ADDS中網域與樹系界限

在 ADDS中, 網域(Domain)和樹系(Forest)的界限主要涉及安全性、管理權限、信任關係及目錄資料的共享範圍:

網域(Domain)的界限

網域的界限主要是安全性與管理界限, 包括以下幾個層面:

1. 安全界限

網域內的存取控制和群組原則主要適用於該網域內的物件, 這意味著

。其他網域的使用者無法直接存取本網域內的資源, 除非透過「信任關係」授權

。網域內的網域管理員只有管理該網域的權限, 無法直接管理其他網域的資源

2. 身分驗證

。網域內的使用者可以透過 Kerberos驗證來存取該網域內的資源

。若要跨網域存取資源, 需要透過信任關係(預設情況下, 同一樹系內的網域有雙向可轉移信任)

3. 複寫界限

。每個網域擁有自己的目錄資料庫(NTDS.dit), 且該網域的網域控制站只會複寫該網域的目錄資訊, 而不會自動同步其他網域的完整目錄資訊

。只有全域目錄(GC)伺服器會儲存整個樹系的部分重要目錄資訊, 以支援跨網域的查詢

樹系(Forest)的界限

樹系的界限主要是安全性與資料共享的最高界限:

1. 安全界限

。樹系是 ADDS的最高安全界限, 不同樹系之間的物件預設無法互相存取, 除非建立跨樹系信任

。即使擁有樹系管理員權限, 也只能管理本樹系內的網域, 無法影響其他樹系

2. 架構(Schema)與組態(Configuration)

。樹系內的所有網域共享相同的 AD架構:

--在一個網域內新增的物件類型(例如新增自訂屬性)會影響整個樹系內的所有網域

--架構更改需要特別謹慎, 因為變更是不可逆的

。組態也在整個樹系內共享, 它存放:

--網站(Site)和服務(Service)設定w-studio.idv.tw

--複寫拓撲

--目錄分割區資訊

3. 目錄與驗證

。全域目錄(GC):

--樹系內的所有網域共享全域目錄, 用於跨網域查詢

--但全域目錄只會存放其他網域的部分屬性, 完整的物件資訊仍然保留在各自的網域內

。單點登入(Single Sign-On, SSO):

--樹系內的所有網域預設具有信任關係, 使用者可以使用相同的帳戶存取整個樹系內的資源(前提是有授權)

--但不同樹系的使用者無法直接存取彼此的資源, 除非建立跨樹系信任

4. 複寫界限

。樹系內的所有網域共享相同的架構與組態資訊, 但使用者帳戶、電腦、群組等目錄資訊則是依網域分開儲存

。每個網域的 DC只會複寫該網域的目錄資訊, 不會複寫其他網域的完整目錄資料

。只有全域目錄伺服器才會儲存跨網域的部分目錄資訊, 以提供快速查詢

網域與樹系界限的比較:

	網域(Domain)	樹系(Forest)
安全界限	同一網域內的帳戶與資源可直接管理, 跨網域存取需要信任關係	樹系是最高安全界限, 預設不同樹系無法互通
身份驗證	內部可用 Kerberos驗證, 跨網域存取需要信任	樹系內提供 SSO, 不同樹系需要建立信任
架構共享	每個網域擁有自己的 AD目錄資料	所有網域共用相同的 AD架構與組態
目錄複寫	DC只會複寫自己網域的目錄	架構與組態會複寫到整個樹系內

。網域的界限主要影響使用者帳號管理、存取控制、群組原則, 但同一樹系內的網域仍可以透過信任關係互通

。樹系的界限則是最高的安全界限, 不同樹系的物件預設無法存取彼此的資源, 架構變更也不會影響其他樹系

。選擇單一樹系或多樹系, 取決於組織對於安全性、管理自主權及資源共享的需求