багатодоменному мережі
· Одиночний домен - <10000 (NT3.5) или 26000 (NT4) пользователей, взаимное доверие между подразделениями; вариант: множество одиночных доменов;
· Головний домен - <10000 (NT3.5) или 26000 (NT4) пользователей. один домен является доверяемым для всех остальных, сам не доверяет никому, несет все пользовательские учетные записи; остальные домены могут доверять другдругу по необходимости.
Множинні головні домени: великі організації; кілька головних доменів, кожен з яких довіряє всім іншим головним доменів, всі головні домени є системами, що довіряють для всіх інших, а самі не довіряє жодному з субдоменів; добре масштабируема. Множинні довірчі відносини; кожен домен довіряє всім іншим; добре масштабируема.
Active Directory ( «Активні директорії», AD) - LDAP-сумісна реалізація служби каталогів корпорації Microsoft для операційних систем сімейства Windows NT. Active Directory дозволяє адміністраторам використовувати групові політики для забезпечення однаковості настройки користувальницької робочої середовища; розгортати програмне забезпечення на безлічі комп'ютерів через групові політики або за допомогою System Center Configuration Manager (раніше Microsoft Systems Management Server); встановлювати оновлення операційної системи, прикладного та серверного програмного забезпечення на всіх комп'ютерах в мережі, використовуючи Службу оновлення. Windows Server Active Directory зберігає дані і налаштування середовища в централізованій базі даних.
Об'єкти можуть бути вместилищами для інших об'єктів. Об'єкт унікально визначається своїм ім'ям і має набір атрибутів - характеристик та даних, які він може містити; останні, в свою чергу, залежать від типу об'єкта. Атрибути є складовою базою структури об'єкта і визначаються в схемі. Схема визначає, які типи об'єктів можуть існувати.
Сама схема складається з двох типів об'єктів: об'єкти класів схеми і об'єкти атрибутів схеми. Один об'єкт класу схеми визначає один тип об'єкта Active Directory (наприклад, об'єкт «Користувач»), а один об'єкт атрибута схеми визначає атрибут, який об'єкт може мати.
Кожен об'єкт атрибута може бути використаний в декількох різних об'єктах класів схеми. Ці об'єкти називаються об'єктами схеми (або метаданими) і дозволяють змінювати і доповнювати схему, коли це необхідно. Однак кожен об'єкт схеми є частиною визначень об'єктів Active Directory, тому відключення або зміна цих об'єктів можуть мати серйозні наслідки, так як в результаті цих дій буде змінена структура Active Directory. Зміна об'єкта схеми автоматично поширюється в Active Directory. Будучи одного разу створеним, об'єкт схеми не може бути знищено, він може бути тільки відключений. Зазвичай всі зміни схеми ретельно плануються.
Об'єкти в домені можуть бути згруповані в контейнери - підрозділи. Підрозділи дозволяють створювати ієрархію всередині домену, спрощують його адміністрування і дозволяють моделювати організаційну та / або географічну структури компанії в Active Directory. Підрозділи можуть містити інші підрозділи. Корпорація Microsoft рекомендує використовувати якомога менше доменів в Active Directory, а для структурування і політик використовувати підрозділи.
Іншим способом поділу Active Directory є сайти, які є способом фізичної (а не логічної) угруповання на основі маски підмережі. Сайти поділяються на що мають підключення по низькошвидкісних каналах (наприклад по каналах глобальних мереж, за допомогою віртуальних приватних мереж) і по високошвидкісних каналах (наприклад через локальну мережу). Сайт може містити один або декілька доменів, а домен може містити один або кілька сайтів.
При проектуванні Active Directory важливо враховувати мережевий трафік, що створюється при синхронізації даних між сайтами.
Фізична структура і реплікація. Фізично інформація зберігається на одному або декількох рівнозначних контролерах доменів, які замінили використовувалися в Windows NT основний і резервні контролери домену. Реплікація Active Directory виконується за запитом. Служба Knowledge Consistency Checker створює топологію реплікації, яка використовує сайти, визначені в системі, для управління трафіком. Внутрісайтовая реплікація виконується часто і автоматично за допомогою засобу перевірки узгодженості (повідомленням партнерів по реплікації про зміни).