Chaque domaine inclut une autre hiérarchie d’objets destinée à stocker les informations concernant plusieurs entités et groupes d’entités. De telles entités sont représentées dans AD par des catégories d’objets afin de définir les « conteneurs » permettant d’organiser les groupes d’objets. Les autres catégories d’objets représentent des entités telles que les utilisateurs réseau, les ordinateurs, les imprimantes ou les services réseau. Deux sortes de catégories d’objets conteneurs nous intéressent particulièrement : le groupe et l’unité organisationnelle. Ces deux catégories d’objets permettent à l’administrateur AD de définir des groupes d’entités afin de faciliter l’application de contrôles d’accès et d’autres politiques d’administration. Par exemple, un domaine peut être configuré pour inclure un conteneur d’unité organisationnelle « Ingénieurs » qui comprend lui-même des objets Groupe nommés selon leur fonction (« Matériel », « Logiciel », « Assistance », etc.), chaque groupe étant configuré avec une liste de membres comprenant des objets Utilisateur et peut-être des objets Ordinateur. Il est possible de définir un autre niveau de hiérarchie en « imbriquant » les groupes, c’est-à-dire en incluant le nom d’un objet Groupe parmi les membres d’un autre objet Groupe. Notez que chaque objet Groupe AD est associé à une « portée » utilisée pour configurer les types de relations d’imbrication autorisées avec les autres groupes. Par exemple, lorsque la portée est définie comme étant « Universelle », le groupe peut participer à une imbrication dépassant toutes les limites de domaine, mais lorsque la portée est définie comme étant « Locale », le groupe ne peut participer à ce type d’imbrication. Les règles d’imbrication sont expliquées dans la documentation fournie avec le produit AD de Microsoft. La gamme de commutateurs de consoles distantes de Dell est conçue pour prendre en charge toutes les règles d’imbrication définies pour AD.