Projektując środowiska AD analizuje się potrzeby danej firmy, a nie przewagi jednego środowiska nad drugim. Co jest lepsze dla jednej firmy, może nie spełniać potrzeb i wymagań drugiej.
Zestawiając ze sobą środowisko jednej domeny i kilku wyjdzie nam, że jedna domena jest korzystniejsza.
Jedna domena:

• Środowisko mniej skomplikowane.
• Mniejsze koszty.

Kilka domen:

• Środowisko skomplikowane.
• Większe koszty.

Ale zacznijmy od początku. Tak wygląda proces projektowania środowiska usługi Active Directory:

Nie znając zupełnie środowiska, jego potrzeb i wymagań, odpowiedziałabym, że potrzebna jest jedna domena z maksymalnie 8 site-ami.

Co należy przeanalizować?
Ile lasów jest potrzebnych? Są właściwie 3 powody projektowania środowiska składającego się kilku lasów:

• Wymóg różnych schematów AD.
• Izolowanie zasobów.
• Wymogi prawne, geopolityczne itp.

Ile domen jest potrzebnych?

• tu decyduje przede wszystkim administracja – scentralizowana lub rozproszona.
• potrzeba biznesowa.

Obecnie większość firm utrzymuje środowiska jednej domeny - są one tańsze, łatwiejsze w utrzymaniu i zarządzaniu, odtwarzaniu w przypadku awarii itp.
Trzeba pamiętać również o tym, że środowisko jednej domeny można również zdecentralizować od strony administracji. Służą do tego delegacje uprawnień, GPO ustawiane na poziomie OU, różne polityki haseł itp.
W załączniku dokument omawiający projektowanie AD.

Nie ma żadnej przewagi. Zwykle wystarczy jedna domena i wszystko można w niej zrobić, co przekłada się na łatwiejszą administrację i niższe koszty osobowe i sprzętowe (mniej DCków).

Wiele domen było kiedyś wymuszane głównie różnymi politykami haseł (w Win 2003), których inaczej nie dało się zrobić. Wiele domen wykorzystuje się podczas fuzji lub przygotowania do podziału organizacji.

Za wieloma domenami przemawiając więc w sumie tylko:
- wymogi prawne,
- chęć izolowania środowisk (wydzielone grupy domain adminów, odseparowane fizycznie miejsca przechowywania bazy AD z kontami użytkowników, większa izolacja serwerów z krytycznymi danymi).

W skrajnym przypadku może taka chęć prowadzić do tworzenia oddzielnych lasów i ewentualnie tworzenia między nimi forest trust + selective authentication + SID filtering.

Co do różnych schematów, to raczej wydumany, teoretyczny warunek. Schemat można rozszerzać dla różnych aplikacji i jeden schemat może obsłużyć wszystkie na raz.

Z punktu widzenia administrowania najlepsza jest jedna domena.