Имеет ли смысл устанавливать доверительные отношения между экземплярами Active Directory в компаниях-партнерах?

Да, это имеет смысл, если вы хотите, чтобы оба могли аутентифицировать людей в нескольких доменах. Вы должны поместить сервер, на котором установлено целевое приложение, в домен, которому доверяют все экземпляры AD, которые вы хотите использовать для аутентификации.

Я исследовал это немного больше, и я нашел хорошее решение. Поскольку обеим компаниям необходимо использовать одну и ту же систему, самой системе нужно просто проверить, существует ли пользователь в одном из хранилищ пользователей (аутентификация), а затем выполнить авторизацию на системном уровне.

Идея предоставления доступа обеим компаниям верна: если бы мы работали вместе и у нас не было способа сделать это, нам пришлось бы заново создавать всех пользователей из компании без доступа в хранилище подключенных пользователей. Очевидно, что это будет полный беспорядок и кошмар обслуживания.

Я обнаружил, что в моем случае, несмотря на то, что оба AD находятся в одной и той же глобальной сети, необходимо иметь формальную федерацию или доверие. К счастью, у нас уже есть домен, которому обе компании доверяют, поэтому мне просто нужно переместить приложения, используемые партнерами, в этот домен. После этого нужно просто полностью определить DNS-суффикс, указывающий на используемую AD. Затем списки управления доступом для конкретных приложений ссылаются на нужное хранилище пользователей.