ADに子ドメインが必要ですか？

いいえ、ほぼ間違いなくそうです。 1人の管理者がすべてに効果的にアクセスできるという政治的圧力がない限り、1つのドメインに固執します。使用されている同じDNS名前空間に関しては、マルチブランドの多国籍企業には適さない可能性がありますが、これは問題ではないようです。繰り返しますが、これはすべてボローティックスです。スケーラビリティの点で、ADは非常によくスケーリングします。複製もかなりうまく制御できます。 Windows 2000 Server以降、状況は変化しています。

複数のドメインを使用すると、問題の頭をひっくり返して、運用上のオーバーヘッド（日常のユーザー/グループ管理、監査、ADバックアップのセキュリティ保護、回復の証明など）が増加しますが、ドメイン間で構成の不整合が生じる可能性もあります。

単一ドメイン...その先へ。

DC配置に関しては、サイトモデルごとにMicrosoftの2つのDCを使用することで、うんざりしないようにしてください。WANリンク、具体的には、サイトへの三角測量。冗長なリンクがあり、これらのリンクのMTBFが高い場合は、不必要に過度に設計しないでください。学校の規模や自律性がどれほど大きいかわかりません。ただし、リンクの待ち時間が長い場合は、おそらくオンサイトDCが必要になります。この全体の議論は、WANが提供するサービスレベルにまで及びます。いつでも追加できます。 DCは必要に応じて使用します。それらを削除することは、それほど単純ではありません（経験vs理論）。

また、サーバーコアで美しく機能する読み取り専用ドメインコントローラー（RODC）についても忘れないでください。これは、あなたの学校は非常に自律的であるように聞こえるので、あなたには関係がないかもしれませんが、たとえば、独自のユーザー管理を行えなかった/できなかった小規模な学校を持っている場合、RODCは素晴らしいでしょう。

要約すると、ボロティックスを釘付けにしてから、WAN調査をソートします。

一般的に言えば、常にできるだけフラットなドメイン構造、できれば単一のドメインを持つようにすべきです。このようにActive Directoryシステムを「構築」する技術的な理由はほとんどないため、ドメインへのパーティション分割には明確なビジネスドライバーが必要です。複数のドメインが複雑さを生み出し、問題が発生した場合に気が遠くなることがあります。ドメインは信頼を失い、破壊する可能性があり、それはほとんどすべてに大混乱をもたらします。

決定基準のいくつかは政治によって動かされるかもしれません。セキュリティ境界の制御を必要とするエンティティが存在する場合があります。そのための1つの方法は、彼らに独自のドメインを提供することです。 1つの例は、米国政府であり、部門が独自のフォレストを持つことは珍しくなく、構成機関は独自のドメインを持っています。政治を除いて、これの技術的根拠は常に説得力があるとは限りません。 Windows 2008より前のバージョンでは、パスワードポリシーなど、独自のドメインが必要な場合がありました。技術的な理由の1つは、別のドメインが単一のドメインに統合されている場合は現在利用できないActive Directory機能ドメインレベルを使用することです。

一部のタイプのビジネスユニットは、完全に所有する子会社など、最終的には別の会社に分割する戦略である、別のドメインの候補であるという意見があります。または、規制要件により、厳格な規制または財務管理の対象となるビジネスユニットが存在する場合や、ビジネスユニットが非営利の基盤である場合など、懸念の分離が指定されている場合。