Quando você deve criar um domínio adicional na floresta?

Criar outro domínio adiciona complexidade. Na medida em que você é capaz de manter um único ambiente de domínio, você limitará a complexidade. Eu acho que as atividades administrativas são mais fáceis em um ambiente de domínio único.

A organização visual ("uma organização mais organizada") pode ser realizada com outros recursos, como unidades organizacionais (UOs) no Active Directory. Pessoalmente, eu não consideraria essa razão "arrumada" suficiente para criar um segundo domínio.

Qualquer cenário de delegação de controle que você possa imaginar em um ambiente de vários domínios pode ser tratado em um único domínio, delegando o controle a uma UO.

De uma perspectiva de eficiência de logon, faz sentido ter computadores Controlador de Domínio (DC) em um local para os domínios que serão usados nesse local. Se você pretende que os usuários viajem entre os locais, você precisará de mais controladores de domínio (um para cada domínio, no mínimo) se tiver um ambiente de vários domínios.

Objetos de política de grupo entre florestas (GPOs) têm, na minha experiência, sido um tanto esquisito. Você precisará de um controlador de domínio do domínio em que um GPO esteja hospedado bem conectado a máquinas que apliquem os GPOs desse domínio. Isso também pode causar a necessidade de mais controladores de domínio em um ambiente de vários domínios, em comparação com um único domínio.

Minha opinião é que um ambiente de vários domínios só é necessário quando você exige várias políticas de senha em nível de domínio (e não pode usar a diretiva de senha refinada em um único domínio por algum motivo técnico) ou quando o tráfego de replicação de domínio seria tão extremo que exigiria isolamento para limitar o tráfego de replicação.

Editar:

Se você realmente precisa de separação, legal ou organizacionalmente, então uma Floresta separada para a outra empresa é realmente o único caminho a percorrer. Domínios separados na mesma floresta não oferecem separação prática, além de particionar a replicação do Diretório.

Como sua pergunta é feita atualmente, parece-me que você poderia obter o máximo de milhagem ao configurar um novo site no Active Directory, como faria com um novo domínio. Você criaria um novo controlador de domínio no novo local físico, mas no mesmo domínio e floresta, e o configuraria para veicular o novo site em questão (por meio da ferramenta de gerenciamento Serviços e Sites do Active Directory).

É claro que, sem um esclarecimento sobre o comentário de Mathias < Eu não me sinto confortável dizendo isso com alguma certeza. Se essas forem realmente duas empresas diferentes, você provavelmente deve ter uma floresta para cada empresa, mesmo que elas colaborem bem. Vinculá-los a uma floresta do AD pode ter implicações legais ou de conformidade indesejáveis que possam superar a vantagem do gerenciamento simples do Active Directory. E depois há a questão do que acontece quando / se essas duas empresas seguem caminhos separados. Quem "é dono" da floresta existente, como você realiza o desengajamento adequado, quem paga pelo trabalho e quem paga para criar uma nova floresta para a empresa que agora não tem uma?

Os serviços federados existem precisamente para permitir a interação entre as florestas das empresas e o uso cruzado de recursos nessas diferentes florestas, para que as organizações separadas não precisem compartilhar a mesma floresta para trabalhar em conjunto. É uma configuração mais complicada e muito mais para gerenciar, mas se realmente houver duas empresas em jogo aqui, é a configuração que eu recomendaria - duas florestas separadas usando serviços federados para se conectarem umas às outras. Menos trabalho, confusão e política envolvidos quando cada organização possui sua própria floresta e se conecta usando serviços federados, e não se preocupa com o que acontece depois que a colaboração termina.

Parece que a maioria das suas perguntas precisa ser direcionada para um nível de negócios, e não técnico. Em primeiro lugar, se a empresa pretende expandir a segunda empresa e depois separá-la quando crescer, um domínio separado pode ser útil nesse cenário, a fim de ajudá-los a se dividir.

A menos que você tenha requisitos rígidos de segurança que nunca usam um RODC, eles são apenas mais uma sobrecarga administrativa e não vale a pena se preocupar em quase todos os cenários. Ótimo em teoria, doloroso na prática. Pelo menos lab e entender o que você está se metendo antes de fazê-lo de qualquer maneira.

Se as empresas pretendem permanecer juntas, isso dependerá da independência da administração de TI. Um administrador de domínio é comumente usado, muitas vezes usado em demasia, mas também é necessário para a equipe principal da organização de TI. Um único domínio significa que este poderoso grupo de usuários permitirá acesso total dentro desse domínio a um grande número de consoles de administração e cobrirá ambas as partes da empresa. Alterar esses padrões onde é permitido pode ser ainda mais confuso do que o esforço extra do administrador de gerenciar dois domínios secundários. Portanto, se você acredita que haverá uma necessidade de dividir a responsabilidade administrativa e esse nível de controle (por empresa) provavelmente se tornará um requisito difícil, então domínios separados serão o caminho. Se isso nunca acontecer e 2 as organizações de TI puderem trabalhar em harmonia (boa comunicação e controle de mudança colaborativa, a chave aqui), ou apenas 1 organização de TI pode manipular / compartilhar as duas empresas, então se atenha a uma.

Atualmente, estou ajudando uma empresa com cerca de 12 domínios separados, suporte de TI regional e mais de 60000 usuários a se consolidarem em um único domínio porque não precisam permanecer separados e é um processo doloroso. Portanto, as decisões iniciais precisam ser as corretas e, embora você nem sempre possa planejar o que a empresa pode fazer em dez ou até cinco anos, faça perguntas em todos os níveis agora, documente suas respostas e prepare-se bem.