ドメインはレプリケーションの単位です。特定のドメイン内にあるすべてのドメイン コントローラーは、変更を受け取って、それらの変更をドメイン内にある他のすべてのドメイン コントローラーにレプリケートできます。Active Directory ドメイン サービス (AD DS) の各ドメインは、ドメイン ネーム システム (DNS) のドメイン名で識別されます。各ドメインに 1 つ以上のドメイン コントローラーが必要です。ネットワーク内に複数のドメインが必要な場合は、複数のドメインを簡単に作成できます。
共通のスキーマとグローバル カタログを共有するドメインは、フォレストと呼ばれます。フォレスト内の最初のドメインが、フォレスト ルート ドメインになります。フォレスト内の複数のドメインに連続した DNS ドメイン名が付けられている場合、この構造はドメイン ツリーと呼ばれます。
1 つのドメインが複数の物理的な場所やサイトにまたがり、そのドメイン内に何百万ものオブジェクトが含まれることもあります。サイト構造とドメイン構造は別個のものであり、柔軟性を持っています。1 つのドメインが地理的に異なる複数のサイトにまたがることがあります。複数のドメインに属するユーザーやコンピューターが 1 つのサイトに含まれることもあります。
ドメインには次のようないくつかの利点があります。
-
オブジェクトを整理できます。
企業内のさまざまな事業部や部門を表すためだけに、複数の別個のドメインを作成する必要はありません。この場合は、1 つのドメイン内で複数の組織単位 (OU) を使用します。OU を使用すると、そのドメイン内のアカウントやリソースの管理が容易になります。OU にグループ ポリシー設定を割り当て、それらの OU にユーザー、グループ、およびコンピューターを指定できます。単一のドメインを使用することによって、管理にかかわるオーバーヘッドが大幅に簡略化されます。詳細については、「組織単位を管理する」を参照してください。
-
リソースやドメイン オブジェクトに関する情報を公開できます。
ドメインには、そのドメインに置かれたオブジェクトの情報だけが格納されます。そのため、複数のドメインを作成する場合は、ディレクトリをパーティション分割またはセグメント化することにより、ユーザー ベースのさまざまな部分をより効果的に処理できます。複数のドメインを使用するときには、AD DS を拡大して非常に多数のオブジェクトを含めて、管理要件やディレクトリ公開要件に対応できます。
-
権限を委任すると、さまざまな管理権限を持つ複数の管理者を置く必要がなくなります。
権限の委任とグループ ポリシー オブジェクトやグループ メンバーシップを組み合わせて、管理者権限やアクセス許可を割り当てることにより、ドメイン全体に含まれるオブジェクト、またはドメイン内の 1 つ以上の OU に含まれるオブジェクトを管理できます。
-
ユーザー権利やパスワード ポリシーなどのセキュリティ ポリシーおよびセキュリティ設定が、ドメインごとに適用されます。
ドメインごとにセキュリティ ポリシーが適用され、他のドメインとの信頼関係が設定されます。ただし、最終的なセキュリティ境界はフォレストです。