A integração funcional do LDAP fica mais solta à medida que você avança do domínio - > floresta - > vários níveis de confiança da floresta. Dentro de um domínio, tudo por padrão é confiável (mas possivelmente não autorizado), dentro de uma fidedignidade transitiva da floresta permite que todos os domínios membros tenham visibilidade e confiança em objetos em outros domínios membros, mantendo sob controle coisas como tráfego de replicação e limites administrativos.
Domínios que têm uma relação organizacional próxima, mas que precisam ser mantidos distintos por qualquer motivo, pertencem a uma floresta a fim de simplificar a administração \ organização em larga escala. Então você pode ter production.acme.com, test.acme.com, Tokyo.acme.com etc. como domínios separados em uma única floresta. Você terá um espaço de nomes e um esquema consistentes e (em geral) mecanismos fáceis para acessar ou fornecer acesso a objetos entre domínios, pois, por padrão, você tem relações de confiança transitivas entre todos os domínios dentro de uma floresta.
Se a sua estrutura organizacional exigir que determinados domínios tenham um esquema diferente ou que vários grupos de TI precisem da propriedade direta de seus serviços de diretório, ou se você precisar de uma separação administrativa mais completa entre alguns domínios, será necessário um multi design de floresta com algumas relações de confiança entre as florestas (ou possivelmente apenas entre domínios especificados).
O acima é baseado no Active Directory, mas os mesmos princípios devem ser aplicados a qualquer ambiente LDAP.