【ActiveDirectoryについて】
このHPは、ActiveDirectory(ドメイン、ドメインツリー、フォレスト)についてまとめたものです。
1-1 複数のドメインの連携
ActiveDirectoryが管理する基本範囲が「ドメイン」。ActiveDirectoryのドメインは、組織に対して、一つだけ構成することが推奨されている。しかし、以下の様な場合には、複数のドメインを構成しなければならない。
◆親会社と子会社で、ユーザーやコンピュータ、プリンタは、それぞれの会社で分けて管理しなければならないが、双方のユーザーが相手のコンピュータやプリンタを利用できる様にしたい場合。
◆2つの企業が提携し、双方の企業のユーザーが、相手のコンピューターやプリンタを利用したり、相手のユーザー情報(メールアドレス・電話番号など)を簡単に検索できるようにする。
◆本社と支店で、部署単位で異なるセキュリティレベルを採用している場合。
複数のドメイン間でユーザーが資源を利用できる様にするには、「ドメインツリー」または「フォレスト」として構成する。
1-2 ドメインツリー
ActiveDirectoryでは、組織内で複数のドメインを作成し階層構造を構築することができる。この階層構造は「ドメインツリー」と呼ばれる。
ドメインツリーを構築すると、ユーザーやコンピュータは別々のドメインで管理されるが、同じドメインツリーに属するドメインであれば、別のドメインの資源を他のドメインのユーザーが利用することができる。
ドメインツリーは、、「example.co.jp」と「aaa.example.co.jp」の様にDNSのドメインが親子関係を持つように設定されている組織同士で、複数のドメインを連携させる。
ドメインツリーを構成するには、まず親のドメイン(example.co.jp)で、ActiveDirectoryドメインを構成し、下位のドメイン(aaa.example.co.jp)を、example.co.jpの子ドメインとして構成する。
ドメインツリーを構成したドメイン同士は、「信頼関係」が双方向に結ばれ、一方のドメインユーザーが、もう一方のドメインンのコンピュータを利用したり、ディレクトリデータベース内の情報を検索したりすることが出来る様になる。
「信頼関係」とは、ドメイン間で信頼しあう機能の事。信頼関係を結ぶと、異なるドメインのコンピュータにログオンし、資源にアクセスできるようになる。
ActiveDirectoryでは、自動的に双方向の信頼関係が結ばれる。
この時、ドメインツリーの最上位のドメインである「example.co.jp」ドメインや「shikaku.co.jp」ドメインを、「ルートドメイン」という。
1-3 フォレスト
DNSのドメインが親子関係を持たない場合(example.co.jpとshikaku.co.jp)は、「フォレスト」という仕組みを利用する。
フォレストを構成する場合は、既に構成済みのドメインツリー(example.co.jp)に対して、新しいドメイン(shikaku.co.jp)を配置する形で構成する。
ActiveDirectoryでは、ドメインごとにユーザー、グループ、コンピューターを管理している。また、同じドメインツリーに属しているドメインは、親のドメイン名を継承し、フォレストに参加するドメインは「推移する信頼関係」が結ばれる。
「推移する信頼関係」とは、間接的に信頼されているドメインのを使えるようにするための信頼関係の事。
例えば、ドメインAがドメインBを信頼し、ドメインBがドメインCを信頼している場合、ドメインCのユーザーは、直接信頼されれているドメインBの資源と、間接的に信頼されているドメインAの資源を使用できる。
◆フォレスト内の信頼関係
ActiveDirectoryのフォレスト内では、ドメイン間の信頼関係が自動的に作成される。
また、この信頼関係は「推移する信頼関係」なので、フォレスト内のドメインユーザーは、資源に対するアクセス許可を持っていれば、全てのドメインの資源を使用することが出来る。
この自動的に作成される信頼関係により、同じフォレストの場合には、手作業でドメイン間に信頼関係を作成する必要は無い。
◆フォレスト間の信頼関係
Windows Server 2003以降のActiveDirectoryでは、フォレスト間でも信頼関係を作成できる。
フォレスト間で作成する信頼関係は、「フォレストの信頼」と呼ぶ。
フォレストの信頼により、フォレスト間でユーザーを認証できるようになるため、資源の共有が可能になる。
フォレスト間の信頼は、「推移する信頼関係」として作成可能だが、フォレスト内の信頼関係の様に
自動的には作成されない。
別フォレストの資源を使用するときは、推移する信頼の階層をたどって、各ドメインでユーザーを認証する。
そのため、多くの認証が発生する。
また、ユーザーが所属しているドメインと資源のあるドメインで「外部の信頼」を作成すると、パフォーマンスを向上でき、目的のドメインだけで認証される様になる。
「外部の信頼」とは、フォレストの異なるActiveDirectoryドメイン間で形成される信頼関係(フォレストルートドメイン間である必要は無い)、またはWindowsNT4.0以前のWindowsドメインとActiveDirectoryドメインとの間で形成される信頼関係の事。
このHPは、ActiveDirectory(ドメイン、ドメインツリー、フォレスト)についてまとめたものです。
1-1 複数のドメインの連携
ActiveDirectoryが管理する基本範囲が「ドメイン」。ActiveDirectoryのドメインは、組織に対して、一つだけ構成することが推奨されている。しかし、以下の様な場合には、複数のドメインを構成しなければならない。
◆親会社と子会社で、ユーザーやコンピュータ、プリンタは、それぞれの会社で分けて管理しなければならないが、双方のユーザーが相手のコンピュータやプリンタを利用できる様にしたい場合。
◆2つの企業が提携し、双方の企業のユーザーが、相手のコンピューターやプリンタを利用したり、相手のユーザー情報(メールアドレス・電話番号など)を簡単に検索できるようにする。
◆本社と支店で、部署単位で異なるセキュリティレベルを採用している場合。
複数のドメイン間でユーザーが資源を利用できる様にするには、「ドメインツリー」または「フォレスト」として構成する。
1-2 ドメインツリー
ActiveDirectoryでは、組織内で複数のドメインを作成し階層構造を構築することができる。この階層構造は「ドメインツリー」と呼ばれる。
ドメインツリーを構築すると、ユーザーやコンピュータは別々のドメインで管理されるが、同じドメインツリーに属するドメインであれば、別のドメインの資源を他のドメインのユーザーが利用することができる。
ドメインツリーは、、「example.co.jp」と「aaa.example.co.jp」の様にDNSのドメインが親子関係を持つように設定されている組織同士で、複数のドメインを連携させる。
ドメインツリーを構成するには、まず親のドメイン(example.co.jp)で、ActiveDirectoryドメインを構成し、下位のドメイン(aaa.example.co.jp)を、example.co.jpの子ドメインとして構成する。
ドメインツリーを構成したドメイン同士は、「信頼関係」が双方向に結ばれ、一方のドメインユーザーが、もう一方のドメインンのコンピュータを利用したり、ディレクトリデータベース内の情報を検索したりすることが出来る様になる。
「信頼関係」とは、ドメイン間で信頼しあう機能の事。信頼関係を結ぶと、異なるドメインのコンピュータにログオンし、資源にアクセスできるようになる。
ActiveDirectoryでは、自動的に双方向の信頼関係が結ばれる。
この時、ドメインツリーの最上位のドメインである「example.co.jp」ドメインや「shikaku.co.jp」ドメインを、「ルートドメイン」という。
1-3 フォレスト
DNSのドメインが親子関係を持たない場合(example.co.jpとshikaku.co.jp)は、「フォレスト」という仕組みを利用する。
フォレストを構成する場合は、既に構成済みのドメインツリー(example.co.jp)に対して、新しいドメイン(shikaku.co.jp)を配置する形で構成する。
ActiveDirectoryでは、ドメインごとにユーザー、グループ、コンピューターを管理している。また、同じドメインツリーに属しているドメインは、親のドメイン名を継承し、フォレストに参加するドメインは「推移する信頼関係」が結ばれる。
「推移する信頼関係」とは、間接的に信頼されているドメインのを使えるようにするための信頼関係の事。
例えば、ドメインAがドメインBを信頼し、ドメインBがドメインCを信頼している場合、ドメインCのユーザーは、直接信頼されれているドメインBの資源と、間接的に信頼されているドメインAの資源を使用できる。
◆フォレスト内の信頼関係
ActiveDirectoryのフォレスト内では、ドメイン間の信頼関係が自動的に作成される。
また、この信頼関係は「推移する信頼関係」なので、フォレスト内のドメインユーザーは、資源に対するアクセス許可を持っていれば、全てのドメインの資源を使用することが出来る。
この自動的に作成される信頼関係により、同じフォレストの場合には、手作業でドメイン間に信頼関係を作成する必要は無い。
◆フォレスト間の信頼関係
Windows Server 2003以降のActiveDirectoryでは、フォレスト間でも信頼関係を作成できる。
フォレスト間で作成する信頼関係は、「フォレストの信頼」と呼ぶ。
フォレストの信頼により、フォレスト間でユーザーを認証できるようになるため、資源の共有が可能になる。
フォレスト間の信頼は、「推移する信頼関係」として作成可能だが、フォレスト内の信頼関係の様に
自動的には作成されない。
別フォレストの資源を使用するときは、推移する信頼の階層をたどって、各ドメインでユーザーを認証する。
そのため、多くの認証が発生する。
また、ユーザーが所属しているドメインと資源のあるドメインで「外部の信頼」を作成すると、パフォーマンスを向上でき、目的のドメインだけで認証される様になる。
「外部の信頼」とは、フォレストの異なるActiveDirectoryドメイン間で形成される信頼関係(フォレストルートドメイン間である必要は無い)、またはWindowsNT4.0以前のWindowsドメインとActiveDirectoryドメインとの間で形成される信頼関係の事。
