在這里所講的“邏輯結(jié)構(gòu)”是指非物理上的，非實體的東西，它是一種抽象的東西，比如講一種“關(guān)系”、一個“空間、范圍”等?；顒幽夸浀倪壿嫿Y(jié)構(gòu)非常靈活，有目錄樹、域、域樹、域林等，這些名字都不是實實在在的一種實體，只是代表了一種關(guān)系，一種范圍，如目錄樹就是由同一名字空間上的目錄組成，而域又是由不同的目錄樹組成，同理域樹是由不同的域組成，域林是由多個域樹組成。它們是一種完全的樹狀、層次結(jié)構(gòu)視圖，這種關(guān)系我們可以看成是一種動態(tài)關(guān)系。邏輯結(jié)構(gòu)還與前面討論過的名字空間有直接關(guān)系，邏輯結(jié)構(gòu)為用戶和管理員在一定的名字空間中查找、定位對象提供了極大方便?；顒幽夸浿械倪壿媶卧饕ǎ?/p>

1、 域、域樹、域林

域既是WIN2K網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元，是對象（如計算機、用戶等）的容器，這些對象有相同的安全需求、復(fù)制過程和管理。在WIN2K中域中所有的域控制器都是平等的（這一點與WINNT4.0不一樣，沒有主、副之分），域是安全邊界，域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問或管理其他的域。每個域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。在這里就涉及到了不同域之間的信任關(guān)系及傳遞關(guān)系，下面就具體講一下WIN2K中的域信任關(guān)系。

域與域之間具有一定的信任關(guān)系，域信任關(guān)系使得一個域中的用戶可由另一域中的域控制器進(jìn)行驗證，才能使一個域中的用戶訪問另一個域中的資源。所有域信任關(guān)系中只有兩種域：信任關(guān)系域和被信任關(guān)系域。信任關(guān)系就是域A信任域B，則域B中的用戶可以通過域A中的域控制器進(jìn)行身份驗證后訪問域A中的資源，則域A與域B之間的關(guān)系就是信任關(guān)系。被信任關(guān)系就是被一個域信任的關(guān)系，在上面的例子中域B就是被域A信任，域B與域A的關(guān)系就是被信任關(guān)系。信任與被信任關(guān)系可以是單向的，也可以是雙向的，即域A與域B之間可以單方面的信任關(guān)系，也可以是雙方面的信任關(guān)系。

而在域中傳遞信任關(guān)系不受關(guān)系中兩個域的約束，是經(jīng)父域向上傳遞給域目錄樹中的下一個域，也就是說如果域A信任域B，則域A也就信任域B下面的子域域B1、域B2……，傳遞信任關(guān)系總是雙向的：關(guān)系中的兩個域互相信任（是指父域與子域之間）。默認(rèn)情況下，域目錄樹或目錄林（目錄林可以看做是同一域中的多個目錄樹組成）中的所有WiIN2K 信任關(guān)系都是傳遞的。通過大大減少需管理的委托關(guān)系數(shù)量，這將在很大程度上簡化域的管理。

WIN2K中的域傳遞信任關(guān)系一般是系統(tǒng)自動的，但對于相同域目錄樹或林中的WiIN2K域，也可以顯式（手工）地創(chuàng)建傳遞信任關(guān)系。這對于形成交叉鏈接信任關(guān)系是非常重要的。不傳遞信任關(guān)系受關(guān)系中兩個域的約束，并且不經(jīng)父域向上傳遞到域目錄樹中的下一個域。必須顯式地創(chuàng)建不傳遞信任關(guān)系。默認(rèn)情況下，不傳遞信任關(guān)系是單向的，盡管也可以通過創(chuàng)建兩個單向信任關(guān)系創(chuàng)建一個雙向關(guān)系。所有不屬于相同域目錄樹或林中WiIN2K 域間建立的委托關(guān)系都是不傳遞的。所有WiIN2K域和WINNT域之間的委托關(guān)系都是不傳遞的，這一點對于一個企業(yè)同時使用WIN2K和WINNT域控制器時應(yīng)特別注意，當(dāng)從 WindowsNT升級到WiIN2K時，所有已現(xiàn)有的WindowsNT信任關(guān)系都將保持不變。在混合模式的網(wǎng)絡(luò)中，所有WindowsNT信任關(guān)系都是不傳遞的。WiIN2K 域和WINNT域目錄林中的WIN2K域和另一目錄林中的WIIN2K域WIN2K域和MITKerberosV5領(lǐng)域單向單向信任關(guān)系是單獨的委托關(guān)系。雙向信任關(guān)系包括一對單向委托關(guān)系，所有傳遞信任關(guān)系都是雙向的。為使不傳遞信任關(guān)系成為雙向，必須在所涉及的域間創(chuàng)建兩個單向信任關(guān)系。

2、 組織單元（OU）

組織單元（OU）是一個容器對象，它也是活動目錄的邏輯結(jié)構(gòu)的一部分，我們可以把域中的對象組織成邏輯組，它可以幫助我們簡化管理工作。OU可以包含各種對象，比如用戶賬戶、用戶組、計算機、打印機等，甚至可以包括其他的OU，所以我們可以利用OU把域中的對象形成一個完全邏輯上的層次結(jié)構(gòu)。對于企業(yè)來講，可以按部門把所有的用戶和設(shè)備組成一個OU層次結(jié)構(gòu)，也可以按地理位置形成層次結(jié)構(gòu)，還可以按功能和權(quán)限分成多個OU層次結(jié)構(gòu)。很明顯，通過組織單元的包容，組織單元具有很清楚的層次結(jié)構(gòu)，這種包容結(jié)構(gòu)可以使管理者把組織單元切入到域中以反應(yīng)出企業(yè)的組織結(jié)構(gòu)并且可以委派任務(wù)與授權(quán)。建立包容結(jié)構(gòu)的組織模型能夠幫助我們解決許多問題，同時仍然可以使用大型的域、域樹中每個對象都可以顯示在全局目錄，從而用戶就可以利用一個服務(wù)功能輕易地找到某個對象而不管它在域樹結(jié)構(gòu)中的位置。

由于OU層次結(jié)構(gòu)局限于域的內(nèi)部，所以一個域中的OU層次結(jié)構(gòu)與另一個域中的OU層次結(jié)構(gòu)沒有任何關(guān)系。因為活動目錄中的域可以比NT4的域容納更多對象，所以一個企業(yè)有可能只用一個域來構(gòu)造企業(yè)網(wǎng)絡(luò)，這時候我們就可以使用OU 來對對象進(jìn)行分組，形成多種管理層次結(jié)構(gòu)，從而極大地簡化網(wǎng)絡(luò)管理工作。組織中的不同部門可以成為不同的域，或者一個組織單元，從而采用層次化的命名方法來反映組織結(jié)構(gòu)和進(jìn)行管理授權(quán)。順著組織結(jié)構(gòu)進(jìn)行顆粒化的管理授權(quán)可以解決很多管理上的頭疼問題，在加強中央管理的同時，又不失機動靈活性。

WINNT4.0中的很多域都可以成為OU，建立起更大的域和更簡化的域關(guān)系，借助全局目錄(GlobalCatalog)，用戶和管理員仍然能夠迅速地找到對象和管理對象。 WIN2K可以在現(xiàn)存的WINNT4.0的環(huán)境中工作，保護現(xiàn)有的投資。