解析Windows2008域环境设计中的四大典型误区
在WINOOWs网络环境中，域是核心。其实域的概念，服务器租用从NT时代就开始提出，并不断得到完善。在2008的服务器环境中，可以说已经相当的完美。可惜的是，不少系统管理员在设计域结构时，由于种种原因存在一些比较典型的误区。笔者在这里做一些总结，希望各位读者有者改之、无则加勉。

误区一：为不同的办事处设置不同的域。

如现在有一家企业，其在上海、广州各有一个办事处，其本部在北京。在这种情形下，需要为上海和广州各设一个域吗？以前有不少系统设计师是这么做 的。其实没有这个必要。特别是微软在2008中提出了只读域控制器之后，没有必要为一些办事处设置单独的域。否则的话，只会额外的增加系统管理人员的工作 量。

其实域是微软网络环境的一个初始的逻辑边界或者说最小的逻辑边界。系统工程师均从域的边界内管理和存储用户和计算机。包括打印机、用户的帐号信 息、权限等内容。从安全的角度讲，域同时还充当对象的管理安全性边界，并会包含它们自己的安全策略。简单的说，就是指域是对象的逻辑结构，并且可以方便的 跨越多个物理位置。这就说明在设计域结构时时，物理位置并不是主要因素(当然有时候也需要考虑)，其主要还是要看企业应用环境的逻辑结构。

所以在实际工作中，并不需要为不同地理位置的办事处设置多个单独的域。服务器租用这种老命伤财的行为我们要尽量的避免。在2008应用环境中，系统管理员尽可以利用只读域控制器来解决办事处或者分支机构的安全问题。

笔者认为，如果企业的分支机构或者办事处规模不大，如只有几十人，那么没有必要为其单独的设置一个域。相反如果企业的分支机构是一个单独的法 人，或者其规模有上百人，此时企业往往需要在这个分支机构配有专业的系统管理人员。此时出于管理灵活性的考虑，可以为这个分支机构设置单独的域。总之，不 管三七二十一，由于地理位置的原因，为办事处设置单独的域，这种做法是不合理的。

误区二：将信任传递与访问权限混为一谈。

多个域构成一颗域树。或者说域树是由多个通过双向可传递的信任连接的域构成的。在这个定义中，有一个核心的关键字叫做信任的双向可传递。如现在 有一颗域数，A.com是信任根域，B.A.COM和C.A.COM是其两个平行的子域。现在根据双向可传递的信任规则，A域如果信任B，那么B域也相信 A域。C域如果相信A域，那么A域也信任B域。而根据传递规则，B信任A，而A信任C，则B域也信任C域。

现在笔者要问的问题时，如果现在A域的管理员可以管理B域与C域，那么是否说明B域的管理员也可以管理C域呢？因为B相信A，而A相信C，为此 B可以管理C？其实这里就犯了一个概念性的错误。将信任与访问的权限混为一谈。这就好像你有一个朋友，非常的信任他。但是不等于他可以来管理你的家事。

为此系统管理员需要牢记，虽然在域树环境中，信任是双向的，并且是可以传递的。但是这并不意味着所有用户都可以完全的获得访问权。即便是域之间 的管理员，信任仅仅提供从一个域到另外一个于的一条路径。或者说，信任是可以管理的一个前提条件。只有在信任的基础之上，才能够对其进行授权管理。而在默 认情况下，系统并不允许访问权限从一个域传递到另外一个域。域的管理员必须为另一个域的用户或者管理员下发权限后才能够访问其域中的资源。

不过需要注意的是，域树中的每一个域都共享一个公共的模式和全局目录。一颗树内的所有域共享相同的名称空间。根据默认的安全机制，某个子域的管 理员在其整个域上有相对的控制权。另外一个子域甚至根域如果没有经过授权，是无法访问其域中的资源。从这里也可以看出，不信任与访问权根本是两码事。当然 在有信任的基础之上，系统管理员可以根据需要，授予其他域或者根域用户一定的权限，让其能够有这个权力访问自己域的特定资源。

总之，系统管理员需要分清楚信任与访问权之间的联系与区别，不能够将两者混为一谈。然后在这基础之上，考虑是否需要为其他域的用户设置合适的访问权限。