All’interno della directory, gli oggetti sono organizzati utilizzando una struttura ad albero gerarchica chiamata albero di directory. La struttura della gerarchia è derivata dallo schema e viene utilizzata per definire le relazioni padre-figlio degli oggetti memorizzati nella directory.
Un raggruppamento logico di oggetti che consente la gestione centrale di tali oggetti è chiamato dominio. Nell’albero delle directory, un dominio è esso stesso rappresentato come un oggetto. È infatti l’oggetto genitore di tutti gli oggetti che contiene. A differenza di Windows NT 4, che limitava il numero di oggetti che era possibile memorizzare in un dominio, un dominio Active Directory può contenere milioni di oggetti. Per questo motivo, probabilmente non è necessario creare domini utente e risorse separati come è stato fatto comunemente con Windows NT 4.0. invece, è possibile creare un singolo dominio che contiene tutte le risorse che si desidera gestire centralmente. Nella Figura 32-6, un oggetto dominio è rappresentato da un grande triangolo e gli oggetti che contiene sono come mostrato.
Figura 32-6. Un dominio Active Directory.
I domini sono solo uno dei diversi elementi costitutivi per l’implementazione delle strutture di Active Directory. Altri elementi costitutivi includono quanto segue:
• Active Directory alberi, che sono raggruppamenti logici di domini
• foreste di Active Directory, che sono raggruppamenti logici di alberi di dominio
Come sopra descritto, un albero di directory viene utilizzata per rappresentare una gerarchia di oggetti, mostrando le relazioni padre-figlio tra gli oggetti. Quindi, quando parliamo di un albero di dominio, stiamo guardando la relazione tra domini padre e figlio. Il dominio nella parte superiore dell’albero del dominio è indicato come dominio radice (si pensi a questo come un albero capovolto). Più specificamente, il dominio radice è il primo dominio creato in un nuovo albero all’interno di Active Directory. Quando si parla di foreste e domini, c’è un’importante distinzione tra il primo dominio creato in una nuova foresta—un dominio radice foresta—e il primo dominio creato in ogni albero aggiuntivo all’interno di una foresta—un dominio radice.
Nell’esempio mostrato in Figura 32-7, cohovineyard.com è il dominio radice in una foresta di Active Directory con un singolo albero, ovvero è il dominio radice della foresta. Come tale, cohovineyard.com è il genitore delle vendite.cohovineyard.dominio com e il mf.cohovineyard.com dominio. Il mf.cohovineyard.com il dominio stesso ha un sottodominio correlato: bottling.mf.cohovineyard.com. Questo fa mf.cohovineyard.com il genitore del dominio figlio bottling.mf.cohovine-yard.com.
bottling.mf.cohovineyard.com Figura 32-7. Una foresta di Active Directory con un singolo albero.
La cosa più importante da notare su questo e tutti gli alberi di dominio è che lo spazio dei nomi è contiguo. Qui, tutti i domini fanno parte del cohovineyard.com spazio dei nomi. Se un dominio fa parte di uno spazio dei nomi diverso, può essere aggiunto come parte di un nuovo albero nella foresta. Nell’esempio mostrato in Figura 32-8, un secondo albero viene aggiunto alla foresta. Il dominio radice del secondo albero è cohowinery.com, e questo dominio ha cs.cohowinery.com come dominio figlio.
Rapporto di fiducia
Rapporto di fiducia
bottling.mf.cohovineyard.com Figura 32-8. Una foresta di Active Directory con più alberi.
Si crea un dominio radice della foresta installando Active Directory su un server autonomo e stabilendo il server come primo controller di dominio in una nuova foresta. Per aggiungere un albero aggiuntivo a una foresta esistente, installare Active Directory su un server autonomo e configurare il server come membro della foresta, ma con un nome di dominio che non fa parte dello spazio dei nomi corrente utilizzato. Si effettua la nuova parte di dominio della stessa foresta per consentire associazioni chiamate trust da effettuare tra domini che appartengono a spazi dei nomi diversi.
Continua a leggere qui: Active Directory Trusts
Questo articolo è stato utile?