Tanto quanto sei, o nome de domínio totalmente qualificado (FQDN) de um domínio filho deve ser um subdomínio do FQDN do domínio pai. Também uma confiança implícita (bidirecional - transitiva) é estabelecida entre eles.
Existem diferenças entre o domínio filho e um domínio pai? Há alguma coisa que um domínio pai pode controlar ou fazer em um domínio filho que um domínio filho não pode fazer em um domínio pai?
Não, os domínios fornecem um limite de segurança e não fazem nada entre si. A configuração da floresta, no entanto, pode afetar ambos os domínios.
A principal diferença prática é que, por padrão, os membros do Domain Admin no domínio raiz podem se adicionar aos Enterprise Admins e realizar as tarefas permitidas por essa função. Obviamente, membros de qualquer domínio filho também podem ser adicionados aos administradores do Enterprise. Qualquer pessoa que seja membro do Enterprise Admin tem direitos totais de administrador para domínios filho.
Fora do Enterprise Admin, no entanto, qualquer pessoa que precise acessar recursos em um domínio diferente precisa receber permissões explícitas. Você deve entender como usar grupos do AD e escopo de grupos (como Universal vs Global vs DomainLocal) se precisar gerenciar o acesso a recursos entre domínios.
Você deve sempre considerar cuidadosamente por que deseja um domínio filho. Além de ambientes acadêmicos (por exemplo, para separar facilmente os recursos da equipe das contas dos alunos) ou casos de uso limitados semelhantes, como empresas muito grandes, não há muitos cenários em que eles sejam altamente desejáveis. Lembre-se, mais domínios = mais DCs = mais sobrecarga de gerenciamento e manutenção. Além disso, se você planeja ou está usando serviços de nuvem como Office365, etc, isso pode causar complexidade adicional.
Muito do que as pessoas costumam usar para domínios filho pode ser feito por um melhor gerenciamento de UO e definições de funções e delegações de direitos decentes.