如何创建专用的林根域？

您在林中创建的第一个域自动成为林根域，您无需执行任何特殊操作，只需告诉 DCPromo 向导它是新林中的一个新域即可。

我认为您说的是“空根”Active Directory 设计策略。即您创建一个林根域，该域最终没有用户或资源，仅用作包含资源的子域的父域。

为此，您只需像通常使用 DCPROMO 进行新的 AD 部署一样创建新林即可。然后，在子 DC 上创建子域。在创建林根域期间，您无需执行任何特殊操作。

如今，“空根”只是一种政治结构。事实证明，“空根”并不安全。任何子域中的“域管理员”都可以相当轻松地成为“企业管理员”。

---

当您问“当我在这里时，如果森林离线，作为森林成员的域控制器是否仍能工作？”时，我想您问的是“如果我丢失了所有森林根域控制器会发生什么？”

那会很糟糕。你可能能够解决使用快捷方式信任时发生的 Kerberos 信任路径问题，但通常您不想丢失林根域中的所有域控制器，否则您正在考虑重建整个林。不要那样做（tm）。

编辑：

您应该始终尽可能尝试使用单个域。除非您需要多个密码策略（并且无法使用 Windows 2008 Active Directory 中的细粒度密码策略功能），否则请尽量坚持使用单个域。

如今，空根策略实际上没有多大意义，除非在政治环境下，即某个组织的某个部分不能“接受”森林根可能被其他人“拥有”。（即便如此，这也只是一个虚假的政治论点，因为从技术上讲，空根策略没有安全“牙齿”。）

当您需要多个密码或想要限制全域 NC 的复制范围时（或者，我想，如果您想使用基于 SMTP 的 AD 复制），多域部署是有效的。如果您没有这些需求，那么您真的不需要多域。

如果您确实需要组织各部分之间的隔离、对 AD 模式/配置的保护以及对组织不同部分之间管理委派的严格约束，那么您可能需要多林基础设施（尽管这是最复杂和最难管理的类型）。