AD域相关理解（资料来自于网络）

 

●AD域中组织单位和组的区别

    组(group)和组织单元(ou)有很大的不同。

    组主要用于权限设置，而组织单元则主要用于网络构建；

    另外，组织单元只表示单个域中的对象集合（可包括组对象），而组可以包含用户、计算机、本地服务器上的共享资源、单个域、域目录树或目录林。

    组织单位是ou，组是group；前者是个目录，后者用来设置权限。

    组织单元是域中包含的一类目录对象如用户、计算机和组、文件与打印机等资源，是一个容器，可以在OU上部署组策略

    组在AD中可以理解为权限目录，它指定了用户在AD中所具有的一些属性，也可以理解为权限的集合。

    组织单元是域中包含的一类目录对象如用户、计算机和组、文件与打印机等资源。是一个容器。组织单元还具有分层结构可用来建立域的分层结构模型，进而可使用户把网络     所需的域的数量减至最小（这点应该很好理解了吧，组织单元的分层肯定要比森林方便管理吧^_^）。组织单元具有继承性，子单元能够继承父单元的acl。

    同时域管理员可授予用户对域中所有组织单位或单个组织单位的管理权限。就像一个公司的各个部门的主管，权力平均化能更有效的管理。

●AD域相关实例

    CN, OU, DC 都是 LDAP 连接服务器的端字符串中的区别名称（DN, distinguished   name） 
    LDAP连接服务器的连接字串格式为：ldap://servername（或192.168.xxx.xx地址）/DN   

    其中DN有三个属性，分别是CN,OU,DC   
    LDAP是一种通讯协议，如同HTTP是一种协议一样的！ 

    string ldap = "LDAP://192.168.xxx.xx/CN=潘 暁宇,OU=developer,DC=example,DC=local";

    Dim root As New DirectoryEntry(ldap, "pan_xy", "123456")

    在 LDAP 目录中，

    ·DC (Domain Controller) 域控制器　例：domainname.com

    ·CN (Common Name) 为用户名或服务器名，最长可以到80个字符，可以为中文；例：pan_xy

    ·OU (Organizational Unit) 为组织单元，最多可以有四级，每级最长32个字符，可以为中文；例：developer

    LDAP 目录类似于文件系统目录。 

    下列目录： 

    DC=redmond,DC=wa,DC=microsoft,DC=com       

    如果我们类比文件系统的话，可被看作如下文件路径:    

    Com\Microsoft\Wa\Redmond   

    

    例如：CN=test,OU=developer,DC=domainname,DC=com 

    在上面的代码中 

    cn=test 可能代表一个用户名，

    ou=developer 代表一个 active directory 中的组织单位。
    这句话的含义可能就是说明 test 这个对象处在domainname.com 域的 developer 组织单元中。