在這里所講的“邏輯結(jié)構(gòu)”是指非物理上的，非實(shí)體的東西，它是一種抽象的東西，比如講一種“關(guān)系”、一個(gè)“空間、范圍”等。活動(dòng)目錄的邏輯結(jié)構(gòu)非常靈活，有目錄樹(shù)、域、域樹(shù)、域林等，這些名字都不是實(shí)實(shí)在在的一種實(shí)體，只是代表了一種關(guān)系，一種范圍，如目錄樹(shù)就是由同一名字空間上的目錄組成，而域又是由不同的目錄樹(shù)組成，同理域樹(shù)是由不同的域組成，域林是由多個(gè)域樹(shù)組成。它們是一種完全的樹(shù)狀、層次結(jié)構(gòu)視圖，這種關(guān)系我們可以看成是一種動(dòng)態(tài)關(guān)系。邏輯結(jié)構(gòu)還與前面討論過(guò)的名字空間有直接關(guān)系，邏輯結(jié)構(gòu)為用戶(hù)和管理員在一定的名字空間中查找、定位對(duì)象提供了極大方便?；顒?dòng)目錄中的邏輯單元主要包括：

1、 域、域樹(shù)、域林

域既是WIN2K網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元，是對(duì)象（如計(jì)算機(jī)、用戶(hù)等）的容器，這些對(duì)象有相同的安全需求、復(fù)制過(guò)程和管理。在WIN2K中域中所有的域控制器都是平等的（這一點(diǎn)與WINNT4.0不一樣，沒(méi)有主、副之分），域是安全邊界，域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問(wèn)或管理其他的域。每個(gè)域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。在這里就涉及到了不同域之間的信任關(guān)系及傳遞關(guān)系，下面就具體講一下WIN2K中的域信任關(guān)系。

域與域之間具有一定的信任關(guān)系，域信任關(guān)系使得一個(gè)域中的用戶(hù)可由另一域中的域控制器進(jìn)行驗(yàn)證，才能使一個(gè)域中的用戶(hù)訪問(wèn)另一個(gè)域中的資源。所有域信任關(guān)系中只有兩種域：信任關(guān)系域和被信任關(guān)系域。信任關(guān)系就是域A信任域B，則域B中的用戶(hù)可以通過(guò)域A中的域控制器進(jìn)行身份驗(yàn)證后訪問(wèn)域A中的資源，則域A與域B之間的關(guān)系就是信任關(guān)系。被信任關(guān)系就是被一個(gè)域信任的關(guān)系，在上面的例子中域B就是被域A信任，域B與域A的關(guān)系就是被信任關(guān)系。信任與被信任關(guān)系可以是單向的，也可以是雙向的，即域A與域B之間可以單方面的信任關(guān)系，也可以是雙方面的信任關(guān)系。

而在域中傳遞信任關(guān)系不受關(guān)系中兩個(gè)域的約束，是經(jīng)父域向上傳遞給域目錄樹(shù)中的下一個(gè)域，也就是說(shuō)如果域A信任域B，則域A也就信任域B下面的子域域B1、域B2……，傳遞信任關(guān)系總是雙向的：關(guān)系中的兩個(gè)域互相信任（是指父域與子域之間）。默認(rèn)情況下，域目錄樹(shù)或目錄林（目錄林可以看做是同一域中的多個(gè)目錄樹(shù)組成）中的所有WiIN2K 信任關(guān)系都是傳遞的。通過(guò)大大減少需管理的委托關(guān)系數(shù)量，這將在很大程度上簡(jiǎn)化域的管理。

WIN2K中的域傳遞信任關(guān)系一般是系統(tǒng)自動(dòng)的，但對(duì)于相同域目錄樹(shù)或林中的WiIN2K域，也可以顯式（手工）地創(chuàng)建傳遞信任關(guān)系。這對(duì)于形成交叉鏈接信任關(guān)系是非常重要的。不傳遞信任關(guān)系受關(guān)系中兩個(gè)域的約束，并且不經(jīng)父域向上傳遞到域目錄樹(shù)中的下一個(gè)域。必須顯式地創(chuàng)建不傳遞信任關(guān)系。默認(rèn)情況下，不傳遞信任關(guān)系是單向的，盡管也可以通過(guò)創(chuàng)建兩個(gè)單向信任關(guān)系創(chuàng)建一個(gè)雙向關(guān)系。所有不屬于相同域目錄樹(shù)或林中WiIN2K 域間建立的委托關(guān)系都是不傳遞的。所有WiIN2K域和WINNT域之間的委托關(guān)系都是不傳遞的，這一點(diǎn)對(duì)于一個(gè)企業(yè)同時(shí)使用WIN2K和WINNT域控制器時(shí)應(yīng)特別注意，當(dāng)從 WindowsNT升級(jí)到WiIN2K時(shí)，所有已現(xiàn)有的WindowsNT信任關(guān)系都將保持不變。在混合模式的網(wǎng)絡(luò)中，所有WindowsNT信任關(guān)系都是不傳遞的。WiIN2K 域和WINNT域目錄林中的WIN2K域和另一目錄林中的WIIN2K域WIN2K域和MITKerberosV5領(lǐng)域單向單向信任關(guān)系是單獨(dú)的委托關(guān)系。雙向信任關(guān)系包括一對(duì)單向委托關(guān)系，所有傳遞信任關(guān)系都是雙向的。為使不傳遞信任關(guān)系成為雙向，必須在所涉及的域間創(chuàng)建兩個(gè)單向信任關(guān)系。

2、 組織單元（OU）

組織單元（OU）是一個(gè)容器對(duì)象，它也是活動(dòng)目錄的邏輯結(jié)構(gòu)的一部分，我們可以把域中的對(duì)象組織成邏輯組，它可以幫助我們簡(jiǎn)化管理工作。OU可以包含各種對(duì)象，比如用戶(hù)賬戶(hù)、用戶(hù)組、計(jì)算機(jī)、打印機(jī)等，甚至可以包括其他的OU，所以我們可以利用OU把域中的對(duì)象形成一個(gè)完全邏輯上的層次結(jié)構(gòu)。對(duì)于企業(yè)來(lái)講，可以按部門(mén)把所有的用戶(hù)和設(shè)備組成一個(gè)OU層次結(jié)構(gòu)，也可以按地理位置形成層次結(jié)構(gòu)，還可以按功能和權(quán)限分成多個(gè)OU層次結(jié)構(gòu)。很明顯，通過(guò)組織單元的包容，組織單元具有很清楚的層次結(jié)構(gòu)，這種包容結(jié)構(gòu)可以使管理者把組織單元切入到域中以反應(yīng)出企業(yè)的組織結(jié)構(gòu)并且可以委派任務(wù)與授權(quán)。建立包容結(jié)構(gòu)的組織模型能夠幫助我們解決許多問(wèn)題，同時(shí)仍然可以使用大型的域、域樹(shù)中每個(gè)對(duì)象都可以顯示在全局目錄，從而用戶(hù)就可以利用一個(gè)服務(wù)功能輕易地找到某個(gè)對(duì)象而不管它在域樹(shù)結(jié)構(gòu)中的位置。

由于OU層次結(jié)構(gòu)局限于域的內(nèi)部，所以一個(gè)域中的OU層次結(jié)構(gòu)與另一個(gè)域中的OU層次結(jié)構(gòu)沒(méi)有任何關(guān)系。因?yàn)榛顒?dòng)目錄中的域可以比NT4的域容納更多對(duì)象，所以一個(gè)企業(yè)有可能只用一個(gè)域來(lái)構(gòu)造企業(yè)網(wǎng)絡(luò)，這時(shí)候我們就可以使用OU 來(lái)對(duì)對(duì)象進(jìn)行分組，形成多種管理層次結(jié)構(gòu)，從而極大地簡(jiǎn)化網(wǎng)絡(luò)管理工作。組織中的不同部門(mén)可以成為不同的域，或者一個(gè)組織單元，從而采用層次化的命名方法來(lái)反映組織結(jié)構(gòu)和進(jìn)行管理授權(quán)。順著組織結(jié)構(gòu)進(jìn)行顆粒化的管理授權(quán)可以解決很多管理上的頭疼問(wèn)題，在加強(qiáng)中央管理的同時(shí)，又不失機(jī)動(dòng)靈活性。

WINNT4.0中的很多域都可以成為OU，建立起更大的域和更簡(jiǎn)化的域關(guān)系，借助全局目錄(GlobalCatalog)，用戶(hù)和管理員仍然能夠迅速地找到對(duì)象和管理對(duì)象。 WIN2K可以在現(xiàn)存的WINNT4.0的環(huán)境中工作，保護(hù)現(xiàn)有的投資。