В Windows домены могут являться потомками других доменов (например, домен child.domain.com будет потомком домена domain.com). Дочерний домен всегда включает в свое имя полное имя родительского домена. Дочерний домен и родительский домен совместно используют двунаправленную транзитивную схему доверительных отношений.

Дерево доменов существует в том случае, когда один домен является потомком другого. Дерево доменов должно иметь непрерывное пространство имен. Нарушение непрерывности пространства имен не позволяет доменам стать элементами одного дерева.

мя дерева является именем корневого домена дерева. В нашем примере дереву присвоено имя root.com. Поскольку имена доменов — это имена службы DNS и дочерние домены наследуют имя родителей, при переименовании определенной части дерева все потомки также неявно получают новое имя. Например, если переименовать родительский домен winfaq.com в goffice.com, дочерний домен sales.winfaq.com получит новое имя sales.goffice.com. Описываемая возможность в полной мере реализована в Windows Server.

В Windows деревья доменов можно создавать только при повышении сервера до контроллера домена с помощью утилиты DCPROMO.

Размещение доменов в деревьях имеет несколько преимуществ. К наиболее существенным относится существование схемы доверительных отношений Kerberos между родительским доменом и всеми его потомками. Подобная схема доверия позволяет пользователю или группе в дереве доменов получать доступ к любому объекту дерева. Кроме того, на каждой рабочей станции в пределах дерева доменов можно использовать сетевую регистрацию.