Деревья. 
Создание проекта инфраструктуры Active Directory крупной компании

Несколько доменов организуется в иерархическую структуру, называемую деревом (tree). На самом деле, даже если в организации лишь один домен, у вас все равно имеется дерево. Первый домен, созданный в дереве, является корневым. Следующий домен считается дочерним по отношению к корневому. Это позволяет создавать в дереве множество доменов. Пример дерева показан на рис. 1.1 Здесь microsoft.com первый домен, созданный в Active Directory, поэтому он считается корневым доменом.

Рис. 1.1 Дерево

Единственное дерево достаточно для тех организаций, которые пользуются одним пространством имен DNS. Но для организаций, где задействовано несколько пространств имен DNS, одного дерева мало. Вот здесь и применяется такая концепция, как лес.

Лес — это группа из одного или более деревьев доменов, которые не образуют непрерывного пространства имен, но могут совместно использовать общую схему и глобальный каталог. В сети всегда есть минимум один лес, и он создается, когда в сети устанавливается первый компьютер с поддержкой Active Directory (контроллер домена). Первый домен в лесу, называемый корневым доменом леса (forest root domain), играет особую роль, так как на нем хранится схема, и он управляет именованием доменов для целого леса. Его нельзя удалить из леса, не удалив сам лес. Кроме того, в иерархии доменов леса нельзя создать домен, который находился бы над корневым.

На рис. 1.2 показан пример леса с двумя деревьями. У каждого дерева в лесу свое пространство имен. В данном случае microsoft.com это одно дерево, а contoso.com другое. Оба дерева находятся в лесу с именем microsoft.com.

Лес является крайней границей Active Directory каталог не может охватывать более одного леса. Однако вы можете создать несколько лесов, а затем создать доверительные отношения между нужными доменами в этих лесах; это позволяет предоставлять доступ к ресурсам и учетным записям, которые находятся вне данного леса.