Domäner är replikeringsenheter. Alla domänkontrollanter i en viss domän kan ta emot ändringar och replikera de ändringarna till alla andra domänkontrollanter i domänen. Alla domäner i Active Directory Domain Services (AD DS) identifieras av ett DNS-namn (Domain Name System). Alla domäner måste ha en eller flera domänkontrollanter. Om ditt nätverk kräver mer än en domän, kan du enkelt skapa flera domäner.
En eller fler domäner som delar ett gemensamt schema och en global katalog kallas för en skog. Den första domänen i en skog kallas för skogsrotdomänen. Om flera domäner i skogen har sammanhängande DNS-domännamn, kallas strukturen för ett domänträd.
En enstaka domän kan sträcka sig över flera platser och innehålla miljontals objekt. Platsstruktur och domänstruktur är skilda begrepp och de är flexibla. En enstaka domän kan sträcka sig över flera geografiska platser och en enstaka plats kan omfatta användare och datorer som hör till flera domäner.
Det finns många fördelar med att använda en domän:
-
Du kan strukturera objekt.
Du behöver inte skapa flera domäner bara för att du vill avspegla företagets uppdelning i divisioner och avdelningar. För det ändamålet kan du inom en domän använda organisationsenheter. Med hjälp av organisationsenheter kan du hantera domänens konton och resurser. Därefter kan du tilldela Grupprincip-inställningar och fördela användare, grupper och datorer i de olika organisationsenheterna. Att bara använda en enda domän förenklar administrationen väsentligt. Mer information hittar du i Hantera organisationsenheter.
-
Du kan publicera resurser och information om domänobjekt.
En domän lagrar bara information om de objekt som finns i domänen. Genom att skapa flera domäner partitionerar du eller segmenterar katalogen, så att den på bättre vis kan stödja en spridd användarbas. När du använder flera domäner kan du skala upp AD DS för att möta dina administrations- och katalogpubliceringsbehov.
-
Genom att delegera behörigheter eliminerar du behovet av flera administratörer med omfattande behörigheter.
Genom att kombinera delegerad auktoritet med Grupprincip-objekt och gruppmedlemskap kan du tilldela administratörsrättigheter och behörigheter att hantera objekt i en hel domän eller i en eller flera organisationsenheter inom domänen.
-
Säkerhetsprinciper och säkerhetsinställningar (som användarrättigheter och lösenordsprinciper) har ingen effekt utanför den egna domänen.
Varje domän har sina egna säkerhetsprinciper och förtroenderelationer med andra domäner. Skogen är emellertid den slutgiltiga säkerhetsgränsen.
-
Varje domän lagrar bara information om de objekt som finns i den domänen.
Genom att katalogen delas upp på det här viset kan AD DS skalas upp till att rymma väldigt många objekt.