如何建立專用的林根網域？

您在林中建立的第一個網域會自動成為林根網域，您不必執行任何特殊操作，只需告訴 DCPromo 精靈它是新林中的新網域即可。

我認為您正在談論「空根」Active Directory 設計策略。您可以在此處建立林根網域，該網域最終沒有使用者或資源，並且僅用作包含資源的子網域的父網域。

為此，您只需像通常使用 DCPROMO 進行新 AD 部署一樣建立新林。然後，您在子 DC 上建立子網域。在建立林根網域期間無需執行任何特殊操作。

「空根」在今天只是一種政治結構。事實證明「空根」不能提供安全性。任何子網域中的「網域管理員」都可以相當輕鬆地使自己成為「企業管理員」。

---

當您問“當我在這裡時，如果森林成員的網域控制器脫機，它們仍然可以工作嗎？”，我想您是在問“如果我丟失所有森林根域控制器會發生什麼？ ”

那會很糟糕。你可能能夠解決使用捷徑信任時可能出現的 Kerberos 信任路徑問題，但通常您不希望遺失林根網域中的所有網域控制站，或者您正在考慮重建整個林。別那樣做（tm）。

編輯：

您應該盡可能嘗試使用單一網域。除非您需要多個密碼原則（且無法使用 Windows 2008 Active Directory 中的精細密碼原則功能），否則請盡量堅持使用單一網域。

如今，空根實際上沒有多大意義，除非在政治情況下，組織的某些部分無法「接受」林根可能由其他人「擁有」。 （即便如此，這也只是一個虛假的政治論點，因為從技術上講，空根策略沒有安全「牙齒」。）

當您需要多個密碼或想要限制整個網域 NC 的複製範圍（或者，我想，如果您想使用基於 SMTP 的 AD 複製）時，多網域部署是有效的。如果您沒有這些需求，那麼您確實不需要多網域。

如果您確實需要組織各部分之間的隔離、AD 架構/配置的保護以及組織不同部分之間嚴格約束的管理委派，那麼您可能需要一個多林基礎設施（儘管這是最複雜和最煩人的）鍵入進行管理）。