I domini sono unità di replica. Tutti i controller di dominio di un determinato dominio possono ricevere modifiche e replicarle in tutti gli altri controller di dominio del dominio. Ogni dominio di Servizi di dominio Active Directory è identificato da un nome di dominio Domain Name System (DNS). Ogni dominio richiede uno o più controller di dominio. Se la rete necessita più di un dominio, è possibile crearli facilmente.
Uno o più domini che condividono lo stesso schema e lo stesso catalogo globale vengono definiti foresta. Il primo dominio di una foresta è detto dominio radice della foresta. Se più domini nella foresta dispongono di nomi di dominio DNS contigui, la struttura viene detta albero di dominio.
Un solo dominio può estendersi su più posizioni fisiche o siti e contenere milioni di oggetti. La struttura del sito e del dominio sono separate e flessibili. Un solo dominio può estendersi su più siti geografici e un solo sito può comprendere utenti e computer appartenenti a più domini.
Un dominio può garantire diversi vantaggi:
-
Organizzazione degli oggetti.
Non è necessario creare domini separati solo per riflettere le divisioni e i reparti in cui è organizzata la società, ma all'interno di un dominio è possibile utilizzare a questo scopo le unità organizzative per gestire più facilmente gli account e le risorse del dominio. È quindi possibile assegnare impostazioni dei criteri di gruppo e inserire utenti, gruppi e computer nelle unità organizzative. L'utilizzo di un solo dominio semplifica enormemente l'overhead amministrativo. Per ulteriori informazioni, vedere Gestire unità organizzative.
-
Pubblicazione di risorse e informazioni sugli oggetti del dominio.
Un dominio consente di archiviare informazioni solo per gli oggetti che contiene. La creazione di più domini corrisponde quindi al partizionamento o alla segmentazione della directory e risponde in modo migliore alle esigenze di utenti diversi. Utilizzando più domini, è possibile ridimensionare Servizi di dominio Active Directory in base ai propri requisiti amministrativi e di pubblicazione delle directory.
-
La delega dell'autorità elimina la necessità di avere molti amministratori con autorità amministrativa molto vasta.
Se si utilizza l'autorità delegata con gli oggetti Criteri di gruppo e le appartenenze ai gruppi, è possibile assegnare a un amministratore diritti e autorizzazioni per la gestione degli oggetti di un intero dominio o di una o più unità organizzative del dominio.
-
I criteri di sicurezza e le impostazioni, ad esempio i diritti utente e i Criteri password, sono validi in un solo dominio.
Ogni dominio dispone di propri criteri di sicurezza e relazioni di trust con altri domini. La foresta rimane comunque il limite di sicurezza finale.
-
Ogni dominio consente di archiviare solo le informazioni relative agli oggetti che contiene.
Con una partizione della directory di questo tipo, Servizi di dominio Active Directory consente il ridimensionamento a un numero di oggetti molto vasto.