區包含了足夠的資料來提供網域服務，然後在網域控制站之間進行複寫。 透過這種方式，一個網域中的所有網域控制站都是對等的，並作為一個單元來進行管理。

Active Directory 組織單位

OU 可用來形成一個網域內的容器階層。 OU 可因管理的目的 (例如套用群組原則或授權委派) 被用來對物件進行分組。 (對 OU 及其中的物件的) 控制權由 OU 上和 OU 中的物件的存取控制清單 (ACL) 決定。 為了方便管理大量的物件，AD DS 支援授權委派的概念。 透過委派的方式，擁有者可以將對物件的完整或有限管理控制權轉移給其他使用者或群組。 委派是很重要的，因為它有助於將大量物件的管理分散給許多受信任可以執行管理工作的人。