什么时候应该在森林中创build额外的域名？

创build另一个域增加了复杂性 如果您能够维护一个单一的域环境，您将会限制复杂性。 我发现pipe理活动在单一域环境下更容易。

视觉组织（“更整洁的组织”）可以用其他function来完成，例如Active Directory中的组织单元（OU）。 就个人而言，我不会认为这种“整齐”的理由足以创造第二个领域。

几乎所有可以在多域环境中设想的控制场景代表团都可以通过在OU中委派控制权在单个域中进行处理。

从login效率的angular度来看，有一个域控制器（DC）计算机位于该位置的任何域将被使用是有意义的。 如果您打算让用户在不同地点之间旅行，则您将需要更多DC（每个域至less有一个DC），前提是您拥有多域环境。

在我的经验中，跨林组策略对象（GPO）有点片面。 您需要将GPO所在域中的DC与从该域应用GPO的计算机良好连接。 与单个域相比，这也可能导致在多域环境中需要更多的DC。

我的观点是，只有当您需要多个域级密码策略（由于某些技术原因无法在单个域内使用细粒度的密码策略）或域复制stream量将是极端的，以保证隔离，以限制复制stream量。

编辑：

如果你真的需要合法或组织上的分离，那么另一个公司的森林是真正的唯一途径。 除了对目录的复制进行分区以外，在同一个目录林中单独的域提供了实际的分离。

由于您的问题目前已经提出，这听起来像你可以得到尽可能多的里程，build立一个新的网站在Active Directory中，就像你在一个新的域名。 您需要在新的物理位置创build一个新的域控制器，但要在同一个域和目录林中，并将其设置为通过Active Directory站点和服务pipe理工具提供有关新站点的服务。

当然，如果没有对Mathias的评论作出澄清 ，我不能很确定地说。 如果这些公司真的是两个不同的公司，那么即使他们紧密合作，也应该为每个公司build立一个森林。 将它们绑定到一个AD林中可能会产生不良的法律或合规性影响，这可能会超过简单Active Directorypipe理的优势。 那么这两个公司分道扬what之后会发生什么呢？ 谁拥有现有的森林？你如何执行适当的脱离工作？谁为此付出了代价？谁为那些现在没有的公司build立新的森林？

联合服务的存在恰恰是为了允许公司的森林之间的互动和不同森林中的资源的交叉使用，使得单独的组织不需要共享同一个森林来共同工作。 这是一个更复杂的设置，更多的pipe理，但如果真的有两家公司在这里玩，这是我build议的设置 – 两个独立的森林使用联合服务相互连接。 当每个组织拥有自己的森林，并使用联合服务相互连接时，涉及到更less的麻烦，混乱和政治问题，而且不用担心协作结束后会发生什么情况。

这听起来像你的大部分问题都需要针对业务层面而不是技术层面。 首先，如果企业打算发展第二家企业，然后在成长的时候将其分离，那么在这种情况下，另一个领域可能是有用的，以帮助他们分手。

除非你有严格的安全要求，否则不要使用RODC，它们只是另一个pipe理开销，在几乎所有情况下都不值得费心。 理论上很好，在实践中很痛苦。 至less在实验室里，无论如何都要明白你的意图。

如果公司打算留在一起，将取决于ITpipe理部门需要如何分离。 域pipe理员是常用的，通常过度使用，但对于IT组织中的关键人员来说也是经常使用的。 单个域意味着这个强大的用户组将允许在该域中完全访问许多pipe理控制台并覆盖公司的两个部分。 在允许的地方更改这些默认值可能比pipe理2个子域的额外pipe理工作更为混乱。 因此，如果您认为需要分割行政责任，并且这个级别的控制（每个公司）可能成为一个艰难的要求，那么单独的领域就是这样。 如果这种情况永远不会发生，而且2个IT组织可以协调工作（良好的沟通和协作变更控制着这里的关键），或者只有1个IT组织可以处理/共享这2个公司，那么坚持一个。

我目前正在帮助一家拥有12个左右独立域名，地区IT支持和60000+用户的公司重新合并，因为他们不需要保持独立，这是一个痛苦的过程。 因此，早期的决策必须是正确的，虽然你不能总是在10年甚至5年时间内做出业务计划，但现在在各个层面提问，logging下他们的反应，并做好准备。