Pour autant que je sache, le nom de domaine entièrement qualifié (FQDN) d'un domaine enfant doit être un sous-domaine du FQDN du domaine parent. Aussi une confiance implicite (bidirectionnelle - transitive) est établie entre eux.

Existe-t-il des différences entre le domaine enfant et un domaine parent ? Y a-t-il des choses qu'un domaine parent peut contrôler ou faire à un domaine enfant qu'un domaine enfant ne peut pas faire à un domaine parent ?

answer

Non, les domaines fournissent chacun une limite de sécurité et ne se font rien les uns aux autres. La configuration de la forêt, cependant, peut affecter les deux domaines.

La principale différence pratique est que, par défaut, les membres d'administrateur de domaine dans le domaine racine peuvent s'ajouter aux administrateurs d'entreprise et effectuer les tâches autorisées par ce rôle. Bien entendu, les membres de n'importe quel domaine enfant peuvent également être ajoutés aux administrateurs d'entreprise. Toute personne membre d'Enterprise Admin dispose de droits d'administrateur complets sur les domaines enfants.

En dehors de l'administration de l'entreprise, cependant, toute personne ayant besoin d'accéder aux ressources d'un domaine différent doit se voir accorder des autorisations explicites. Vous devez comprendre comment utiliser les groupes AD et la portée des groupes (comme Universal vs Global vs DomainLocal) si vous devez gérer l'accès aux ressources entre les domaines.

Vous devez toujours examiner attentivement les raisons pour lesquelles vous pourriez vouloir un domaine enfant. À part peut-être des environnements académiques (par exemple pour séparer facilement les ressources du personnel des comptes étudiants) ou des cas d'utilisation limités similaires tels que les très grandes entreprises, il n'y a pas beaucoup de scénarios où ils seraient hautement souhaitables. N'oubliez pas que plus de domaines = plus de contrôleurs de domaine = plus de frais généraux de gestion et de maintenance. De plus, si vous prévoyez d'utiliser ou utilisez actuellement des services cloud comme Office365, etc., cela peut entraîner une complexité supplémentaire.

Une grande partie de ce à quoi les gens ont tendance à utiliser les domaines enfants peut être accomplie par une meilleure gestion des unités d'organisation et des définitions de rôles et des délégations de droits décentes.