Active Directory (簡稱AD) 在內網網域環境中提供存儲各種物件資訊的服務,相關物件包含使用者(user)、群組(group)、電腦(computer)、共享資源、印表機(printer)等。此服務幫助使用者快速並且準確地AD中找到其所需要的資訊,為企業網路提供了集中式的管理機制。
在 AD 中,管理員只需要考慮到將被管理的物件放入邏輯結構中,就能有效率地進行管理。AD 中的邏輯結構包含組織單元(Organization Unit,簡稱OU)、Domain、Domain Tree、Domain Forest。Domain Tree中的所有子網域共享一個 AD,這個 AD 內的資料分散儲存在各個子網域中,且每個子網域只儲存該子網域內的資料。
一個具有安全邊界特性的電腦集合,即一個 Domain 的使用者無法存取另一個 Domain 的資源。使用者需要經過驗證才能存取 Domain 內的資源,而且使用者對 Domain 內的資源擁有什麼權限取決於使用者在 Domain 內的身分。
出於管理或其他需求,可以在一個 Domain 底下劃分出多個子網域(Child-Domain)。第一個 Domain 成為 Parent-Domain ,各分部的 Domain 稱為 Parent-Domain 的 Child-Domain。例如,可以為A公司的行銷部門、人資部門、市場部門、IT 部門各建一個 Child-Domain,將幾個 Child-Domain 構成的 Domain Tree 交給 A 公司管理。這樣做的好處就是各部門可以透過自己的 Domain 來管理自己的資源,不同的部門也可以適用不同 Child-Domain的群組策略(Group Policy)。
Domain Tree 是多個 Domain 透過建立 Domain Trust 組成的集合。Domain Trust 是連接不同Domain的橋樑,使得不同的 Domain 之間實現網路資源的共享、管理、通訊及資料傳輸。Domain Tree 內的 Parent-Domain 和 Child-Domain 不但可以按照需要互相管理,還可以跨 Domain 分配檔案與印表機等設備及資源。
在一個 Domain Tree 中,Parent-Domain 可以包含多個 Child-Domain。每個 Child-Domain 完整域名的後綴會帶有 Parent-Domain 的完整域名,如 a.local 是 sales.a.local 的 Parent-Domain、marketing.a.local 是 a.local 的 Child-Domain。也就是說在一個 Domain Tree 中,域名是有繼承性的。
Domain Forest 是指多個 Domain Tree 透過建立 Domain Trust 所組成的集合。假設 A 公司、B 公司、C 公司都屬於某集團,可以將三家公司的 Domain Tree 集中起來組成 Domain Forest,進行分層管理,使得企業網路具有極強的可擴充性,更便於組織管理。