Если на одном предприятии существуют несколько доменов с различными пространствами имен (например, testorg.ru и testorg.cs), то представленная графически такая структура будет напоминать лес. Лес - это коллекция (одного или более) доменов Windows 200х, объединенных общей схемой, конфигурацией и двусторонними транзитивными доверительными отношениями.

Обратите внимание, что деревья в таком лесу не самостоятельны. Все эти деревья создаются внутри одной организации и управляются централизованно администра торами предприятия. Говоря терминами логической организации сети, между любыми доменами внутри предприятия существуют доверительные двусторонние отношения.

Практически это означает, что администратор предприятия является "начальником" администратора любого домена, а пользователь, прошедший аутентификацию в одном домене, уже "известен" в другом домене предприятия.

Примечание Многие администраторы доменов в структуре леса заблуждаются, считая что только они могут управлять безопасностью объектов. Даже если они явно запретили доступ каким-либо пользователям, то владелец корневого домена (леса) Windows всегда имеет возможность получить доступ к объектам и назначить собственные права. Иными словами, в сети с централизованным управлением необходимо полностью доверять тем администраторам, которым принадлежат корневые права.

⇐Подразделение | Самоучитель системного администратора | Сайты⇒