Нет, каждый домен обеспечивает границу безопасности и ничего не делает друг с другом. Однако конфигурация леса может повлиять на оба домена.
Основное практическое отличие заключается в том, что по умолчанию члены администратора домена в корневом домене могут добавлять себя к администраторам предприятия и выполнять задачи, разрешенные этой ролью. Конечно, члены любого дочернего домена также могут быть добавлены к администраторам предприятия. Любой, кто является членом Enterprise Admin, имеет полные права администратора для дочерних доменов.
Однако за пределами Enterprise Admin всем, кому требуется доступ к ресурсам в другом домене, должны быть предоставлены явные разрешения. Вы должны понимать, как использовать группы AD и области действия групп (например, Universal vs Global vs DomainLocal), если вам нужно управлять доступом к ресурсам между доменами.
Вы всегда должны тщательно обдумывать, зачем вам вообще может понадобиться дочерний домен. За исключением, возможно, академической среды (например, чтобы легко отделить ресурсы персонала от учетных записей учащихся) или аналогичных ограниченных вариантов использования, таких как очень крупные предприятия, существует не так много сценариев, в которых они были бы очень желательны. Помните, что больше доменов = больше контроллеров домена = больше затрат на управление и обслуживание. Кроме того, если вы планируете или в настоящее время используете облачные службы, такие как Office365 и т. д., это может вызвать дополнительные сложности.
Многое из того, для чего люди, как правило, используют дочерние домены, может быть достигнуто за счет лучшего управления подразделениями и приличного определения ролей и делегирования прав.
