Innerhalb jeder Domäne befindet sich eine weitere Hierarchie von Objekten, in denen Informationen über die verschiedenen Einheiten und Gruppen von Einheiten gespeichert werden. Diese Einheiten werden in AD durch Objektklassen dargestellt, mit deren Hilfe "Container" zur Organisation von Objekten in Gruppen definiert werden. Andere Objektklassen repräsentieren Einheiten wie z. B. Netzwerkbenutzer, Computer, Drucker oder Netzwerkdienste. Zwei Typen von Containerklassen sind von besonderem Interesse: Gruppen und Organisationseinheiten (OU). Diese beiden Objektklassen ermöglichen es dem AD-Administrator, Gruppierungen von Einheiten zu definieren, um die Anwendung von Zugriffssteuerungen und anderen Verwaltungsrichtlinien zu erleichtern. So kann eine Domäne beispielsweise dahingehend konfiguriert werden, dass ein OU-Container namens "Engineering" besteht, der verschiedene Gruppenobjekte enthält, die gemäß ihrer Funktion benannt werden, z. B. "Hardware", "Software" und "Support". Jede dieser Gruppen wird mit einer Mitgliederliste von Benutzer- und ggf. Computerobjekten konfiguriert. Eine zusätzliche hierarchische Ebene kann durch die "Schachtelung" von Gruppen konfiguriert werden, wobei die Schachtelung dadurch erreicht wird, dass der Name eines Gruppenobjekts in der Mitgliederliste eines anderen Gruppenobjekts enthalten ist. Hierbei muss beachtet werden, dass jedem AD-Gruppenobjekt ein bestimmter "Bereich" zugeordnet ist, der für die Konfiguration von zugelassenen Schachtelungstypen in Verbindung mit anderen Gruppen zuständig ist. Wenn der Bereich beispielsweise auf "Universal" eingestellt ist, kann die Gruppe an Schachtelungen über Domänengrenzen hinweg beteiligt sein, wenn der Bereich aber auf "Lokal" eingestellt ist, kann die Gruppe an solchen Schachtelungen nicht beteiligt werden. Schachtelungsregeln sind in der AD-Produktdokumentation dargestellt, die von Microsoft erhältlich ist. Die Produktreihe der Dell Remote Console Switches ist dazu ausgelegt, alle für AD definierten Schachtelungsregeln zu unterstützen.