C'est de l'abstraction, une "forêt" ça veux dire que dale en réseau, c'est juste un terme utilisé pour définir une hierarchie.
La base reste le domaine. Que t'ai XXX sous domaines gérés par YYY serveurs sans relations d'approbations : ton domaine = ta forêt quoi que t'en dise même si ton périmètre d'action se limite aux serveurs sur lesquels t'as les droits SUID=0.
Revenir a la base : c'est se que tu va faire. Que ton domaine soit splitté ou géré sur un point unique, distant, avec des couches et surcouches d'abstraction, on s'en fou, tu verra si tu réfléchis comme ça, tu te fera beaucoup moins de cheveux blancs et tu sera beaucoup plus efficient.
 
Se qui compte dans l'histoire c'est :
-Ton rôle de DNS : un serveur une fois mis en tant que DNS tu ne le bouge plus. Hierarchise tes DNS pour qu'ils gèrent 1 ou X branches, ou sous domaines du domaine principal, et t'aura l'équivalent de ta forêt et tes arbres.
-Attribution des IP, et résolution des noms, qu'elle se fasse sur un périmètre local, ou global (ben oui, internet c'est une forêt <_< ) c'est la même chose (les mêmes systèmes de redondance avec attribution netbios/BGP, maintien des routes en dur dans les routeurs etc ...)
 
Les relations parents/enfants/arbres/forêt etc ... A la limite on s'en fou un peu, ça peu être réglé pendant les tests de régression. "AD" c'est une couche logicielle 6/7 dans une organisation OSI avec exception de la pièce principale (DNS) qui a des relations en couche 5... C'est X.500 quoi, c'est pas non plus un truc énorme o_O
 

 
Je travaille habituellement en couche 3 a 5 moi, vous vous parlez d'un truc qui se met en place en couche 5 a 7 (vous commencez avec votre cadre DAP/LDAP)
 
Pour aller plus loin :  
 

 
La, on a deux systèmes distincts, vous vus êtes même pas dans ce cadre, votre cadre serait une division de la couche "session" a "application", j'appelle pas ça des réseaux distincts.
 
Faut arrêter de se prendre au sérieux 2 minutes quoi, AD ça reste qu'un gros DNS distribué entre plusieurs zones