Active-Directory
父域與子域
據我所知,子域的完全限定域名 (FQDN) 必須是父域的 FQDN 的子域。它們之間還建立了隱式信任(雙向 - 傳遞)。
子域和父域之間有什麼區別嗎?父域是否可以控製或對子域執行子域無法對父域執行的任何操作?
不,每個域都提供了一個安全邊界,並且彼此之間不做任何事情。但是,林配置可能會影響這兩個域。
主要的實際區別是,預設情況下,根域中的域管理員成員可以將自己添加到企業管理員並執行該角色允許的任務。當然,任何子域的成員也可以添加到企業管理員中。任何企業管理員成員都擁有子域的完全管理員權限。
但是,在 Enterprise Admin 之外,需要訪問不同域中資源的任何人都需要被授予顯式權限。如果您需要管理域之間對資源的訪問,您應該了解如何使用 AD 組和組範圍(例如 Universal vs Global vs DomainLocal)。
您應該始終仔細考慮為什麼您可能想要一個子域。除了學術環境(例如,輕鬆地將員工資源與學生賬戶分開)或類似的有限案例(例如非常大的企業)之外,沒有很多場景非常需要它們。請記住,更多域 = 更多 DC = 更多管理和維護成本。此外,如果您計劃或目前正在使用 Office365 等雲服務,這可能會導致額外的複雜性。
人們傾向於使用子域的許多事情可以通過更好的 OU 管理和體面的角色定義和權限委派來完成。