Verlas, la arquitectura (que ya tengo implementada) es la siguiente.
SERV1 (Contiene dominio dmifflin.local con active directory y DNS)
SERV2 (Contiene subdominio con direccion.local con su correspodiente active directory)
SERV3 (Es un controlador de dmifflin.com, por si cae el servidor principal, que los usuarios puedan logearse (este servidor actualmente está replicando el active directory de SERV1 y además también tiene DNS)
Respecto a las OU no he creado ninguna, de momento pero no tengo pensado hacerlo.
Lo que sí he estado revisando es el dominio de confianzas entre dominio y subdomino (porque me gustaría saber si está bien configurado, creo que sí).
Si desde SERV1 miro dihcas confianzas de active directory, por ejemplo en las priopiedades de SERV1 (dominio->subdominio) aparce lo siguiente.
No puedo eliminar las confianzas, pero tampoco añadir una nueva porque me dice que ya existe una.
y desde SERV1 subdominio->dominio hay el mismo tipo de confianzas.
Entonces, lo que tengo entendido es lo siguiente:
Un usuario de un subdominio, no puede conectarse al dominio (aunque cuando creo un nuevo usuario pueda elegir si quiero que se logee en el dominio o el subdominio) y viceversa un user del dom no puede logearse en el sub.
También he leido acerca de los grupos globales y universales, pero no lo tengo del todo claro. Imagino que la gracia, seria que un user del subdomio pudiera acceder a recursos del dominio (o según convenga).