什么是成员服务器与父域？

1. 成员服务器

定义 成员服务器是指加入了某个 Active Directory 域，但本身不担任域控制器角色的 Windows Server 操作系统计算机。

核心特征

属于域 它不再是独立的工作组服务器，它信任并接受其所属域的域控制器的身份验证和管理。

不是域控制器 它不存储 Active Directory 域服务的数据库副本（NTDS.dit），不处理用户的登录请求（身份验证），也不负责复制域信息或执行域范围内的策略（如组策略）的分发（这些是域控制器的职责）。

提供服务 成员服务器的主要职责是运行特定的服务器应用程序和服务，

* 文件服务器

* 打印服务器

* 数据库服务器 (SQL Server)

* 应用程序服务器 (Web Server - IIS, SharePoint, Exchange Mailbox/CAS - 虽然 Exchange 有特殊要求，但核心角色部署在成员服务器上)

* 远程桌面会话主机

* 系统中心配置管理器站点服务器

* DHCP 服务器 (虽然可以在域控制器上运行，但通常推荐部署在成员服务器上)

* DNS 服务器 (同样，通常部署在成员服务器或域控制器上)

优势

集中管理 可以像域用户账户一样，在 Active Directory 中对成员服务器进行管理（通过组策略统一配置安全策略、软件部署、脚本运行等）。

单点登录 域用户可以使用他们的域账户登录到成员服务器（根据分配的权限），无需在每台服务器上维护独立的本地账户。

资源访问控制 管理员可以利用域组（全局组、域本地组、通用组）来精确控制哪些域用户或组可以访问成员服务器上托管的资源（文件、打印机、应用程序）。

安全性增强 可以应用域的组策略对象来强化成员服务器的安全基线。

与独立服务器区别 独立服务器没有加入任何域，只属于一个工作组，它完全依赖其本地安全账户管理器进行用户管理和身份验证，管理是分散的。

2. 父域

定义 父域是指在 Active Directory林中，位于域树层次结构最顶层的那个域，它是创建子域的直接来源。

核心特征

域树的根 在一个域树中，所有子域的名称都包含父域的名称。

父域company.com

子域1east.company.com

子域2sales.east.company.com (这里east.company.com 是sales.east.company.com 的父域，而company.com 是整个树的根父域)

命名空间起点 父域定义了林中最顶层的命名空间。

林根域 在林的第一个域树中，父域通常也是林根域，林根域是林中创建的第一个域，具有对整个林的独特管理角色（如架构主机、域命名主机角色）。

自动信任 父域与其所有直接子域之间自动建立双向可传递的信任关系，这意味着：

* 父域信任子域中的用户账户。

* 子域信任父域中的用户账户。

* 这种信任关系通过域树向上向下传递（company.com 信任east.company.com，east.company.com 信任sales.east.company.com，因此company.com 也信任sales.east.company.com）。

管理范围 父域的管理员（通常是林根域的管理员，如 Enterprise Admins 和 Schema Admins 组）拥有管理整个林结构的最高权限（创建新域树/子域、修改架构等），父域本身的管理员管理本域内的对象（用户、计算机、组策略等）。

成员服务器与父域的关系

1、成员服务器属于某个域： 一个成员服务器总是加入到某个特定的 Active Directory 域中，这个域可以是父域，也可以是子域。

2、域成员身份： 当成员服务器加入父域（例如company.com）时：

* 它成为父域中的一个计算机对象。

* 它信任父域的域控制器进行身份验证。

* 它接受应用于父域（或链接到父域中组织单元的）的组策略设置。

* 父域中的用户账户（以及受信任域中的用户账户，如子域用户）可以根据权限访问该成员服务器上的资源。

3、成员服务器加入子域： 同样，成员服务器也可以加入子域（例如east.company.com）：

* 它成为子域中的一个计算机对象。

* 它信任子域的域控制器（或父域的域控制器，因为信任关系）进行身份验证。

* 它接受应用于子域（或链接到子域中组织单元的）的组策略设置。

* 子域中的用户、父域中的用户、以及同一林中其他受信任域的用户（根据权限）都可以访问该服务器。

4、父域的影响： 即使成员服务器加入的是子域，父域（特别是作为林根域时）仍然对其有间接影响：

林级策略 林根域（通常是第一个父域）定义的某些林级设置（如架构、站点间拓扑）会影响整个林的所有域，包括其中的成员服务器。

企业管理员 林根域中的 Enterprise Admins 组成员在整个林的任何域（包括所有子域）中拥有管理员权限，因此他们也能管理加入子域的成员服务器。

信任关系 由于父域和子域之间的自动信任，父域用户可以访问子域中的成员服务器资源（需授权），反之亦然。

成员服务器 是加入了域（但不做域控制器）的服务器，提供各种应用服务，受益于域的集中管理和安全特性。

父域 是域树结构中的顶层域，是子域的来源，定义了命名空间起点，并与子域建立自动信任，林中的第一个父域通常是林根域，拥有最高管理权限。

成员服务器是“域环境中的工作者（提供具体服务）”，而父域是“域家族树中的族长（定义结构、建立信任、拥有最高权威）”，成员服务器需要加入到一个具体的域（可能是父域或子域）中才能成为“成员”，并接受该域（以及通过信任关系受信任的域）的管理和控制。

文章摘自：https://idc.huochengrm.cn/js/12427.html