เท่าที่ฉันทราบ ชื่อโดเมนแบบเต็มของโดเมนย่อย (FQDN) ต้องเป็นโดเมนย่อยของ FQDN ของโดเมนหลัก นอกจากนี้ยังมีการสร้างความไว้วางใจโดยนัย (สองทาง - สกรรมกริยา) ระหว่างพวกเขา

โดเมนย่อยและโดเมนหลักมีความแตกต่างกันหรือไม่ มีสิ่งใดบ้างที่โดเมนหลักสามารถควบคุมหรือดำเนินการกับโดเมนย่อยที่โดเมนย่อยไม่สามารถดำเนินการกับโดเมนหลักได้หรือไม่

answer

ไม่ โดเมนแต่ละโดเมนมีขอบเขตความปลอดภัยและไม่ดำเนินการใดๆ ต่อกัน อย่างไรก็ตาม การกำหนดค่าฟอเรสต์อาจส่งผลต่อทั้งสองโดเมน

ความแตกต่างในทางปฏิบัติหลักคือ ตามค่าเริ่มต้น สมาชิกของ Domain Admin ในโดเมนรากอาจเพิ่มตัวเองใน Enterprise Admins และทำงานที่ได้รับอนุญาตจากบทบาทนั้น แน่นอน สมาชิกของโดเมนย่อยสามารถเพิ่มไปยังผู้ดูแลระบบ Enterprise ได้เช่นกัน ทุกคนที่เป็นสมาชิกของ Enterprise Admin มีสิทธิ์ผู้ดูแลระบบแบบเต็มสำหรับโดเมนย่อย

นอก Enterprise Admin ทุกคนที่ต้องการเข้าถึงทรัพยากรในโดเมนอื่นจะต้องได้รับสิทธิ์ที่ชัดเจน คุณควรเข้าใจวิธีใช้กลุ่ม AD และขอบเขตกลุ่ม (เช่น Universal vs Global vs DomainLocal) หากคุณต้องการจัดการการเข้าถึงทรัพยากรระหว่างโดเมน

คุณควรพิจารณาอย่างรอบคอบเสมอว่าเหตุใดคุณจึงต้องการโดเมนย่อย นอกเหนือจากสภาพแวดล้อมทางวิชาการ (เช่น การแยกทรัพยากรของพนักงานออกจากบัญชีของนักเรียนอย่างง่ายดาย) หรือกรณีการใช้งานที่จำกัดที่คล้ายกัน เช่น องค์กรขนาดใหญ่มาก มีสถานการณ์ไม่มากนักที่พวกเขาต้องการอย่างสูง อย่าลืมว่า มีโดเมนมากขึ้น = DC มากขึ้น = มีค่าใช้จ่ายในการจัดการและบำรุงรักษามากขึ้น นอกจากนี้ หากคุณวางแผนหรือกำลังใช้บริการระบบคลาวด์ เช่น Office365 เป็นต้น อาจทำให้มีความซับซ้อนมากขึ้น

สิ่งที่ผู้คนมักจะใช้โดเมนย่อยสามารถทำได้โดยการจัดการ OU ที่ดีขึ้นและการกำหนดบทบาทที่เหมาะสมและการมอบสิทธิ์