Nu, domeniile oferă fiecare o limită de securitate și nu fac nimic unul altuia. Cu toate acestea, configurația pădurii poate afecta ambele domenii.
Principala diferență practică este că, în mod implicit, membrii Domain Admin din domeniul rădăcină se pot adăuga la Enterprise Admins și pot îndeplini sarcinile permise de acel rol. Desigur, membrii oricărui domeniu copil pot fi adăugați și la administratorii Enterprise. Oricine este membru al Enterprise Admin are drepturi complete de administrator asupra domeniilor secundare.
Totuși, în afara Enterprise Admin, oricine are nevoie să acceseze resurse dintr-un domeniu diferit trebuie să i se acorde permisiuni explicite. Ar trebui să înțelegeți cum să utilizați grupurile AD și domeniul de aplicare a grupurilor (cum ar fi Universal vs Global vs DomainLocal) dacă trebuie să gestionați accesul la resurse între domenii.
Ar trebui să vă gândiți întotdeauna cu atenție de ce ați putea dori un domeniu secundar. În afară de mediile academice (de exemplu, pentru a separa cu ușurință resursele de personal de conturile studenților) sau cazuri de utilizare limitate similare, cum ar fi întreprinderile foarte mari, nu există multe scenarii în care ar fi foarte de dorit. Amintiți-vă, mai multe domenii = mai multe DC = mai multe cheltuieli de gestionare și întreținere. De asemenea, dacă intenționați sau utilizați în prezent servicii cloud precum Office365 etc., acest lucru poate cauza o complexitate suplimentară.
O mare parte din ceea ce oamenii tind să folosească domeniile secundare poate fi realizată printr-o mai bună gestionare a OU și definiții decente de rol și delegare de drepturi.
