Un Active Directory® es tanto el componente conceptual integral como el nombre de una tecnología de software creada por Microsoft®. Se puede ver como un catálogo, proporcionando una lista de referencia esencial para prácticamente cualquier cosa que se pueda administrar en una infraestructura de red informática. El directorio está estructurado jerárquicamente y puede incluir computadoras, personas e incluso redes enteras. El sistema proporciona un medio para administrar de forma centralizada una red informática y su seguridad que es escalable, sincronizado y estandarizado en toda la red.
En el corazón de Active Directory® se encuentra un protocolo de servicio de directorio conocido como protocolo ligero de acceso a directorio (LDAP). Este protocolo establece los medios por los cuales la estructura del directorio se organiza y se lee o escribe. Por seguridad, Active Directory® utiliza el protocolo de autenticación de red Kerberos. El servicio también proporciona un sistema de nombres de dominio (DNS) para traducir direcciones de protocolo de Internet (IP) en nombres reconocibles.
Todo lo que entra en un Active Directory® se considera un objeto. Básicamente, existen dos tipos de objetos, un recurso y un principio de seguridad. Cuando los recursos son típicamente construcciones físicas, como impresoras, los objetos del principio de seguridad son un poco más abstractos. A cada principio de seguridad se le asigna un identificador de seguridad (SID) en el sistema Active Directory® y luego representa cualquier cosa que el sistema pueda autenticar y tenga permisos asociados. Dado que algunos objetos pueden obviamente ser de ambos tipos, como una computadora en la red que es tanto un recurso como un principio, en ciertos casos se pueden anidar entre sí.
Visto desde tres niveles jerárquicos diferentes, un Active Directory® consta de lo que se conoce como bosques, árboles y dominios. Esto puede reflejar la estructura real de una organización, tanto desde el punto de vista geográfico como organizativo. Por ejemplo, el bosque de una empresa puede constar de dos dominios principales, uno para Chicago y otro para Nueva York. Debajo de cada uno, se pueden crear dominios adicionales para administrar las actividades comerciales en cada ciudad, como el departamento de contabilidad, un equipo de ventas, investigación y desarrollo, etc. Estos dos árboles de dominio establecen una relación de confianza entre sí para que los usuarios de cualquiera de los dominios puedan tener acceso a los recursos del otro si es necesario.
En el núcleo de un Active Directory® se encuentra lo que se llama una unidad organizativa (OU). Se puede anidar cualquier número de unidades organizativas dentro de un dominio. Estos permiten que la estructura de Active Directory® coincida con la de la organización y proporcionan un medio centralizado para la gestión distribuida de los objetos en el directorio. Con una estructura organizacional establecida, la administración adicional se puede delegar a los subdominios en el árbol, lo que permite diferentes niveles de privilegio para varias unidades organizativas en una organización.
Toda la información de un Active Directory® se almacena en una base de datos denominada almacén de directorio. El sistema permite que esta base de datos se replique entre las demás en el árbol de dominio y más arriba en el bosque. Los dominios dentro del árbol verifican periódicamente si hay cambios en el almacén de directorios en otros dominios y luego extraen los datos en los suyos si hubiera algún cambio.