Inom Active Directory (AD) används begreppen träd (tree) och skog (forest) för att beskriva hur flera domäner kan organiseras och kopplas samman i en logisk och hierarkisk struktur.

Detta ger administratörer möjlighet att skala upp en domänmiljö, skapa tydlig ansvarsfördelning och samtidigt bibehålla säker kommunikation mellan olika delar av nätverket.

Huvuddomän och underdomän

En huvuddomän (parent domain) fungerar som den överordnade enheten där användare, datorer, grupper och servrar administreras centralt.
Alla säkerhetspolicyer, autentiseringar och resurser hanteras och kontrolleras inom denna huvuddomän.

Exempel:

I vår laborationsmiljö fungerar ng.local (eller Nacka Gymnasium) som huvuddomänen.
Inom denna domän finns flera program, avdelningar eller lokaler – till exempel IT, El och Teknik – som alla behöver administreras och samarbeta inom samma nätverk. Varje avdelning kan ha egna behov och säkerhetskrav.

För att hantera detta på ett tydligt och strukturerat sätt kan man skapa underdomäner (child domains) för varje avdelning eller plats.
Dessa underdomäner blir då delar av huvuddomänen, men kan ha egna konton, resurser och policyer anpassade till sina respektive verksamheter.

AD trädstruktur (tree)

Ett träd i Active Directory representerar en logisk organisationsstruktur där varje domän är kopplad till en gemensam rot (root domain).

Trädet (root domain) kan innehålla flera underdomäner, och varje ny domän som skapas under roten blir automatiskt en del av samma träd. Alla underdomäner i ett träd delar samma DNS-namnrymd (namespace) och är sammankopplade genom automatiska förtroenderelationer (trusts).

Exempel:

Huvuddomänen ng.local kan ha underdomäner som:

• it.ng.local – för IT-avdelningen
• el.ng.local – för El- och energiprogrammet
• teknik.ng.local – för Teknikprogrammet

Dessa underdomäner delar samma rot (ng.local) och kommunicerar med varandra genom etablerade förtroendeförhållanden. Tillsammans bildar de ett AD-träd. Illustrationen visar också ett samarbete med Diginto, vilket utgör ett ”Multiple Tree Forest”.

Förtroende mellan domäner och underdomäner

Förtroende (trust) är mekanismer som gör det möjligt för domäner och underdomäner att acceptera varandras autentiseringar och auktoriseringar. Det betyder att användare i en domän kan få åtkomst till resurser i en annan – utan att behöva skapa separata konton.

Förtroenden kan vara:

• Enkelriktade (one-way) – endast den ena domänen litar på den andra.
• Dubbelriktade (two-way) – båda domänerna litar på varandra.

I en och samma skog etableras automatiskt dubbelriktade förtroenden mellan alla domäner och underdomäner.
Mellan olika skogar kan förtroenden däremot konfigureras manuellt, beroende på behov och säkerhetsnivå.

Sammanfattning – AD-träd och AD-skog

Ett AD-tree består av en huvuddomän och dess underdomäner som delar samma rot och DNS-namnrymd. Trädet representerar den interna strukturen i en organisation – hur användare, datorer och resurser organiseras och hanteras inom ett gemensamt administrativt område.

En AD forest däremot, är den övergripande miljön som kan bestå av ett eller flera träd.
Skogen fungerar som den yttersta administrativa och säkerhetsmässiga gränsen, där flera domäner och träd kan samverka, dela resurser och lita på varandras autentisering.

Man kan alltså se trädet som organisationens inre struktur, medan skogen representerar hela nätverksmiljön, där flera organisationer, avdelningar eller enheter kan samverka under en gemensam ram.

• Trädet beskriver hur resurser organiseras
• skogen beskriver hur flera träd kan samarbeta i en gemensam, säker och centraliserad Active Directory-miljö.