域账户是域的网络对象的分组。例如:用户、组和计算机。域中所有的对象都存储在 Active Directory 下。Active Directory 可以常驻在某个域中的一个或多个
域控制器下。
为保证数据库的同步,包括安全信息的 Active Directory 会定期复制到域中每个
域控制器。
Windows NT 4.0 限制了目录可以存储的
用户帐户的个数。因此,为了适应大计算环境的需要,创建和管理多个域而且每个都拥有自己的
用户帐户目录对于单位来说就非常必要了。域通常按以下两种类型进行组织:主域(存储用户和组的帐户)和资源域(存储文件、打印机、
应用程序服务等等)。
通过扩大存储用户、组和计算机帐户的能力,Active Directory 可实现多个域的功能,因此取而代之。通过 Active Directory,
系统管理员可以把跨越多个域的所有帐户(过去必须存储在主域中)和所有资源(过去必须存储在资源域中)合并到单个域中。出于管理目的,
系统管理员可以在域中将对象分组到不同组织单位 (OU) 中以维持对象的逻辑分组。然而,在某些情况下,您出于策略原因可能希望保留多个域。
当您将对象从多个域转到单个域时,会降低必须建立和保持的域信任关系的数量。同样,将域合并成单个
域林时,这些域将自动建立可转移的信任关系,减少了在域之间手动建立信任关系所需的数量。要访问域林中所有其他域,每个域同域林中的另一个域只需要一个信任关系。