AD に子ドメインは必要ですか?

いいえ、ほぼ間違いなくそうではありません。1 人の管理者が実質的にすべてにアクセスできるようにするという政治的圧力がない限り、1 つのドメインに固執してください。同じ DNS 名前空間の使用に関しては議論があり、これは複数のブランドを持つ多国籍企業には適さないかもしれませんが、これはあなたにとっては問題ではないようです。繰り返しますが、これはすべてナンセンスです。スケーラビリティの点では、AD は現在非常によく拡張できます。レプリケーションも非常にうまく制御できます。Windows 2000 Server 以降、状況は進化しています。

質問を逆にすると、複数のドメインによって運用上のオーバーヘッド（日常的なユーザー/グループ管理、監査、AD バックアップの保護、回復の証明など）が増加するだけでなく、ドメイン間で構成の不一致が生じる可能性もあります。

単一ドメイン… 前進への道。

DC 配置に関しては、Microsoft のサイトあたり 2 つの DC モデルにあまり夢中になりすぎないでください。WAN リンク、より具体的にはサイトへの三角測量を検討してください。冗長リンクがあり、それらのリンクの MTBF が高い場合は、不必要に過剰に設計しないでください。学校がどの程度大きく、自立しているかはわかりません。ただし、リンクの遅延が長い場合は、オンサイトの DC が必要になる可能性があります。この議論は、WAN が提供するサービス レベルに帰着します。必要に応じて、いつでも DC を追加できます。DC を削除するのはそれほど簡単ではありません (経験と理論)。

また、サーバー コアで問題なく動作する読み取り専用ドメイン コントローラー (RODC) も忘れないでください。学校はかなり自律的に運営されていると思われるので、これは関係ないかもしれませんが、たとえば、独自のユーザー管理を行っていない、または行えない小規模な学校の場合は、RODC が最適です。

要約すると、自分の主張を明確にし、次に WAN 調査を整理します。

一般的に言えば、ドメイン構造はできるだけフラットにし、できれば単一のドメインにする必要があります。ドメインへの分割には明確なビジネス ドライバーが必要です。Active Directory システムをこのように「設計」する技術的な理由はほとんどありません。複数のドメインがあると複雑さが増し、問題発生時に困難になる可能性があります。ドメインには壊れる可能性のある信頼関係があり、ほとんどすべてのものに大混乱をもたらします。

決定基準の一部は、政治的な要因によって左右されることがあります。セキュリティ境界の制御を必要とするエンティティが存在する場合、その 1 つの方法は、それらのエンティティに独自のドメインを提供することです。1 つの例は米国政府です。米国政府では、部門が独自のフォレストを持ち、構成機関が独自のドメインを持つことは珍しくありません。政治的要因は別として、この技術的な根拠は必ずしも説得力があるわけではありません。Windows 2008 より前では、パスワード ポリシーなど、一部の機能に独自のドメインが必要でした。技術的な要因の 1 つは、別のドメインが、1 つのドメインに統合された場合に現在は使用できない Active Directory 機能ドメイン レベルを使用したい場合です。

一部の人々は、最終的に別の会社にスピンオフする戦略を持つ完全所有子会社など、一部の種類の事業部門は別のドメインの候補であると考えています。または、厳格な規制または財務管理の対象となる事業部門がある場合や、事業部門が非営利財団である場合など、規制要件で関心の分離が指定されている場合です。