Les domaines sont des unités de réplication. Tous les contrôleurs de domaine d’un domaine particulier peuvent faire l’objet de modifications et répliquer celles-ci sur tous les autres contrôleurs de domaine du domaine. Chaque domaine des services de domaine Active Directory (AD DS) est identifié par un nom de domaine DNS (Domain Name System). Chaque domaine nécessite un ou plusieurs contrôleurs de domaine. Si votre réseau nécessite plus d’un domaine, vous pouvez en créer facilement plusieurs.
Une forêt désigne un ou plusieurs domaines partageant un schéma et un catalogue global communs. Le premier domaine d’une forêt s’appelle le domaine racine de la forêt. Si plusieurs domaines de la forêt ont des noms de domaine DNS contigus, la structure s’appelle une arborescence de domaine.
Un domaine unique peut inclure plusieurs emplacements ou sites physiques et contenir des millions d’objets. La structure du site et la structure du domaine sont séparées et flexibles. Un domaine unique peut s’étendre sur plusieurs sites géographiques. Un site unique peut inclure des utilisateurs et des ordinateurs appartenant à plusieurs domaines.
Un domaine présente plusieurs avantages :
-
Vous pouvez organiser des objets.
Il n’est pas nécessaire de créer des domaines séparés uniquement pour refléter l’organisation des divisions et des départements de votre entreprise. Dans un domaine, vous pouvez utiliser des unités d’organisation à cette fin. L’utilisation d’unités d’organisation vous permet de gérer les comptes et les ressources dans le domaine. Vous pouvez ensuite affecter les paramètres de stratégie de groupe et placer des utilisateurs, des groupes et des ordinateurs dans les unités d’organisation. L’utilisation d’un domaine unique simplifie nettement la charge administrative. Pour plus d’informations, voir Gestion des unités d’organisation.
-
Vous pouvez publier des ressources et des informations sur des objets de domaine.
Un domaine stocke des informations uniquement pour les objets appartenant à ce domaine. Par conséquent, lorsque vous créez plusieurs domaines, vous partitionnez ou segmentez l’annuaire pour mieux servir plusieurs parties de votre base d’utilisateurs. Si vous utilisez plusieurs domaines, vous pouvez adapter AD DS afin d’inclure un nombre élevé d’objets pour répondre à vos exigences en matière d’administration et de publication d’annuaire.
-
Déléguer l’autorité élimine la nécessité de faire appel à un nombre d’administrateurs ayant une autorité administrative importante.
En utilisant l’autorité déléguée conjointement avec les objets de stratégie de groupe et les appartenances au groupe, vous pouvez attribuer à un administrateur les droits et les autorisations pour gérer des objets dans l’ensemble d’un domaine ou dans une ou plusieurs unités d’organisation au sein du domaine.
-
Les stratégies et les paramètres de sécurité (par exemple, les droits d’utilisateur et les stratégies de mot de passe) ne se chevauchent pas d’un domaine à l’autre.
Chaque domaine possède ses propres stratégies de sécurité et ses propres relations d’approbation avec les autres domaines. Cependant, la forêt est la limite de sécurité finale.