ADS Active Directory Service (Farsi User Guide)
Resource: Windows 2000 Server Resource kit Distributed Systems Guide

> Part2 > ADS > Part 1 > Active Directory Logical Structure > Tree and Forest Structure     

Tree and Forest Structure

همانند قوانین DNS و ساختار آن در Active Directory  بصورت معکوس ساختار Tree ایجاد شده .در این حالت Root بالاترین نقطه می باشد.

در Windows 2000 بین تمامی Domain های یک Tree حالت Trust وجود دارد .

برای Domain  های یک Tree لازم می باشد که از NameSpace ها یا نام های متفاوت برخوردار باشند .

ساختن دو یا چند Tree متفاوت با نامهای متفاوت موجب می شود که سیستم بصورت دو طرفه بین Root  های  هر Tree رابطه Trust ایجاد کند.

Forest

ساختار درختی کل یک یا چند Domain را می تواند در بر بگیرد در این شکل Tree 1

دارای NameSpace و یا نام متفاوت با Tree 2 می باشد .اما هر دو Tree به یکدیگر

Trust دارند .در نتیجه تمامی Tree های یک Forest به یکدیگر اعتماد دارند و Trust می باشند

بصورت اتوماتیک .شما می توانید یک Forest با یک Tree داشته باشید یا با N تا  Tree.

ارتباط میان Tree های یک Forest بصورت دو طرفه بود نیز مداوم می باشد در این ارتباط

ساختار درختی موجود در یک Forest برای Domain Controller DC های هر

یک از Domain های هر یک از Tree ها مشخص می شود بنابراین تمامی DC ها

از این ساختار اطلاع دارند .

 
 
 
 
 
 

Figure 1.1 Domain Containers, Root Domains

and DNS Namespaces Within a Forest

 
Tree: Implementation of a Domain Hierarchy and DNS Namespace

بدلیل همکاری DNS برای نام هر Domain نام هر Paren , Child  موجود در یک Tree باید

همانند شکل دارای نظم و ترتیب داده شده باشد .

 

Figure 1.2 Domain Hierarchy and DNS Namespace

 

در شکل Figure 1.2 مشاهده می کنید که Product Domain اگرChild باشد برای .Sales.Cohowinery مانند

قسمت Current Forest نام و درواقع آدرسش Product.Sales.Cohowinery.com می شود .

واگر Child برای Root Tree Domain باشد یعنی Cohowinery آدرسش Product.Cohowinery.com می شود .

 
Forest: Implementation of All Trees

در شکل زیر در قسمت اول یک Forest وجود دارد با یک Tree و در این حالت چگونگی Trust بین EU با ROOT خود را مشاهده می کنید

درقسمت دوم با جدا کردن EU و تغییر نام آن به Cohovineyardandwinery تشکیل بک Forest با دو Tree داده شده  در این حالت نیز چگونگی Trust را مشاهده می کنید در یک Forest.

Figure 1.3 Example of a Forest That Has Two Trees

همانند این مثال در Figure 1.1 نیز دیده می شود .

یک Forest مجموعه ای از یک یا چند  Active Directory Trees می باشد البته می تواند یک Forest دارای یک Tree

باشد که تمامی شبکه یک Organization را در بر می گیرد پس می توان گفت که Forest همان Active Directory Service می باشد.

یادمان باشد که چه یک Tree وجود داشته باشد چه چند Tree همگی به مرتبط می باشند و دارای ترافیک Replication نیز می باشند پس ADS شما

همان Forest شما می باشد .اگرچه نام DNS هر یک از Tree های یک Forest یکسان نیست اما بدلیل ارتباط بین Root های آن Tree ها می باشد

که DC های آنها می توانند اطلاعات schema, configuration, Global Catalog خود را بین یکدیگر منتقل کنند Replication.

در شکل Figure 1.4 رابطه گفته شده را مشاهده می کنید .

 

Note

Domains within an Active Directory forest share a common directory schema, configuration information, and Global Catalog. They also have transitive trust relationships that allow users in each domain access to available resources in all other domains in the tree.

 

Figure 1.4 Example of a Forest-Wide Replication Scope

در شکل Figure 1.4 که همان Figure 1.1 ما می باشد . دو Tree وجود دارد که  Domain Container 1 در حقیقت Root Tree 1 ما می باشد

ودر دومین Tree ما Domain Container 4 همان Root Tree 2 ما می باشد ارتباط Tree-Root Trust بین این دو را می توانید مشاهده کنید.

directory partition ,  schema

در مورد این دو گزینه در قسمتهای بعدی کاملا بحث خواهد شد .

directory partition

A contiguous subtree of Active Directory that is replicated as a unit to other domain controllers in the forest that contain a replica of the same subtree. In Active Directory, a single server always holds at least three directory partitions: schema, (class and attribute definitions for the directory); configuration (replication topology and related metadata); domain (subtree that contains the per-domain objects for one domain). The schema and configuration directory partitions are replicated to every domain controller in a specified forest. A domain directory partition is replicated only to domain controllers for that domain. In addition to a full, writable replica of its own domain directory partition, a Global Catalog server also holds partial, read-only replicas of all other domain directory partitions in the forest. See also full replica; Global Catalog; partial replic

 

schema

The universe of objects that can be stored in the directory is defined in the schema. For each object class, the schema defines what attributes an instance of the class must have, what additional attributes it may have, and what object class can be a parent of the current object class.

The Active Directory schema is implemented as a set of object class instances stored in the directory. This is very different than many directories which have a schema but store it as a text file read at startup. Storing the schema in the directory has many advantages. For example, user applications can read it to discover what objects and properties are available.

The Active Directory schema can be updated dynamically. That is, an application can extend the schema with new attributes and classes and use the extensions immediately. Schema updates are accomplished by creating or modifying the schema objects stored in the directory. Like every object in the Active Directory, schema objects are protected by ACLs, so only authorized users may alter the schema.

ACL : Access Control List  ACL to control who have access to different parts of the system

 
Forest Root Domain

اولین Domain که در یک Forest ساخته می شود Forest Root Domain گفته می شود .تذکر نمی توان نام Forest Root Domain را تغییر داد و یا پاک کرد و جابه جا کرد .

زمانی که شما یک Tree ایجاد می کنید اولین Domain آن همیشه Root آن می باشد بین Root های Tree ها با Forest Root Domain همیشه یک ارتباط وجود دارد به همین دلیل نام آن بسیار

مهم می باشد و نباید تغییر کند .

 
Trust Relationships

Active Directory برای ایجاد امنیت بین DC ها و Domain ها ازطریق  Trust Relationships عمل می کند . خوب این به چه معنی می باشد .

عمل Authentication که توسط یک Domain رخ می دهد برای دیگر Domain های که به آن Trust دارند مورد قبول می باشد

پس اگر یک User یا Application عمل Authentication آنها توسط یک Domain قبول شود تمامی دیگر Domain های Forest این دو Object ها را به رسمیت می شناسند .

و این Object ها می توانند بر اساس اجازه هایی که در ACL دارند به Resource های تمامی Domain هایی که آنها را به رسمیت شناخته اند دسترسی داشته باشند .

"Access to resources" in any discussion of trust relationships always assumes the limitations of access control. Trust relationships allow users and computers to be authenticated (to have their identity verified) by an authentication authority. Access control allows authenticated users to use the resources (files, folders, and virtual containers) that they are authorized to use and prohibits them from using (or even seeing) resources that they are not authorized to use.

 
Transitive and Nontransitive Trust

در Windows NT 3.51 ,4 ارتباط بین Domain ها یا همان Trust بین آنها یک طرفه One-Way می باشد برای دوطرفه کردن آن

باید دو تا One-Way Trust ایجاد کرد بین Domain ها تا رابطه دو طرفه شود یا Two-Way شود .در Windows 2000 Domain رابطه بین

Domain ها بصورت دو طرفه Two-Way می باشد و این رابطه بین Tree های یک Forest وجود دارد همینطور بین Parent و Child ها وجود دارد

و بصورت اتوماتیک می باشد نیازی به ایجاد کردن ندارد .

Figure 1.5 Comparison of Two-way Trust Relationships in Windows NT 4.0 and Windows 2000

Transitive

ویندوز 2000 می تواند Joined شود به Domain Tree و یا Forest با این کار شما با تمام Child Domain هایی

که عضو Tree و یا Forest می باشد و دارای Two-way Trustبا Parent خود  می باشند   وصل شده اید و یا در واقع ارتباط خواهید داشت .

به این حالت Transitive Trust Relationships گفته می شود که در شبکه های 2000 می باشد .

Transitive Trust Relationships بصورت اتوماتیک میان  کلیه Domain Member یا عضوهای درون Tree, Forest بوجود می آید .

بنابراین زمانی که شما یک GrandChild Domain ایجاد کنید به سرعت  بنا به گفته بالا Two-way Trust بین آن با Parent/Child های خود

ایجاد می شود .این رابطه دوطرفه می باشد .

برای مثال زمانی که یک User توسط Parent Domain شناسایی شود و یا Authenticate شود به تمامی Resource های موجود در

Child Domain خود دسترسی خواهد داشت و زمانی که یک User توسط Child Domain شناسایی شود به تمامی Resource های موجود

در Parent Domain دسترسی دارد این مثال برای GrandChild Domain با Child Domain  و Parent Domain نیز وجود دارد .

برای اینکه در تمام Forest این رابطه Transitive Trust Relationships ایجاد شود ADS اینگونه عمل می کند که تمامی Domain ها

با Parent خود این رابطه را برقرار می کنند و تمامی Root Tree Domain های یک Forest با یکدیگر این رابطه را برقرار می کنند .

شکل های Figure 1.1 و Figure 1.4 این مطلب را کاملا مشخص می کنند .

 
 Nontransitive

این رابطه را می توان اینگونه بیان کرد ارتباط میان دو Windows 2000 Domain که در یک Forest یکسان قرار ندارند .درواقع ارتباط  دو

Forest جدا گانه  و البته دو NameSpace چداگانه .مثال برای این مطلب ارتباط یک Win NT Domain با یک Win2k Domain می باشد .

Nontransitive(One-way Trust)

اگر User Accounts در یکی از Domain های NT4 و یا 2000 باشد و Resource ها در دیگر Domain این رابطه  One-way می باشد

یک Domain دارای User Accounts هایی می باشد که توسط آنها به Domain دومی Connect می شود پس رابطه یک طرفه می باشد .

در واقع Users Account Domain فقط می تواند  از Resource های Domain مقابل استفاده کند .

Nontransitive(Two-way Trust)

زمانی که هر دو Domain دارای User Accounts باشند رابطه دو طرفه می باشد.

تذکر Mixed-Mode در این مورد نقش مهمی ایفا می کند .

Trust Account بصورت Object درون ADS ذخیره می شود به همین نام.

 
 
Types of Trust Relationships

نام انواع Trust ها را دراین قسمت بررسی می کنیم همچنین حالت آنها .

 
1.Tree-Root Trust Relationship

زمانی که یک Tree جدید به Forest خود اضافه می کنید در زمان ADS Installation رابطه دوطرفه بین آن و Tree های موجود در Forest

توسط ADS بصورت اتوماتیک ایجاد می شود .تذکر این رابطه بین Root Tree ها همیشه برقرار می باشد .

  • It can be set up only between the roots of two trees in the same forest.

  • It must be transitive and two-way.

2.Parent/Child Trust Relationship

در زمان ساختن یک Domain که می تواند Parent or Child یک Domain دیگر باشد ADS این رابطه را میان آن و دیگر

Domain ها ایجاد می کند .

  • It can exist only between two domains in the same tree and namespace.
  • The parent domain is always trusted by the child domain.
  • It must be transitive and two-way in Windows 2000. The bidirectional nature of transitive trust relationships allows the global directory information in Windows 2000 to replicate throughout the hierarchy.
3.Shortcut Trust Relationship

یکجور پرش می باشد زمانی که شما بخواهید رابطه بین دو Domain برقرارکنید که در میان این دو یک یا چند Domain دیگر وجود

داشته باشد مثلا Users در Domain A میخواهند با Domain C رابطه برقرار کنند و Domain B رابط یا واسطه این دو می شود .

این نوع را باید دستی ایجاد کنید . در شکل Figure 1.3 درقسمت اول این نوع را می توانید مشاهده کنید البته این رابطه در آنجا دوطرفه Config شده.

  • It can be established between any two domains in the same forest.
  • It must be set up manually in each direction.
  • It must be transitive.

اشتباه نشود این رابطه برای استفاده از Resource های یکدیگر در میان Domain ها ایجاد میشود ربطی به ترافیک Replication ندارد در این مثال .

منظور از" Resource"File Sharing and Folder می باشد.

4.External Trust Relationship

ارتباط میان دو Forest متفاوت را External Trust می گویند.مثلا ارتباط دو Windows 2000 Forest و با

یک Windows 2000 با NT 4 که در قسمت Nontransitive شرح داده شد. این Trust را باید دستی ایجاد کرد و یک طرفه می باشد.

  • It is one-way.
  • It must be set up manually in each direction to establish a two-way external trust relationship.
  • It is nontransitive.

در شکل Figure 1.6 کاملا چند حالت Trust را که در بالا شرح داده شده را مشاهده می کنید .

Figure 1.6 Mixed Environment of Two Forests and a Windows NT 4.0 Domain

The following conditions are represented in Figure 1.6
  • A.com and D.com are the roots of separate trees in forest 1. The two-way, transitive, tree-root trust between them provides complete trust between all domains in the two trees of forest 1.
  • E.D.com uses resources in C.A.com for everyday business operations. To shorten the trust path between the two domains, C.A.com trusts E.D.com directly. This trust relationship serves only the purpose of shortening the trust path for authenticating E.D.com users to use resources in C.A.com. The path is shortened by cutting the number of hops required for authentication from three (E.D.com to D.com, D.com to A.com, and A.com to C.A.com) to one (E.D.com to C.A.com), which increases the speed of authentication.
  • G.com is the root of a single tree that makes up forest 2. The two-way, transitive trust relationship between G.com and H.G.com allows both domains to use each others' resources.
  • Domain G.com in forest 2 implements an explicit one-way external trust relationship with domain D.com in forest 1; users in domain D.com are trusted to use resources in domain G.com. Because the trust relationship is nontransitive, no other domains in forest 1 have access to resources in G.com, and D.com does not have access to resources in H.G.com.
  • Domain F is a Windows NT 4.0 domain that provides support services to the users in E.D.com. This one-way nontransitive trust relationship does not extend to any other domains in forest 1.
 
MCSE Exam 2000
You are the administrator of PubliTech, a desktop publishing company. Your network consists of a
single Windows 2000 domain named publitech.com. Recently, PubliTech acquired another desktop publishing
firm named VirtuArt that has a network with a single domain named virtuart.com. The VirtuArt network is
entirely Windows NT 4.0based,
and the VirtuArt network administrators have no immediate plans to upgrade
their domain to Windows 2000.


What action must you take to allow for resource access between publitech.com and virtuart.com? (Select the
best choice.)


a. Create a transitive trust.
b. Create a shortcut trust.
c. Create a Kerberos trust.
d. Create an external trust.


Answer: d

Section: 2. Installing, Configuring, Managing, Monitoring, and Troubleshooting DNS for Active Directory
Choice d is correct. To access resources in a Windows NT 4.0 domain from your Windows 2000 domain, you
must manually create a oneway
external trust relationship with the Windows NT 4.0 domain. External trust
relationships are also necessary when resource access is configured between separate Windows 2000
forests. External trusts are not transitive. To establish twoway resource access between publitech.com and
virtuart.com by using external trusts, you must manually configure two oneway external trust relationships. To
create an external trust relationship in Windows 2000, open the Active Directory Domains and Trusts console, rightclick
the server object, select the Trusts tab, click Add and specify the appropriate Windows NT domain
name. The downlevel NTLM challengeresponse
authentication protocol is used for external trust relationships
between Windows 2000 and Windows NT 4.0 computers.
A shortcut trust is an explicitly created trust relationship between two Windows 2000 domains in the same forest. Its purpose is to shorten the trust path and thereby reduce authentication response times across slow
links. The Kerberos protocol is the default protocol for network authentication on Windows 2000 computers. It
is used for all implicit and explicit Windows 2000 trust relationships.

 
ADS Active Directory Service (Farsi User Guide)

LastUpdate:2005/04/07

> Part2 > ADS > Part 1 > Active Directory Logical StructureTree and Forest Structure