[TOC] ## 域（Domain） 域是一个有安全边界的计算机集合（安全边界意思是在两个域中，一个域中的用户无法访问另一个域中的资源）  ## 单域 * 在一般的小公司里，建立一个域就可以满足所需 * 一般在一个域内需要建立至少两个域服务器，一个做为DC，一个是备份DC  ## 父域/子域/域树/域林 域树指若干个域通过建立信任关系组成的集合  ## 域控制器（Domain Controller） DC是一个域中类似管理服务器的计算机，负责每一台连入的电脑和用户的验证工作 备份域控制器 （BDC） ## 域名服务器 * DNS域名服务器(Domain Name Server) * DNS域名服务器是进行域名(domain name)和与之相应的IP地址转换的服务器 * 域中的计算机使用DNS来定位域控制器和服务器以及其他计算机、网络服务等   ## AD * 活动目录（Active Directory），是域环境中提供目录服务的组件，逻辑结构为组织单元域、域树、域森林。域树内的所有域共享一个活动目录，安装了AD的计算机就变成DC * 目录就是存储有关网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信息，目录服务是帮助用户快速准确的从目录中查找到他所需要的信息的服务 ## DC和AD区别 * 如果网络规模较大，就要把网络中的众多对象，例如计算机、用户、用户组、打印机、共享文件等，分门别类、井然有序地放在一个大仓库中，并将检索信息整理好，以便查找、管理和使用这些对象（资源），这个拥有层次结构的数据库，就是活动目录数据库，简称AD库。 * 要实现域环境，其实就是要安装AD，如果内网中的一台计算机上安装了AD，它就变成了DC（用于存储活动目录数据库的计算机） ## 安全域的划分 ~~~ 安全级别最高的LAN Area（内网） 局域网，外网访问不到 安全级别中等的DMZ区域 提供给外部用户访问的门站，例如web等 安全级别最低的Internet区域（外网） 互联网 ~~~  ## 访问控制策略 ~~~ 1、内网可以访问外网 2、内网可以访问DMZ 3、外网不能访问内网 4、外网可以访问DMZ 5、DMZ访问内网有限制 6、DMZ不能访问外网 ~~~ ## 域权限划分  ## 域内权限（A-G-DL-P） * 域本地组（DL）：来自全林作用于本域 * 域全局组（G ）：来自本域作用于全林 * 域通用组（C ）：来自全林作用于全林