In Windows 2000, un dominio definisce un limite amministrativo per un insieme di oggetti rilevanti per un gruppo specifico di utenti su una rete. Un dominio è un limite amministrativo perché i privilegi amministrativi non si estendono ad altri domini e perché ogni dominio ha una politica di sicurezza che si estende a tutti gli account di sicurezza all’interno del dominio.
Active Directory archivia le informazioni sugli oggetti in uno o più domini.
I domini possono essere organizzati in relazioni padre-figlio per formare una gerarchia. Un dominio padre è il dominio direttamente superiore nella gerarchia a uno o più domini subordinati o figli. Un dominio figlio può anche essere il genitore di uno o più domini figlio, come mostrato nella Figura 1.1.
Figura 1.1 Esempio di una gerarchia di domini
Questa struttura gerarchica è una modifica rispetto alla struttura del dominio semplice di Microsoft® Windows NT® versione 4.0 e Microsoft® Windows NT® versione 3.51.
La gerarchia di domini di Windows 2000 consente di eseguire ricerche in più domini in un’unica query poiché ogni livello della gerarchia dispone di informazioni sui livelli immediatamente superiori e inferiori. Queste informazioni sulla gerarchia eliminano la necessità di conoscere la posizione di un particolare oggetto per poterlo trovare. In Windows NT 4.0 e versioni precedenti, è necessario conoscere sia il dominio che il server in cui si trova l’oggetto per trovarlo.