Domeny są jednostkami replikacji. Wszystkie kontrolery domeny w określonej domenie mogą odbierać zmiany i replikować je na pozostałych kontrolerach domeny w tej domenie. Każda domena w Usługach domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services) ma własną nazwę w systemie DNS (Domain Name System). Każda domena wymaga jednego lub kilku kontrolerów domeny. Jeśli sieć wymaga więcej niż jednej domeny, można z łatwością utworzyć wiele domen.
Jedną lub kilka domen korzystających ze wspólnego schematu i wykazu globalnego nazywamy lasem. Pierwsza domena w lesie nosi nazwę domeny katalogu głównego lasu. Jeśli wiele domen w lesie ma sąsiednie nazwy DNS domeny, ich struktura jest nazywana drzewem domen.
Pojedyncza domena może obejmować wiele lokalizacji fizycznych lub lokacji i może zawierać miliony obiektów. Struktury lokacji i domeny są rozdzielne i elastyczne. Pojedyncza domena może obejmować wiele lokacji geograficznych. Pojedyncza lokacja może uwzględniać użytkowników i komputery należące do wielu domen.
Domena ma wiele zalet:
-
Umożliwia organizowanie obiektów.
Nie ma konieczności tworzenia osobnych domen jedynie w celu odzwierciedlenia organizacji działów i oddziałów firmy. W tym celu można utworzyć w domenie jednostki organizacyjne. Korzystanie z jednostek organizacyjnych ułatwia zarządzanie kontami i zasobami w domenie. Następnie można przypisać ustawienia zasad grupy i umieścić użytkowników, grupy i komputery w jednostkach organizacyjnych. Korzystanie z pojedynczej domeny znacznie upraszcza administrację. Aby uzyskać więcej informacji, zobacz temat Zarządzanie jednostkami organizacyjnymi.
-
Umożliwia publikowanie zasobów i informacji o obiektach domeny.
W domenie są przechowywane jedynie informacje o obiektach umieszczonych w danej domenie. Dlatego też utworzenie wielu domen powoduje podzielenie katalogu na partycje lub segmenty, które można niezależnie od siebie dostosowywać do potrzeb różnych grup użytkowników. W przypadku korzystania z wielu domen można skalować usługi AD DS do obsługi dużej liczby obiektów w celu uwzględnienia aktualnych wymagań w zakresie administracji i publikowania katalogów.
-
Możliwość delegowania uprawnień eliminuje zapotrzebowanie na wielu administratorów z szerokimi uprawnieniami administracyjnymi.
Delegowanie uprawnień w połączeniu ze stosowaniem obiektów zasad grupy i określaniem członkostwa grup umożliwia przypisanie praw administratora i uprawnień do zarządzania obiektami w całej domenie albo w jednej lub kilku jednostkach organizacyjnych wewnątrz domeny.
-
Zasady i ustawienia zabezpieczeń (takie jak prawa użytkownika i zasady haseł) nie przechodzą z jednej domeny do drugiej.
Każda domena ma własne zasady zabezpieczeń i relacje zaufania z innymi domenami. Jednak ostateczną granicę zabezpieczeń wyznacza las.