网管地带

Self-confidence is considerd the most important asset in one's life
posts - 251, comments - 630, trackbacks - 0, articles - 0
  IT博客 :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理

活动目录域林

Posted on 2007-10-28 11:50 网管地带 阅读(1312) 评论(0)  编辑 收藏 引用 所属分类: Windows

Windows Server 2003操作系统允许把两个不完全独立的域组成一个统一的结构,但它不是一个标准的树型结构,因为它们具备完全不同的名字,不能按照子域命名规则来统一部署。

最终形成的结构是将这个查域树组成一个域林。域林是由多棵树组成的。

域树和域林必须一起建立。在建立企业的第一个根域的时候,默认建立一个域林,域树必须建立在域林下,一个域林可以有多棵域树。已经存在的域不能加入一个树中,也不能将一个已经存在的域树加入到一个域林中,如果一定要把一个域加入到一个域树中,或则要把一个域树加入到一个域林中,唯一可行的方法就是从零开始建立新的AD系统。

企业已经拥有了不同的域、域树、域林,希望同现有的域、域树、域林结合起来,最好的方法就是使用AD的双向信任关系连接起来。如果可以在任何一组域、域树、域林之间建立具有可传递的双向信任关系,那么就可以建立任何形式的AD结构。

Windows Server 2003默认的域功能级别是Windows 2000纯模式,如果要实现林间的信任,需要将林功能级别提升到Windows Server 2003功能级别,同时需要将域功能级别提升到Windows Server 2003域模式。

对于AD双向信任建立的域林这种模式对于标准的AD名称空间结构来说,它是不完整的,那就是没有顶级根。

对于存在企业兼并的大型公司来说建议的做法是建立一个顶级根。首先创建一个真正的林根域控制器(顶级根),搭建的域控制器要正常运行,这个域在实际工作中几乎不用,但它又实际存在,给它命名一个特殊的名字,创建一个新的企业系统管理员,并添加到企业管理员组中。然后在这个林根下建立需要的域树,从而形成完整的域名空间。

只有注册用户登录后才能发表评论。