vit5015提到：
主管希望能在同一個網域下，帳號不要分成兩邊能集中管理。子公司的mis只能管理到子公司的帳號，主公司的能管理到全部。

先釐清, 上面的需求有這幾個:

1. 所有帳號都建在同一個網域下
2. 所有帳號要能集中管理, 不要分兩邊
3. 子公司只能管子公司的帳號
4. 總公司的能管所有公司的帳號

如果你建子網域 (Subdomain), 狀況其實跟現在差不多:

1. 你同樣要有獨立的 DC 給 subdomain 使用 (因為一台 DC 不能同時管理兩個網域)
2. 帳號還是分開建在兩組不同的 DC 上面 (Top-domain 和 Sub-domain)
3. 兩個網域之間不能互管, 你還是要透過 domain-trust 授權管理人員 (跟現在一樣)

這樣並沒有達到上面主管要求的那幾點, 除了3.符合之外, 其他的都還要額外的設定

而且, 如果你的 Email 系統是用 Exchange 的話, 那每一個 subdomain 需要一套獨立的 Exchange 組織, 因為 Exchange 是 Domain-aware, 他不是以 forest 為組織計算單位的, 所以, 你手上有多少個 domain, 就需要多少套 Exchange 組織.

subdomain 並沒有完全滿足主管的要求, 但你卻要花很大的功夫去遷移帳號 (遷移 AD 帳號是非常複雜的作業, 有很多過渡期的工作要處理, 微軟的標準作業流程有數百頁要看), 而且做完之後的結果跟現況差不多 (同樣需要各自獨立的 Domain Controller, 帳號同樣要分兩邊管...).

比較適合的解決方案, 是把所有帳號整合到一個 domain 內就好, 然後把子公司放到獨立的 OU 內, 再把子公司 OU 管理的權限, 用 AD 裡面的「委派」(Delegation) 功能, 指派給子公司的管理者.

以上只是簡單的建議, 尚需詳細評估公司所有 AP 會發生甚麼影響? 尤其是 Exchange Server.