域（Domain）
域 既是Windows網絡系統的邏輯組織單元，也是Internet的邏輯組織單元，在Windows 2000系統中，域是安全邊界。域管理員只能管理域的內部，除非其他的域顯式地賦予他管理權限，他才能夠訪問或者管理其他的域。每個域都有自己的安全策略，以及它與其他域的安全信任關系。

OU(Organizational Unit)

OU 是一個容器對象，我們可以把域中的對象組織成邏輯組，所以OU純粹是一個邏輯概念，它可以幫助我們簡化管理工作。OU可以包含各種對象，比如用戶賬戶、用戶組、計算機、打印機，甚至可以包括其他的OU。所以我們可以利用OU把域中的對象形成一個完全邏輯上的層次結構，對于一個企業來講，我們可以按部門把所有的用戶和設備組成一個OU層次結構，也可以按地理位置形成層次結構，還可以按功能和權限分成多個OU層次結構。由于OU層次結構局限于域的內部，所以一個域中的OU層次結構與另一個域中的OU層次結構完全獨立。

樹

當多個域通過信任關系連接起來之后，所有的域共享公共的表結構(schema) 、配置和全局目錄(global catalog)，從而形成 域樹 。域樹由多個域組成，這些域共享同一個表結構和配置，形成一個連續的名字空間。樹中的域通過信任關系連接起來。活動目錄包含一個或多個域樹。

森林?
域森林 是指一個或多個沒有形成連續名字空間的域樹。域林中的所有域樹共享同一個表結構、配置和全局目錄。域林中的所有域樹通過Kerberos信任關系建立起來，所以每個域樹都知道Kerberos信任關系，不同域樹可以交叉引用其他域樹中的對象。

? ? 接下來我們看一下AD與站點之間的關系

? ? 談到Active Directory中的站點，很多Active Directory的初學者都會深感頭疼，為什么呢？搞不清楚這個站點究竟是起什么作用。有很多同學都問過這樣的問題，站點和域有什么區別？到底是域大還是站點大？有了域為什么還要有站點？本文將嘗試為大家介紹站點的概念及設計初衷，讓大家能夠更好地理解站點，運用站點。

域是共享用戶賬號，計算機賬號及安全策略的一組計算機，這個定義是基于邏輯因素考慮的，只要用戶和計算機在同一個Active Directory內，我們就認為他們都在域的安全邊界之內。我們從域的定義中可以看到，域沒有考慮網絡速度等物理因素，無論計算機和域控制器之間是一個快速的物理連接還是一個慢速的物理連接，域都會一視同仁，完全把連接速度視若無物。但在實際的生產環境中我們就會發現如果不考慮網速這樣的物理因素，我們會在管理域時遇到很多麻煩。我們通過一個例子加以說明，如下圖所示，某域的域控制器分布在北京，上海兩處，北京有A,B,C三臺域控制器，上海有D,E,F三臺域控制器。北京和上海的本地局域網都是千兆以太網，北京和上海之間是一條128K的專線。

? ? 現在我們要考慮這么一個問題，如果域控制器A更改了Active Directory，那么怎樣才能用最有效率的方法把這個AD的變化復制到其他五個域控制器上呢？顯然域控制器A應該先把更改復制到同一高速局域網內的B和C，然后再利用慢速的廣域網鏈接復制到上海的一個域控制器上，例如復制到D，最后再由D復制到E和F。域控制器如果使用我們規劃的這種復制拓撲，那當然好，在這種復制拓撲中數據只經過兩地間的慢速鏈路傳遞了一次。但問題是域如果不考慮速度因素，未必能作出這種拓撲，萬一KCC決定使用的復制拓撲是先從A到D，再從D到B，然后B到E，再E到C，最后從C到F，那我們就要崩潰了。這樣的話六個域控制器之間的AD復制要沿著兩地間的慢速鏈路走五次，無論如何都讓我們無法接受！從這個例子中我們已經看到了速度因素的重要性，再順著這個例子引申一下，用戶每天登錄到域進行身份驗證，顯然北京的用戶應該登錄到北京的域控制器，上海的用戶應該登錄到上海的域控制器，這樣效率才會比較高，如果北京的用戶每天都到上海的域控制器進行身份驗證，顯然不是一件好事。

? ? 從上面的例子中我們發現，在日常的運維工作中是不能把速度因素透明處理的，我們必須考慮到計算機之間的連接速度！正是基于這種考慮，微軟才引入了站點對計算機進行管理。站點的概念其實很簡單，站點就是高速相連的一組計算機！從這個概念來看，站點強調了速度這個物理因素，域則是強調要共享Active Directory這個邏輯因素，把站點和域結合起來對計算機從物理和邏輯兩個角度進行管理，是微軟的一個很好的構思。值得一提的是，微軟這種管理思路并非罕見，例如Exchange中也有管理組和路由組的概念，管理組和路由組其實類似于域和站點的關系，也是一個從邏輯角度進行管理，另一個從物理角度進行管理。

? ? 有了站點幫助管理，我們處理前面提到的那個例子就容易多了，從站點的定義來看，由于北京和上海之間存在一條慢速鏈路，因此我們應該把北京的計算機放到一個站點內，把上海的計算機放到另一個站點內。這樣的話，北京和上海的用戶在登錄時會優先選擇本站點內的域控制器登錄，KCC在規劃復制拓撲時也會自動地優先考慮在本站點內的域控制器之間進行AD復制。更好的是，如果AD需要垮站點復制，AD內容還可以經過壓縮后再進行復制，顯然站點在設計時已經充分考慮到了對帶寬的充分利用。

轉載于:https://blog.51cto.com/abool/1563782

總結

以上是生活随笔為你收集整理的windows server中 森林、域树、域（AD）的区别与联系的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。