域是Windows網路作業系統的應用模型。Domain域（Domain）是Windows網路中獨立執行的單位，域之間相互訪問則需要建立信任關係（即Trust Relation）。信任關係是連線在域與域之間的橋樑。當一個域與其他域建立了信任關係後，2個域之間不但可以按需要相互進行管理，還可以跨網分配檔案和印表機等裝置資源，使不同的域之間實現網路資源的共享與管理。域既是 Windows 網路作業系統的邏輯組織單元，也是Internet的邏輯組織單元，在 Windows 網路作業系統中，域是安全邊界。域管理員只能管理域的內部，除非其他的域顯式地賦予他管理許可權，他才能夠訪問或者管理其他的域；每個域都有自己的安全策略，以及它與其他域的安全信任關係。子域，是相對父域來說的，指域名中的每一個段。各子域之間用小數點分隔開。放在域名最後的子域稱為最高階子域，或稱為一級域，在它前面的子域稱為二級域。域林是指由一個或多個沒有形成連續名字空間的域樹組成，它與域樹最明顯的區別就在於域林之間沒有形成連續的名字空間，而域樹則是由一些具有連續名字空間的域組成。但域林中的所有域樹仍共享同一個表結構、配置和全域性目錄。域林中的所有域樹透過Kerberos 信任關係建立起來，所以每個域樹都知道Kerberos信任關係，不同域樹可以交叉引用其他域樹中的物件。域林都有根域，域林的根域是域林中建立的第一個域，域林中所有域樹的根域與域林的根域建立可傳遞的信任關係.比如benet.com.cn,則可以建立同屬與一個林的accp.com.cn,他們就在同一個域林裡.當建立第一個域控制器的時候，就建立了第一個域（也稱林根域），和第一個林。林，是一個或多個共享公共架構和全域性編錄的域組成，每個域都有單獨的安全策略，和與共他域的信任關係。一個單位可以有多個林。域樹由多個域組成，這些域共享同一表結構和配置，形成一個連續的名字空間。樹中的域透過信任關係連線起來，活動目錄包含一個或多個域樹。域樹中的域層次越深級別越低，一個“.”代表一個層次，如域child.Microsoft.com 就比 Microsoft.com這個域級別低，因為它有兩個層次關係，而Microsoft.com只有一個層次。而域Grandchild.Child.Microsoft.com又比 Child.Microsoft.com級別低，道理一樣。他們都屬於同一個域樹。Child.Microsoft.com就屬於Microsoft.com的子域。