Eu deveria começar essa resposta com um comentário. Não conheço sua infraestrutura, então, por favor, me perdoe se isso não se aplicar. A Microsoft não recomenda domínios filhos ou raízes de árvore separadas para a maioria das organizações. A recomendação atual é um único domínio do AD com unidades de negócios separadas por UOs para gerenciamento. A menos que você tenha uma razão muito convincente para complicar sua estrutura do AD fazendo isso, sugiro que repense seu design e avalie se um único domínio do AD pode ser mais adequado.
Acima é um exemplo de cada um. Não há confiança explícita entre os dois domínios no segundo exemplo, ainda há uma confiança implícita, no entanto.
Você teria que usar um atalho de confiança entre os dois, caso contrário, a raiz da floresta sempre teria que ser consultada sempre que uma solicitação de recurso entre domínios fosse feita.