A tervezési folyamat során a biztonság, az erőforrások feletti ellenőrzés és a felügyelet egyaránt fontos szempont. Csak egy jól megtervezett, alaposan átgondolt felépítésű címtár teljesíti az elvárható igényeinket, a tartományi feladatok feladatok korrekt megoldásait. Essen tehát most néhány szó az Active Directory felépítéséről.

Az Active Directory-ban legkisebb címtár összetevőként az ún. szervezeti egységeket (organizational units, OU) használhatjuk, ami a címtár konténer típusú objektuma. A szervezeti egységekbe felhasználókat, csoportokat, számítógépeket, illetve más szervezeti egységeket is tehetünk, de csak az aktuális tartományból. Ez az objektum egy olyan hiánypótló egységként mutatkozott be a Windows 2000 Serverben, amellyel például szervezetünk erősen megnövekedett számú (és megfelelő tároló nélküli) Windows NT4 tartományait lecserélhettük. Valamint ezek segítségével szervezetünk logikai és adminisztratív hierarchiáját is lefedhetjük, de emellett bevezetésével célunk lehet az is, hogy olyan adminisztratív jogokat kívánunk kiosztani (delegálni), amelyek egy jól meghatározott szervezeti egységhez és annak elemeihez kapcsolódnak.

Nagyon fontos és a tervezésnél egyúttal a szervezeti egységekhez szorosan kötödő szempont az is, hogy a Csoportházirend alkalmazásának legkisebb szintjei szintén a szervezeti egységek. Ennek ismeretében a megfelelő hierarchiába történő szervezésük egyúttal a Csoportházirend egyszerű és átlátható alkalmazásának záloga is. A tartomány (domain) az Active Directory alapvető szervezeti és biztonsági egysége. A tartomány olyan ügyfelek, kiszolgálók és egyéb hálózati erőforrások gyűjteménye, amelyek közös címtáradatbázist alkotnak és egyben a replikáció alapegységét képezik. Egy adott tartomány minden tartományvezérlője fogad módosításokat, és azokat a tartomány többi tartományvezérlőjére replikálja. Az Active Directory címtárban minden tartományt egy-egy DNS tartománynév azonosít, és minden tartomány legalább egy tartományvezérlőt tesz szükségessé. A tartományok előnyei közé tartozik az egységes házirendhatókör, a tartományon belüli központi delegálási rendszer feladatokhoz illesztése és az a tény, hogy a tartományok csak a saját magukon belüli objektumokról tárolnak adatokat.

Bár az egytartományos modell alkalmazásának sok előnye van, bővítési, biztonsági (pl. jellemzően az egyes csoportok jelszókövetelményei eltérőek és ezt csak tartományi szinten lehetséges változtatni) vagy replikációs igények miatt egynél több tartomány létrehozására is szükség lehet. Így egy nagyobb szerkezeti egység, a tartományfa (domain tree) is kialakulhat. A tartományfa, ahogyan a nevéből is következik, hierarchikus, összefüggő DNS tartományneveket használ, a gyökértartomány pedig mindig az elsőnek létrehozott tartomány. Ez a gyerektartományok szülőjévé válik, amelyek közvetlenül alá csatlakoznak.
A címtár struktúrája Elérkeztünk a legnagyobb egységhez a közös sémát és globális katalógust használó egy vagy több tartományt vagy tartományfát együttesen tartalmazó erdőhöz (forest). Az erdő első tartományát az erdő gyökértartományának nevezzük.

Ez tehát a címtár szerkezete a szervezeti egységektől az erdőig, ám létezik még egy fontos mellékszál. Ennek kialakítását elsősorban a szervezet földrajzi kiterjedésével magyarázhatjuk, mert - amennyiben ilyen helyzet áll elő - egy tartomány több egymástól távol lévő telephelyet (site) is lefedhet amelyek tetszőleges tartományi objektumokot is tartalmazhatnak. A telephely ezért gyakorlatilag IP alapú alhálózatok gyűjteménye, amelyek a replikáció hatékonysága miatt a lehető leghatékonyabb vannak hálózatba kapcsolva. A telephelyek tehát a hálózat fizikai szerkezetének felelnek meg, tehát egy átlagos, egy telephellyel rendelkező szervezet szerkezeti felépítésének tervezésében nem játszanak komoly szerepet.