[转载]目录服务结构的选取

原始连接：http://www.longen.org/L-R/detaill-r/dir-service.htm

（1）设计一个目录服务结构时应考虑的问题：

(a) 需要使用网络的用户数量

(b) 需要使用网络的用户所处地点(最好能够实现帐户的集中管理)

(c) 企业的类型以及组织情况

(d) 用户所要访问的资源情况(类型，数量，地点，和管理方式)

（2）单域模型

Windows NT 目录服务单域模型将所有帐户和资源放在同一个管理单元中，使得＂one user， one account＂的概念和目标得以实现。用户仅需登录两次就可以访问域中任何计算机上对他授权许可的资源。在单域模式下，所有用户帐户和全局组都在同一个域中，无需使用信任关系，这种模型非常简单，对于那些用户数量少于40000，并且希望帐户和资源集中管理的公司＇单域模型是最佳选择。

　

（３）单主域模型

在单主域模型下，ＮＴ的目录数据库使用信任关系来实现域之间的无缝连接，使得＂one user， one account＂的目标在多个域环境下也能实现。单主域模型中，至少有两个域，每个域都有自己的域控制器。但所有的帐户信息保存在主域的域控制器上，主域又叫做帐户域，也是被信任域，所有其他的域都信任主域，其他的域又叫做资源域。在此模型中，能够实现帐户的集中管理，但资源管理却是分散的。

对于一个按部门和区域进行分类，并且各部门各地区希望能独自进行资源管理，同时进行整个公司的帐户集中管理的公司，采用单主域模式最为适合。在单主域模型中，组的管理也是非常重要的。为了简化管理，资源域的管理员能将主域中的全局组放到资源域中的本地组，并对本地组指定相应的权限和许可，而在主域中，管理员仅仅需要把用户帐户加入到合适的全局组即可。

（４）多主域模型。

多主域模型是主域模型的一个扩展，如果信任关系建立得当，用户也能通过传递验证，从任何一个域中登录。多主域模型中，每一个主域都通过双向信任关系和其他主域建立连接。每一个资源域都信任主域，但不信任其他资源域。对一个要求有多个管理单元的跨国大公司，多主域模型是最佳选择，在每个管理单元中，管理员都能完全控制自己的帐户。对于组帐户的管理，多主域模型和单主域模型完全相同，只不过需要在每个主域上都创建全局组。

（５）完全信任域模型

完全信任域模型是ＮＴ目录服务结构中最复杂的一种，因为它需要维护很多信任关系。在该模型下，每一个域都信任其他任何域，并且其他任何域也都信任该域。要管理(n-1)×n个信任关系。如果希望用户和资源的管理是分散在每一个不同的部门而不是集中在一起的，则采用完全信任域模型较好。