2. Деревья

Это многодоменные структуры. Корнем такой структуры является главный домен, для которого вы создаете дочерние. Фактически Active Directory использует иерархическую систему построения, аналогичную структуре доменов в DNS.

Например, если мы имеем домен work.com (домен первого уровня) и создаем для него два дочерних домена first.work.com и second.work.com (здесь first и second – это домены второго уровня), то в итоге получим дерево доменов (см. рис. 1).

Рисунок 1. Дерево доменов

 

Деревья как логическое построение используются, когда вам нужно разделить филиалы компании, например, по географическим признакам, либо из каких-то других организационных соображений.

AD помогает автоматически создавать доверительные отношения между каждым доменом и его дочерними доменами.

Таким образом, создание домена first.work.com ведет к автоматической организации двухсторонних доверительных отношений между родительским work.com и дочерним first.work.com (аналогично и для second.work.com). Поэтому с родительского домена могут применяться разрешения для дочернего, и наоборот. Нетрудно предположить, что и для дочерних доменов будут существовать доверительные отношения.

Еще одно свойство доверительных отношений – транзитивность. Получаем – для домена net.first.work.com создаются доверительные отношения с доменом work.com.

Для доступа к доменным структурам предназначена консоль Active Directory — домены и доверие (Active Directory Domains and Trusts). Для каждого корневого домена отображаются отдельные записи. На рисунке показан домен adatum.com.

 

4. Леса

Также как и деревья это многодоменные структуры. Но лес – это объединение деревьев, имеющих разные корневые домены.

Предположим, вы решили иметь несколько доменов с именами work.com и home.net и создать для них дочерние домены, но из-за того, что tld (top level domain) не в вашем управлении, в этом случае вы можете организовать лес (см. рис. 2), выбрав один из доменов первого уровня корневым. Вся прелесть создания леса в этом случае – двухсторонние доверительные отношения между двумя этими доменами и их дочерними доменами.

Рисунок 2. Лес доменов с корнем Work.com

 

Однако при работе с лесами и деревьями необходимо помнить следующее:

-       Нельзя добавить в дерево уже существующий домен;

-       Нельзя включить в лес уже существующее дерево;

-       Если домены помещены в лес, их невозможно переместить в другой  лес;    

-       Нельзя удалить домен, имеющий дочерние домены.

Функции лесов ограничиваются и регулируются функциональным режимом леса. Таких режимов три:

-       Windows 2000 — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0, Windows 2000 и Windows Server 2003;

-       промежуточный (interim) Windows Server 2003 — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0 и Windows Server 2003;

-       Windows Server 2003 — поддерживает контроллеры доменов, работающие под управлением Windows Server 2003.

Самые современные функции Active Directory доступны в режиме Windows Server 2003. Если все домены леса работают в этом режиме, вы сможете полюбоваться улучшенной репликацией глобальных каталогов и более эффективной репликацией данных Active Directory. Также вы получите лозможность отключать классы и атрибуты схемы, использовать динамические вспомогательные классы, переименовывать домены и создавать в лесу односторонние, двухсторонние и транзитивные доверительные отношения.