Las únicas razones para crear un dominio de AD separado es tener una política de contraseña diferente, para segmentar la replicación.
Puede minimizar el riesgo de un DC comprometido solo con un nuevo bosque. Cualquier dominio en un bosque puede resultar en credenciales de administrador de empresa comprometidas.
El servidor ADFS debe ser de confianza para ambos dominios, por lo que se necesita una confianza de dominio o una confianza de bosque. Si no haces esto, entonces el descubrimiento del reino de la casa se volverá difícil.
Si pretende utilizar MSFT en línea, Azure AD para la sincronización, se admiten varios dominios y bosques, pero es más complicado. Solo tenga en cuenta que cuando realiza la provisión en una ubicación (EE. UU.), No le permite compartir el mismo espacio de nombres en el Reino Unido. (por ejemplo, [email protected] es específico del país). Esta es una limitación temporal que se corregirá pronto.
¿ADFS vs Ping vs Auth0? Bueno, ¿con quién te estás integrando? ¿Cuáles son tus habilidades internas? ¿Tienen esos proveedores las protecciones PII que necesita?
Sí, AD puede escalar a más de un millón de objetos (el Ejército / Marina de los EE. UU. tiene un bosque de AD masivo). Esta información es de 2007, así que estoy seguro de que es mucho más alto ahora.
Pregunta para usted: ¿para qué tiene recursos: una infraestructura AD perfectamente robusta o dos infraestructuras? (por ejemplo, aislar las interrupciones / carga)