NTDS представляет собой плоскую модель доменов, при этом под доменом понимается совокупность компьютеров с общей базой учетных записей пользователей и единой политикой защиты.
У каждого домена свое уникальное имя. Оно может отражать либо его функциональное назначение (например, ONT), либо географическое расположение (например, OTRADNY), либо что-то, понятное лишь одному автору этого имени (например, MASTER_DOM1).
Каждый домен представляет собой замкнутое пространство со своими учетными записями пользователей и ресурсами.
По умолчанию пользователи одного домена не имеютдоступа к ресурсам другого домена.
Для предоставления им такой возможности между доменами устанавливаются доверительные отношения.
Эти отношения могут быть как односторонними (например, домен А доверяет домену Б, но не наоборот), так и двусторонними (оба домена доверяют друг другу).
Доверительные отношения не транзитивны, иными словами, еслидомены А и В доверяют домену Б, то это не означает по умолчанию, что А и В доверяют друг другу.
При организации корпоративных сетей используются четыре модели доверительных отношений:
1. модель с одним доменом,
2. модель с одним мастер-доменом,
3. модель с несколькими мастер-доменами
4. модель полностью доверительных отношений.
Подробно об этих моделях будем рассматривать далее.
Недостаток доменной службы каталогов NTDS - сложность администрирования для крупных организаций. Например, перемещая учетную запись пользователя из одного домена в другой, администратор вынужден заново переопределять права доступа, что зачастую непросто. Кроме того, эта служба каталогов не предоставляет средств эффективного поиска объектов сети.
Например, невозможно найти в нескольких доменах пользователя UserPo, определить объекты, к которым он имеет доступ, а также вид этого доступа.
Еще одно слабое место NTDS - относительно невысокая емкость доменов. В одном домене может быть не более 40 000 учетных записей, что опять-таки мало пригодно для крупных организаций.
Кроме того, в домене может существовать только один первичный контроллер домена и несколько резервных. Модификация базы учетных записей выполняется только на первичном контроллере, а если последний временно недоступен - сеть становится неуправляемой.