域是网络对象的分组。例如：用户、组和计算机。域中所有的对象都存储在 Active Directory 下。Active Directory 可以常驻在某个域中的一个或多个域控制器下。

每个域都是一个安全界限，这意味着安全策略和设置（例如系统管理权利、安全策略和访问控制表）不能跨越不同的域。特定域的系统管理员有权设置仅属于该域的策略。

由于每个域都是一个安全壁垒，因此不同的系统管理员可以在单位中创建和管理不同的域。

理解域的关键是：

安全策略可以贯穿整个域来实现。

为保证数据库的同步，包括安全信息的 Active Directory 会定期复制到域中每个域控制器。

Active Directory 中的对象可以按组织单位的不同级别进行组织和管理。

可转移的信任关系可以建立在域树中的域之间。

有关域的详细信息，请参阅了解域。

Windows NT 4.0 限制了目录可以存储的用户帐户的个数。因此，为了适应大计算环境的需要，创建和管理多个域而且每个都拥有自己的用户帐户目录对于单位来说就非常必要了。域通常按以下两种类型进行组织：主域（存储用户和组的帐户）和资源域（存储文件、打印机、应用程序服务等等）。

这种多域的计算环境被称为多主域模式。多主域模式意味着资源域需要与所有的主域具有多个信任关系。这些信任关系允许主域的用户访问资源域中的资源。

通过扩大存储用户、组和计算机帐户的能力，Active Directory 可实现多个域的功能，因此取而代之。通过 Active Directory，系统管理员可以把跨越多个域的所有帐户（过去必须存储在主域中）和所有资源（过去必须存储在资源域中）合并到单个域中。出于管理目的，系统管理员可以在域中将对象分组到不同组织单位 (OU) 中以维持对象的逻辑分组。然而，在某些情况下，您出于策略原因可能希望保留多个域。

当您将对象从多个域转到单个域时，会降低必须建立和保持的域信任关系的数量。同样，将域合并成单个域林时，这些域将自动建立可转移的信任关系，减少了在域之间手动建立信任关系所需的数量。要访问域林中所有其他域，每个域同域林中的另一个域只需要一个信任关系。

有关管理信任关系的详细信息，请参阅信任。

域中的服务器担当下面的其中一种角色：

域控制器运行 Active Directory 并且提供身份验证和策略。

成员服务器提供类似于文件、打印和应用程序服务等服务。

有关域控制器和成员服务器的详细信息，请参阅服务器角色。