Les domaines sont des unités de réplication. Tous les contrôleurs de domaine d’un domaine particulier peuvent faire l’objet de modifications et répliquer celles-ci à tous les autres contrôleurs de domaine du domaine. Chaque domaine des services de domaine Active Directory (AD DS) est identifié par un nom de domaine DNS (Domain Name System). Chaque domaine nécessite un ou plusieurs contrôleurs de domaine. Si votre réseau nécessite plus d’un domaine, vous pouvez en créer facilement plusieurs.
Une forêt désigne un ou plusieurs domaines partageant un schéma et un catalogue global communs. Le premier domaine d’une forêt s’appelle le domaine racine de la forêt. Si plusieurs domaines de la forêt ont des noms de domaine DNS contigus, la structure s’appelle une arborescence de domaine.
Un domaine unique peut inclure plusieurs emplacements ou sites physiques et contenir des millions d’objets. La structure du site et la structure du domaine sont séparées et flexibles. Un domaine unique peut s’étendre sur plusieurs sites géographiques et un site unique peut inclure des utilisateurs et des ordinateurs appartenant à plusieurs domaines.
Un domaine présente plusieurs avantages :
-
Vous pouvez organiser des objets.
Il n’est pas nécessaire de créer des domaines séparés uniquement pour refléter l’organisation des divisions et des départements de votre entreprise. Dans un domaine, vous pouvez utiliser des unités d’organisation à cette fin. L’utilisation d’unités d’organisation vous permet de gérer les comptes et les ressources dans le domaine. Vous pouvez ensuite affecter les paramètres de stratégie de groupe et placer des utilisateurs, des groupes et des ordinateurs dans les unités d’organisation. L’utilisation d’un domaine unique simplifie nettement la charge administrative. Pour plus d’informations, voir Gestion des unités d’organisation.
-
Vous pouvez publier des ressources et des informations sur des objets de domaine.
Un domaine stocke des informations uniquement pour les objets appartenant à ce domaine. Par conséquent, la création de plusieurs domaines vous permet de partitionner ou de segmenter l’annuaire pour mieux servir une base d’utilisateurs divers. Si vous utilisez plusieurs domaines, vous pouvez adapter AD DS pour répondre à vos exigences en matière d’administration et de publication d’annuaire.
-
Déléguer l’autorité élimine la nécessité de faire appel à un nombre d’administrateurs ayant une autorité administrative importante.
En utilisant l’autorité déléguée conjointement avec les objets de stratégie de groupe et les appartenances au groupe, vous pouvez attribuer à un administrateur les droits et les autorisations pour gérer des objets dans l’ensemble d’un domaine ou dans une ou plusieurs unités d’organisation au sein du domaine.
-
Les stratégies et les paramètres de sécurité (par exemple, les droits d’utilisateur et les stratégies de mot de passe) ne se chevauchent pas d’un domaine à l’autre.
Chaque domaine possède ses propres stratégies de sécurité et ses propres relations d’approbation avec les autres domaines. Cependant, la forêt est la la limite de sécurité finale.
-
Chaque domaine stocke des informations uniquement pour les objets lui appartenant.
En partitionnant l’annuaire de cette manière, AD DS peut intégrer un très grand nombre d’objets.