在学习ActiveDirectory之前，我们应该了解Active Directory中的一些基本概念和属于，以便我们可以更加方便的学习它。

对象（object）是如何存储的

在Active Directory中数据以分层的方式展示给用户的，这点类似于文件系统。每个条目被称为对象，对象是Active Directory中最小的存储单元，而属性则是用来描述对象特征的。在结构上面来说，有两种类型的对象：容器（containers）和非容器（non-containers），非容器对象也被称为叶子节点。一个容器可以包含一个或多个容器，也可以包含非容器；非容器则不能包含其他对象。

如图1-1所示，容器与容器（或非容器）的“父子”关系。根“xuelan.local”（父）包含“业务”和“售后”两个节点（子）。业务同样也有两个子节点，为“一部”和“二部”，而对于“一部”和“二部”来说“业务”则是他们的父节点。所以容器与容器（或非容器）的“父子”关系是相对而言的。

图1-1  对象的层次结构

轻量级目录访问协议

轻量级目录访问协议（Lightweight Directory Access Protocol，LDAP）是一个访问目录服务的协议，在这里是用来与Active Directory的目录服务通信的。Active Directory利用LDAP命名路径（LDAP Naming Path）来表示对象在Active Directory中的位置。在LDAP命名路径中分DN和RDN。

DistinguishedName（DN）

DN是对象在ActiveDirectory中的完整路径。如图1-2所示，对象Peizhiy的DN则是：“cn=peizhiy,ou=IT,dc=xuelan,dc=com。”

图 1-2 

Relative Distinguished Name（RDN）

RDN则用来表示对象在DN中的某个部分的路径，例如上面的cn=peizhiy，就是一个RDN路径。

域和域树（domain and domain tress）

Active Directory的逻辑结构是围绕在Windows NT 中域的概念，但在Active Directory中域已经比在Windows NT 中更加灵活了。Active Directory由以下几部分组成：

• 分层结构的组织对象；

• DNS域名系统；

• 安全服务（对域中的账户进行身份验证和资源访问的授权）

• 限制用户和计算机的策略

域控制器（Domain Controller，DC）是用来存储目录数据，并管理用户和域之间的交互，包括登陆的身份验证和目录搜索。一个域内可以拥有一台或多台DC，并且每台DC之间都是（几乎）都是相等的。并且建议您使用多台域控制器，增加高可用和容错能力。（这个根据实际情况选择。）

域树是由几个名称空间连续性的域组成的，如图1-3所示，其根域（域树中创建的第一域）xuelan.local与两个子域（shanghai.xuelan.local和beijing.xuelan.local）组成一个域树。每个域树的根域就是这个域树的名称，因此，这个域树的名称是xuelan.lcoal。即使只有一个域，它仍然是一个域树。

图 1-3

林（Forests）

林是多个域树的集合，如图1-4所示，随着业务的发展，新成立一家公司并分配域名xuelankj.local，并把这个这个新建的域加入到了域树，形成了林。林中创建的第一个域也是这个林的根域，也是这个林的名称，因此这个林的名称是xuelan.local。单独的一个域可以算是一个域树，同样单独的一个域也算是一个林。

本文转自 as900 51CTO博客，原文链接：http://blog.51cto.com/yupeizhi/1611103，如需转载请自行联系原作者