注：本文來自z00w00的博客，歡迎大家訪問他的博客增添人氣。

一直以來都想寫一些關于活動目錄技術的文章，但是一直沒有一個好的切入點。有一天在在51CTO的博客專題中亂轉，發(fā)現了宋楊的一篇老博文《省錢之道--圖解域域樹域林根域的含義》看了以后覺得不錯。但是也有點想法。我不敢妄自評判文章的好壞，只是想有沒有更通俗的解法來描述這些抽象、專業(yè)的概念呢？于是想到了我從小很喜歡的武俠小說，突然發(fā)現，原來這些東西就溶于我們的生活之中呀。廢話少說，開始正文。

自從WINDOWS 98系統(tǒng)出現之后，WINDOWS操作系統(tǒng)就不是孤立存在的，可以通過網絡聯機相互聯系。當然，除非你只有一臺計算機。默認安裝的WINDOWS操作系統(tǒng)是以工作組模式運行。當然WINDOWS聯機的模式只有兩種:域模式和工作組模式。

一、工作組。

很多專業(yè)的描述是工作組模式是由相互獨立的計算機組成。他們再網絡中的地位平等，各自獨立、分散的維護和管理著自身。這個較抽象的描述是可以宏觀表述的，看。在武俠世界里就體現著。就是金庸武俠小說中《笑傲江湖》里面五岳劍派。

（圖1）

五岳劍派最初是由上圖的五個門派組成的。最初的目的是為了團結起來對抗少林，武當，日月神教等大派。五岳劍派由嵩山左冷禪提議組建，***華山岳不群當上所謂的盟主。實際上這五個門派就組成了一個工作組。

由5臺計算機（五個門派）組成的一個工作組

工作組（workgroup)=五岳劍派

為什么是工作組呢？原來雖然這五個門派組成了所謂的五岳劍派，也有了所謂的盟主。但是五岳劍派實際上仍然是各自為政。比如恒山派掌門令狐沖（相當于華山這臺機器的本地管理員）恒山派弟子（本地用戶）的創(chuàng)建（招弟子）刪除（逐出弟子）等問題仍然由令狐沖說的算，根本就不理睬盟主號令。另外恒山弟子（本地用戶）也聽令狐沖的號令。頂多是由嵩山派弟子來訪（相當于來共享一個資源給他們訪問）或者華山派被人揍了，請求恒山支援（可以想象成另一種資源的共享方式）。

二、域

什么是域？就是把我們企業(yè)IT環(huán)境中的所有資源在邏輯上進行統(tǒng)一集中管理的一種手段。還有什么邏輯組織最小單元呀，什么安全邊界了，有點抽象了。好吧，我告訴你，域就是一個門派：就是少林，就是武當，就是明教。（以下所有以明教舉例）明教就是宏觀存在的邏輯組織，明教教眾在明教教主的帶領下進行轟轟烈烈的革命。

關于域名和DNS命令等問題在這里不介紹了，估計比較容易明白。

（圖2）

看圖2當看到mingjiao.com這個表示一個單域的時候，你就可以想到明教。

（圖3）

請大家認真看圖3，我來解釋一下這張圖。域的實體是由計算機和人員組成的。我們先看幾個轉化公式.

明教教主=域管理員

明教弟子=域用戶

加入域的成員計算機=丁家大院

加入域的成員服務器=明教錢莊

域控制器(DC)=光明頂

在域中要添加用戶賬戶，就是域賬戶。而這里普通域用戶賬戶就相當于明教弟子。

在域中計算機分別擔任三種角色。

***種，是安裝WINDOWS操作系統(tǒng)的計算機。比如WIN XP和WIN 7。加入域后這種計算機叫成員計算機。在這里我們可以想象明教是一個大派，全國各地都有人有地盤。由于我們是人去操作計算機，所以這里的計算機就可以想象成一個地盤（一個具體的實物，比如房屋）我這里叫做丁家大院。等于丁家大院就是明教的產業(yè)了。默認情況下，任何明教弟子（普通域用戶）在登錄驗證后都可以進入丁家大院了。可以在里面休息，下棋等。(訪問資源)不過名教弟子畢竟不是丁家大院的所有者.所以不可以拆墻,建樓等行為(相對修改計算機系統(tǒng)) 那么誰是丁家大院的所有者呢? 有兩個.一個就是原丁家大院的主人(本地管理員),一個就是明教教主(域管理員)想想都是明教的產業(yè)了,當然是所有者了。當然假如有一天丁家大院不再是明教的產業(yè)了. 被變賣了.這個行為就相當于WINDOWS計算機退出域.只有上面的2個所有者有這個能力.當然明教教主(域管理員)可以委派一個明教弟子(域用戶)成為丁家大院主人(本地管理員)

第二種,是安裝WINDOWS SERVER操作系統(tǒng)的計算機.比如WIN 2003 SERVER 、WIN2008 SERVER。加入域的這類計算機叫成員服務器。同樣，這種機器也相當于明教的一個地盤或者叫產業(yè)。與上面相同的是，這個產業(yè)也有主人（本地管理員）。明教弟子（域普通用戶）也可以進入這個產業(yè)（登錄到該機器上）但是也有不同的，服務器一般都是提供共享資源應用的服務器。比如做一個文件服務器，一個WEB服務器。所以這個產業(yè)中存放的是域用戶的共用資源,在這里相當于明教的一個錢莊（明教弟子把錢都放在這里，可以存?。?/p>

第三種，是安裝WINDOWS SERVER操作系統(tǒng)的計算機安裝了AD（活動目錄）這時候這臺計算機就成了域控制器?；顒幽夸浭鞘裁?？活動目錄就相當于一個數據庫，一個明教的賬本。這個賬本記錄了哪些是明教的產業(yè)（加入域的計算機）誰是明教弟子（域用戶賬戶）甚至還有 明教錢莊的錢（共享資源）等。所以域控制器就相當于明教之圣地-光明頂。每一個加入明教的弟子（新建用戶）每一個歸入明教的產業(yè)（加入成員計算機）都要到光明頂的賬本中登記（記錄到活動目錄中）不過，光明頂與上面的丁家大院與明教錢莊不同。光明頂不歸入明教的產業(yè)，也就沒有主人（本地賬戶）其次光明頂是神圣的地方，一般明教弟子是不準進入的（默認域用戶無法登陸到域控中）當然，明教教主（域管理員）是可以進去，管理這個賬本（活動目錄）。也可以修改這個條例（修改默認域控策略）允許指定的明教弟子進入（登陸域控）。

好了，上面的圖解釋完了，下面解釋一個比較重要的問題。域用戶登陸域的問題。

其實就好比明教弟子要進入自己的地盤一樣。首先你是明教弟子（擁有域用戶賬號），其次你進入的是明教的地盤或叫產業(yè)（加入域的計算機）。否則，一個明教弟子跑到少林寺去非要進人家的藏經閣（非明教的產業(yè)）不被打出來才怪呢。再者你說你是明教弟子，你就是明教弟子了？別著急，明教有驗證的辦法。比如明教弟子王小五，要進入丁家大院。（用戶王小五，要利用成員計算機登陸到域）首先報告給大院管家（計算機系統(tǒng)）大院管家收到信息后無法驗證，這個時候把這個信息飛鴿傳書到光明頂（域控制器）光明頂管家（DC計算機系統(tǒng)）查看賬本（活動目錄）驗證是否存在此人，確認后飛鴿傳書一個腰牌給王小五。從此王小五就可以進入到丁家大院了。這個腰牌上面有一個特殊的信息，就是標明了王小五的身份，王小五在丁家大院能干什么不能干什么就靠這個了。當然王小五拿這個腰牌也可以直接在去明教錢莊。拿屬于自己的錢（授權訪問的資源）如果王小五出了明教的地盤（退出登錄，注銷等）腰牌自動收回。

當然這個過程有一個關鍵，就是如果丁家大院與光明頂在飛鴿傳書的過程中不順利，比如鴿子沒找到路，（相當于成員計算機無法找到域控）要么王小五就不能進丁家大院了。不過俗話說，一回生，二回熟。當王小五第二次進丁家大院的時候，會發(fā)生一點點變化。假如還是上面的過程，飛鴿傳書換腰牌，但是沒成功，但是王小五因為上次進了丁家大院，在六角亭擺了一牌棋自己和自己下，沒下完就走了。這次王小五告訴丁家大院管家（計算機系統(tǒng)）他上面在哪牌棋，多少子，棋局如何。。管家一看，對呀。他是明教弟子，進來吧。（這就是利用當域控無法聯系，但是用戶之前登陸過，利用緩存憑證來登陸）有一個叫王小六的弟子是***次進丁家大院，那么因為沒有留下什么東西，誰也不知道他這鳥是不是明教弟子，自然無法進丁家大院（無法登陸）

原文地址：http://z00w00.blog.51cto.com/515114/704397

【編輯推薦】

1. ***實踐：創(chuàng)建活動目錄林信任
2. TechEd 2011 51CTO用戶專訪：九叔
3. Google Reader改版 與Google+完全整合