Allan Asked: 2021-10-15 10:03:29 +0800 CST2021-10-15 10:03:29 +0800 CST 2021-10-15 10:03:29 +0800 CST 父域与子域 772 据我所知,子域的完全限定域名 (FQDN) 必须是父域的 FQDN 的子域。它们之间还建立了隐式信任(双向 - 传递)。 子域和父域之间有什么区别吗?父域是否可以控制或对子域执行子域无法对父域执行的任何操作? domain-controller active-directory windows-server-2008-r2 windows-server-2012-r2 1 个回答 Voted Best Answer LeeM 2021-10-16T02:58:12+08:002021-10-16T02:58:12+08:00 不,每个域都提供了一个安全边界,并且彼此之间不做任何事情。但是,林配置可能会影响这两个域。 主要的实际区别是,默认情况下,根域中的域管理员成员可以将自己添加到企业管理员并执行该角色允许的任务。当然,任何子域的成员也可以添加到企业管理员中。任何企业管理员成员都拥有子域的完全管理员权限。 但是,在 Enterprise Admin 之外,需要访问不同域中资源的任何人都需要被授予显式权限。如果您需要管理域之间对资源的访问,您应该了解如何使用 AD 组和组范围(例如 Universal vs Global vs DomainLocal)。 您应该始终仔细考虑为什么您可能想要一个子域。除了学术环境(例如,轻松地将员工资源与学生账户分开)或类似的有限用例(例如非常大的企业)之外,没有很多场景非常需要它们。请记住,更多域 = 更多 DC = 更多管理和维护开销。此外,如果您计划或目前正在使用 Office365 等云服务,这可能会导致额外的复杂性。 人们倾向于使用子域的许多事情可以通过更好的 OU 管理和体面的角色定义和权限委派来完成。
不,每个域都提供了一个安全边界,并且彼此之间不做任何事情。但是,林配置可能会影响这两个域。
主要的实际区别是,默认情况下,根域中的域管理员成员可以将自己添加到企业管理员并执行该角色允许的任务。当然,任何子域的成员也可以添加到企业管理员中。任何企业管理员成员都拥有子域的完全管理员权限。
但是,在 Enterprise Admin 之外,需要访问不同域中资源的任何人都需要被授予显式权限。如果您需要管理域之间对资源的访问,您应该了解如何使用 AD 组和组范围(例如 Universal vs Global vs DomainLocal)。
您应该始终仔细考虑为什么您可能想要一个子域。除了学术环境(例如,轻松地将员工资源与学生账户分开)或类似的有限用例(例如非常大的企业)之外,没有很多场景非常需要它们。请记住,更多域 = 更多 DC = 更多管理和维护开销。此外,如果您计划或目前正在使用 Office365 等云服务,这可能会导致额外的复杂性。
人们倾向于使用子域的许多事情可以通过更好的 OU 管理和体面的角色定义和权限委派来完成。