Логическая структура AD DS
Логическая структура AD DS позволяет масштабировать ее так, чтобы она охватывала и небольшие офисы, и крупные международные организации. Встроенная возможность детализации обязанностей, связанных с администрированием, позволяет предоставлять управление только конкретным группам или пользователям. Назначение прав на выполнение администрирования по принципу "все или ничего" больше не практикуется.
AD DS во многом следует модели каталогов Х.500, но обладает и рядом собственных характеристик. Многие уже привыкли к лесам и деревьям AD DS, и некоторые ограничения, которые ранее существовали в Windows 2000 Server и Windows Server 2003, теперь устранены.
Домены в AD DS служат своего рода границами административной безопасности для объектов и содержат собственные политики безопасности. Важно помнить о том, что домены представляют собой логическую организацию объектов и могут охватывать множество физических мест. Следовательно, создавать множество доменов для различных удаленных офисов или сайтов больше не требуется, поскольку вопросы репликации и безопасности теперь гораздо удобнее решать за счет использования либо сайтов AD DS, либо серверов RODC (Read-Only Domain Controllers — контроллеры домена с доступом только для чтения).
Деревья доменов AD DS
Дерево AD DS состоит из нескольких доменов, соединенных двунаправленными транзитивными отношениями доверия. Каждый домен в дереве AD DS использует общую схему и глобальный каталог. Транзитивные отношения доверия устанавливается автоматически.
Все входящие в состав дерева домены используют общее пространство имен, но содержат механизмы защиты, ограничивающие доступ из других доменов. Другими словами, у администратора домена 1 может быть относительный контроль над всем его доменом, а пользователи из домена 2 или 3 могут не иметь полномочий на получение доступа к его ресурсам.