Você pode fazer isso com subdomínios em uma floresta, criar novos domínios conforme necessário (cada domínio exigirá alguns controladores de domínio), mas enquanto isso deve funcionar e o modelo de confiança em florestas do AD deve significar que a comunicação funciona bem, criar vários domínios geralmente é uma má ideia; Quando nos mudamos para o AD, cerca de 16 anos atrás, pensamos que estávamos sendo inteligentes colapsando 5 domínios do Windows NT em dois domínios do AD em uma floresta. Com o benefício da retrospectiva, eu realmente gostaria que tivéssemos ido para apenas um domínio.
Você pode fazer tudo isso em várias UOs em um domínio, o que pode ser melhor. Com certeza, será mais fácil gerenciá-lo de qualquer maneira. Você pode separar usuários e recursos em unidades organizacionais separadas e, dependendo do motivo pelo qual deseja a separação, você pode executar um ou mais dos seguintes procedimentos:
- Se você estiver preocupado com vários sites, poderá criar vários sites em um domínio, permitindo que os dispositivos e / ou a autenticação de usuário 'prefiram' um DC no mesmo site em vez de cruzar links WAN quando não for necessário.
- Se você precisar manter a separação "política" entre os diferentes departamentos da empresa, poderá fazer isso dividindo usuários e dispositivos em unidades organizacionais. Departamento Y e delegar direitos de administrador (ou qualquer subconjunto de direitos que você deseje) a administradores departamentais que tenham apenas direitos sobre as UOs 'deles'.