參見至維基百科：Activenbsp;Directory （AD ）的結構是一種由對象構成的分級框架結構。其中的對象分為三大類——資源（如印表機）、服務（如電子郵件）、和人物（即帳戶或用戶，以及組）。

參見至維基百科：Activenbsp;Directory （AD ）的結構是一種由對象構成的分級框架結構。其中的對象分為三大類——資源（如印表機）、服務（如電子郵件）、和人物（即帳戶或用戶，以及組）。

提供這些對象的信息，組織這些對象，控制訪問，并且設置安全等級。每個對象代表一個單個實體——無論是一個用戶、一臺電腦、一臺印表機、或者一個共享數(shù)據(jù)源——及該實體的各種屬性。對象也可以是其它對象的容器。每個對象都由其名字唯一地標識，并擁有一個屬性集（即該對象可包含的特徵和信息），它由該對象的類型定義并依賴於該類型。這些屬性，即對象自身的基本結構，由一個對象模型（schema ）來定義，該對象模型也確定了可存儲於中的該對象的種類。

對象模型本身由兩類對象構成：模型的類對象和模型的屬性對象。一個單個的模型類對象定義了一個可被創(chuàng)建的對象類型（例如使一個用戶對象被創(chuàng)建）；一個模型的屬性對象則定義了模型所定義的對象所具有的一種屬性。每個屬性對象都可用於多個不同的模型類對象中。這些對象一般被稱作模型對象，或者元數(shù)據(jù)，它們的存在是為了在需要時對模型進行擴展或修改。然而，由於每個模型對象都是集成於對象的定義內部的，停用或改變這些對象會導致嚴重的后果，因為這會從根基上改變自身的結構。一個模型對象在被改變后會自動通過來傳播，且一旦被創(chuàng)建，就只能被停用——而不是刪除。除非是有一定的計劃，一般情況下不會對對象模型進行修改。

[編輯]林、樹和域可以從不同的層次上來「看」這個包含了各個對象

的框架。在機構的最頂端是林，它是AD 中所有對象及其屬性、以及規(guī)則（即屬性的構造方式）的全集。林中含有一或多個相互聯(lián)系并可傳遞信任關系的樹。一個樹又含有一或多個域和域樹，它們也以一種可傳遞的信任等級相互聯(lián)系。每個域由其在中的域名結構（即命名空間）來標識。一個域具有單一的域名。域中包含的對象可以被編組到成為「組織單位」（Organizationalnbsp;Unit ，OU ）的容器中。給域提供了一個便於管理的層次，也提供了一個對中的公司的邏輯組織結構和實際地理結構的較直觀一些的表示。還可以再包含子（其實從這個角度說域就是一些容器），進而可以包含多層級嵌套的OU 。

微軟推薦在AD 中盡量少建立域，而通過OU 來建立結構關系及完善策略和管理的實施。OU 是應用組策略（也稱為組策略對象，GPO ，本身也是AD 對象）時常用的層次，盡管組策略也可應用在域或站點（見下）中。OU 是可進行管理許可權委派的最低的層次。進一步細化，AD 支持站點的創(chuàng)建，站點是由一或多個IP 子網(wǎng)定義的一個更傾向於物理的（而非邏輯的）分組。站點可以分屬於通過低速連接（如WAN 、VPN[1]）和高速連接（如LAN ）相連的不同地點間。各個站點可包括一或多個域，各個域也可包括一或多個站點。這對於控制因復制產(chǎn)生的網(wǎng)路流量來說是個重要的概念。如何將公司的信息基礎結構劃實際地劃分為一個有著一或多個域和頂級OU 的層次結構是一項非常關鍵的決定，通?？筛鶕?jù)業(yè)務、地理位置、在信息管理結構中的角色等因素來建立不同的管理結構模型，很多情況下也會將這些模型組合起來應用。譯注：這里，原文作者中將虛擬專用網(wǎng)路（VPN ）和

廣域網(wǎng)（WAN ）作為同層次的概念來說明低速連接，其實是不妥當?shù)摹Ｗ髡咚坪鯇PN 當作了基於公眾電話網(wǎng)路的遠程撥號連接（remotenbsp;accessnbsp;vianbsp;dial-upnbsp;connectionnbsp;ov ernbsp;PSTN ），雖然VPN 本身也是一種遠程訪問服務（remotenbsp;accessnbsp;service,RAS ）所提供的訪問方式，并且在實際中為了應用和管理的方便、以及安全方面的原因，確實有相當多的用戶在通過PSTN 遠程訪問公司的內部網(wǎng)路時，需要在撥號連接后進一步再建立一個VPN 連接，但其實上VPN 是和網(wǎng)路的物理連接方式無關的概念。喜歡的話在區(qū)域網(wǎng)連接也可用來能建立VPN 連接，只不過這樣做通常并沒有實際意義，除非需要使用為VPN 用戶特別提供的管理性的功能，例如將某些VPN 用戶單獨劃分到一個安全組內以控制對某些資源的訪問。