Hola ManuelHerrera, habría que conocer vien las cuestiones legales que comentas, pero la única forma de tener aislamiento es con Bosques separados
Cualquier opción de que estén en el mismo Bosque implicaría que los Grupos "Enterprise Admins" y "Schema Admins" tendrán privilegios sobre todos los Dominios
Si en cambio lo que se necesita es independencia, no aislamiento, entonces se puede evaluar hacer Dominios dentro del mismo Bosque
Cuidado con la decisión que tomes, hay que pensarlo muy bien, y tratar de definir o preveer qué puede pasar a futuro
Cualquiera de las dos opciones si tienes luego que cambiarla dará bastante trabajo. No hay forma de unir Bosques, o separar un Dominio de un Bosque. En cualquiera de los casos implicará crear algo nuevo y hacer un proceso de migración de usuarios, grupos,
máquinas, etc.
Si tuvieras Bosques separados, y quisieras de alguna forma centralizar administración, se pueden hacer relaciones de confianza, pero con esto ya no existe el aislamiento entre Bosques, así que revisa bien cuáles son las exigencias legales
Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.