[QRS]

Структура сильно зависит от централизации обслуживания ИТ-специалистами и от обособленности зон ответственности.

В случае, если организации сильно обособлены и хотят быть независимыми, то может идти речь об отдельных лесах и доверии между ними. В случае сильной центральной воли, можно настроить единственный домен. Промежуточные варианты сводятся к нескольким деревьям в одном лесу.

Таким образом, определяющим будет вопрос: кто отвечает за работу инфраструктуры в целом и AD в частности (ведь за единым лесом тянется DHCP и Exchange)? Допускает ли руководство каждой отдельной организации управление собственной инфраструктурой извне?

Если единый домен приемлем, то будет необходимо решить вопрос размещения серверов инфраструктуры на вычислительных мощностях, т.е.: кому фактически принадлежат сервера?!
Если никто выделываться не будет (ради экономии или принципа ради), то на здание с 4мя организациями можно поставить 2 контроллера домена (желательно в разных ЦОДах).
Если согласованности не будет, то проще всего для каждой организации поднять по контроллеру домена.
Для удаленных организаций можно поставить по 1-2 контроллера домена.

Очевидно, что необходимо настроить сайты по IP-адресам; на каждом контроллере поднять глобальный каталог.

Для подключения удаленных организаций к центральному зданию можно использовать RRAS или IPSec на базе аппаратных маршрутизаторов. Выбор будет определяться в первую очередь требованиями информационной безопасности, в а свете приближения 2011 года (федеральный закон 152-ФЗ), немаловажными станут требования защиты ИСПДн - а у Вас может получиться распределенная система.
---
PS: В случае единственного домена, с точки зрения лицензирования имеет смысл оформить единое корпоративное лицензионное соглашение и расписать лицензии между предприятиями.
PS2: Попутно, в целях планирования информационной безопасности, стоит уточнить вопрос о центре сертификации.

[exo]

Цитата QRS:

ведь за единым лесом тянется DHCP и Exchange »

поясните, пожалуйста.

[QRS]

Цитата exo:

поясните, пожалуйста. »

Exchange Organisation разворачивается на лес.

Вроде, для авторизации DHCP требовались права Ent Admins (хотя, возможно, я ошибаюсь).

[exo]

Цитата QRS:

Вроде, для авторизации DHCP требовались права Ent Admins (хотя, возможно, я ошибаюсь). »

Цитата:

http://technet.microsoft.com/ru-ru/l...16(WS.10).aspx Поскольку члены группы «Администраторы DHCP» имеют права только на локальном компьютере, администраторы DHCP не могут авторизовать DHCP-серверы в Active Directory. Эту задачу могут выполнять только члены группы «Администраторы домена». Если требуется выполнить или отменить авторизацию DHCP-сервера в дочернем домене, необходимо использовать учетные данные администратора предприятия для родительского домена.

Цитата QRS:

Exchange Organisation разворачивается на лес. »

т.е. если у меня есть домен и есть доверительный домен, то Exchange один на двоих?
Или Exchange Organisation это не почтовый сервер Exchange?

[QRS]

Цитата exo:

т.е. если у меня есть домен и есть доверительный домен, то Exchange один на двоих? »

Exchange 2010 A Practical Approach By Jaap Wesselius (ISBN 978-1-906434-31-1)

читать дальше »

A Windows Server Active Directory consists of one forest, one or more domains and one or more sites. Exchange Server 2010 is bound to a forest, and therefore one Exchange Server 2010 Organization is connected to one Active Directory forest. The actual information in an Active Directory forest is stored in three locations, also called partitions:
• Schema partition – this contains a “blue print” of all objects and properties in Active Directory. In a programming scenario this would be called a class. When an object, like a user, is created, it is instantiated from the user blueprint in Active Directory.
• Configuration partition – this contains information that’s used throughout the forest. Regardless of the number of domains that are configured in Active Directory, all
domain controllers use the same Configuration Partition in that particular Active Directory forest. As such, it is replicated throughout the Active Directory forest, and all changes to the Configuration Partition have to be replicated to all Domain Controllers. All Exchange Server 2010 information is stored in the Configuration Partition.
• Domain Partition – this contains information regarding the domains installed in Active Directory. Every domain has its own Domain Partition, so if there are 60 domains installed there will be 60 different Domain Partitions. User information, including Mailbox information, is stored in the Domain Partition.

[exo]

QRS, я пока не понял смысл всего этого. для чего так... какая выгода? чисто на практике