域和子域的问题

tutuit

假设某公司有一域china.com，那么在china.com下建立一子域为beijing.china.com和建立另一个域beijing.com有何区别？？在不建立域信任的情况下，是否意味着china.com的域管理员就无法对beijing.com域进行访问或操作，但是china.com的域管理员可以对其子域beijing.china.com进行访问或操作？

grassstar

china.com 和beijing.china.com 是域与子域的父子关系，共处在一个森林中，两者是双向信任的，域之间可以互访，但也并不意味着china.com的域管理员可以对beijing.com域 ，仍是两个不同域，另域是安全边界，域管理员的权限仅局限于一个域内，

beijing.com与china.com之间，当然就不必说了，互不相关，

tomdoctor

很久没有看过活动目录的东西了 我想知道的是 信任域之间的互相访问是什么概念 应该说访问不是管理 那就是说根管理员不能对子域的管理员进行策略的定义和配置 同时 应该能否通过enterprise admins应该可以打破域之间的管理关系的

tutuit

最初由 grassstar 发布
[B]域是安全边界，域管理员的权限仅局限于一个域内，[/B]

既然beijing.china.com是china.com的子域，那么是否可以认为beijing.china.com属于china.com？？如果是这样的话，那么china.com的域管理员对beijing.china.com进行管理不是也是属于你所说的“域管理员的权限仅局限于一个域内”的吗？

另：还是说父域和子域之间如果没有进行特殊的设置的话，那么他们之间只是名称上的一种父子关系而已，却并没有什么除了可以互相访问之外的实在的联系？？

tomdoctor

是的 他们只是名义上的父子关系 并不能相互进行管理 但是企业管理组的成员打破了这个限制 可以管理森林中的所有成员 （ 好像是 ：） ）

grassstar

或许我上面说的，有点错误，
子域创建后，缺省，父域是可以管理子域，但反之不行，

grassstar

我把该帖设为精华，希望有这种管理经验的朋友共享一些经验， 有时间我也会去试一试，
Thanks,

tomdoctor

最初由 grassstar 发布
[B]或许我上面说的，有点错误，
子域创建后，缺省，父域是可以管理子域，但反之不行， [/B]

呵呵 我也没有去试 已经把目录给删了
但我想 之所以会这样 是因为根域的管理员是enterprise admin组的成员
请继续讨论

grassstar

谢谢tomdoctor，通过它，大家根据自己的判断可以吸收一些有用的东东，

根域的超级管理员缺省是可以管理子域的，主要原因也是tomdoctor所说的“因为根域的管理员是enterprise admin组的成员 ”；

MICROSOFT一直强调“域是管理边界”，这种现象也真不好去理解，或许小帅的“域是安全的边界是指策略的应用来说的”，是有道理的，

madeinsuzhou

对域并不了解,但看了tomdoctor的文章,觉得有所收获!