一、Active directory structure

  Active Directory （AD） 是用于 Windows 网络环境的目录服务。它是一种分布式分层结构，允许集中管理组织的资源，包括用户、计算机、组、网络设备和文件共享、组策略、服务器和工作站以及信任。AD 在 Windows 域环境中提供身份验证和授权功能。

AD 本质上是一个大型数据库，域内的所有用户都可以访问，无论其权限级别如何。没有添加权限的基本 AD 用户帐户可用于枚举 AD 中包含的大多数对象，包括但不限于：

下图就是一个域结构：

其中，INLANEFREIGHT.LOCAL是根域，包含如下子域：ADMIN.INLANEFREIGHTLOCAL、CORP.INLANEFREIGHT.LOCAL、DEV.INLANEFREIGHT.LOCAL。

下图展示了两个域森林inlanefreight.local和freightlogistics.local，两者之间的双向箭头代表两个域森林之间的信任关系（就是说，inlanefreight.local中的用户可以访问域freightlogistics.local中的资源）。根域信任每一个子域，子域之间要想相互访问域内资源，需要建立信任关系。例如，域admin.dev.freightlogistics.local中的用户是不被域wh.corp.inlanefreight.local域内的机器认证的。

二、Active Directory Terminology

• Object（对象）：Active Directory 环境中存在的任何资源，如打印机、用户、域控制器等。
• Attributes（属性）：Active Directory 中的每个对象都有一组关联的属性，用于定义给定对象的特征。例如，计算机对象包含主机名和 DNS 名称等属性。AD 中的所有属性都有一个关联的 LDAP 名称，可以在执行 LDAP 查询时使用该名称。
• Schema：Active Directory schema 实质上是任何企业环境的蓝图。schema定义了 AD 数据库中可以存在的对象类型及其关联属性。例如，AD 中的用户属于“user”类，计算机对象属于“computer”类。每个对象都有自己的信息（有些需要设置，有些是可选的），这些信息存储在属性中。
• Domain（域）：域是对象（如计算机、用户、组等）的逻辑组。域可以完全相互独立运行，也可以通过信任关系进行连接。
• Tree（域树）：多个域通过建立信任关系组成的集合，两个域之间需要相互访问，则需要建立信任关系。当一个域被添加到树中的另一个域下时，就会形成父子信任关系。
• Forest（域森林）：域森林是 多个域树建立信任关系组成的集合。域森林可以包含一个或多个域树，每个域森林独立运行，但可能与其他域森林有各种信任关系。
• Container（容器）：容器对象包含其他对象，并在目录子树层次结构中具有定义的位置。
• Leaf（叶子对象）：叶子对象不包含其他对象，位于子树层次结构的末尾。
• Global Unique Identifier (GUID)：GUID 是在创建域用户或组时分配的唯一 128 位值。同时，Active Directory 创建的每个对象都分配了一个 GUID，而不仅仅是用户和组对象。GUID 被存储在ObjectGUID 属性。**在 Active Directory 中按 GUID 值进行搜索可能是查找要查找的确切对象的最准确、最可靠的方法。**只要对象还存在，GUID值永远不会改变。