据我所知,子域的完全限定域名 (FQDN) 必须是父域 FQDN 的子域。此外,它们之间还建立了隐式信任(双向传递)。
子域和父域之间有什么区别?父域可以控制或对子域执行哪些操作,而子域不能对父域执行哪些操作?
答案1
不会,每个域都提供安全边界,彼此之间不会产生任何影响。但是,林配置可能会影响两个域。
主要的实际区别在于,默认情况下,根域中的域管理员成员可以将自己添加到企业管理员并执行该角色允许的任务。当然,任何子域的成员也可以添加到企业管理员。任何企业管理员成员都拥有子域的完全管理权限。
但是,除了企业管理员之外,任何需要访问不同域中的资源的人都需要获得明确的权限。如果您需要管理域之间的资源访问,您应该了解如何使用 AD 组和组范围(如 Universal、Global 和 DomainLocal)。
您应该始终仔细考虑为什么您可能需要子域。除了学术环境(例如,轻松将员工资源与学生帐户分开)或类似的有限用例(例如非常大的企业)之外,没有太多场景会非常需要它们。请记住,更多域 = 更多 DC = 更多管理和维护开销。此外,如果您计划或目前正在使用 Office365 等云服务,这可能会导致额外的复杂性。
人们倾向于使用子域的大部分功能可以通过更好的 OU 管理和合理的角色定义和权利委派来实现。