有关为教室环境设置两个不相交networking的AD基础结构的提示

• 主要的区议会可以把政策“推”到其他区议会，但是对于其他区议会上面的议题，不能从主要区议会抽取任何东西。

• 我假设所有FSMOangular色都需要在主要DC上进行。

实验室环境的目的是自给自足，不与任何非实验室环境相连。 要将主要DC推送策略引入实验室环境，只有将实验室环境连接到主Active Directory时才可能实现。 但是那时你再也不能称之为实验室环境了。 我不能确定你想要什么是可能的，但只是因为（在我看来）它不遵循合理的商业信息技术pipe理实践 （这也是一个密切的原因），所以我从未实现过类似的东西。

但是既然你问这是否可能，而不是如何真正做到这一点，而不是接近投票，我会告诉你，你的计划听起来像恶劣的做法。 所以请不要这样做。

我的build议是创build一个自给自足的实验室环境，创build一个新的实验室森林。 如果您需要主DC的策略，那么最好的select是从GPMC导出策略，并将其重新导入到实验室环境中。

编辑：

[ 从您的评论下面 ]这不是一个主要的DC在组织单位。 这是class上每个人都可以访问的DC。

我不明白你的问题。 在这种情况下，你可以做的唯一事情就是在你的实验中实现只读域控制器。 但这只会延长，因为：

如果WAN处于脱机状态，哪些操作失败，但RODC在分支机构处于联机状态？ [这将反映你的计划设置; RODC无法联系可写DC。

如果RODC无法连接到在集线器中运行Windows Server 2008的可写域控制器，则以下分支机构操作失败：

• 密码更改
• 尝试将计算机join域
• 电脑重命名

• 身份validation尝试帐户的凭据没有caching在RODC上

• 组策略更新，pipe理员可以通过运行gpupdate / force命令进行尝试

来源： https ： //technet.microsoft.com/en-us/library/cc754956(v=ws.10).aspx