何时应在林中创建附加域？

创建另一个域会增加复杂性。只要您能够维护单域环境，就可以限制复杂性。我发现在单域环境中管理活动更容易。

可视化组织（“更整洁的组织”）可以通过其他功能实现，例如 Active Directory 中的组织单位 (OU)。就我个人而言，我认为这种“整洁”不足以成为创建第二个域的理由。

您在多域环境中所能想象到的任何控制委派场景都可以通过在 OU 处委派控制来在单个域中处理。

从登录效率的角度来看，将域控制器 (DC) 计算机放在某个位置是有意义的，无论该位置将使用哪个域。如果您要让用户在不同位置之间移动，并且您拥有多域环境，则需要更多 DC（每个域至少一台）。

就我的经验而言，跨林组策略对象 (GPO) 有点不稳定。您需要一个托管 GPO 的域中的 DC，该 DC 必须与应用该域中的 GPO 的计算机连接良好。与单个域相比，这还可能导致在多域环境中需要更多 DC。

我的观点是，仅当您需要多个域级密码策略（并且由于某些技术原因无法在单个域中使用细粒度密码策略）或域复制流量过于极端以至于需要隔离以限制复制流量时，才需要多域环境。

编辑：

如果您确实需要分离，无论是法律上还是组织上，那么为另一家公司建立一个单独的森林是唯一的选择。除了对目录的复制进行分区外，同一森林中的独立域并不能提供实际的分离。

就您目前提出的问题而言，在我看来，在 Active Directory 中设置新站点可以获得与设置新域一样多的好处。您可以在新的物理位置（但位于同一个域和林中）创建一个新的域控制器，并将其设置为服务于相关的新站点（通过 Active Directory 站点和服务管理工具）。

当然，没有对 Mathias 评论的澄清，我不太敢肯定地说这一点。如果这真的是两家不同的公司，那么即使它们紧密合作，您可能也应该为每家公司建立一个森林。将它们绑定到一个 AD 森林中可能会产生不良的法律或合规影响，这可能会抵消简单的 Active Directory 管理的优势。然后还有一个问题，如果这两家公司分道扬镳，会发生什么。谁“拥有”现有的森林，您如何进行适当的脱离，谁为这项工作付费，谁为现在没有森林的公司支付建立新森林的费用？

联合服务的存在正是为了允许公司林之间的交互以及不同林中资源的交叉使用，这样不同的组织就不需要共享同一个林来协同工作。这是一个更复杂的设置，管理起来也更麻烦，但如果真的有两家公司参与其中，我建议采用这种设置——两个独立的林使用联合服务相互连接。当每个组织拥有自己的林并使用联合服务相互连接时，麻烦、混乱和政治问题就会减少，而且不用担心合作结束后会发生什么。

听起来您的大多数问题都需要针对业务层面，而不是技术层面。首先，如果企业打算发展第二家公司，然后在它们成长起来后再分离，那么在这种情况下，单独的域名可能会很有用，以帮助他们分离。

除非你有严格的安全要求，否则永远不要使用 RODC，它们只是另一种管理开销，在几乎所有情况下都不值得麻烦。理论上很棒，实践起来很痛苦。无论如何，在你做这件事之前，至少要先做实验，了解你要做什么。

如果两家公司打算保持合并，那么将取决于 IT 管理部门需要分离到何种程度。域管理员是 IT 组织中常用的、经常过度使用的但也是必需的人员。单一域意味着这个强大的用户组将允许在该域内完全访问大量管理控制台并覆盖公司的两个部分。在允许的情况下更改这些默认设置甚至比管理 2 个子域的额外管理工作还要麻烦。因此，如果您认为需要分割管理责任，并且这种控制级别（每个公司）可能会成为一项硬性要求，那么分离域就是解决之道。如果这种情况永远不会发生，并且 2 个 IT 组织可以和谐地工作（良好的沟通和协作变更控制是这里的关键），或者只有 1 个 IT 组织可以处理/共享 2 家公司，那么请坚持使用一个。

我目前正在帮助一家拥有大约 12 个独立域、区域 IT 支持和 60000 多名用户的公司再次合并为一个域，因为他们不需要保持独立，这是一个痛苦的过程。因此，早期的决策必须是正确的，虽然你无法总是规划出企业在 10 年甚至 5 年后可能会做什么，但现在就要向各个层面提出问题，记录他们的反应并做好准备。