In conformità con gli standard di denominazione DNS, i domini Active Directory vengono creati in una struttura ad albero invertita, con la radice in alto. Inoltre, questa gerarchia di domini di Windows 2000 si basa su relazioni di trust, ovvero i domini sono collegati da relazioni di trust tra domini.
Nota
Le relazioni di trust tra domini predefinite vengono create dal sistema durante la creazione del controller di dominio. Il numero di relazioni di trust necessarie per connettere n domini è n –1, indipendentemente dal fatto che i domini siano collegati in un’unica gerarchia padre-figlio contigua o che costituiscano due o più gerarchie padre-figlio contigue separate.
Quando è necessario che i domini della stessa organizzazione abbiano spazi dei nomi diversi, creare un albero separato per ogni spazio dei nomi. In Windows 2000, le radici degli alberi sono collegate automaticamente da relazioni di trust transitive bidirezionali. Gli alberi legati da relazioni di fiducia formano una foresta Un singolo albero che non è correlato ad altri alberi costituisce una foresta di un albero.
Le strutture ad albero per l’intera foresta di Windows 2000 sono archiviate in Active Directory sotto forma di relazioni padre-figlio e albero-radice. Queste relazioni vengono archiviate come oggetti account di attendibilità (classe trustedDomain ) nel contenitore di sistema all’interno di una partizione di directory di dominio specifica.
Per ogni dominio in una foresta, le informazioni sulla sua connessione a un dominio padre (o, nel caso di una radice dell’albero, a un altro dominio radice dell’albero) vengono aggiunte ai dati di configurazione che vengono replicati in ogni dominio nella foresta.
Pertanto, ogni controller di dominio nella foresta ha conoscenza della struttura ad albero per l’intera foresta, inclusa la conoscenza dei collegamenti tra gli alberi. È possibile visualizzare la struttura ad albero in Active Directory Domain Tree Manager.
La struttura di Active Directory (AD) può essere suddivisa logicamente in tre diverse entità: i domini, gli alberi e le foreste.
Un dominio rappresenta un insieme di macchine connesse fra di loro e che condividono un directory database comune, in cui sono inseriti gli oggetti. I domini sono identificati in base alla struttura del loro nome DNS, il namespace.
Un albero è l’insieme di uno o più domini che condividono uno spazio di nomi contiguo. Tali domini sono collegati fra loro in modo gerarchico e i diversi controllori di dominio possono scambiarsi informazioni reciprocamente in quella che viene definita una relazione di fiducia transitiva (transitive trust relationship).
Al livello più alto della struttura viene definita la foresta, ovvero l’insieme di alberi presenti nella directory. Questi alberi condividono fra loro un catalogo globale, uno schema di directory, una struttura logica ed una configurazione. La foresta rappresenta perciò l’area in cui utenti, computer, gruppi ed altri oggetti sono accessibili.
In una foresta composta da più domini, il server che esegue il dominio su cui è stata installata la struttura di AD principale (ovvero quella di più alto livello) viene chiamato controller di dominio primario (Primary Domain Controller).
Unità organizzative
Gli oggetti Active Directory presenti all’interno di un dominio possono essere raggruppati fra loro in unità organizzative (Organizational Units – OUs). Utilizzando queste strutture è possibile formare una gerarchia all’interno del dominio e facilitarne così l’amministrazione, ad esempio suddividendo la struttura in termini geografici. Le unità organizzative sono il livello raccomandato per realizzare politiche di gestione dei gruppi, i quali sono oggetti Active Directory chiamati ufficialmente Group Policy Objects (GPOs), e per la delegazione di poteri amministrativi.
Le unità organizzative rappresentano in ogni caso una semplice astrazione realizzabile per scopi amministrativi e non forniscono perciò un contenitore fisico di oggetti. In questo contesto non è possibile definire ad esempio un account utente con lo stesso nome in due unità organizzative appartenenti allo stesso dominio, poiché la visibilità effettiva è sempre limitata al dominio prescelto e non alle unità organizzative in esso contenute.