Os domínios são unidades de replicação. Todos os controladores de domínio em um determinado domínio podem receber alterações e replicá-las em todos os outros controladores no domínio. Cada domínio nos Serviços de Domínio Active Directory (AD DS) é identificado por um nome de domínio do sistema de nome de domínio (DNS). Cada domínio requer um ou mais controladores de domínio. Se a sua rede exigir mais de um domínio, você poderá criar facilmente vários domínios.
Um ou mais domínios que compartilham um esquema comum e um catálogo global são considerados uma floresta. O primeiro domínio em uma floresta é denominado domínio raiz da floresta. Se vários domínios na floresta têm nomes de domínio DNS contíguos, a estrutura é denominada árvore de domínio.
Um único domínio pode incluir vários sites ou locais físicos e conter milhões de objetos. As estruturas do site e do domínio são separadas e flexíveis. Um único domínio pode incluir vários locais geográficos e um único local pode incluir usuários e computadores que pertencem a vários domínios.
Um domínio oferece várias vantagens:
-
Você pode organizar os objetos.
Você não precisa criar domínios separados somente para refletir a organização da empresa em divisões e departamentos. Em um domínio, você pode usar unidades organizacionais (OUs) para isso. O uso de OUs o ajuda a gerenciar as contas e os recursos no domínio. Você pode então atribuir as configurações de Diretiva de Grupo e inserir usuários, grupos e computadores nas OUs. O uso de um único domínio diminui bastante a sobrecarga administrativa. Para obter mais informações, consulte Gerenciando unidades organizacionais.
-
Você pode publicar recursos e informações sobre objetos de domínio.
Um domínio só armazena informações sobre os objetos que estiverem localizados nele. Portanto, ao criar vários domínios, você particiona ou segmenta o diretório para servir melhor a uma base de usuários diversificada. Quando você usa vários domínios, pode dimensionar o AD DS para acomodar seus requisitos administrativos e de publicação de diretórios.
-
A delegação de autoridade elimina a necessidade de ter vários administradores com autoridade administrativa ampla.
Usando a autoridade delegada com objetos de Diretiva de Grupo e associações de grupo, você pode atribuir a um administrador direitos e permissões para gerenciar objetos em todo o domínio ou em uma ou mais OUs dentro do domínio.
-
As diretivas e configurações de segurança (como os direitos de usuário e as diretivas de senha) não são passadas de um domínio para outro.
Cada domínio tem suas próprias diretivas de segurança e relações de confiança com outros domínios. No entanto, a floresta é o limite de segurança final.
-
Cada domínio armazena apenas as informações sobre os objetos localizados nele.
Particionando o diretório dessa maneira, o AD DS pode ser dimensionado para um grande número de objetos.