在前面我們知道“活動目錄”是整個WIN2K系統中的一個關鍵服務，它不是孤立的，它與許多協議和服務有著非常緊密和關系，還涉及到整個WIN2K系統的系統結構和安全。安裝“活動目錄”不是安裝一般Windows組件那么簡單，在安裝前要進行一系列的策劃和準備。否則輕則根本無法享受到活動目錄所帶來的優越性，重則不能正確安裝“活動目錄”這項服務。
　　
　　　　1、首先在 安裝活動目錄之前，必須保證已經有一臺機器安裝了WIN2K Server 或者Advanced Server，且至少有一個NTFS分區， 而且已經為TCP/IP 配置了DNS協議，并且DNS服務支持SRV記錄和動態更新協議。
　　
　　　　2、其次是要規劃好整個系統的域結構，活動目錄它可包含一個或多個域，如果整個系統的目錄結構規劃得不好，層次不清就不能很好地發揮活動目錄的優越性。在這里選擇根域（就是一個系統的基本域）是一個關鍵， 根域名字的選擇可以有以下幾種方案：
　　
　　　　1）可以使用一個已經注冊的DNS 域名作為活動目的根域名，這樣的好處在于企業的公共網絡和私有網絡使用同樣的DNS名字。
　　
　　　　2）我們還可使用一個已經注冊的DNS域名的子域名作為活動目錄的根域名。
　　
　　　　3）為活動目錄選擇一個與已經注冊的DNS域名完全不同 的域名。這樣可以使企業網絡在內部和互聯網上呈現出兩種完全不同的命名結構。
　　
　　　　4）把企業網絡的公共部分用一個已經注冊的DNS域名進行命名，而私有網絡用另一個內部域名，從名字空間上把兩部分分開，這樣做就使得每一部分要訪問另部時必須使用對方的名字空間來標識對象。
　　
　　　　3、再一個就是要進行域和帳戶命名策劃，因為使用活動目錄的意義之一就在于使內、外部網絡使用統一的目錄服務，采用統一的命名方案，以方便網絡管理和商務往來。活動目錄域名通常是該域的完整DNS名稱，但是為確保向下兼容，每個域最好還有一個WIN2K以前版本的名稱，以便在運行WIN2K以前版本的操作系統的計算機上使用。用戶帳戶在活動目錄中，每個用戶帳戶都有一個用戶登錄名、一個WIN2K以前版本的用戶登錄名（安全帳戶管理器的帳戶名）和一個用戶主要名稱后綴。在創建用戶帳戶時，管理員輸入其登錄名并選擇用戶主要名稱，活動目錄建議 WIN2K 以前版本的用戶登錄名使用此用戶登錄名的前 20 個字節。活動目錄命名策略是企業規劃網絡系統的第一個步驟，命名策略直接影 響到網絡的基本結構，甚至影響網絡的性能和可擴展性。活動目錄為現代企業提供了很好的參考模型，既考慮到了企業的多層次結構，也考慮到了企業的分布式特性，甚至為直接接入Internet提供完全一致的命名模型。
　　
　　　　所謂用戶主要名稱是指由用戶賬戶名稱和表示用戶賬戶所在的域的域名組成。這是登錄到 WIN2K 域的標準用法。標準格式為：user@domain.com (象個人的電子郵件地址)。但不要在用戶登錄名或用戶主要名稱中加入 @ 號。活動目錄 在創建用戶主要名稱時自動添加此符號。包含多個 @ 號的用戶主要名稱是無效的。
　　
　　　　在活動目錄中，默認的用戶主要名稱后綴是域樹中根域的 DNS名。如果用戶的單位使用由部門和區域組成的多層域樹，則對于底層用戶的域名可能很長。對于該域中的用戶，默認的用戶主要名稱可能是 grandchild.child.root.com。該域中用戶默認的登錄名可能是 user@grandchild.child.root.com 。這要一來用戶登錄時就要輸入的用戶名可能太長，輸入起來就非常不方便，WIN2K為了解決這一問題，規定在創建主要名稱后用戶只要在根域后加上相應的用戶名， 使同一用戶使用更簡單的登錄名 user@root.com 就可以登錄，而不是前面所提到的那一長串。
　　
　　　　4、最后就是要注意設置規劃好域間的信任關系，對于WIN2K計算機，通過基于 Kerberos V5 安全協議的雙向、可傳遞信任關系啟用域之間的帳戶驗證。在域樹中創建域時，相鄰域（父域和子域）之間自動建立信任關系。在域林中，在樹林根域和添加到樹林的每個域樹的根域之間自動建立信任關系。如果這些信任關系是可傳遞的，則可以在域樹或域林中的任何域之間進行用戶和計算機的身份驗證。
　　
　　　　如果將 WIN2K 以前版本的 Windows域升級為WIN2K域時，WIN2K域將自動保留域和任何其他域之間現有的單向信任關系。包括WIN2K以前版本的Windows域的所有信任關系。如果用戶要安裝新的WIN2K域并且希望與任何WIN2K以前版本的域建立信任關系，則必須創建與那些域的外部信任關系。