Нужны ли дочерние домены в AD?

Нет, почти наверняка нет. Если у вас нет политического давления, когда один администратор имеет доступ ко всему, то придерживайтесь одного домена. Существуют аргументы в отношении того же используемого пространства имен DNS, которое может не подходить для мультибрендовых транснациональных корпораций, но, похоже, это не проблема для вас. Опять же, это все боллотика. С точки зрения масштабируемости, AD теперь масштабируется очень хорошо. Репликацией тоже можно управлять довольно хорошо. Все пошло дальше, начиная с Windows 2000 Server.

Перевернув вопрос с ног на голову, несколько доменов увеличивают операционные накладные расходы (от повседневного управления пользователями / группами, аудита, обеспечения резервного копирования AD, проверки восстановления и т. Д.), Но также создают потенциальные несоответствия конфигурации между доменами.

Единый домен... путь вперед.

С точки зрения размещения DC, не слишком увлекайтесь двумя контроллерами Microsoft для каждой модели сайта. Посмотрите на свои WAN-ссылки, а точнее, триангуляцию на сайты. Если у вас есть избыточные ссылки, а MTBF в этих ссылках высока, то не перегружайте их без необходимости. Я не знаю, насколько велики / автономны ваши школы. Однако, если задержка в ваших ссылках высока, то, возможно, потребуются локальные контроллеры домена. Весь этот аргумент сводится к уровню обслуживания, который предоставляет вам WAN. Вы всегда можете добавить дополнительные контроллеры домена, если это необходимо. Забрать их не так просто (опыт против теории).

Кроме того, не забывайте о контроллерах домена только для чтения (RODC), которые прекрасно работают на ядре сервера. Это может быть неуместно для вас, так как кажется, что ваши школы достаточно автономны, но если у вас, например, была меньшая школа, которая не имела / не могла управлять своими пользователями, тогда RODC был бы фантастическим,

Таким образом, вы можете зафиксировать свой боллотизм, а затем отсортировать опрос WAN.

Вообще говоря, вы всегда должны стараться иметь как можно более плоскую доменную структуру, предпочтительно один домен. Разделение на домены должно иметь четкие бизнес-драйверы, так как существует несколько технических причин для "архитектуры" системы Active Directory таким образом. Несколько доменов создают сложности, которые могут быть пугающими при возникновении проблем. Домены имеют тресты, которые могут сломаться, и это наносит ущерб практически всем.

Некоторые из критериев принятия решений могут быть обусловлены политикой. Там могут быть объекты, которые требуют контроля над границей безопасности; Один из способов сделать это - предоставить им собственный домен. В качестве примера можно привести правительство США, где департамент нередко имеет свой собственный лес, а составляющие его органы имеют свой собственный домен. Помимо политики, техническое обоснование этого не всегда убедительно. До Windows 2008 для некоторых вещей, таких как политики паролей, мог требоваться собственный домен. Один технический драйвер может заключаться в том, что другой домен хочет использовать уровень функционального домена Active Directory, который в настоящее время недоступен, если они были объединены в одном домене.

Некоторые люди считают, что некоторые типы бизнес-единиц являются кандидатами на отдельные домены, например, дочерние компании, находящиеся в полной собственности, где стратегия заключается в том, чтобы в конечном итоге выделить его в отдельную компанию. Или, если в нормативных требованиях указано разделение интересов, например, существует ли бизнес-единица, подлежащая строгому нормативному или финансовому контролю, или бизнес-единица является некоммерческой организацией.