L'unico motivo per creare un dominio AD separato è avere una politica password diversa, per segmentare la replica.
È possibile ridurre al minimo il rischio di un CD compromesso solo con una nuova foresta. Qualsiasi dominio in una foresta può comportare credenziali di amministratore aziendale compromesse.
Il server ADFS deve essere considerato affidabile da entrambi i domini, quindi è necessario un trust di dominio o un trust forestale. Se non lo fai, allora la scoperta del regno familiare diventerà difficile.
Se si intende utilizzare MSFT online, Azure AD per la sincronizzazione, più domini e foreste sono supportati, ma è più complicato. Sappi solo che quando effettui il provisioning in una posizione (USA) non ti consente di condividere lo stesso spazio dei nomi nel Regno Unito. (ad esempio, [email protected] è specifico per paese). Questa è una limitazione temporanea che verrà presto corretta.
ADFS vs Ping vs Auth0? Bene con chi ti stai integrando? Quali sono le tue abilità interne? quei fornitori hanno le protezioni PII necessarie?
Sì, l'ANNUNCIO può ridimensionare a oltre un milione di oggetti (la US Army / Navy ha una massiccia foresta AD). Questa informazione è del 2007, quindi sono sicuro che ora è molto più alto.
Domanda per te - a cosa servono risorse: un'infrastruttura AD perfettamente solida o due infrastrutture? (ad esempio, isolare le interruzioni / carico)