Los dominios son unidades de replicación. Todos los controladores de dominio de un dominio concreto pueden admitir cambios y replicar esos cambios en los demás controladores del dominio. Cada dominio de los Servicios de dominio de Active Directory (AD DS) se identifica mediante un nombre de dominio del Sistema de nombres de dominio (DNS). Cada dominio requiere uno o varios controladores de dominio. Si una red requiere varios dominios, éstos se pueden crear fácilmente.
Uno o varios dominios que comparten el mismo esquema y catálogo global se conocen como bosque. El primer dominio de un bosque se denomina dominio raíz del bosque. Si varios dominios del bosque tienen nombres de dominio DNS contiguos, la estructura se denomina árbol de dominios.
Un dominio puede abarcar varias ubicaciones físicas o sitios y puede contener millones de objetos. La estructura de sitios y la estructura de dominios son independientes y flexibles. Un dominio puede abarcar varias ubicaciones geográficas. Un sitio puede incluir usuarios y equipos que pertenecen a varios dominios.
Un dominio ofrece varias ventajas:
-
Los objetos se pueden organizar.
No es necesario crear dominios independientes solo para reflejar la organización de divisiones y departamentos de una empresa. Para este fin, dentro de un dominio se pueden usar unidades organizativas (OU). Las unidades organizativas simplifican la administración de las cuentas y los recursos del dominio. Posteriormente se puede asignar la configuración de la directiva de grupo y colocar los usuarios, grupos y equipos dentro de las unidades organizativas. El uso de un solo dominio simplifica enormemente el trabajo administrativo. Para obtener más información, vea Administración de unidades organizativas.
-
Se pueden publicar recursos e información sobre los objetos de dominio.
Un dominio almacena información sólo para los objetos que se encuentran en ese dominio. Por lo tanto, al crear varios dominios se particiona o segmenta el directorio para administrar mejor un conjunto de usuarios diverso. Al usar varios dominios, se puede ajustar AD DS para que incluya un gran número de objetos y se adecue a unas necesidades concretas de administración y publicación de directorios.
-
Al delegar la autoridad ya no es necesario disponer de varios administradores con una autoridad administrativa amplia.
El uso combinado de la autoridad delegada y los objetos de directiva de grupo y las pertenencias a grupos permite asignar a un administrador derechos y permisos para administrar los objetos de un dominio completo o de una o varias unidades organizativas del dominio.
-
La configuración y las directivas de seguridad (como los derechos de usuario y las directivas de contraseñas) no se transfieren entre los dominios.
Cada dominio tiene sus propias directivas de seguridad y relaciones de confianza con otros dominios. Sin embargo, el bosque es el límite de seguridad máximo.