1.4 域树和域森林

域树是多个域通过信任关系组成的集合，它有效地扩展了域管理员的管理范围和可调度资源总量。在域树中所有域共享同一表结构和配置，并根据域之间的归属关系形成层次化树状结构。图1-5体现了常见的域树结构拓扑。在该拓扑中，组织的总部域名为Company.org，所有总部计算机均位于该域中。同时该组织在亚洲和欧洲拥有分部，按照域树规则，分部需要继承总部的域名，并增加自己的子域名部分，因此亚洲分部和欧洲分部分别构建了子域名Asia.Company.org和Europe.Company.org，并将各自计算机归入各自域中，参与总部统一管理。在分部之下，该组织在中国、韩国及德国拥有子公司，其中中国、韩国子公司归亚洲分部管理，德国子公司归欧洲分部管理。按照上述逻辑，中国、韩国子公司的域名需要在继承Asia.Company.org的基础上，分别增加各自的子域名，因此相关域分别被命名为CN.Asia.Company.org和KR.Asia.Company.org。同理，德国子公司域名为DE.Europe.Company.org。

图1-5 域树结构拓扑示意图

至此，各分部、子公司通过域名继承及信任关系，构建了以组织总部Company.org为基础的域树，其中根据层次关系将划分出父域与子域的关系。例如，Company.org域为Asia.Company.org和Europe.Company.org的父域，Asia.Company.org和Europe.Company.org域则为Company.org域的子域。以此类推，Asia.Company.org域为CN.Asia.Company.org及KR.Asia.Company.org的父域，Europe.Company.org域为DE.Europe.Company.org的父域。通过域树，总部可以设计统一的配置和管理基线约束全部分部及子公司的计算机，同样，各域间的账号也将根据被设置的访问控制要求，获得域树中各域间的访问权限，实现更为有效的资源管理与共享调度。

域森林则是多个域树通过建立信任关系组成的集合。依然以上述组织架构为例，假设该组织在商业运营中并购了一家新公司，该公司也构建有自己的以Company.com为域名的域树环境。为了实现并购后的统一管理与资源利用，将形成如图1-6所示的域森林结构，其中Company.com与Company.org域内部关系不变，两个域树的根节点彼此通过信任关系进行连接，形成了由两个独域树组成的域森林。这在保留各自原有域内归属关系的同时，可以实现统一管理和资源使用。

细心的读者可能会看出，域树中的域名和使用浏览器访问网站时的域名非常相似。在浏览器访问过程中，我们需要域名服务器（Domain Name Server，DNS）来实现域名和与之对应的IP之间的转换；而在域环境中，计算机也是使用DNS来定位其他计算机的，所以需要在各域中设置DNS。这台服务器往往由域控主机来担任，因此在内网渗透测试中，经常可以通过寻找DNS来定位到域控主机的位置。

图1-6 域森林结构拓扑示意图